Jak skutecznie zabezpieczyć firmowe środowisko IT
EVP

Executive ViewPoint
Z Sebastianem Wąsikiem, przedstawicielem handlowym na Polskę firmy baramundi software AG, rozmawiamy o skutecznych sposobach ochrony firmowego środowiska IT, zarządzaniu uprawnieniami użytkowników i politykami bezpieczeństwa, zapewnieniu zgodności z GDPR oraz nowościach w pakiecie baramundi.

Jakie najlepsze praktyki w zakresie ochrony firmowego środowiska IT mógłby Pan wymienić na bazie Państwa doświadczeń i doświadczeń klientów?

Dostępne narzędzia muszą przede wszystkim adresować dwa podstawowe problemy. Jeden to działania użytkowników stanowiących najsłabszy punkt ochrony przed przestępcami zarówno po stronie urządzeń końcowych – z których korzystają – jak i dostępu do infrastruktury. Drugi aspekt to zabezpieczenie sieci oraz komputerów i urządzeń mobilnych.

Nie możemy pozbyć się czynnika ludzkiego. Możemy jednak – co często rekomendujemy klientom – ograniczyć uprawnienia użytkowników. Jest to bardzo proste w przypadku komputerów i notebooków, m.in. dzięki odpowiednim narzędziom w konsoli administratora baramundi Management Center. To ona pozwala ściśle określić, co ma się dziać na urządzeniach końcowych, z których korzystają użytkownicy. Można ograniczyć to, co oni pobiorą, co mogą zainstalować. Jednocześnie administrator może sam zdalnie instalować dowolne oprogramowanie, które jest konieczne w pracy danej osoby.

Inaczej nieco wygląda sposób ograniczenia uprawnień użytkowników urządzeń mobilnych. Można wprowadzać restrykcje co do: używania kamery, robienia screenshotów np. danych zawartych w aplikacjach firmowych, czy korzystania z internetu w roamingu. Ponadto można ograniczyć to, co pracownik pobiera ze sklepów z aplikacjami. W baramundi Management Center tworzone są tzw. czarne i białe listy aplikacji. Można sprawdzać, czy na urządzeniu nie zostały usunięte ograniczenia narzucone przez producenta, nie dokonano jailbrake’a. Można też wymusić posiadanie konkretnej wersji systemu operacyjnego czy zdalnie skonfigurować sieć Wi-Fi i VPN.

Jak zapewnić bezpieczeństwo, podłączanych do firmowej sieci, komputerów i urządzeń mobilnych?

Nasze rozwiązanie pozwala tworzyć dowolne polityki bezpieczeństwa. Pakiet baramundi ma wiele domyślnych, wbudowanych polityk. Można je oczywiście dowolnie dostosowywać do swoich potrzeb w module Compliance Manager. Jedną ze „standardowych”, dostarczanych przez nas polityk jest np. skanowanie wszystkich urządzeń końcowych pod względem podatności na zagrożenia. Dzięki zintegrowaniu w baramundi Compliance Management Common Configuration Enumeration (CCE) badamy luki w zabezpieczeniach związane z ustawieniami i konfiguracją urządzeń końcowych. Natomiast dzięki ciągle aktualizowanej bazie Common Vulnerabilities and Exposures (CVE) analizujemy i wychwytujemy luki w stosowanym oprogramowaniu, nawet te, które pozostają niezabezpieczone przez system antywirusowy.

Dotyczy to zarówno stacji roboczych, jak i serwerów. W baramundi Management Center widać, ile urządzeń ma problem z jakąś luką. W naszym pakiecie można bardzo szybko i na konkretnych maszynach wymusić załatanie luki za pomocą rozwiązań typu „push”. Za pośrednictwem naszej konsoli możemy wymusić aktualizację np. oprogramowania Adobe Reader. Możemy także ustawić cykliczność skanowania podatności. Wykorzystując funkcjonalność wake-on-LAN np. w soboty, można sprawdzić, czy nie ma nowych luk i z automatu zaktualizować je w tym samym momencie. Można też tworzyć tzw. dynamiczne grupy. Gdy dana maszyna spełnia określone warunki, wymuszana jest instalacja konkretnego patcha. Możemy również zdalnie zablokować port czy określone działania na rejestrach, z których korzysta złośliwe oprogramowanie.

Duże zagrożenie stanowi dziś malware nieświadomie instalowany przez użytkowników. Dzięki niemu przestępcy często przejmują dane firmowe. Jak najlepiej sobie z tym poradzić?

Pakiet baramundi stanowi uzupełnienie w stosunku do tradycyjnych systemów antywirusowych. baramundi Compliance Management pozwala np. wykryć – nawet w spakowanym pliku – że został do niego przez hakerów wstrzyknięty payload. Część antywirusów tego typu zagrożeń nie będzie w stanie wykryć. Co ważne, moduł ten można kupić niezależnie od pozostałych elementów naszego pakietu.

Od kwietnia 2017 roku dostępna jest nowa wersja pakietu baramundi. Jakie nowości do niej wprowadzono?

Przede wszystkim jest to funkcjonalność zintegrowanego skanera SNMP – IT MAP. Dzięki temu można przeskanować wszystkie urządzenia, które mają IP i są podłączone do danej sieci. Poza tym już od ubiegłego roku baramundi umożliwia zarządzanie stacjami klienckimi, znajdującymi się poza LAN, poprzez Server Proxy, i ta funkcjonalność została dodatkowo rozszerzona. Można sprawić, aby za jego pośrednictwem łączyły się wszystkie urządzenia nie wpięte bezpośrednio do sieci. Administrator może określić, które urządzenia logują się przez Wi-Fi, a które przez APN.

Ciekawą funkcjonalnością – zwłaszcza w kontekście Windows 10 – jest moduł baramundi OS-Install. Wraz z Windows 10 Microsoft zmienia paradygmat oraz podejście do Windows jako systemu operacyjnego. Co najmniej raz do roku trzeba będzie dokonywać jego uaktualnienia, bo inaczej nie będzie można zainstalować najnowszych patchy bezpieczeństwa. Będzie to wymagało dużego nakładu pracy ze strony administratorów IT. Moduł baramundi OS-Install pozwala na zautomatyzowanie tego zadania dzięki funkcjonalności In-Place-Upgrade dla Windows 10.

W kontekście ochrony danych dużo dziś mówi się o rozporządzeniu GDPR. Czy baramundi wspiera dostosowanie się do jego wymogów?

Nasz pakiet od dawna spełnia większość jego wymogów. Został dostosowany do bardzo restrykcyjnego – pod względem ochrony danych osobowych – prawa niemieckiego. Można powiedzieć, że dziś cała Unia Europejska dostosowuje się do wymogów obowiązujących już od dawna w Niemczech. Jednym z takich wymogów jest np. zapewnienie hermetyczności danych. Ważne jest to dla naszych partnerów, którzy chcieliby – na podstawie naszych rozwiązań – oferować usługi typu Managed Services. Hermetyczność danych zapewnia, że informacje każdego klienta przechowywane są w osobnej bazie danych, zarządzanej z osobnej konsoli. Autentykacja dostępu do tych baz jest szyfrowana, a przechowywane dane nie są w jakikolwiek sposób przesyłane. Oczywiście funkcję tę można wykorzystać także np. do separacji danych, z których korzystają poszczególne działy firmy.