Bezpečná firma Bezpečná firma

Bezpečná firma

Případová studie analýzy rizik
informační bezpečnosti
Dovědět se více

Bezpečná firma

Případová studie analýzy rizik
informační bezpečnosti
Dovědět se více

Bezpečná firma

Zabezpečení firemní sítě, počítačů a dat je dnes jednou z důležitých součástí informační infrastruktury sítě. Důležitost bezpečnosti narůstá s množstvím systémů a počítačů, které se přes různé sítě propojují do sítí partnerů, nebo rovnou do globální sítě Internet. Při řešení bezpečnosti je potřeba mít na mysli nejen bezpečnostní hledisko, ale i hledisko uživatelské. Bezpečnostní systémy ve firmě nesmí být pro uživatele natolik komplikované nebo zdržující, že je sami přestanou využívat a budou je obcházet.

Pokud se chceme bavit o bezpečné firmě, musíme mluvit o vícevrstvé bezpečnosti a nesmíme se soustředit pouze na technické řešení. Součástí strategie bezpečné firmy musí být i školení uživatelů, kteří by měli chápat bezpečností plány a vzít si za své jejich dodržování. Další výzvou bezpečnosti je stoupající množství mobilních zařízení (notebooky, chytré telefony, tablety...), která se běžně pohybují mimo bezpečí firemní kanceláře, ale často jsou v nich uložená důvěrná firemní data. Tato zařízení jsou vystavena dalším rizikům, jako je jejich ztráta či krádež. Proto je potřeba zajistit, aby se data na v nich uložená, nedostala do nepovolaných rukou. Rovněž je potřeba najít způsob, jak je bezpečným způsobem integrovat do informačního systému společnosti a zajistit jejich bezpečné připojení do firemní sítě prostřednictvím nedůvěryhodného Internetu.

Firewall

Stavový paketový firewall dnes naleznete v téměř jakékoliv firmě, ať už v podobě počítače s linuxem, jako součást malého DSL routeru či speciálního zařízení. Tento typ bezpečnostní brány je dnes také běžnou součástí operačního systému či antivirového řešení, kdy je jeho úkolem bránit konkrétní počítač před hrozbami z okolní sítě. Kontrolovat síťový provoz pouze na základě TCP/UDP portů je však dnes již nedostatečné. Útočníci se naučili používat otevřené porty i k provozu jiných aplikací, než pro které jsou určené. Zejména s přesunem velké části služeb do prostředí webu, je potřeba umět rozpoznat žádoucí a nežádoucí provoz za pomoci informací z vyšších síťových služeb. Pro kontrolu tohoto provozu proto začali přibývat další zařízení, která se schovávají pod pojmy jako antispam, IPS, IDS, webfiltering. Růst množství těchto zařízení vedl ke vzniku Next Generation Firewallu a ještě dále jdoucího konceptu UTM Firewallu, které integrují tyto různé funkce do jednoho zařízení s jednotnou správou, reportingem apod.

Jedním z hlavních lídrů trhu s UTM Firewally je společnost Fortinet, jenž se zaměřuje čistě na síťovou bezpečnost a je v této oblasti specialistou, jak dokazují i četná ocenění a certifikace. Základní úlohou UTM Firewallu je rozlišení chtěného a nechtěného provozu. K tomu používá různé údaje z různých vrstev síťové infrastruktury. V základu pracuje také s TCP/UDP porty, ale k tomu přidává znalost popisů jednotlivých protokolů, takže umí ohlídat, že na portu 80 je skutečně provozován protokol HTTP a ne například protokol SSH nebo zde není provozována síť pro sdílení souborů typu p2p. Na základě signatur známých útoků umí rozpoznat útok na Vaši infrastrukturu a zakázat jej. Součástí je samozřejmě skenování procházejícího provozu antivirovou službou, u mailu i na výskyt spamu.

Dnes se spousta služeb realizuje v prostředí webu. Fortigate umí na základě katalogizace stránek do různých kategorií ohlídat, na jaké stránky se Vaši uživatelé dostanou. Na základě toho můžete hlídat, že se Vaši uživatelé nedostanou na stránky s nebezpečným obsahem (napadené weby, phishing a pod.) či na weby s nevhodnou tématikou (např. stránky s obsahem pro dospělé) či na stránky, které vedou ke snížení jejich produktivity (Facebook, hry a pod.). Pro jednotlivé skupiny uživatelů lze aplikovat různé bezpečnostní profily.

Mezi další funkce Fortigate patří i VPN tunely a další funkce.

VPN (Virtuální Privátní Síť)

Jednotné informační prostředí v celé společnosti a tvorba projektových týmů dnes vyžadují propojení lokálních počítačových sítí jednotlivých poboček mezi sebou. Jednou z variant realizace je pronájem drahých dedikovaných linek od telekomunikačních operátorů. Další variantou je pro propojení využít sítě Internet. Pro tuto technologii se používá termín VPN. Základem jsou VPN routery, které jsou v každé pobočce. Mezi těmito VPN boxy se nadefinují virtuální tunely, kterým jsou přes internet posílány informace mezi jednotlivými pobočkami. Data putují mezi pobočkami prostřednictvím nedůvěryhodné sítě Internet, proto je potřeba je na cestu přes Internet zašifrovat. Rovněž je potřeba zajistit důvěryhodnost a autenticitu jednotlivých VPN routerů připojených do firemní virtuální sítě. K tomu slouží několik různých technologií.

Pro propojení poboček (VPN tunelů typu site-to-site) se dnes běžně využívá standardu IPSec. Bohužel je také běžné, že výrobci těchto zařízení vytváří svá rozšíření nad tímto protokolem. Naše společnost pro realizaci VPN tunelů využívá již dříve zmíněné zařízení Fortigate. Výrobce nabízí řadu různě výkonných boxů, tudíž je možné snadno škálovat zařízení dle velikosti pobočky, a díky integraci funkce VPN do UTM Firewallu je možné snadno realizovat i plnou bezpečnost na pobočkách bez nutnosti pořizovat a spravovat větší množství zařízení.

Mimo propojení poboček přes Internet je dnes běžnou potřebou připojení k firemní infrastruktuře jednoho počítače. Realizovat zde připojení pomocí extra zařízení je neefektivní, nicméně v některých případech elegantní. Běžně se zde využívá softwarového VPN klienta pro připojení k centrálnímu firemnímu VPN koncentrátoru. Vzhledem k tomu, že tato zařízení se běžně připojují k Internetu prostřednictvím různě kvalitních a omezovaných sítí, je v tomto případě výhodnější použít SSLVPN, než VPN typu IPSec. Běžným uživatelem toho typu připojení jsou vedoucí pracovníci, obchodníci, ale i běžní uživatelé (dnes moderní Homeworking). V tomto případě je ještě důležitější kontrolovat identitu připojujícího se uživatele. Vedle klasické kombinace jména a hesla je vhodné pro přihlašování k firemní VPN síti použít certifikáty nebo jednorázová hesla. V případně jednorázových hesel je uživatel vybaven speciálním zařízením (FortiToken), které mu na vyžádání vygeneruje jednorázové heslo. Na základě prvotní synchronizace FortiTokenu s Fortigate je pak Fortigate schopnen ověřit platnost takto vygenerovaného hesla a na základě tohoto ověření umožní uživateli připojení do firemní sítě. Pro přihlášení je možné i kombinovat několik různých forem ověření. Například certifikát (tj. musím něco vlastnit) se jménem a heslem (musím něco vědět) a tak dosáhnout vyššího stupně zabezpečení s eliminací různých rizik.

Antivirus

Antivirový program na počítačích, noteboocích a chytrých telefonech ve firemní síti doplňuje filozofii vícestupňové ochrany, kterou nazýváme Bezpečná firma. Samotný antivirus je v dnešní době spíše doplňkovou funkcí každého bezpečnostního řešení. Stěžejní funkcí se stala oblast ochrany počítačů a uživatelů před programy sloužícími ke krádeži a zneužití osobních a firemních informací. Kvalitní zabezpečení je důležité zvláště u notebooků a mobilních telefonů, které opouští bezpečí firemní sítě chráněné firewally a dalšími technologiemi. Našim zákazníkům nabízíme dlouhodobou zkušenost s produkty a technologiemi českého výrobce bezpečnostních programů, společností AVG Technologies. I Vám bude vyhovovat modulární řešení pro konkrétní nasazení ve firemním prostředí či propracovaná centrální správa okamžitě evidující všechny podezřelé aktivity jak na souborovém nebo poštovním serveru, tak i na stanicích v počítačové síti. Mnohokrát oceněné produkty AVG pomohou ochránit Vaše investice i před největším nebezpečím, před uživateli Vaší firemní sítě!

Anti-Theft

Technologie Intel Anti-Theft je prvním hardwarově-softwarovým řešením ochrany dat na trhu. Díky kombinaci software s bezpečnostními mechanismy integrovanými v hardware chrání uložená data a identity před zcizením, je schopná na dálku kompletně vyřadit z provozu i vypnutý počítač. Data jsou pro zloděje nedosažitelná i při vyjmutí disku a jeho zapojení v jiném zařízení. Zablokovaný start neumožní používání notebooku s jiným diskem, není možná ani reinstalace systému.

Jak to funguje?
Po zaregistrování služby je v případě ztráty nebo krádeže uživatel sám schopný vzdáleně, telefonicky nebo přes internet zablokovat zařízení a zamezit tak zneužití nejen jeho soukromých či firemních dat, ale i hardware. Ztracené nebo odcizené zařízení je pak uzamčeno takovým způsobem, aby nešlo nabootovat. Na displeji se zobrazí uživatelsky definovatelná zpráva (s telefonním číslem, emailovou adresou), že je zařízení chráněno pomocí Intel Anti-Theft technologie a odemčení je možné pouze vlastníkem pomocí hesla vygenerovaného za tímto účelem. Jakmile dojde k zotavení majitelem, přístroj je vrácen opět k plné funkčnosti.