2. Tendences
Neraugoties uz milzīgo naudu, ko kompānijas ik gadu
iztērē IT drošībai, tās tik un tā cieš no datu noplūdēm,
drošības sistēmu caurumiem vai vīrusiem. Drošības
nolūkos esam spiesti uzlabot vairs ne tikai vidi, kurā
var rasties draudi, bet arī veidu kā mēs strādājam un
pieejam lietām. Būtiska tendence ir arī tāda, ka
darbinieki arvien biežāk savas darba ierīces izmanto
personīgiem nolūkiem, vai arī personīgās ierīces –
darba nolūkiem.
3. Problēma
• Dodot lietotājam brīvību izmantot jebkuru ierīci, no
jebkuras vietas, pieslēdzoties jebkādiem resursiem,
uzņēmuma datu drošība tiktu pakļauta nopietnam
riskam
• Kompānijās ar lielu ierīču skaitu izkontrolēt katru
darbinieku – ko viņš dara savā datorā, kādas lapas
apmeklē, tāpat vien būtu pagrūti, tāpēc šajā ziņā
noderētu sistēma ar ko vienkārši var pārskatīt un
kontrolēt šādas apjomīgas infrastruktūras
4. Risinājums – ForeScout Automated Security
Control Solutions
• ForeScout pamatideja – dators pieslēdzoties tīklā
var veikt tikai tās darbības, kas atbilst uzņēmuma
drošības politikai
• ForeScout sistēma atrisina problēmu – apvienojot
augstu drošību un automatizētu kontroli pār
darbinieku aktivitātēm ar brīvību darbiniekiem
izmantot savas ierīces
• Galvenais ieguvums – tiek apvienots augsts
drošības līmenis ar produktivitāti un ērtu lietojamību
5. Kas ir ForeScout?
ForeScout sistēma sastāv no ierīces ForeScout
CounterACT, kas pieejama gan fiziskas, gan virtuālas
ierīces veidā, kā arī tajā iebūvētas programmatūras,
kas apvieno sevī 4 risinājumus
• Tīkla piekļuves kontrolēšana
• Mobilo ierīču drošība
• Datoru drošības politika
• Aizsardzība pret uzbrukumiem
7. Ko tas piedāvā?
• Iespēja pārskatīt visus resursus tīklā – ierīces,
lietotājus, aplikācijas (t.sk. tīkla iekārtas un mobilās
ierīces)
• Iespēja aizsargāt svarīgos datus, pamanīt
aizdomīgas aktivitātes tīklā un laicīgi novērst tās
• Iespēja katram lietotājam piešķirt pielāgotas
tiesības, kādas darbības viņš var veikt tīklā
• Uzlabo tīkla stabilitāti, novēršot nevēlamās darbības
uzņēmuma tīklā
9. Kas ir Network Access Control?
Network Access Control jeb NAC ir termins ar ko
apzīmē sistēmu, kas kontrolē to, kādiem resursiem var
piekļūt ierīces kas izmanto tīklu, kā arī darbības, ko šīs
ierīces konkrēti var darīt tīklā. Piemēram ar to
iespējams nobloķēt pieeju mājaslapām vai
programmām, ko darba laikā nav vēlams izmantot,
tādā veidā tiek ierobežota arī vīrusu darbība un
iekļūšana uzņēmuma tīklā.
10. Priekšrocības
Viena no lielākajām problēmām ar ko uzņēmumi
saskarās uzstādot NAC sistēmas ir sarežģītā
uzstādīšana, kas bieži vien lielās kompānijās var
aizņemt pat vairākus mēnešus. ForeScout uzstādīšana
atšķirībā no citiem risinājumiem aizņem ne vairāk kā
vienu dienu, turklāt nav nepieciešams instalēt
atsevišķu programmatūru uz katras no ierīcēm, kā tas
ir citiem risinājumiem. Visa sistēma sastāv no vienas
ierīces, kurā ir iebūvēts lietotājiem saprotams
uzstādīšanas vednis.
11. Priekšrocības
• Uzņēmumi bieži vien lieto dažādas tehnoloģijas, lai
autentificētos sistēmā (802.1X, LDAP, Aktīvā
Direktorija u.c.). ForeScout dod iespēju lietot šīs
dažādās tehnoloģijas vienlaicīgi, kas paātrina
uzstādīšanu un ļauj to lietot sarežģīti izveidotās
sistēmās
• Atbalsta visas ierīces, kas atrodas jūsu tīklā
(komutatori, maršutētāji, antivīrusi, ugunsmūri utt.),
tāpēc esošajā infrastruktūrā nekādas izmaiņas nav
jāveic, lai nodrošinātu saderību
12. Priekšrocības
• Strādā “klusi” fonā – bez liekiem paziņojumiem un
nepārtraucot darbu. Nerada lietotājiem iespaidu, ka
tie atrodas zem stingras disciplīnas, norādot, ko tie
drīkst vai nedrīkst darīt tīklā
• Uzstādīšana un uzturēšana prasa minimālu piepūli.
Uzstādīšanā noder pielāgojami, iebūvēti
konfigurācijas profili, bet uzturēšanas darbi tiek
kontrolēti automātiski
13. Funkcijas
• Iespēja nosūtīt ziņojumu administratoram, ja rodas
kādas problēmas
• Iespēja uzskaitīt visas darbības – noder piem. lai
noskaidrotu pēc kādām darbībām raudusies kāda
kļūda
• Iespēja ar personalizējamiem ziņojumiem
lietotājiem saprotami izskaidrot piem. Kāpēc viņš
nevar piekļūt kādai lapai (ja administrators to ir
nobloķējis)
14. Funkcijas
• Iespēja pieprasīt lietotājam nomainīt paroli, ja tā nav
pietiekami droša
• Bezvadu tīklu pārvaldība (atvienot, aizliegt, atļaut
u.c.)
• Iespēja atvienot lietotāja VPN pieslēgumus
• Iespēja aizliegt kādai ierīcei, lietotājam pieslēgties
komutatoram, maršutētājam utt.
15. Funkcijas
• Iespēja centralizēti instalēt atjauninājumus vai
sistēmas labojumus - tādā veidā kopējā tīklā nebūs
ierīces, kurām būtu kādi drošības caurumi vai tās
atšķirtos no pārējām
• Iespēja palaist/apturēt aplikācijas/procesus ierīcēs
• Iespēja izslēgt/ieslēgt ierīces
• Iespēja atļaut aizliegt kādai ierīcei izmantot
konkrētu perifērijas ierīci (piem. printeri u.c.)
16. Funkcijas
• Tiklīdz kā uzņēmuma tīklā pieslēdzās kāds viesis ar
savu ierīci, tas var automātiski pieprasīt un saņemt
viesim pielāgotas tiesības
• Printeri un tamlīdzīgas tīkla ierīces tiek atrastas un
pievienotas automātiski, kas vēl vairāk atvieglo
uzstādīšanas procesu
• Uzreiz pēc ierīces pieslēgšanās tīklā, sistēma
automātiski sāk to monitorēt un pārbaudīt vai tā
neveic kaitnieciskas darbības
20. Problēma
Viena no aktuālākajām tendencēm darbiniekiem
pēdējos gados ir ienest un lietot uzņēmumā savas
personīgās mobilās ierīces (laptopus, Macbook’us,
viedtālruņus, planšetdatorus). Daļa no darbinieku
ierīcēm pieder uzņēmumam, daļa ir personīgās un no
tā visa veidojas grūti pārskatāma un pārvaldāma
sistēma.
21. Problēma
• Lielākas problēmas rodas, ja darbinieks uz
personīgās ierīces glabā uzņēmuma dokumentus
vai sliktākajā gadījumā kādu konfidenciālu
informāciju. Ja darbinieks šo ierīci nozaudē,
uzņēmums zaudē svarīgus datus
• Datu zudumu var izraisīt arī kaitīga programmatūra.
Lietotājs uzstādot jebkuru programmatūru uz
mobilās ierīces, dod tai tiesības veikt noteiktas
darbības vai piekļuvi failiem. Daudzi lietotāji šim
posmam nemaz īsti nepievērš uzmanību, kas rada
šos riskus zaudēt datus
22. Risinājums
• Risinājums Mobile Security sniedz iespēju būt
kontrolē pār visām mobilajām ierīcēm, kas atrodas
uzņēmuma tīklā
• Tiklīdz kā tīklam pieslēdzās jauna mobilā ierīce,
automātiski tiek identificēts vai tā nav kaitīga ierīce,
ja ir - tad tai tiek nobloķēta piekļuve, ja viss kārtībā
tai dod iespēju autorizēties tīklā
23. Šajā logā tiek pārvaldītas drošības politikas
izvēlētajām ierīcēm
25. Šajā uzstādījumā
tiek norādīts, ka
jaunu ierīču
apstiprināšana
notiek, sistēmai
automātiski
nosūtot
pieprasījumu uz
administratoram
norādītu e-pastu
un atverot
norādīto saiti
26. Iespējams redzēt detalizētu informāciju par
ierīcēm, kas ir aktīvas tīklā (Nosaukums, IP, MAC
adrese, aktīvie procesi utt.)
29. Problēma
Kompānijas tērē milzīgu naudu drošības
programmatūrai, bet gadījumos, kad ir liels datoru
skaits un programmatūra tiek iepirkta centralizēti
visiem datoriem, bieži vien ir grūti pārvaldīt kā tā tiek
izmantota, vai vispār tiek izmantota, vai nav atslēgta
vai arī nestrādā un ir ar nepareizu konfigurāciju. Tāpat
grūti būt lietas kursā par to kādā stāvoklī ir
programmatūra vai operētājsistēma, vai tā tiek pareizi
izmantota vai atjaunināta. Viegli piekļūstot šādai
informācijai būtu vieglāk rast problēmām cēloņus vai
novērst pirms tās vēl radušās.
30. Endpoint Compliance
ForeScout Endpoint Compliance ir risinājums, visu
ierīču drošības politiku pārvaldībai. Tas ļauj viegli
pārskatīt vai visas ierīces atbilst noteiktajām prasībām
– piem. vai antivīrusa programma ir atjaunināta, vai
operētājsistēmai instalēti jaunākie drošības labojumi,
vai uz datora neatrodas kāda darbam kaitīgas vai
neatļautas programma, kas ietekmē tīkla darbību
piem. failu apmaiņas programmas (μTorrent, BitComet
utt.)
31. Darbības princips
• ForeScout sistēmā tiek izveidotas drošības politikas
ar nosacījumiem, kas ir atļauts, kas nav, kam ir jābūt
utt. Uzstādīšanu krietni atvieglo sagataves ar jau
iepriekš izveidotiem nosacījumiem biežāk
izmantotajiem konfigurācijas veidiem
• Sistēma pamana ierīces, kas neatbilst norādītajiem
nosacījumiem un uzrāda iemeslu – kāpēc neatbilst,
cilvēku, kas lieto šo ierīci, kurš šī ierīce atrodas
32. Tiek kontrolētas sekojošās lietas:
• Vai ir palaista aizsardzība pret kaitīgo
programmatūru
• Vai ir instalēti jaunākie atjauniājumi
• Operētājsistēmas ievainojamība
• Vai aktivizēts ugunsmūris
• Pieslēgtās perifērijas ierīces
33. Tiek kontrolētas sekojošās lietas:
• Aizdomīga datu plūsma (noslogots tīkls, aizdomīgi
procesi, tiek sūtīti spami u.c.)
• Ļaunprātīga uzņēmuma tīkla izmantošana
• Palaistās un instalētās programmas, procesi un
servisi
• Palaistās failu apmaiņas un saziņas programmas
34. Rīcība pārkāpumu gadījumos
• Tiklīdz kāds lietotājs pārkāpis kādu no drošības
politikām, iespējams uzstādīt, ka automātiski tiek
nosūtīts brīdinājums, ieteikums, aizliegums vai
konkrētā funkcija tiek atslēgta
• Tāpat sistēma var likt antivīrusa serverim atjaunināt
antivīrusu politikām neatbilstošajai ierīcei, tāpat likt
atjaunināt operētājsistēmu vai atslēgt neatbilstošo
programmatūru
35. Sadaļā Dashboard iespējams aplūkot viegli saprotamu
statistiku par ierīču daudzumu, kas atbilst un neatbilst
drošības politikām
37. Redzams saraksts ar datoriem, kuriem nav uzstādīti
jaunākie MS Windows drošības atjauninājumi
38. Saraksts no kāda datora ar konkrētajā brīdī palaistiem
neatļautiem procesiem – redzams, ka starp tiem ir
tāda ar darbu nesaistīta programma kā iTunes,
kaitīgas reklāmu programmas un nevajadzīgas
interneta pārlūku rīkjoslas
39. ForeScout Compliance Center sadaļa, ko var
apskatīties katrs lietotājs un apkopotā veidā
iespējams redzēt savas ierīces stāvokli – kas ir
kārtībā un kas nav
42. Šajā gadījumā redzams, ka lietotājs centās palaist failu
apmaiņas programmu BitTorrent, bet to momentāli
fiksēja ForeScout sistēma, aizvēra to un parādīja
paziņojumu, ka šī darbība neatbilst drošības politikai
43. Šajā sadaļā iespējams apskatīt visas filiāles, kas sadalītas pēc
ģeogrāfiskā principa un uzspiežot uz katras redzama
informācija par ierīcēm – cik no tām atbilst noteiktajām
drošības politikām, kā arī cik un kāda veida problēmas ir katrā
atrašanās vietā
45. Problēma
Ja agrāk uzņēmumu datoros pietika vien ar antivīrusa
un ugunsmūra programmatūru, tad mūsdienās ar to ir
krietni par maz, lai būtu droši par savu datu un
sistēmu drošību. Kaitīgo programmu izstrādātāji atrod
arvien jaunus veidus kā apiet visas drošības sistēmas.
Aptauju dati liecina, ka vismaz 4-8% no uzņēmumu
datoriem ir inficēti, kaut gan uz tiem strādā gan
antivīrusi, gan tiek instalēti atjauninājumi un labojumi.
46. Kāpēc tā notiek?
• Viens no iemesliem ir tāds, ka uzņēmumu tīkli
darbojas arvien plašākos apmēros, sazinās un
savienojas ar arvien vairāk ierīcēm visapkārt gan
iekšēji uzņēmuma robežās (bezvadu tīkli, VPN), gan
ārpus tā (sazinoties ar klientiem, biznesa
partneriem)
• Vēl viens būtisks iemesls tam ir ierīču skaita
palielināšanas kā piem. tīkla printeri, vai darbinieku
personīgie laptopi, viedtālruņi, planšetdatori
47. Risinājums
ForeScout sistēmā iekļauta ForeScout patentēta
ActiveResponse tehnoloģija, kas spēj novērst
ienākošus Zero Day uzbrukumus (uzbrukumi, kas
izmanto konkrētajā brīdī vēl neizlabotus “caurumus”
programmatūrā), pašpavairojošus vīrusus (worms),
lēnus un nepamanāmus uzbrukumus, kas izmanto
izlūkošanas metodi (low & slow attacks). Galvenie
plusi šai sistēmai ir tādi, ka tā nepreasa nekādus
uzturēšanas darbus un nenoslogo tīkla ātrumu.
48. ForeScout sistēma pieejama divos
veidos:
CounterACT – pieejams gan kā fiziska, gan kā virtuāla
ierīce. Piemērots, ja zināms ierīču daudzums. Pieejams
šādiem ierīču skaitiem:
• 100
• 500
• 1000
• 2500
• 4000
• 10000
49. ForeScout sistēma pieejama divos
veidos:
Counter ACT Edge – pieejams tikai kā fiziska ierīce.
Lieliem uzņēmumiem ar lielu ierīču skaitu iespējams
iepirkt arī vairākas ierīces. Licences iedalās pēc datu
plūsmas uz vienu Counter ACT Edge ierīci:
• 2 Mbps
• 10 Mbps
• 50 Mbps
• 100 Mbps
• 200 Mbps
• 1 Gbps
50. Izmaksas
Lētākā ForeScout sistēma 100 lietotājiem maksā sākot
no £9,895 par virtuālo ierīci. Jo vairāk lietotāju un
jaudīgāka iekārta/komplektācija, jo attiecīgi lielāka
cena.
Atbalsts pieejams divos veidos:
• Pamata – bezmaksas – strādā 9h dienā, 5 dienas
nedēļā
• Active Care - £2,000 gadā - strādā 24/7
51. Konkurenti
NAC risinājumu jomā ir vairāki produkti, ko var
izmantot kā alternatīvas, tomēr visus pielīdzot
ForeScout, visas priekšrocības vienmēr ir ForeScout
pusē.
Šobrīd populārākie risinājumi bez ForeScout ir:
• McAfee
• Cisco
• Juniper
• Symantec
52. Konkurenti
Visas ForeScout alternatīvas atpaliek šādos rādītājos:
• Uzstādīšana ir ilgāka un sarežģītāka un tās sastāv
no daudz komponentēm + programmatūru
nepieciešams uzstādīt uz katras ierīces
• Tās neatbalsta lietotāju personīgo ierīču uzskaitu, kā
arī ir problēmas ar atbalstu perifērijas ierīcēm
53. Konkurenti
• Tās lielā mērā ir atkarīgas no 802.1x autentifikācijas
tehnoloģijas, kas pieprasa tīkla infrastruktūrai
sarežģītu konfigurāciju un nav īsti piemērota idejai,
ka lietotāji izmanto arī savas personīgās ierīces
• Arī pēc cenas visas alternatīvas ir dārgākas un ne tik
funkcionālas kā ForeScout
55. Valsts pārvaldē
• Šajā sektorā tiek glabāti īpaši konfidenciāli un svarīgi
dokumenti, tāpēc datu drošība tiek augsti vērtēta.
Tāpat valsts iestādēm bieži vien jāiekļaujās dažādos
standartos, tāpēc ForeScout iekļauts atbalsts
daudziem autentifikācijas un drošības standartiem.
56. Finanšu jomā
• Arī šajā jomā īpaši svarīga ir datu drošība, tāpat arī
tā kā darbiniekiem jāstrādā ar iespējams lielām
naudas summām, tad noderēs ForeScout iespējas
ierobežot darbinieku darbības. Vieglā ierīču
pārskatamība noderēs arī veicot IT auditu.
57. Veselības aprūpes jomā
• Šajā jomā svarīgi ir, lai vienmēr viss funkcionētu un
būtu darba kārtībā. ForeScout sistēma strādā klusi
un nemanāmi, nerādot kaitinošus paziņojumus,
nebremzējot ātrumu, tajā pašā laikā saglabājot
lietojamības ērtumu un funkcionalitāti.
58. Izglītības jomā
• Skolēni, studenti tehnoloģijas bieži vien mēdz lietot
bezatbildīgi, neapzinoties riskus. ForeScout sistēma
dos viņiem iespēju rīkoties brīvi, bez bažām kaut ko
sabojāt, tajā pašā laikā saglabājot kontroli un
neļaujot apmeklēt bīstamas lapas vai palaist
bīstamu programmatūru. Tāpat sistēma var būt arī
noderīga studentu dienesta viesnīcās, neļaujot
studentiem izmantot failu apmaiņas sistēmas, tādā
veidā izslēdzot iespēju, ka tīkls var tikt noslogots dēļ
kāda atsevišķa lietotāja.