Jak chránit uživatele před webovými hrozbami i mimo firemní síť?

Dnešní doba, kdy Home Office je využíván v co největší míře, nám z pohledu bezpečnosti přináší nové starosti a výzvy.

Dnešní doba, kdy Home Office je využíván v co největší míře, nám z pohledu bezpečnosti přináší nové starosti a výzvy. Především můžeme ztratit kontrolu nad zařízeními, která opustí naši interní síť. Když je uživatel na pracovišti, tak většinou jsou vynucovány různé politiky, např. řízení přístupu pro prohlížení webového obsahu. Pomocí webových bran můžeme filtrovat obsah nežádoucích kategorií (jako jsou malware stránky, pornografie, drogy a jiný nevhodný obsah).

Pokud zaměstnanec sbalí firemní notebook do podpaží a vyráží „hurá“ na Home Office, tak v lepším případě, při vykonávání pracovních činností je uživatel přihlášen do VPN a z pohledu ochrany uživatele je to jako by seděl v kanceláři (zjednodušíme to a nebudeme zde řešit režim VPN spojení: full vs split tunel).

Bez VPN a pro soukromé účely

Pravá zábava začíná, když se uživatel odhlásí z VPN a již nevyužívá filtrace webového provozu viz výše. Nyní uživatel může začít využívat firemní notebook pro soukromé účely, zábavu nebo také pro zabavení svých ratolestí. Ty mohou jít na různé herní stránky nebo sledovat filmy a seriály na nějaké online „zdarma“ platformě. Slovo zdarma je v uvozovkách z důvodu, že sice neplatíte žádnou částku nebo paušál za shlédnutí obsahu, ale mohou zde být skripty pro krádež cookies a následná krádež identity. Také před spuštěním videa může na uživatele vyskočit, že si musí nainstalovat nejnovější verzi Flash Playeru, protože bez něho to nepůjde přehrát (no a co, že už je to mrtvá technologie bez bezpečnostních aktualizací). Jenže se jedná o upravený program, který obsahuje škodlivý kód a může zpřístupnit zadní vrátka do počítače a ukrást citlivé firemní dokumenty. Takže sice neplatíte žádnou částku, ale zaplatíte svými daty.

Položme si otázku, jak zajistit stejnou míru zabezpečení uživatelům na Home Office, jako by byli v práci? V případě emailové bezpečnosti, antiviru, oprávnění uživatel to lze, tak proč by to nešlo i na úrovni webového přístupu?

Posunutý perimetr webové komunikace

Klíčem k řešení je web hybrid technologie, která posouvá perimetr webové komunikace Vaší firemní infrastruktury kamkoli, kde bude uživatel se svým notebookem a snižuje tak výrazné riziko kompromitace strojů a úniku citlivých dat. V případě McAfee se jedná o webovou proxy McAfee Web Gateway se zapojením v hybridním režimu. Jako základ nám právě slouží dedikovaná proxy McAfee Web Gateway, která je umístěna v interní síti a vynucuje webové politiky pro uživatele, kteří jsou připojeni buď přímo v interní síti nebo přes VPN. Pro uživatele mimo dosah této brány využijeme McAfee Web Protection Hybrid (McAfee Web Gateway Cloud Service).

Funguje to tím způsobem, že na koncovém zařízení je nainstalován agent s názvem Client Proxy a ten si průběžně zjišťuje, zda je k dispozici interní proxy brána. Pokud ano, tak použije připojení do internetu přes ni. Pokud ne, tak se připojí přes cloudovou službu McAfee Web Gateway Cloud Service (McAfee WGCS) a provoz je filtrován, i když uživatel není připojen v síti. Výhodou je, že pro každý způsob můžete mít jinou politiku. Tedy pro nějaké obecné nastavení můžete mít vynucování, jak přes on-premise řešení, tak i pro cloudové řešení. Pak přísnější politiku pro ty, co se připojují skrz on-premise řešení (např. včetně blokace kategorie sociálních sítí) a pro ty, co se připojují skrz cloud nastavit mírnější politiku. Z pohledu administrace je to jednoduché, není potřeba se přihlašovat do nějakého dalšího GUI, ale vše se spravuje přes rozhraní on-premise proxy a jen se zaškrtne políčko, zda použít i v cloudové politice (Enable in Cloud).

Jelikož dnešní doba je nakloněna cloudu stále více a společnost McAfee si je toho dobře vědoma, tak přichází s řešením McAfee Unified Cloud Edge. Pomocí této technologie můžeme chránit data před neoprávněnou manipulací uživatelem, kontrolovat a řídit přístup ke cloudovým aplikacím na základě jejich kategorizace z pohledu bezpečnosti, smluvních ujednání a dalších parametrů, které žádný uživatel běžně není schopen posoudit a současně zajistit kompletní ochranu proti hrozbám proudícím z webu včetně útoků cílících na 0-day zranitelnosti.

Cílem tohoto článku bylo poukázat na nástrahy, které nás mohou potkat, když ztratíme uživatele z dohledu. A zároveň uvést jednoduché a účinné zbraně, jak s tímto problémem efektivně bojovat a zůstat v bezpečí. Pro více informací se můžete i podívat na Webexy:

McAfee – Web Hybrid

McAfee Unified Cloud Edge

McAfee MVISION získal největší hodnocení dle Gartner

Jan Burian, COMGUARD a.s.

Pro více informací kontaktujte sales@comguard.cz.


Přidejte Váš názor

Opište text z obrázku, prosím:

Komentáře k článku - přidejte komentář jako první