Vzdělávání v IT bezpečnosti Program č. 2 Studijní opory

Transkript

1 datum zpracoval COMGUARD s.r.o. Sochorova 38 CZ Brno tel

2 Obsah 1. Úvod Přehled výrobců bezpečnostních řešení pro koncová zařízení Popis standardního řešení v oblasti zabezpečení koncových zařízení Centrální správa Agent Handler Databáze centrální správy Detailní popis centrální správy Policy Auditing Antivirový systém vlastní engin Antivirový systém pro Command line Anti-Spyware Co je Spyware Co je Adware Host IPS a Desktop Firewall Ochrana ových serverů (MS EXCHANGE) Device Control Application Control Configuration Control Bezpečnost pro Sharepoint SiteAdvisor s Web filtering systém globálních reputací strana 2/62

3 2.12. Spojení antivirového systému s technologií INTEL vpro Mobility management (pro smartphone a tablety) Nasazení celého řešení ukázka na systému McAfee Instalace centrální správy Kontrola činnosti instalátoru Zálohování Bezpečnost a management mobilních zařízení Enterprise Mobility Management Zásadní charakteristiky EMM Distribuce a správa aplikací na koncová zařízení Další vývoj řešení Popis řešení Fiberlink Správa mobilních zařízení Registrace mobilních zařízení Integrace mobilních zařízení s podnikovými systémy Centrální management Zabezpečení mobilních zařízení Reporty a monitorování Podpora zjednodušené správy mobilních zařízení Skladba samotného řešení Nástavbové moduly strana 3/62

4 Document Management Content Cloud Mobile Expense Management Secure Mail Secure Browser (URL Filtering) BlackBerry Enterprise Server (BES) Mobile Management Hostované řešení pro mobility management Centrální správa pomocí nadřízené konzole Popis řešení Endpoint Encryption for Files and Folders Klíčové vlastnosti Integrované funkce a centrální management Zvyšování bezpečnosti Centrální správa Nepřetržité sledování zabezpečení Vynucení shody ochrany a aktualizací izolace a karanténa pro neshodné systémy Ochrana mobilních uživatelů Správa systémů by měla být snadná pro organizaci jakékoli velikosti Postup implementačních prací Full Disk Encryption DLP & Device Control strana 4/62

5 8.1. Popis řešení DLP Host DLP Centrální správa koncových stanic Klasifikace citlivých dat Prevence ztráty a zneužití citlivých dad Průběžné reportování a monitorování Shoda se standardy a normami Jak pracuje DLP? Klíčové charakteristiky Data Loss Prevention: Device Control Často kladené otázky Stručný přehled cloudových bezpečnostních funkcí Vzorové schéma požadavků na projekt se zapojením cloudových služeb při ochraně ového provozu strana 5/62

6 1. Úvod Tyto studijní opory slouží jako doplněk prezenční nebo vzdálené výuky a e-learningu Přehled výrobců bezpečnostních řešení pro koncová zařízení Zdroj: Gartner (2013) Výše uvedený výčet výrobců není rozhodně kompletním seznamem dostupných produktů. Jedná se o výběr s největším podílem na trhu, a to celosvětově. Svislá osa reflektuje názor celosvětově uznávané agentury Gartner na úroveň funkčnosti jednotlivých řešení, vodorovná na komplexnost poskytovaných služeb. strana 6/62

7 2. Popis standardního řešení v oblasti zabezpečení koncových zařízení Dnešní sofistikované útoky si žádají ucelený systém ochran. Řízení systémové bezpečnosti s pomocí decentralizovaných bezpečnostních systémů je zastaralé a neúčinné. Proto je nanejvýš vhodné implementovat integrované bezpečnostní systémy chránící před soudobými útoky, a to pro stanice i servery. Ochranu informačních aktiv společnosti je dále vhodné rovněž integrovat s pokročilými nástroji šifrování a řízení využívání připojitelných médií. Většina dnešních výrobců díky integračnímu prvku navíc poskytuje nejen centralizaci správy, ale také jednotný monitorovací systém s rozsáhlými možnostmi reportů a analýz. Přináší tolik potřebný přehled nad bezpečností sítě, nutný pro zajištění nepřetržité dostupnosti služeb LAN pro zaměstnance, zákazníky i obchodní partnery. Vzniká tak obdoba jednotných ERP systémů typu SAP. Přestože jsou dnes mnohem důležitější proaktivní části antivirové technologie, jako detekce neznámých, často velmi sofistikovaných hrozeb, májí současné antivirové programy vynikající výsledky i při detekci na základě signatur, jejichž využití má stále své místo díky snadnosti a rychlosti odhalování škodlivých kódů a útoků v provozu. Jejich obnovování je flexibilní a je řízeno celosvětově propojenými laboratořemi (např. Intel Security McAfee AVERT), které disponují globální sítí center rozmístěných na všech kontinentech (USA, EU, Indie, Japonsko, Austrálie, Brazílie, ). Vše je vyhodnocováno v reálném čase, aby bylo možno vždy s novou hrozbou okamžitě reagovat obnovou DAT. (další informace: ) Centrální správa v sobě integruje jak management všech výkonných systémů samotného antivirového programu, tak také produkty třetích stran, pro které zároveň zprostředkovává ucelený reporting, vzdálenou správu a instalaci a vynucuje bezpečnostní politiky na klientských stanicích. Tím, že slouží jako ústřední bod, mohou administrátoři snižovat riziko od nepřátelských, nevyhovujících systémů. Dále mohou udržovat ochranu aktualizovanou a sledovat stav zabezpečení nepřetržitě z jedné centralizované konzole. Výhody centrální správy: Přináší výraznou úsporu nákladů na administraci řešení díky jejímu sjednocení, rovněž tak vynucení politik, distribuce aktualizací, reporting stavu a vyhovění politikám (včetně stavu šifrování atp), monitoring a alerting (zasílání upozornění při nevyhovění politice nebo definované události). Jedna konzole rovněž přináší vyšší schopnost zastupitelnosti administrátorů uvnitř organizace, vyšší úroveň znalostí a flexibilitu při zavádění vyšších stupňů ochran (otestování nové funkce znamená jen přidání testovacího licenčního klíče bez nutnosti složitě instalovat nová rozhraní, seznamovat se s nimi atp.) strana 7/62

8 Pracuje pomocí agentů umístěných na chráněných pracovních stanicích, kteří jsou plně pod správou centrální správy, a tudíž je z hlediska komfortu uživatelů obvykle volena transparentnost systému. Z tohoto důvodu bývá absence českého komunikačního rozhraní pro uživatele nevýznamná. Jako modelový příklad je dále popisován systém společnosti McAfee, Který je rovněž používán pro praktické ukázky v rámci školení Centrální správa Centrální správa je u bezpečnostních systémů klíčová komponenta pro správu bezpečnostních produktů zodpovědná jak za instalace, nastavení a prosazení definované bezpečnostní politiky, tak za následný reporting stavu bezpečnostního vybavení. Jako datová základna serveru, na němž je instalována centrální správa, slouží SQL databáze. Server centrální správy je prakticky pasivní prvek v bezpečnostní infrastruktuře, která ji řídí a spravuje. Výkonným prvkem je jeho Agent, který se instaluje na spravovaný koncový systém a tento podle definované politiky vše řídí; stará se o instalace, aktualizace, reporting i ostatní úlohy stejně jako prosazuje vlastní nastavení jednotlivých softwarových komponent. Server centrální správy se instaluje podle požadavku na dostupnost v clusteru. Prostředí centrální správy epo má několik podřízených komponent, které mají různé úlohy: Application Server Automatické reakce, správa serverů a komponent, uživatelské rozhraní Agent Handler Politiky, úlohy a vlastnosti Event Parser parser klientských událostí a hrozeb RSD server Rogue System Detection, pomocí agentů systém sledující lokální síť (neimplementováno) Politika pro nastavení jednotlivého bezpečnostního vybavení na stanicích i serverech se stromově dědí z nadřazených větví až po koncové systémy a dědičnost lze kdekoliv pro kteroukoliv politiku přerušit a nastavit jinak. Správa epo a potažmo všech spravovaných klientů se děje přes interaktivní webový interface s využitím web 2.0. Každý definovaný správce má přidělen set oprávnění pro nastavení jednotlivých politik nebo systémů stejně jako pro reporting. Účet správce lze definovat lokálně přímo v epo, nebo převzít existující účet např. v Active Directory. strana 8/62

9 Agent Handler Agent Handler je softwarová komponenta zodpovědná za komunikaci agent-server, je součástí instalace epo serveru. Lze ji instalovat samostatně jako Remote Agent Handler v různém prostředí pro pokrytí komplexních potřeb rozsáhlých sítí, load balancing apod. Agent Handler je spravován centrálním epo serverem a připojen přímo k databázi, ze které klientům nabízí bezpečnostní software i aktualizace a naopak předává informace o jejich stavu a incidentech zpět do databáze. Obr. Komunikační schéma komponent strana 9/62

10 Databáze centrální správy Centrálním úložištěm veškerého nastavení, definovaných bezpečnostních politik, software i aktualizací je databáze, kterou přímo využívá epo server pro administraci a reporting a Agent Handler jako interface pro klienty. Z hlediska správy incidentů a reportování, je SQL databáze epo klíčovou komponentou Detailní popis centrální správy Díky integraci s McAfee epolicy Orchestratorem (epo) jsou všechny komponenty centrálně spravovány z jediné konzole. epolicy Orchestrator umožňuje vzdálenou instalaci a správu, distribuovat a měnit bezpečnostní politiky, či rozesílat pravidelné aktualizace produktů. Vše je podpořeno úzkou spoluprací s MS Active Directory. Součástí systému jsou nástroje pro monitoring v reálném čase i analýzu historických událostí s množstvím předdefinovaných reportů. Centrální management zajišťovaný epolicy Orchestratorem tak šetří administrátorům čas, kapacitu linek a výrazně snižuje celkové náklady na zajištění kontinuity služeb sítě. Nepřetržité sledování zabezpečení - Integrované služby výstrah epo a grafické reporty poskytují nepřetržitou visibilitu potřebnou pro efektivní sledování zabezpečení systému, posuzování stavu bezpečnostních zásad a vyhledávání slabin sítě. epo poskytuje integrovaný systém poplachů a výstrah o shodě, aktivitě hrozeb a nepřátelských systémech. Po překročení hranic nastavených administrátorem jsou odeslány kritické výstrahy specifikovaným osobám prostřednictvím u, SMS, pagerem, nebo pomocí SNMP trap. Výstrahy zahrnují všechny nebezpečné činnosti, úroveň shody s antivirovými programy a detekci nepřátelských systémů. Navíc je vyhledání nevyhovujících systémů, sledování epidemií až k jejich zdroji nebo stanovení účinnosti zásad zabezpečení, nenáročné díky širokému spektru více než čtyřiceti předdefinovaných reportů epo. Vytváření reportů přesně na míru je stejně snadné. Administrátoři si mohou vybrat z velké řady tiskových šablon a exportovatelných typů diagramů. epo se integruje s technologií Business Objects Crystal Reports a Microsoft MSDE/SQL serverem s cílem využít jednoduchost a sílu řešení hodící se pro firmu každé velikosti. Vynucení shody ochrany a aktualizací izolace a karanténa pro neshodné systémy - Jedním z nejsložitějších aspektů proaktivní správy bezpečnostní politiky je udržení všech systému v souladu s nejnovější ochranou. epo zajišťuje shodu na úrovni celé firmy automatickým vynucováním zásad. Zabraňuje tomu, aby nějaký systém nevyhovoval. Rovněž zabraňuje uživatelům měnit nastavení nebo vypínat důležité stupně ochrany. epo je centrem efektivní správy procesu aktualizace. Ty mohou být v předem určených intervalech nastaveny a mohou být zvoleny pro systém, pro skupinu nebo pro jinou skupinu dle volby administrátora. Využívá se inteligentní systém distribuovaných skladů, které nezatěžují server a šiří aktualizace v celé síti. Síťový provoz strana 10/62

11 přitom zůstává nízký a výkon vysoký. epo poskytuje komplexní služby a umí rozmisťovat aktualizace pro všechny soubory McAfee DAT, enginy, service packy, opravy (hotfix) a záplaty. Snížení rizika nepřátelských a nevyhovujících systémů - Byť jediný, neznámý systém postrádající přiměřenou ochranu, představuje významné riziko pro celou síť. Znalost všech míst připojení systému do sítě je proto kritické pro úspěšnou ochranu celé společnosti. Smluvní partneři, externí pracovníci, návštěvníci konferenčních místností nebo prostě zapomenutý systém, mají všechny stejnou příležitost připojení k firemní síti. Neúmyslně tak představují riziko pro integritu a dostupnost sítě. epo používá přístup pomocí distribuovaných senzorů, které pasivně sledují síť. Rychle stanovuje, zda jsou spravovány epo a poskytuje široké spektrum odezev založených na zásadách při zjištění nepřátelských systémů, které nejsou spravovány epo. Administrátoři tak mohou rychle redukovat slabiny nevyhovujících systémů a významně zvýšit shodu zabezpečení systému. Proaktivní posuzování shody oprav Microsoft - Přijetí proaktivních opatření pro snížení zranitelnosti systému a měření účinnosti rozmístění záplat je v epo snadné a přímočaré. System Compliance Profiler (SCP) je integrální součástí epo. Umožňuje profesionálům v oblasti zabezpečení rychle posoudit na úrovni celé společnosti shodu systémů, včetně přítomnosti důležitých záplat Microsoft. Toto profilování je založeno na pravidlech upravovaných administrátorem nebo na šablonách stažených od McAfee. Umožňuje vyhledat soubor, službu, klíč v registrech nebo specifickou referenci záplaty Microsoft. K dispozici je rovněž Patch fingerprinting (využívá kontrolní kódy MD5). Tím je zaručena absolutní integrita bezpečnostních záplat Microsoft a zabráněno nesprávné funkci těchto záplat. Kritickou úroveň shody, kterou nastavuje administrátor, lze snadno sledovat ve formě podrobných, grafických reportů o shodě. Rychlá odezva při epidemii - Pro rychlou reakci při epidemii poskytuje epo administrátorům prostředky navržené tak, aby byla odezva specifická k dané hrozbě. V nouzových případech potřebujete aktualizovat všechny počítače okamžitě. Server v takovém případě může dát všem agentům povel k okamžité aktualizaci (update now) a změna se provede v rámci celé sítě. Alternativně může být v případě epidemie požadována změna zásad bezpečnosti systémového firewallu nebo může být dostatečná aktualizace nebo změna zásad na bráně. Díky epo je odezva okamžitá a méně náročná na manuální úkony. strana 11/62

12 Ochrana mobilních uživatelů - Díky epo se nemusí děsit bezpečnostní tým ani zaměstnanců s mobilními zařízeními. Vynucováním dodržování politiky, i když není laptop připojen k síti, a prováděním aktualizací pokaždé, když je zjištěno připojení k Internetu, umožňuje epo efektivní správu i obtížně spravovatelné infrastruktury. A protože vzdálení uživatelé požadují větší flexibilitu, zajišťuje epo automaticky jejich aktualizaci z nejbližší lokality s nejlepším spojením a umožňuje přerušování a obnovování procesu aktualizace. epo definitivně zaručuje, že jsou vzdálení a mobilní uživatelé stejně dobře chránění. Spravují se stejně snadno jako uživatelé připojení k LAN. Správa systémů je stejná pro organizaci jakékoli velikosti - Při navrhování epo se pamatovalo na dobrou škálovatelnost. Správa až uživatelů na jeden server je stejná odkudkoliv pomocí vzdálené konzole. To firmám šetří náklady na další hardware a správu. Zásady bezpečnosti, které pokrývají každou vrstvu ochrany před hrozbami (od frekvence aktualizací, přes nastavení osobních firewallů, ověřování bezpečnostních záplat, typu kontrolovaných souborů, až po nastavení heuristického prohledávání) mohou být centrálně zvoleny pro skupinu počítačů nebo skupinu uživatelů. Administrátor je může snadno upravovat. Vše je vynucováno automaticky, což zajišťuje požadovanou úroveň ochrany. Obr. Ukázka default dashboard strana 12/62

13 Integrace s klíčovými investicemi do infrastruktury - Při navrhování se také myslelo na efektivnost práce administrátorů. epo je zaměřen na zhodnocení klíčových investic do Microsoft Active Directory. Real Time for McAfee epo - Slouží k nalezení podrobných informací o PC a dalších zařízeních zapojených v síti v řádu sekund. Díky technologii P2P je daleko rychlejší než tradiční řešení a uplatnění najde především v rozsáhlých sítích Policy Auditing Pro kontrolu shody s bezpečnostní politikou pro spravované produkty McAfee je možné využít předdefinované compliance reporty z centrální správy epolicy Orchestrator, či si vytvořit vlastní na základě vašich požadavků Antivirový systém vlastní engin McAfee antivirový systém reaguje stejně jako další soudobé systémy na omezení tradičních antivirových systémů a zastavuje hrozby, i když nejsou signatury aktualizovány. Poskytuje prevenci narušení pomocí ochrany proti přetečení vyrovnávací paměti specifických aplikací. Tato inovační technologie rozšiřuje ochranu i na dosud neznámá bezpečnostní rizika, čímž snižuje náklady na řízení odezvy v případě napadení. Hlavní charakteristiky: Kompletní ochrana proti PUP a Rootkitům Detekce neznámých útoků v čase nula Proaktivní ochrana napojená na systém globální inteligence technologie Artemis On-Access skenování Buffer Overflow ochrana a blokování portů Prohledávání skriptů (Java a Visual Basic) Trasování a blokování zdroje infekce Organizace si nemohou dovolit nechat nechráněné okno zranitelnosti a čekat na aktualizovaný definiční soubor, proto McAfee integruje do svého antivirového systému i technologie vlastní především firewallům a systémům prevence narušení. Ve spojení s pokročilými heuristickými a generickými technologiemi detekce je pak antivirový systém připraven chránit pracovní stanice a servery proti novým sofistikovaným hrozbám, často strana 13/62

14 kombinovaným, skrývajícím se v komprimovaných souborech, skriptech apod., které jsou zahrnovány pod termín malware. Moderní antivirový systém by měl mít tyto charakteristiky: Zastavuje hrozby, i když není systém aktualizován Poskytuje základní ochranu proti adware, spyware key loggerům, trojanům, integrovaná přímo do antivirového enginu Napojení na výzkumné středisko zajišťující rychlé reakce formou automatických updatů DAT a enginu Centrální správa s vynutitelností dodržení nastavení politik Optimalizace pro mobilní uživatele Pokročilé vlastnosti a funkce K rysům antivirových systémů patří funkce, které chrání před běžnými technikami napadení a zastavují mnoho nových a neznámých škodlivých programů, kódů a útoků. Schopnost proaktivně zvládat nové kombinované hrozby minimalizuje pravděpodobnost vzniku epidemie, tzn., že administrátoři nejsou omezeni na tradiční odezvu aktualizací signatur. Antivirový systém nabízí prevenci narušení pomocí ochrany proti přetečení vyrovnávací paměti specifických aplikací. Poskytuje proaktivní ochranu proti zneužití přetečení vyrovnávací paměti, jenž je nejzranitelnějším místem aplikací v prostředí Microsoft a služeb OS. Použití této metody útoku na OS může způsobit opětovnou infekci koncových systémů, i když mají aktualizovány definiční soubory. strana 14/62

15 Blokování portu umožňuje administrátorům zablokovat specifické porty pro příchozí a/nebo odchozí síťový provoz. Stínění příchozího síťového provozu znamená omezení zranitelnosti červy nebo hackery. Blokování nepoužívaných portů znemožňuje sondování slabých míst v OS a aplikacích. Blokování jména souboru je funkce zabezpečení prevence narušení, která umožňuje administrátorům vytvářet zásady pro kontrolu povolených akcí systému nebo síťových procesů se specifikovaným souborem nebo skupinou souborů. Uzamčení adresářů a složek je další funkce zabezpečení prevence narušení. Umožňuje administrátorům vytvářet zásady pro kontrolu povolených akcí, které může systém nebo příchozí síťový proces provádět s obsahem dané složky nebo adresáře. Sdílené uzamčení umožňuje vytvářet zásady pro kontrolu činností, které může systém nebo příchozí síťový proces provádět ve sdílené oblasti. Pravidla pro ochranu přístupu chrání prostředí organizace především proti soudobým kombinovaným formám malwaru. Administrátoři mohou snadno nasadit více pravidel, které účinně brání inteligentním hrozbám a jejich nebezpečnému chování v napadaných sítích. Script Scanner (Java a Visual Basic) zabraňuje ve spuštění škodlivým programovým kódům a to dříve, než mohou infikovat koncové systémy prostřednictvím webových stránek nebo využitím vlastností skriptů. Sledování a blokování infekce umožňuje administrátorům objevit (vysledovat) IP adresu nebo koncový bod systému (zdroj infekce), který odeslal škodlivý programový kód do systému se spuštěným programem antivirový systém a automaticky zablokovat další komunikaci se zdrojem infekce. Skenování ů antivirový systém podporuje systémy s instalovaným klientem Outlook i Lotus Notes a to včetně HTML textu a příloh. Sebeobranné mechanizmy jsou velmi důležitou součástí McAfee Antivirový systému, který znemožňuje útočícím hrozbám odstavení systému. Pokud je to žádoucí, lze stejný princip uplatnit i na vlastní uživatele. Ochrana proti Rootkitům na základě signatur i pravidel chování účinně detekuje a odstraňuje tyto samomaskovatelné nebezpečné kódy. Engin umožňuje inkrementálně updatovat jednotlivé části enginu a podporuje nasazení několika specializovaných DAT souborů současně. Mcafee Antivirový systém proaktivně detekuje a odstraňuje nebezpečné cookie. Blokuje útoky zapisující do paměti místo pevného disku. Chrání proti specifickým útokům na aplikace a služby Microsoft prostředí, zejména Microsoft Windows OS služby, Microsoft Word, Microsoft Excel, Internet Explorer, Microsoft Outlook a SQL server. strana 15/62

16 Zabezpečení před nežádoucími programy Antivirový systém poskytuje uživatelům a administrátorům možnost přijmout opatření proti programům identifikovaným jako potenciálně nežádoucí. Rozšířená podpora proti této kategorii škodlivých programů zvyšuje bezpečnost a chrání citlivé hodnoty firmy. Základní podpora zahrnuje nejnebezpečnější formy nežádoucích programů a kódů. Systémové požadavky McAfee antivirový systém spravuje jediný, vysoce integrovaný agent softwarové bezpečnosti s malými celkovými nároky na systém a HW. Rozmisťuje se, konfiguruje a spravuje lépe než systémy založené na více agentech. Antivirový systém šetří prostor tím, že umožňuje drobné inkrementální aktualizace, které jsou rychlejší a minimálně zatěžují přenosové pásmo Antivirový systém pro Command line Spouští se z příkazového řádku. Umožňuje pouze On-Demand skenování a nabízí alternativu k antivirovým skenerům, které používají GUI. Nejčastěji bývá nasazován na zálohovací servery, file servery, atp. Využívá stejný skenovací engine jako standarní antivirový systém pro koncová zařízení Kompletní ochrana proti PUP, virům, trojanům, a Rootkitům Skenuje soubory a složky i ve vzdálených uložištích, NTFS streamy, chráněné soubory, procesy v paměti a externí disky Nastavení automatických alertů a akcí při detekování infekce Tvorba reportů, např list infikovaných souborů Skener dokáže detekovat a nahlásit infekce i v komprimovaných a archivačních souborech. V případě souborů typu ZIP lze zavirovaný soubor zbavit infekce. Skener dále umí detekovat a hlásit potencionálně nechtěný software, cookie a změny v registrech. Umožňuje také zvýšit rychlost skenování pomocí zvýšení přidělené paměti počítače. Nabízí také možnost skenování procesů přímo v paměti spolu se spjatými soubory. Antivirový systém pro Command Line využívá jak heuristickou analýzu, tak i detekování virů na základě signatur. Při heuristické analýze skener analyzuje programový kód, aby odhalil nakažené soubory, které se prokazují specifickými vlastnostmi. Skener dále dokáže detekovat i viry, které jsou zašifrované. Pomocí detekce na základě signatur a heuristické analýzy, tak dokáže skener odhalit jak známé hrozby a viry tak i nové viry a jejich různé varianty. strana 16/62

17 Pomocí příkazové řádky, lze také nastavit, jak se skener bude chovat při objevení infekce. Je možné také využít kombinace přednastavených akcí a reportů. Pro co nejlepší ochranu před nejnovějšími hrozbami je dobré pravidelně stahovat aktualizace nových virových databází ve formě DAT souborů. Tyto aktualizace poskytuje McAfee zcela zdarma a je možné je stáhnout ze speciálního FTP Anti-Spyware Anti-Spyware je snadno aplikovatelný plug-in pro antivirový systém (nebo samotný produkt), který maximalizuje prevenci a aktivní ochranu počítačových systémů před PUPs (potenciálně nechtěnými programy, jako jsou spyware, adware a jiné). Za pomoci signatur v kombinaci s pravidly chování chrání koncová zařízení před: krádeží identity, korupcí systému a sítě, pomalejším přístupem na Internet, snížením produktivity systému, zvýšeným počtem vyskakujících reklam. Systém vyhledává nežádoucí programy ihned na vstupu za účelem aktivního zablokování a bezpečné likvidace potenciálně nežádoucích programů. Těmi jsou různé typy spyware, adware, key-loggers, cookies, programů dálkového ovládání včetně vstupů do rejstříku Windows Registry a dalších oblastí, kde programy zanechávají své stopy. Posiluje bezpečí práce na počítači tím, že chrání počítače před nežádoucími programy, které by mohly sledovat, zaznamenávat a odesílat externím subjektům citlivé informace o společnosti. Tento systém představuje významný stupeň ochrany proti těmto dynamicky se vyvíjejícím hrozbám Podpora vyhledávání PUPs (nežádoucích programů) PUPs jsou kódy, o kterých by každá firma pečující o zabezpečení svých počítačů, chtěla být informována, popřípadě by se jich mohla chtít zbavit. Systém antispyware zvyšuje funkčnost zjišťování PUPs přidáním strana 17/62

18 vyhledávání vstupů PUPs do registrů a souborů nejen při realizaci. Je také schopen tyto nežádoucí aplikace odstraňovat. To zajišťuje větší stabilitu systému, vyšší výkon a pomáhá bránit opětovné instalaci těchto programových kódů. Vyhledávání na vstupu (Rezidentní štít) Vyhledávání na vstupu, On-Access Scanning, a blokování tamtéž pomáhá v boji proti spyware ještě před jeho instalací do počítačového systému firmy, což je lepší než zjištění spyware o několik dnů nebo týdnů později jako výsledek vyhledávání na požádání - On-Demand Scan. Aktivní detekce a blokování instalace PUPs zvyšuje návratnost investice do řešení díky tomu, že snižuje celkové náklady na obnovu napadených počítačový systémů. Auto-Update Vlastnost automatické aktualizace McAfee AntiSpyware, auto-update, udržuje aktuálnost zabezpečovacího software a zajišťuje ochranu systémů před nejaktuálnějšími hrozbami spyware, adware a jinými nechtěnými programy Co je Spyware Spyware je program, který využívá Internetu k odesílání dat z počítače bez vědomí jeho uživatele. Na rozdíl od backdooru jsou odcizovány pouze statistická data jako přehled navštívených stránek či nainstalovaných programů. Tato činnost bývá odůvodňována snahou zjistit potřeby nebo zájmy uživatele a tyto informace využít pro cílenou reklamu. Nikdo však nedokáže zaručit, že informace nebo tato technologie nemůže být zneužita. Proto je spousta uživatelů rozhořčena samotnou existencí a legálností spyware. Důležitým poznatkem je, že spyware se šíří společně s řadou sharewarových programů a jejich autoři o této skutečnosti vědí. V takovém případě je většinou uživatel na tuto skutečnost upozorněn. Může se ovšem stát, že software bude mít i jiné dobré a nezveřejněné vlastnosti. Bude odečítat a odesílat hesla z klávesnice, bude hledat bankovní certifikáty na disku apod Co je Adware Byly doby, kdy aby si čtenář mohl koupit knihu, kterou chce a která ho zajímá, musel si pořídit i knihu jinou, která ho vůbec nezajímala, většinou politickou. Toto se nyní v mnoha případech praktikuje i u software. Software pak může být levný nebo zcela zadarmo. Placen je pak z reklam, které jsou vnuceny uživateli. strana 18/62

19 Obvykle jde o produkt, který znepříjemňuje práci s PC reklamou. Typickým příznakem jsou vyskakující popup reklamní okna během surfování, společně s vnucováním stránek (např. výchozí stránka MS IS), o které nemá uživatel zájem. Část Ad-ware je doprovázena tzv. EULA - End User License Agreement licenčním ujednáním. Uživatel tak v řadě případů musí souhlasit s instalací. Ad-ware může být součástí některých produktů (např. DivX). Ačkoliv nás reklama doprovází během celé činnosti s daným programem, odměnou je větší množství funkcí, které nejsou v klasické free verzi (bez reklamy) dostupné Host IPS a Desktop Firewall Host Intrusion Prevention pro desktopy je IPS a Desktop firewall systémem nové generace který kombinuje několik stupňů detekce narušení od rozpoznání známých útoků na základě aktualizovaných signatur přes pravidla chování pro detekci neznámých útoků včetně DoS útoků, anomálií provozu a Zero Day Attack ochran s možnostmi desktop firewallů. Všechna řešení poskytují přesnou detekci za využití několika detekčních metod a snadný přechod z detekce na prevenci. IPS složky jsou pravidelně aktualizovány o nové signatury známých útoků, což zajišťuje maximální přesnost detekce. Jestliže IPS identifikuje přicházející nebo odcházející útoky, může zablokovat průnik, umožnit výstrahu a provést záznam do logu událostí. Intrusion prevention dovoluje chránit klienty před zákeřnými útoky a ochranu jejich zneužití pro útoky na jiné klienty. Host IPS systém Detekuje a zabraňuje útoku proniknout na aplikace a databáze Kombinuje detekce na základě signatur a pravidel chování Vulnerability shielding snižuje urgentnost instalace bezpečnostních záplat Blokování útoků přes USB disky a blokování odcizení dat Integruje Desktop Firewall s možností blokování aplikací Pravidla chování Dokonalé pro detekci nových, neznámých útoků Blokování zlomyslných aktivit Cenově efektivní proti Day-Zero útokům IIS Envelope File Execution u IIS Web User MS SQL Injection Přidání Guest Account, atp. Signatury Detekují známé útoky velice přesně strana 19/62

20 Některé útoky mohou být zastaveny pouze za použití signatur (DOS způsobený vzdáleným buffer overflow útokem) Vztažené ke specifickému útoku Příklad: o o o Code Red / Index Server idq.dll Buffer Overflow GetAdmin Privilege Escalation IIS Chunked Encoding Heap Overflow Desktop Firewall chrání klienty před odesláním a příjmem nepřátelského útoku z neautorizovaného síťového provozu nebo aplikace, umožňuje blokovat porty apod. Rovněž zajišťuje prevenci před manipulací s autorizovanými aplikacemi přes veřejnou síť. Desktop Firewall obsahuje aplikační monitoring zajišťující prevenci před spuštěním neautorizovaných aplikací nebo jejich zaháčkování k jiným aplikacím. Centrální správa zajišťuje škálovatelnou centrální správu, rozmístění, reportování a především zajištění vynutitelnosti bezpečnostních politik. Karanténní mód Karanténní mód dovoluje vynutit na uživatelích dodržení bezpečnostní politiky organizace spoluprací s centrální správnou. Jestliže je klient shledán neaktuální, nebo používá starou bezpečnostní politiku, má omezený přístup do sítě. Jakmile jsou IPS signatury, pravidla na desktop firewallu a Antivirový systém spolu s DATovými soubory aktualizovány, může být klient uvolněn z jeho karantény. Karanténní mód chrání síť před zastaralým antivirem, Desktop Firewallem a bezpečnostní politikou a odstraňuje bezbrannost klienta před novými útoky. Charakteristiky: Systém Host IPS pracuje na úrovni OS, protože všechny procesy vyžadují služby OS Kernel-level technologie zachycuje Systémové a API volání před jejich spuštěním v jádru OS o Kontroluje je proti databázi známých útoků (signatury) o Na principu pravidel chování detekuje neznámé útoky o Zamítá je, pokud jde o útok nebo zlomyslný kód, nebo povoluje, jde-li o standardní proces Ochrana (ne pouze detekce útoků) stanic Ochrany pro databáze a ochrana desktop aplikací Firewally a IDS technologie nemohou chránit OS a aplikace serverů útočník obchází tyto technologie při průniku na servery Některé útoky jsou vedeny pouze na určité systémy strana 20/62

21 o Získání lokálních práv o Šifrované útoky Vulnerability Shielding čas na implementaci záplat Reportovací a monitorovací nástroje Podpora platforem: Windows, Solaris, HP-UX, IIS, Apache, iplanet, SQL Ochrana ových serverů (MS EXCHANGE) Obsahuje nástroje pro kontrolu příchozího i odchozího poštovního provozu na existenci spamu, virů a jiného nežádoucího obsahu s téměř 100% úspěšností a nulovou false positive. Podezřelé y mohou být ukládány do karantény a podrobovány podrobnějším analýzám pro zamezení šíření hrozeb v rámci sítě. Tato ochrana je nasaditelná na Microsoft Exchange Server a Lotus Domino. Tradiční antivirové produkty nemohou skenovat uvnitř proprietárních databází a komunikačních metod. Uspokojivé řešení ochrany může poskytnout pouze produkt, který je plně integrován se systémem groupwaru a dokáže detailně sledovat jeho operace. Dnešní produkty zajišťují kompletní ochranu proti virům a spamu v prostředí systému Lotus Domino, respektive Microsoft Exchange Device Control Device Control umožňuje řídit přístup k přenosným médiím, jako jsou USB disky a řídit přístupy přes připojitelné kanály jako jsou Bluetooth, IR nebo Wi-Fi. Navazující balíčky navíc nabízí funkce pro zašifrování celých disků, adresářů a souborů včetně přenosných zařízení jako jsou USB klíčenky bez nutnosti využívat specializovaných nástrojů dalších výrobců Application Control Zajišťuje provozování pouze důvěryhodných aplikací na serverech a koncových bodech. To snižuje riziko neoprávněného užívání softwaru, zvyšuje kontrolu a bezpečnost koncových bodů. V neposlední řadě představuje účinnou hráz proti všem druhům škodlivých kódů, jelikož se nemají jak spustit. strana 21/62

22 2.9. Configuration Control Nabízí efektivní způsob, jak automatizovat a dodržovat shodu konfigurace pro kritické servery, šetřit čas a peníze na auditní činnosti blokováním neoprávněných změn. Je přizpůsobitelný a jednoduchý k používání Bezpečnost pro Sharepoint Dnešní antivirové systémy umožňují bezpečně sdílet a publikovat informace napříč organizací i externím partnerům. Informace se tak nestanou nositelem virů nebo malware, nebudou zahrnovat nevhodný obsah nebo nedojde k vynášení klíčových informací. Pro zabezpečení platformy MS Sharepoint je třeba mít: Proaktivní ochrany proti Malware Povědomí o publikovaném obsahu (obsahová pravidla umožňují zabránit šíření nepatřičného obsahu, jsou snadná k použití a okamžitě efektivní). Obsahová pravidla mohou zabránit downloadům a uploadům a reportovat detaily o dokumentech v repository, které obsahují důvěrné nebo nežádoucí informace. Pravidla musí být možné aplikovat nad více typů dokumentů včetně Adobe Acrobat a Microsoft Office. Enhanced quarantine management, tj. lokální uložení dokumentů, které jsou pravidly zařazeny do karantény v PostgreSQL databázi. Karanténa je asociovaná s doplňkovými vyhledávacími schopnostmi SiteAdvisor s Web filtering systém globálních reputací Technologie Web Filtering blokuje přístup uživatelů na webové stránky s nevhodným obsahem a ať už se uživatel nachází v podnikové síti nebo nikoli. SiteAdvisor pak rozšiřuje ochranu vedle tradičních URL filtrů a zabraňuje uživatelům prohledávání nebezpečných web serverů, blokuje a upozorňuje na web stránky se spywarem, phishing scams nebo spam agenty. Celosvětově je oskenováno více než 95% web serverů a stránek. Rozšiřuje ochranu vedle tradičních URL filtrů Zabraňuje uživateli prohledávání nebezpečných web serverů Blokuje a upozorňuje na web stránky se spywarem, phishing scams nebo spam agenty Ochrana web komunikace na základě chování strana 22/62

23 2.12. Spojení antivirového systému s technologií INTEL vpro Systém zvaný Deep Defender byl od začátku tvořen jako nástroj pro real-time detekci a blokaci rootkitů, je aktivován ještě před zavedením operačního systému a jeho ovladačů a načtení registrů. Hlavní výhodou je účast společnosti Intel na jeho vývoji. Díky této spolupráci totiž bylo možné počítat s tímto nástrojem již při vývoji samotného hardwaru a to, v případě Deep Defenderu, speciálně procesorů. Takto není problém detekovat ani malware běžící na stejné úrovni jako operační systém. Takový malware je jinak pro antivirus prakticky neviditelný. Útok může být okamžitě blokován a následně je zaslána informace agentovi běžícímu na operačním systému. Ten incident oznámí centrální správě (McAfee epolicy Orchestratoru) a případně, pokud tak zvolíte, i uživateli. Administrátorovi tak nabízí možnost okamžité reakce a distribuce informací o problémovém souboru do celé sítě. Dopad na výkon stroje je minimální a obrana proti rootikitům je prakticky neustálá (Deep Defender pracuje již v prvních fázích bootování počítače). I agent běžící na operačním systému je minimalistický program, s téměř nulovými výkonovými nároky. Jedinou podmínkou, krom instalace agenta a ovladačů, je provoz na procesoru Intel i3, i5, i7 s technologií vpro Mobility management (pro smartphone a tablety) Řešení, které je určené pro správu mobilních zařízení a umožňuje nabízet zaměstnancům typ mobilního přístroje dle jejich volby (BYOD) a zároveň poskytovat bezpečný přístup k podnikovým aplikacím. Umožňuje plný přístup k u pomocí protokolu ActiveSync. Agent na zařízení umožňuje autentizaci heslem, vzdálenou strana 23/62

24 funkci mazání, blokovat zdroje a aplikace (např. Wi-Fi, Bluetooth, MMS), blacklisting aplikací pro Android a ios a plnou podporu Apple MDM. Hlavním znakem řešení je integrace s centrální správou, což umožňuje administrátorů mít kompletní přehled o všech pracovních stanicích nehledě na to, zda se jedná a PC, tablet nebo chytrý telefon. Podpora diverzity zařízení EMM je řešení, které umožňuje nabízet zaměstnancům typ mobilního přístroje dle jejich volby poskytuje bezpečný a snadný přístup k podnikovým aplikacím. Eliminace hrozeb Chrání citlivá data na mobilních zařízeních díky funkcím řízeným centrálními politikami; umožňuje blokovat modifikovaná zařízení, jako jsou iphony a ipady; monitoruje a preventivně brání neautorizovaná zařízení před vstupem do sítě organizace; podporuje řízení shody se standardy a IT audity. Snižování nákladů (TCO) Řídí a kontroluje smartphony a mobilní zařízení over the air (OTA) z centralizované konzoly; systém je integrován i do McAfee epo; automatizuje řízení životního cyklu zařízení, což zahrnuje uživatelsky samoobslužné funkce; využívá stávající IT infrastrukturu organizace, její zdroje a nástroje s webovým rozhraním; výrazně zjednodušuje podporu uživatelů díky help desku, reportingu a přehledu zařízení v reálném čase. 3. Nasazení celého řešení ukázka na systému McAfee Prvním krokem při nasazování výše zmíněného řešení je instalace centrální správy (epo) na MS Windows Serveru. K ukládání dat je použit externí MS SQL Server ve verzi Express dodávaný přímo se serverem epo. Jak databázový server, tak epo, mohou běžet na stejném stroji. Na Stanicích uživatelů nabízíme nasazení McAfee agenta. McAfee Agent je klientský software určený pro komunikaci s epo, vynucování politik na klientské stanici, sběr a odesílání logů a instalace jednotlivých bezpečnostních komponent (resp. jejich aktualizací). Komunikuje ve stanoveném intervalu s epo serverem, interval je vhodné určit podle povahy bezpečnostního řešení, které McAfee Agent spravuje. Jakmile je agent na stroji nainstalovaný, je z hlediska epo považován za spravovaný. Komunikaci agent-server lze centrálně vynutit a spustit okamžitě, pro získání aktuálních událostí nebo vynucení změn provedených v centrální správě. Vynucení komunikace lze aplikovat strana 24/62

25 na jednotlivé stroje nebo celé skupiny a je využíváno zejména během nasazování a testování řešení. Komunikace mezi epo a Agentem je zabezpečena TLS. Popis instalace epo je popsán v následujícím bodě Instalace centrální správy Instalace konzole centrální správy pro McAfee produkty je přímočará. Obsahuje dva zásadní body, které závisí na okolní infrastruktuře konfigurace přístupu k databázi a výběr portů určených pro různé druhy komunikace, které epo využívá. Po spuštění instalačního průvodce (Setup.exe) se provede kontrola nainstalovaného softwaru, který epo potřebuje ke svému běhu. Pokud nějaký software chybí, informuje uživatele o tom, že bude v dalším kroku nainstalován (viz Obrázek 1). Zároveň je nabízena možnost automatické instalace SQL Server Express strana 25/62

26 Obrázek 1 Po instalaci nutného softwaru se již objeví informace o instalaci epolicy Orchestrator. Jedná se pouze o informativní krok. Obrázek 2 V dalším kroku je po uživateli vyžadován licenční klíč. Je možnost jej nezadat a pokračovat v tzv. Evaluation módu, který bude funkční 60 dnů od instalace. Po uplynutí této lhůty je možné zadat zakoupený klíč a není potřeba epo instalovat znovu. strana 26/62

27 Obrázek 3 Na čtvrtém obrázku je zobrazena EULA, kterou je třeba odsouhlasit pro pokračování v instalaci. Obrázek 4 Na obrázku číslo pět lze změnit cestu, na kterou bude epo nainstalováno. strana 27/62

28 Obrázek 5 Zadání přístupového jména a hesla pro superuživatele epo serveru. Tento uživatel bude po čisté instalaci v systému jediný a bez přístupového hesla nelze systém spravovat. Výchozí jméno je nastaveno na admin. Obrázek 6 Na obrázku č. 7 je zobrazen krok se zadáváním informací pro autentizaci na databázový server. Je možné využít jak NT autentizaci, tak klasickou SQL autentizaci. Pokud služba SQL serveru běží na nestandardním portu, je třeba jej explicitně nadefinovat. Instalační průvodce sám ověří, jestli je možné se k databázi připojit a nepustí instalaci do dalšího kroku, pokud se mu to nepodaří. strana 28/62

29 Obrázek 7 Definice portů na obrázku číslo 8 je velmi důležitá pro další funkcionalitu celého systému. Je vhodné volit porty, které nepoužívají další aplikaci v organizaci. Výchozí port pro komunikaci agent-server je port 80 (nastaven jako výchozí kvůli pravděpodobnosti průchodu firewally), ale i výrobce jej doporučuje změnit. Vybrané porty je zapotřebí zakomponovat do pravidel na firewallech, aby komunikace mezi McAfee produkty nebyla blokována. Výchozí port 8443 je použit pro přístup na https službu konzole epo serveru. Ze samotného serveru tedy můžeme na konzoli z browseru přistoupit zadáním příkazu Obrázek 8 Před samotnou instalací je možné provést revizi zadaných údajů. Kliknutím na tlačítko Next začne samotná instalace a inicializace databáze. strana 29/62

30 Obrázek 9 Na obrázku č. 10 je zobrazen klasický indikátor průběhu instalace. Obrázek 10 Instalace je hotova. Závěrečná obrazovka na obrázku č. 11 dává uživateli možnost epo rovnou spustit Kontrola činnosti instalátoru Pro detailní přehled o vykonaných činnostech epo instalátoru je možné procházet instalační log soubor umístěný zde: %temp%\mfelogs\ EPO450-Install-MSI.LOG strana 30/62

31 Obrázek Zálohování Občas se objevuje otázka, co má společné zálohování dat s bezpečností a virovou problematikou. Odpověď je poměrně jednoduchá, pokud selžou všechny jiné mechanizmy ochrany dat, je tu poslední pomoc a to je právě záloha dat a programů. Zálohování je jednou z velmi důležitých činností. Zálohy se provádějí na několika úrovních. Jedná se o úroveň operačního systému, úroveň souborového systému a úroveň aplikační. Zálohy se provádějí u některých systémů spojitě u jiných periodicky, zpravidla jednou denně. Pokud se zálohování provádí jednou denně na speciální medium, každý zálohovaný den se uchovává jeden týden, po týdnu se medium přepisuje. Páteční záloha se uchovává obvykle jeden měsíc, poslední pátek v měsíci se vytváří měsíční záloha a ta se uchovává jeden rok. Roční záloha se pak uchovává podle druhu dat jeden až pět let. Zálohovací media musí být uložena v jiném objektu a musí být odpovídajícím způsobem chráněna. Důležitá data se ukládají např. v bezpečnostní schránce v bankovním domě apod. Minimálně jedenkrát měsíčně se provádí testy zálohování a testy medií, o provedeném testu se vede protokol nebo se zaznamenává v provozním deníku počítače. Je třeba také rozlišovat mezi zálohováním dat a archivací. Zálohování je uchování dat mimo počítač s cílem především obnovit co nejlépe současný stav dat v počítači. Archivace slouží k uchovávání nějakého časově definovaného průřezu dat, ne k obnově aktuálního stavu. Z těchto rozdílů vyplývá i charakteristika těchto metod. Přesto archivy dat mohou být obvykle tvořeny z jednotlivých záloh. strana 31/62

32 5. Bezpečnost a management mobilních zařízení 5.1. Enterprise Mobility Management Řešení správy mobilních zařízení (EMM) slouží jako rozhraní mezi vnější sítí a interními zdroji pro mobilní zařízení a zároveň dává administrátorům možnost mobilní zařízení spravovat. Architektura je obvykle založená na technologiích, které jsou osvědčené a ve společnostech často zavedené (MS Windows Server, MS IIS, MS SQL). Pro dosažení vysoké dostupnosti a případně škálovatelnosti jsou použity nativní vlastnosti těchto platforem. Příklad architektury je na následujícím obrázku Zásadní charakteristiky EMM Veškerá komunikace ze zařízení na EMM je prováděna po portu 443 a šifrovaná SSL. Je možné se připojovat i na restriktivních sítí, které žádné jiné porty než 80 a 443 nepovolují. Navázání politik na skupiny z Active Directory je podstatné pro rozlišení různých skupin uživatelů. Bez této logické vazby by mohlo docházet k chybám v přidělení politik a omezení uživatele. Velká škálovatelnost a jednoduché dosažení vysoké dostupnosti. Jedná se většinou o transparentní softwarové řešení, které nefunguje jako black box s minimálními možnostmi škálovatelnosti. EMM je řešení bezpečnosti mobilních zařízení, MobileIron se oproti tomu pozicuje jako řešení na všechno, ale nejde zdaleka tolik do hloubky. strana 32/62

33 Obvykle existuje automatický provisioning celého zařízení včetně u WiFi, VPN, certifikátů a dalších atributů Distribuce a správa aplikací na koncová zařízení Je třeba, aby existovala velmi dobrá podpora i starších zařízení (např. Windows Mobile) např. automatizovaná distribuce softwaru na Windows Mobile zařízení over-the-air Součástí licence je obvykle spravovatelný klient pro synchronizaci dat přes ActiveSync udržuje veškerá data šifrovaná (secure container) a umožňuje řídit pohyb korporátních dat mimo šifrovanou oblast. Součástí licence je obvykle VirusScan Enterprise Mobile antivirové řešení pro OS Android 5.3. Další vývoj řešení Sjednocení EMM pod existující centrální správu. Klasické endpointy a mobilní zařízení by měly být spravovány ze společné management konzole. S přesunem správy pod centrální konzoli se silně rozšíří možnosti přidávání dalších modulů řešení - další bezpečnostní software jako DLP, autentizační software, firewall/ips, NAC, aplikační whitelisting a další. Potvrzené bezpečnostní produkty, které mají být k dispozici brzy po integraci do centrální správy, se budou soustředit na reputační hodnocení mobilních aplikací a ochranu webového provozu (URL reputaci a obsahovou kontrolu) Popis řešení Fiberlink Společnost Fiberlink nabízí rychlé a komplexní řešení v oblasti správy mobilních zařízení, díky kterému snadno nakonfigurujete firemní smartphony a tablety a zároveň na nich zabezpečíte citlivá data. Tato cloudová platforma řeší veškeré požadavky, které jsou kladeny na Mobile Device Management (MDM), jako je zvýšení bezpečnosti, vynucení politik, zvýšení produktivity práce nebo správu aplikací Správa mobilních zařízení Produkt MaaS360 představuje cloudovou platformu, která nabízí veškerou nezbytnou funkcionalitu MDM pro mobilní zařízení typu iphone, ipad, BlackBerry, Kindle Fire nebo pro operační systémy Android a Windows Phone. Kromě základních funkcionalit nabízí také např. řízení přístupu k u, správu certifikátů, správu aplikací a jejich distribuci, zabezpečené sdílení dokumentů nebo integraci s firemní adresářovou strukturou. strana 33/62

34 Registrace mobilních zařízení Zaslání požadavku na registraci zařízení lze provést tzv. over-the-air (OTA) pomocí SMS, u nebo vlastní URL adresy. Autentizace je prováděna proti Active Directory nebo LDAP využitím jednorázového kódu nebo SAML. Následně je možné vytvářet a distribuovat vlastní politiky pro využívání zařízení Integrace mobilních zařízení s podnikovými systémy MaaS360 Cloud Extender umožňuje napojit chytré telefony na firemní systémy, jako jsou Microsoft Exchange, Lotus Notes nebo např. Microsoft Office 365. Dále monitoruje zařízení, které k těmto systémům přistupují a dokáže spravovat politiky připojení přes BlackBerry Enterprise Server. Napojení ostatních operačních systémů je možné pomocí robustní webové API Centrální management Centrální konzole slouží ke konfiguraci u, kalendářů, kontaktů, Wi-Fi a VPN profilů over-the-air. Schvaluje nebo umístí do karantény nové zařízení v síti, umožňuje distribuovat a spravovat veřejné a podnikové aplikace, bezpečně sdílet a aktualizovat dokumenty nebo vyřadit zařízení ze zprávy MDM a odstranit firemní data. Přes tuto centrální konzoly bude probíhat management jednotlivých zákazníků v závislosti na jejich požadavcích a firmních politikách Zabezpečení mobilních zařízení Pomocí MaaS360 lze vynutit politiky týkající se nastavení hesel, jejich kvality, délky a doby trvání. Lze také vynutit šifrování a umožňuje aplikovat omezení na vlastnosti mobilních telefonů, využívané aplikace nebo např. na icloud. Pomáhá také odhalit a zamezit přístupu zařízením do sítě, na kterých byl proveden tzv. Jailbreak (ios) nebo root (Android). Další výhodou je vzdálená lokalizace, uzamknutí nebo vymazání dat na ztracených nebo ukradených telefonech. Mazaní dat lze provádět selektivně, kdy lze vybrat pouze firemní data a soukromá data ponechat nedotčená Reporty a monitorování Management MI360 poskytuje detailní inventář zařízení, které přistupují do firemní sítě, poskytuje informace o nastaveních a zranitelnostech a umožňuje pokročilé vyhledávání založeném na jakémoliv atributu. Pro zachování trendu BYOD je možné blokovat sběr soukromých informací z telefonů zaměstnanců. strana 34/62

35 Podpora zjednodušené správy mobilních zařízení MaaS360 umožňuje diagnostikovat a řešit problémy uživatelů, zařízení nebo aplikací v reálném čase přímo z webového rozhraní. Vzdáleně lze resetovat zapomenutá hesla, aktualizovat konfigurace smartphonů nebo lokalizovat ukradená nebo ztracená zařízení. Dostupný je také samoobslužný portál, kde si mohou sami uživatelé diagnostikovat problémy se zařízením a najít řešení daného problému Skladba samotného řešení Mobile Device Management Je software, který je základním kamenem celého řešení a lze jej rozšiřovat o další níže uvedené moduly. MDM umožňuje správu a zabezpečení firemních a zaměstnanci vlastněných zařízení a to takzvaně over the air. Součástí licence jsou základní funkce typu jako je řízení zápisu konfigurace management bezpečnostních politik Vzdálená provádění akcí typu odesílání SMS zpráv, vyhledání zařízení, uzamknutí a vymazání dat / wipe Systém poskytuje i pokročilé funkce, mezi které patří: Automatické vynucování dodržování pravidel Pro zařízení BYOD nastavení ochrany osobních údajů Řízení pravidel na základě geolokace například vypnutí fotoaparátu ve firmě Pokročilý reporting a dashboardy o Možnost customizace reportů o logo společnosti Je důležité zmínit, že možnost využití jednotlivých funkcí je závislá na operačním systému chytrého telefonu nebo tabletu. Jelikož vždy využívá jeho schopností a prostředků Nástavbové moduly Mobile Application Management MaaS360 Mobile Application Management poskytuje možnost distribuovat aplikace do podporovaných zařízení spravovaných MaaS360. Součástí licence je MaaS360 App Catalog, což je seznam firemních aplikacím, případně aplikací, které společnost využívá. Administrátor pak může, v závislosti na platformě, aplikaci na mobilní zařízení zavést případně uživatele upozornit na možnost instalace. Směrem k uživateli se jeví jako standardní store, ze kterého si uživatele aplikace stáhnou, případně jsou přesměrování na korektní strore, kde je aplikace k dispozici. Mobile Application Security MaaS360 Mobile Application Security poskytuje dodatečnou ochranu dat pro podnikové aplikace. Držitel licence může nahrávat aplikace typu.ipa, distribuovat profily a podepisovat bezpečnostní certifikáty. Dále strana 35/62

36 může vynucovat bezpečnostní prvky, jako je ověření uživatele, omezit funkce kopírování / vyjmutí / vkládání v rámci aplikací, omezit zálohování dat a vynucovat dodržování firemních politik na zařízení. Distribuce do podporovaných zařízení se provádí pomocí MaaS360 Mobile Application Management Document Management Jedná se o modulo pro bezpečné sdílení dokumentů, který umožňuje přidávat dokumenty a distribuovat je na podporovaná zařízení spravovaná přes MaaS360 MDM. Zahrnuje MaaS360 Doc katalog a aplikaci pro mobilní zařízení, která umožňuje uživatelům bezpečný přístup k zobrazení sdílených dokumentů. Na každý dokument může být uplatněna vlastní bezpečnostní politika, jako je - autentizace, omezení kopírování / vkládání a blokace možnosti otevřít dokument nebo jej sdílet v jiných aplikacích Content Cloud MaaS360 Content Cloud spolupracuje s modulem Document Management a umožňuje nahrávat aplikace a dokumenty do cloudové služby MaaS360's Content Distribution system. Držitel licence má schopnost uložit až 1 GB dat a roční šířka pásma je 6GB na jedno zařízení. V případě překročení těchto limitů bude držiteli dofakturována částka za překročení limitu Mobile Expense Management Tento modul umožňuje uživateli specifikovat politiky a zásady pro vyžívání datových služeb a následně je aplikovat na podporovaná zařízení. Politiky jsou konfigurovány na základě povoleného množství přenesených dat (v MB). Držitel licence může přiřadit tyto politiky na zařízení, skupiny nebo na globální úrovni Secure Mail MaaS360 Secure Mail nabízí samostatné a bezpečné kancelářské aplikace, které uživatelům zprostředkují bezpečný přístup a správu ů, kalendáře a kontaktů. Nedílnou součástí modulu je také funkce kontroly ů a jejich příloh před únikem dat tím, že je omezena možnost data předat dále nebo přesunout obsah do jiné aplikace. Dále je možné vynutit autentizaci, omezení kopírování / vyjmutí / vkládání a uzamčení e- mailových příloh pouze pro zobrazení. , kalendář a kontakty (vše šifrováno AES-256) Politiky pro práci s y (přesměrování atd.) Secure Browser (URL Filtering) MaaS360 Secure Browser je plně vybavený webový prohlížeč pro ios a Android zařízení. Držitel licence může definovat filtrování URL adres a bezpečnostní politiky a zajišťuje, že uživatelé mají přístup pouze ke schválenému webového obsahu. Zahrnuje možnost vypnout nativní a třetí prohlížeče prostřednictvím aplikačních politik nebo black-listu, v kombinaci s MaaS360 MDM. strana 36/62

37 URL filtrace a blokování závadných stránek Propojení na interní systémy BlackBerry Enterprise Server (BES) Poskytuje podporu pro BlackBerry Enterprise Server (BES) připojené mobilní zařízení s využitím BlackBerry API. Funkce zahrnují dálkově řízené činnosti, jako je odeslání zprávy, reset hesla, BES přiřazení politiky a smazání dat, stejně jako detailní reporty o atributech zařízení Mobile Management Exchange ActiveSync: Poskytuje podporu pro mobilní zařízení připojení k serveru Microsoft Exchange přes protokol ActiveSync. Funkce modulu zahrnují základní mobilní funkce pro správu zařízení, jako je schopnost konfigurovat zařízení, vytvářet a prosazovat ActiveSync politiky (Hesla, blokovat nebo povolit přístup k e- mailu), případně provádět akce se zařízením, jako je uzamknutí a smazání. Poskytuje také podrobný výpis atributů zařízení. Lotus Traveler: Poskytuje podporu pro mobilní zařízení připojené k IBM Lotus Notes Traveler přes protokol Lotus. Mezi vlastnosti řešení patří možnost konfigurovat zařízení, blokovat nebo povolit zařízení, vynucovat politky přístupových hesel, smazat zařízení a podrobný výpis atributů zařízení Hostované řešení pro mobility management Řešení Fiberlink MaaS360 je hostováno v datacentrech společnosti Fiberlink a nevyžaduje od uživatele žádnou vlastní infrastrukturu. Řešení MaaS360 bylo od začátku koncipováno a vyvíjeno jako cloudové řešení a je proto vhodné i pro nejmenší organizace s malým počtem zařízení. Pokud je vyžadováno napojení na vlastní infrastrukturu, je možné toho dosáhnout pomocí softwaru MaaS360 Cloud Extender, který zprostředkuje informace z Active Directory, MS Exchange, apod. Každý může mít přístup ke své management konzoli, kde má k dispozici své unikátní politiky, přehled o zařízeních, uživatelských účtech a administrátorských rolích. Na zákaznický účet jsou vázány i informace o licencích jejich typ a množství. strana 37/62

38 5.6. Centrální správa pomocí nadřízené konzole Všichni, jimž je služba poskytována, budou spravováni z jedné nadřízené konzole. Ta umožňuje správu podřízených zákaznických účtů a sledování informací o licencích. Zároveň je možné provádět úpravy na úrovni této konzole a doplňovat vlastní vizuální prvky přímo do zákaznických konzolí a reportů. Skrze partnerskou konzoli může organizace spravovat účty a zařízení jednotlivých zákazníků, kteří budou mít o takové služby zájem. 6. Popis řešení Endpoint Encryption for Files and Folders Produkt Endpoint Encryption for Files and Folders poskytuje ochranu důležitých informací, čímž pomáhá organizacím zamezovat únikům důvěrných dat a chránit integritu hlavních činností společnosti. Řešení zajišťuje vysokou míru bezpečnosti dat pomocí silných šifrovacích mechanismů ve sdílených souborech a složkách. Důležitá je rovněž podpora vynucení centrální bezpečnostní politiky organizace a zároveň vyhovění oborovým standardům. strana 38/62

39 Endpoint Encryption for Files and Folders dovoluje organizacím zabezpečit všechny typy dat, jako jsou inoformace o zákaznících, intelektuální vlastnictví, právní a finanční záznamy, informace o zaměstnancích atd. Řešení používá silné šifrovací mechanismy, jako jsou AES-256 a RC pro zajištění té nejlepší možné ochrany. S podporou Single Sign-On, přenosnou autentizací a bezpečnou offline uživatelskou obnovou, je uživatelům přístupný jednoduchý a přitom zabezpečený přístup k citlivým datům. Je přitom jedno, o jaká data jde, nebo kde se nacházejí Klíčové vlastnosti Snižuje celkové náklady vlastnictví (TCO) díky nasazení a správě integrovaného systému od jednoho výrobce. Zabraňuje neautorizovanému přístupu k informacím na PC, noteboocích, síťových serverech a přenosných médiích. Poskytuje mechanismus sdílení klíčů, což umožňuje uživatelům sdílet bezpečný přístup. Podporuje virtuálně neomezený počet uživatelů. Zajišťuje integritu dat, konzistenci bezpečnosti a fungování klíčových procesů organizace. Rozšiřuje ochranu na více typů dat (informace o zákaznících, Know-How, záznamy o zaměstnancích apod.). Zjednodušuje správu, nasazení, auditování a reporting díky integrované platformě centrální správy Napomáhá vynutit centrální bezpečnostní politiku organizace a řídit shodu s interními pravidly i bezpečnostními standardy (ISO 27001). Využívá stávajících systémů a sdílí bezpečnostní přínosy napříč celou IT infrastrukturou společnosti Integrované funkce a centrální management Endpoint Encryption for Files and Folders využívá infrastrukturu centrální správy pro automatizovaný bezpečnostní reporting, monitoring, nasazení, správu a vynucení centrálních bezpečnostních politik. Řešení Endpoint Encryption umožňuje organizacím efektivně šifrovat a dešifrovat data v jakémkoli čase bez narušení výkonu systému či práce uživatele. Šifrovaná data mohou být monitorována, přičemž je stále zajištěna bezpečnost dat. Uživatelé v roli administrátorů smějí upravovat nastavení a vybírat patřičné složky či souboruy strana 39/62

40 vytvořené různými aplikacemi. Vždy je snadné umožnit či odepřít jiným uživatelům či skupinám přístup k informacím Zvyšování bezpečnosti Endpoint Encryption for files and folders řešení je snadno integrovatelné s dalšími produkty, stejně jako se stávajícími systémy organizace, což přináší organizacím komplexnost zabezpečení, snadné nasazení a snížení celkových nákladů na vlastnictví (TCO) Centrální správa Díky integraci s centrální správou jsou komponenty Endpoint Encryption for Files and Folders centrálně spravovány z jediné konzoly. Centrální správa umožňuje vzdálenou instalaci a správu, distribuovat a měnit bezpečnostní politiky, či rozesílat pravidelné aktualizace produktů. Vše je podpořeno úzkou spoluprací s MS Active Directory. Součástí systému jsou nástroje pro monitoring v reálném čase i analýzu historických událostí s množstvím předdefinovaných reportů. Centrální management tak šetří administrátorům čas, kapacitu linek a výrazně snižuje celkové náklady na zajištění kontinuity služeb sítě Nepřetržité sledování zabezpečení Integrované služby výstrah a grafické reporty poskytují nepřetržitou vizibilitu potřebnou pro efektivní sledování zabezpečení systému, posuzování stavu bezpečnostních zásad a vyhledávání slabin sítě. Poskytuje integrovaný systém poplachů a výstrah o shodě a aktivitě hrozeb. Po překročení hranic nastavených administrátorem jsou odeslány kritické výstrahy specifikovaným osobám prostřednictvím u, SMS, pagerem, nebo pomocí SNMP trap. Navíc je vyhledání nevyhovujících systémů, stanovení účinnosti zásad zabezpečení, nenáročné díky širokému spektru předdefinovaných reportů. Vytváření reportů přesně na míru je stejně snadné. Administrátoři si mohou vybrat z velké řady tiskových šablon a exportovatelných typů diagramů. Centrální správa se integruje s technologií Business Objects Crystal Reports a Microsoft MSDE/SQL serverem s cílem využít jednoduchost a sílu řešení hodící se pro firmu každé velikosti. strana 40/62

41 6.6. Vynucení shody ochrany a aktualizací izolace a karanténa pro neshodné systémy Jedním z nejsložitějších aspektů proaktivní správy bezpečnostní politiky je udržení všech systému v souladu s nejnovější ochranou. Centrální správa zajišťuje shodu na úrovni celé firmy automatickým vynucováním zásad. Zabraňuje tomu, aby nějaký systém nevyhovoval. Rovněž zabraňuje uživatelům měnit nastavení nebo vypínat důležité stupně ochrany. Centrální správa je také centrem efektivní správy procesu aktualizace. Ty mohou být v předem určených intervalech nastaveny a mohou být zvoleny pro systém, pro skupinu nebo pro jinou skupinu dle volby administrátora. Využívá se inteligentní systém distribuovaných skladů, které nezatěžují server a šiří aktualizace v celé síti. Síťový provoz přitom zůstává nízký a výkon vysoký. Centrální správa poskytuje komplexní služby a umí rozmisťovat aktualizace pro všechny soubory DAT, enginy, service packy, opravy (hotfix) a záplaty Ochrana mobilních uživatelů Díky centrální správě se nemusí děsit bezpečnostní tým ani mobilní zaměstnanec. Vynucováním dodržování politiky, i když není laptop připojen k síti, a prováděním aktualizací pokaždé, když je zjištěno připojení k Internetu, umožňuje centrální správa efektivní správu i obtížně spravovatelné infrastruktury. A protože vzdálení uživatelé požadují větší flexibilitu, zajišťuje centrální správa automaticky jejich aktualizaci z nejbližší lokality s nejlepším spojením a umožňuje přerušování a obnovování procesu aktualizace. Centrální správa definitivně zaručuje, že jsou vzdálení a mobilní uživatelé stejně dobře chránění. Spravují se stejně snadno jako uživatelé připojení k LAN Správa systémů by měla být snadná pro organizaci jakékoli velikosti Při navrhování centrální správy se pamatovalo na dobrou škálovatelnost. Správa uživatelů je obvykle snadná odkudkoliv pomocí vzdálené konzole. To firmám šetří náklady na další hardware a správu. Zásady bezpečnosti, které pokrývají každou vrstvu ochrany před hrozbami (od frekvence aktualizací, přes nastavení osobních firewallů, ověřování bezpečnostních záplat, typu kontrolovaných souborů, až po nastavení heuristického prohledávání) mohou být centrálně zvoleny pro skupinu počítačů nebo skupinu uživatelů. Administrátor je může snadno upravovat. Vše je vynucováno automaticky, což zajišťuje velmi solidní ochranu. strana 41/62

42 6.9. Postup implementačních prací Pro úspěšnou a kvalitní implementaci celého řešení bude nezbytně nutná součinnost mezi zadavatelem a dodavatelem (implementátorem) celého řešení. Součinností jsou myšleny především tyto činnosti: 1) Práce na definici politik produktu vzhledem k jeho možnostem 2) Zadání údajů do centrální správy nutných pro propojení s okolními systémy (např. Active Directory) 3) Poskytnutí vzdáleného přístupu pro instalaci a parametrizaci centrální správy. 4) Přítomnost při testování a ověřování funkčnosti na klientech (spojeno se zaškolením) Implementační práce, které budou prováděny při nasazování celého řešení, lze rozdělit do dvou kategorií: 1) Instalace a parametrizace centrální správy a. Instalace konzole a vytvoření iniciální databáze strana 42/62

43 b. Naplnění konzole uživatelskými/administrátorskými účty (manuálně nebo napojení např. na Active Directory) c. Definice obecných politik (např. délka držení klíčů v cache, osobní klíče, atd.) d. Příprava instalačních balíků na stanice 2) Instalace klientského softwaru a. Instalace softwaru na dvě vybrané stanice, kontrola propojení s centrální správou b. Definice konkrétních politik pro šifrování (např. jaké lokální/síťové složky mají být šifrovány, jakým klíčem, atd.) c. Zaškolení administrátora během instalace d. Testování funkcionality softwaru a akceptace zadavatelem Všechny úkony definované v bodě Instalace a parametrizace centrální správy, budou prováděny vzdáleně v rozsahu 8h. Práce popsané v bodě Instalace klientského softwaru, se budou provádět na místě (on-site) u zadavatele a v průběhu instalace bude provedeno základní zaškolení zaměstnanců zadavatele. 7. Full Disk Encryption Jedním z největších rizik dat stále zůstává fyzické odcizení nebo ztráta Vašeho PC, či notebooku. V případě nezabezpečení dat na takové zařízení, se i laik bez větších komplikací dostane k citlivým datům. Pro uzavření této bezpečnostní mezery existuje nástroj Fulld Disk Encryption, který zajišťuje výkonné šifrování nasaditelné na PC, notebook, USB zařízení a apod. Organizace může zabezpečit všechny typy dat, jako jsou informace o zákaznících, intelektuální vlastnictví, právní a finanční záznamy, informace o zaměstnancích atd. Řešení dnes obvykle používá silné šifrovací mechanismy, jako jsou AES-256 a RC pro zajištění té nejlepší možné ochrany. Celý princip šifrování je zobrazen na následujícím obrázku, je důležité zmínit, že šifrování se děje až pod úrovní operačního systému. Takže i v případě nabourání do OS se útočník k datům nedostane. strana 43/62

44 V rámci řešení se dnes předpokládá nasazení Single Sign-on. S podporou Single Sign-On, přenosnou autentizací a bezpečnou offline uživatelskou obnovou, je uživatelům přístupný jednoduchý a přitom zabezpečený přístup k citlivým datům. Díky tomu nezáleží na druhu chráněných dat, či kde se data nacházejí. Single Sign-on při preboot autentizaci Šifrování může probíhat bez zásahu uživatele, nastavuje se přes epo (centrální správu) Přihlášení pomocí tokenu V případě ztráty autentizačních údajů, řešení dovoluje uživateli vyřešit problém se ztrátou ve spolupráci s administrátorem nebo sám (podle stanovené politiky). Existuje několik způsobů, jak problém řešit: Challenge-response uživatel nadiktuje administrátorovi řetězec znaků, který administrátor vloží do centrální konzole a přečte uživateli nově vygenerovaný řetězec nazpět. Self Recovery otázky a odpovědi předvyplněné uživatelem. Recovery CD v případě problémů s bootováním je možné přistoupit k datům pomocí aplikace běžící na WinPE (tedy nabootovat z CD a pracovat s daty). Na koncové stroje může být přiřazen speciální (záložní) uživatelský účet, který budou sloužit k recovery procesům. Administrátorská konzole umožňuje získat recovery ke koncovým stanicím klíč vybraným administrátorům. Recovery klíč je nutné kombinovat s tzv. Encryption code of the day, který je obvykle dostupný v autentizované části portálu výrobce. strana 44/62

45 8. DLP & Device Control 8.1. Popis řešení DLP Host DLP Data Loss Prevention Host systematicky monitoruje a chrání informace před jejich neoprávněným užitím vlastními uživateli. Tímto způsobem pokrývá a zabezpečuje síťovou komunikaci ( , webmail, Instant Messaging, atd.), fyzická zařízení (tiskárny, USB zařízení, CD/DVD-RW), peer-to-peer aplikace, trojany, červy, viry, atp. Všechny pokusy o neautorizované přesunutí chráněných dat jsou monitorovány, reportovány a v případě potřeby blokovány vždy na základě bezpečnostních politik společnosti Centrální správa koncových stanic Data Loss Prevention Host je centrálně řízené host-based řešení ochrany firemních dat před jejich ztrátou a zneužitím. Politiky ochrany datových toků jsou nastaveny přes Data Loss Prevention Host Management konzoli a automaticky propagovány na koncové stanice skrze infrastrukturu Active Directory. Každé porušení těchto zásad ze strany koncových uživatelů je monitorováno a preventivně regulováno v reálném čase, přičemž bezpečnostní politiky jsou kontinuálně prosazovány na úrovni koncových stanic i v případě, kdy je koncová stanice odpojena od LAN společnosti. Poté, co se stanice opět připojí do vnitřní sítě, jsou události postoupeny reportovacímu serveru. strana 45/62

46 Klasifikace citlivých dat Řešení Data Loss Prevention Host implementuje patentovaný algoritmus klasifikace obsahu, který analyzuje jak strukturovaná, tak nestrukturovaná data. Klasifikace může být například založena na umístění dokumentu na file serverech, dle klíčových slov a regulárních výrazů, nebo dle aplikací, či ve kterých byla data vytvořena. Poté, co je obsah klasifikován a označkován, zůstává označení spojeno s těmito daty po celou dobu jejich životního cyklu, samozřejmě včetně změn. Tato procedura umožňuje přesné vystopování citlivých dat nezávisle na tom, jaké změny v dokumentech či jejich derivátech uživatelé provedli Prevence ztráty a zneužití citlivých dad Implementovaný soubor reaktivních pravidel je připraven monitorovat a preventivně bránit jakýmkoli porušením politik zacházení s citlivými daty. Data Loss Prevention Host umožňuje bezpečnostním manažerům a administrátorům následující: monitorování, analýzu a ochranu před nepovoleným přesouváním dat skrze o , web, IM, o neznámé síťové protokoly, o fyzická zařízení, o aplikace pro sdílení dat, trojské koně, malware, monitorování a ochranu před neautorizovaným tiskem dokumentů, kontrolu nad fyzickými zařízeními na koncových stanicích (USB, Wi-Fi, Bluetooth, atd.), monitorování a ochranu před instalací a užíváním neautorizovaných aplikací Průběžné reportování a monitorování Data Loss Prevention Host využívá integraci s centrální správou a poskytuje tak systémovým administrátorům široké možnosti auditování systému a reportování. Události jsou zobrazovány v reálném čase a obsahují detailní popis každé událostí porušení bezpečnostních politik. Vysoce flexibilní filtry dovolují rychlé uspořádání událostí dle jejich typu, času a klasifikace dat, mimo jiné parametry. Správci můžou také registrovat různé uživatele jako příjemce uživatelsky filtrovaných RSS. Pro úplnost obsahuje také reportování pro výkonné manažery a vedoucí pracovníky. strana 46/62

47 Shoda se standardy a normami Data Loss Prevention Host umožňuje flexibilní nastavení pravidel v souladu s definovanými bezpečnostními politikami společnosti. Navíc dovoluje využít vestavěné soubory předloh, které jsou vytvořeny pro dosažení shody s vládními nařízeními a jinými normami jako jsou HIPAA, GLBA, SOX a další Jak pracuje DLP? 1) DLP Management console -Umístěný na CSO/bezpečnostní administrátorském desktopu 2) System Agent -Umístěný na všech podnikových stanicích kde monitoruje nebo blokuje možné ztráty dat 3) Roaming users - Agent pracuje v offline módu, kde monitoruje nebo blokuje přístup k datům nebo fyzickým zařízením 4) DLP Reporting Server - Umístěný na podnikové síti kde sbírá události a data od všech agentů na síti strana 47/62