Endpoint security EDR

5 najlepszych praktyk w dziedzinie bezpieczeństwa urządzeń końcowych

Do przeczytania w 1 min.

Share

Nieustanny rozwój oprogramowania szantażującego, wzrost liczby programów mających na celu wykorzystanie błędów w oprogramowaniu i brak wymiany informacji pomiędzy produktami posiadającymi różne zabezpieczenia sprawiają, że urządzenia końcowe reagują na rozmaite zagrożenia wolniej i mniej skutecznie, co nie jest możliwe do przyjęcia w kontekście działania organizacji. Przykładowo według ostatnich badań około 30% wykrywanych naruszeń wynika z zainstalowania złośliwego oprogramowania w urządzeniach końcowych.

Skuteczna strategia cyberbezpieczeństwa powinna zatem koncentrować się na bezpieczeństwie urządzeń końcowych, ponieważ są one jednymi z najważniejszych elementów bezpieczeństwa sieci.

W niniejszym artykule nasi eksperci zestawiają kilka najlepszych praktyk w zakresie bezpieczeństwa urządzeń końcowych.

Urządzenia końcowe: Punkty dostępu do najcenniejszych danych

W środowisku aktualnych zagrożeń cybernetycznych coraz częściej głównym ogniwem ułatwiającym atak stają się urządzenia końcowe, ponieważ sieci wewnętrzne często nie są już bezpośrednio dostępne z poziomu Internetu. Takie sieci są zazwyczaj chronione przez zapory następnej generacji, a publicznie dostępne dane nie znajdują się na serwerach firmowych, lecz są udostępniane „w chmurze” poprzez sieci dostarczania treści (CDN).

Aby uzyskać dostęp do cennych danych firmy, hakerzy coraz częściej muszą uzyskać niemal fizyczny dostęp do infrastruktury. Niezabezpieczone urządzenie końcowe jest dla nich zatem niczym otwarte wrota zapewniające dostęp do cennych i wrażliwych danych w ramach bieżącej topologii sieci.

Urządzenia firmowe mogą być fizycznie podłączone do tej samej sieci, w której znajdują się zasoby i dane, więc taki niezabezpieczony punkt końcowy może jednocześnie być źródłem dostępu do tych danych. Jeśli obecne środki bezpieczeństwa w firmie są niewystarczające, haker będzie próbował uzyskać dostęp do cennych danych organizacji poprzez urządzenie końcowe. Natomiast pracownik pozostanie nieświadomy, że to urządzenie końcowe wykorzystywane jest do prowadzenia wrogich działań.

Najlepsze praktyki w zakresie bezpieczeństwa urządzeń końcowych

Poniżej szczegółowo przedstawiono najlepsze praktyki przydatne osobom poszukującym najlepszych rozwiązań w zakresie bezpieczeństwa urządzeń końcowych i dopasowania ich do aktualnej strategii (oraz budżetu).

1. Minimalizacja uprawnień dostępu do urządzeń końcowych

Kiedy urządzenie końcowe jest dostępne dla zwykłego użytkownika z uwierzytelnianiem na poziomie administratora, instalacja złośliwego oprogramowania może zostać przeprowadzona bez jakiejkolwiek formy kontroli bezpieczeństwa. To oczywiste, że użytkownikowi należy umożliwić wykonywanie wszystkich zadań odpowiednich dla jego roli i funkcji, ale konieczne jest również wprowadzenie najmniejszych uprawnień dostępu. Na przykład większość użytkowników nie musi mieć prawa do instalacji oprogramowania, chociaż użytkownicy często uważają, że jest inaczej! W przeważającej części nie jest to ani stały wymóg, ani też uprawnienia takie nie muszą być przyznawane w sposób niescentralizowany.

Jeśli konieczne jest zwiększenie uprawnień, należy się upewnić, że użytkownik ma obowiązek przejścia przez uwierzytelnianie wieloskładnikowe. Należy rejestrować w dzienniku zdarzenia związane ze zwiększeniem uprawnień oraz niezwłocznie i regularnie przeglądać raporty z dziennika. Pomaga to w ciągłym monitorowaniu i ulepszaniu istniejących procesów zarządzania uprawnieniami administracyjnymi w celu zapewnienia ich dokładności i skuteczności.

2. Ciągłe (i regularne) skanowanie urządzeń końcowych za pomocą nowej generacji rozwiązań w zakresie bezpieczeństwa urządzeń końcowych

Cyberprzestępcy są coraz sprytniejsi i bardziej zdeterminowani, a złośliwe oprogramowanie przeszło ewolucję od bycia „tylko wirusem” do stanu uśpionego i czyhającego zagrożenia, które nie ma postaci stałego kodu programistycznego. Takie złośliwe oprogramowanie często nie jest wykrywane przez istniejące obecnie narzędzia antywirusowe, których mechanizmy oparte są na sygnaturach.

Niezbędne staje się posiadanie rozwiązania nowej generacji w zakresie bezpieczeństwa urządzeń końcowych, które chroni przed tego typu taktyką złośliwego oprogramowania. Jednak nawet przy zainstalowanym „najnowszym i najwspanialszym” lub „najlepszym” rozwiązaniu zapewniającym bezpieczeństwo urządzeń końcowych, równie ważne jak samo wdrożenie są wewnętrzne parametry konfiguracyjne danego rozwiązania.

Typowo narażone są na ataki lokalizacje plików, takie jak: folder profilu użytkownika, foldery plików tymczasowych, rejestr. Narażone pliki i folder Windows powinny być aktywnie skanowane lub monitorowane. Należy skonfigurować codzienne skanowanie pamięci na żądanie lub ciągłe monitorowanie pamięci pod kątem programów typu rootkit i uruchomionych przez nie procesów. W przypadku wykrycia zagrożenia podczas skanowania należy przeskanować na żądanie wszystkie zasoby.

Jeśli dla danego urządzenia lub użytkownika jest w ogóle dozwolony dostęp do nośnika USB lub urządzenia peryferyjnego, należy wprowadzić skanowanie po umieszczeniu nośnika w gnieździe dysku lokalnego. Jeśli jest to możliwe, należy użyć „pamięci podręcznej skanowania”; rozwiązanie to może utrzymywać pamięć podręczną uprzednio zeskanowanych plików w sposób trwały nawet po ponownym uruchomieniu komputera. Opcja ta poprawia wydajność poprzez śledzenie „czystych plików”, które nie będą ponownie skanowane.

Nie można także zapominać o konieczności dostępu do zewnętrznego źródła analiz dla rozwiązania bezpieczeństwa; wielu dostawców rozwiązań z zakresu cyberbezpieczeństwa wymienia się werdyktami dotyczącymi oprogramowania i tzw. wskaźnikami „IOC”, dotyczącymi naruszenia bezpieczeństwa, przyznając wyższą ocenę bezpieczeństwa organizacjom, które wdrażają rozwiązania od kilku dostawców.

3. Zwiększanie bezpieczeństwa systemu

Wiele systemów operacyjnych zawiera zaporę systemową, ale w większości przypadków zastosowana konfiguracja jest minimalna i skutkuje zmniejszeniem potencjału tych „darmowych” rozwiązań w zakresie bezpieczeństwa. Warto rozważyć wprowadzenie ustawień dostępu do Internetu, dostępu do innych sieci wewnętrznych, a nawet lokalnej podsieci dla każdego systemu, jeśli stosowane jest centralne zarządzanie na potrzeby aktualizacji poprawek systemu operacyjnego i rozwiązania w zakresie bezpieczeństwa urządzeń końcowych. Jeśli ruch z zasobów w kierunku systemów jest zdefiniowany w tej samej podsieci lub w kierunku innych segmentów sieci, wszystkie inne porty UDP lub TCP mogą zostać zamknięte. Po ograniczeniu liczby aplikacji, które mogą być uruchamiane i mogą uczestniczyć w komunikacji, znacznie zmniejszy się prawdopodobieństwo rozprzestrzeniania się złośliwego oprogramowania w podsieci lub w innych segmentach sieci.

4. Kontrola aplikacji

Ograniczenie możliwości użytkowników końcowych (a tym samym hakerów) do inicjowania instalacji aplikacji, do jej uruchamiania lub do komunikacji może znacznie zwiększyć bezpieczeństwo. Ponieważ instalacja jest już ograniczona (zob. minimalizacja uprawnień dostępu powyżej), uruchomienie aplikacji może być dozwolone.

Niektóre rozwiązania następnej generacji w zakresie bezpieczeństwa urządzeń końcowych pozwalają na tworzenie „białej listy” plików wykonywalnych. Parametry pozwalające na uruchomienie lub odmawiające uruchomienia mogą być oparte na werdykcie aplikacji wydanym przez dostawcę rozwiązania lub dział IT firmy.

Podstawowe wdrożenia w zakresie bezpieczeństwa aplikacji wymagają pewnego „okresu uczenia się”, podczas którego monitorowane jest działanie aplikacji na wielu urządzeniach końcowych. Na podstawie uzyskanych wstępnych ustaleń możliwe jest następnie sprawdzenie stanu bezpieczeństwa w różnych punktach.

Pod koniec tego okresu monitorowania (podczas którego zostanie dokładnie ustalone, które aplikacje są dozwolone), należy wprowadzić ostateczne ustawienie dotyczące „nieaktywnych aplikacji”, aby zablokować uruchamianie takich plików. Nawet jeśli niektóre aplikacje mogą być uruchamiane, aktualny standard bezpieczeństwa sieci powinien zawierać zaporę sieciową następnej generacji, która jest w stanie zablokować komunikację pomiędzy segmentami sieci dla konkretnych aplikacji. Kiedy dozwolone aplikacje uzyskają dostęp do danych (w zależności od potrzeb, poprzez porty UDP lub TCP), ostatnia reguła blokująca pozostałą komunikację dodatkowo zabezpieczy ten segment sieci.

Stosowanie szyfrowania dysku wszędzie, gdzie to możliwe

Bezpieczeństwo Twoich danych wzrasta. kiedy każdy dysk twardy w każdym systemie w Twoim biurze ma włączone szyfrowanie danych w spoczynku. Skradziony laptop przestaje już być kluczowym zagrożeniem dla bezpieczeństwa. Dane po prostu nie będą dostępne dla złodzieja bez kolejnego wektora ataku (np. skradzionych danych uwierzytelniających). Warto także włączyć szyfrowanie na wszystkich nośnikach peryferyjnych, takich jak pamięć USB, gdyż są one jeszcze bardziej podatne na przypadkowe zgubienie, a tym samym na wyciek danych.

Tak właśnie wygląda zapewnianie bezpieczeństwa informatycznego na najwyższym poziomie: ograniczające rozległe fizyczne zagrożenie za pomocą systemowego rozwiązania IT.

Ponadto najlepiej byłoby przechowywać klucze deszyfrujące w formacie innym niż cyfrowy, zamknięte w bezpiecznej szafce lub w miejscu o ograniczonym dostępie znajdującym się poza siedzibą firmy.

Tworzenie kopii zapasowych (w przypadku ograniczonej liczby folderów lub plików)

Przedsiębiorstwa są w coraz większym stopniu narażone na utratę danych ze względu na rosnącą ilość danych przechowywanych w urządzeniach końcowych. Wystarczy pomyśleć o wszystkich laptopach, smartfonach, tabletach i innych używanych urządzeniach, które znajdują się na obrzeżach sieci Twojej firmy. Pracownicy generują dane przedsiębiorstwa i uzyskują do nich dostęp na tabletach, laptopach i telefonach z dowolnego miejsca w dowolnym czasie. Większość z nich nie naraża świadomie bezpieczeństwa danych przedsiębiorstwa; robią tylko to, co konieczne, aby wykonać swoją pracę. Zadaniem działu IT w każdej firmie jest więc zagwarantowanie ochrony danych znajdujących się na tych urządzeniach. Po utworzeniu kopii zapasowej danych firma może łatwiej podejmować działania związane z informatyką śledczą (e-Discovery), wstrzymaniem usuwania danych, odzyskiwaniem danych po awarii i migracją danych. Tworzenie kopii zapasowych urządzeń końcowych jest zatem podstawą kompleksowej strategii zarządzania danymi.

5. Wdrożenie rozwiązania SIEM

Ponieważ wiele urządzeń końcowych znajduje się poza siedzibą przedsiębiorstwa, niezbędne jest posiadanie scentralizowanego rozwiązania rejestrującego, które otrzymuje wszystkie dane dotyczące logowania użytkownika urządzenia końcowego, systemu operacyjnego i zdarzeń aplikacji (bezpieczeństwa). Jeżeli przechowywanie tych logów nie jest wymagane przepisami, samo zbieranie tych danych dziennika jest bezcelowe, chyba że pliki dziennika są przetwarzane w celu podjęcia istotnych działań.

Urządzenie końcowe generuje już dużo danych logowania podczas zwykłych operacji, nawet przy ograniczonym rejestrowaniu zdarzeń. Ponieważ większość firm posiada wiele urządzeń końcowych, wdrożenie rozwiązania SIEM jest postrzegane jako najlepsza praktyka. Rozwiązanie SIEM nie tylko odbiera informacje o zdarzeniach z różnych źródeł, ale również powinno być w stanie reagować na wagę tych zdarzeń, dokonywać korelacji zdarzeń i danych oraz wykorzystywać zestaw reguł, aby ostatecznie odróżnić„zwykłe zdarzenie” od „możliwego incydentu”.

Jeszcze lepszym rozwiązaniem byłoby wprowadzenie rozwiązania, które z dużą dokładnością określi prawdopodobieństwo, że dane zdarzenie stanowi incydent lub naruszenie bezpieczeństwa. Na podstawie powiązanego ryzyka i wpływu narażenia bezpieczeństwa zasobów, niektóre z dostępnych rozwiązań zapewniają nawet usługi powiadamiania lub wykonują działania, które prawdopodobnie są niezbędne do opanowania incydentu lub poprawy sytuacji. Rozwiązania SIEM nie są już nowością na rynku, a nawet stały się standardowym narzędziem kontroli bezpieczeństwa. Należy dokładnie przeanalizować specyfikację wszystkich cech i funkcji takich rozwiązań wraz z ich ceną i modelem sprzedażowym w celu określenia, czy są one w stanie zaoferować to, czego potrzebujesz. Rozwiązania SIEM proponowane przez rozmaitych dostawców zabezpieczeń urządzeń końcowych często się różnią.

Podsumowanie

Powyżej przedstawiliśmy jedynie wybór kilku skutecznych praktyk w zakresie zapewnienia bezpieczeństwa urządzeń końcowych. Do innych ważnych elementów bezpieczeństwa urządzeń końcowych w przedsiębiorstwie zalicza się na przykład regularne usuwanie danych, aktualizowanie systemów operacyjnych, wyłączanie niewykorzystanych portów, wprowadzanie poprawek do oprogramowania stron trzecich oraz prowadzenie kampanii uświadamiających w zakresie cyberbezpieczeństwa. Aby uniknąć rozwiązań, które mają znaczne ograniczenia lub którymi nie da się skutecznie zarządzać, firmy powinny dbać o to, aby rozwiązania zabezpieczające urządzenia końcowe spełniały wymagania w zakresie bezpieczeństwa, łatwości zarządzania i elastyczności.

Zapisz się do naszego newslettera

Otrzymuj najnowsze wiadomości na temat bezpieczeństwa, spostrzeżenia i trendy rynkowe do swojej skrzynki pocztowej.

Updates

Więcej aktualizacji