EgoSecure - ochrona stacji roboczych (kontrola portów, antywirus, szyfrowanie laptopów, pendrive'ów)

Ochrona stacji roboczych przed wyciekiem danych i atakiem

Rozwiązania EgoSecure Endpoint pomagają chronić firmę przed utratą danych, naruszeniem prawa oraz związanych z tym kosztami finansowymi i spadkiem produktywności. Oprogramowanie anywirusowe oraz zapory ogniowe nie są w stanie w pełni ochronić komputery przed atakami z zewnątrz, dlatego konieczne są rozwiązania dodatkowo zabezpieczające stacje robocze. Zagrożenia, na które szczególnie narażone są firmy to: oprogramowanie typu malware, nielicencjonowane oprogramowanie oraz gry i filmy pobierane na stacje robocze, kopiowanie wrażliwych danych organizacji na nośniki zewnętrzne itd. W każdym przypadku gdy dochodzi do wycieku danych lub posiadania nielicencjonowanego oprogramowania odpowiedzialność przede wszystkim ponosi Zarząd. Rozwiązanie Egosecure Endpoint oparte jest na innowacyjnej metodzie zarządzania C.A.F.E. (Kontrola, Audyt, Filtr, Szyfrowanie) i obejmuje wszystkie urządzenia oraz ścieżki danych. Inteligentne zarządzanie centralne umożliwia łatwą instalację i zarządzanie funkcjami. Ochrona stacji roboczych jest przezroczysta z punktu widzenia użytkownika i w większości wypadków działa w tle, nie wpływając w żaden sposób na pracę, co jest ważnym czynnikiem warunkującym akceptację takich rozwiązań przez użytkownika końcowego.

Zagrożenia dla firm

Firmy tracą dane nie tylko na skutek zaplanowanej kradzieży danych bądź ataków ze strony złośliwego oprogramowania. W większości przypadków utrata danych jest wynikiem ignorowania zasad bezpieczeństwa. Pracownicy często zostawiają laptopy w taksówkach, gubią pamięci USB, podłączają zainfekowane nośniki do sprzętu firmowego albo przenoszą wrażliwe dane nie szyfrując ich. Pracownicy nie są często świadomi konsekwencji takich zdarzeń i nie zawsze je nawet zgłaszają. (W roku 2010, w samej Wielkiej Brytanii, w ubraniach oddanych do pralni znaleziono 17 000 pozostawionych pamięci USB).

Jeżeli takie nieodpowiedzialne zachowanie doprowadzi do utraty znacznej ilości wrażliwych danych, może skutkować to utratą cennych informacji, utratą przewagi konkurencyjnej, karami finansowymi bądź poważnym osłabieniem wizerunku firmy.

Poza utratą danych, firmy często nie doceniają ryzyka, jakie niesie ze sobą naruszanie praw autorskich w sytuacji pobierania przez pracowników, nielegalnego oprogramowania oraz filmów i gier. Brak zgodności z procedurami licencyjnymi, może mieć miejsce, gdy pracownicy wykorzystują sprzęt firmowy do celów prywatnych. Jeżeli na sprzęcie firmowym przechowywane są pliki muzyczne bądź gry, na które nie uzyskano stosownej licencji, w pierwszej kolejności odpowiedzialność za to ponosi pracodawca. Z tego też powodu ważne jest aby wyeliminować możliwość takiego używania sprzętu firmowego. Nawet, jeżeli pracownik nie łamie żadnych przepisów, to używanie zasobów firmowych dla własnych celów skutkuje spadkiem produktywności i dodatkowymi kosztami związanymi z małą efektywnością pracownika.

Ryzyko dla firmy

Utrata danych

Każda firma, niezależnie od wielkości i branży, jest zagrożona utratą danych w wyniku zaplanowanej kradzieży bądź nieostrożnego ich przenoszenia, co może skutkować utratą cennych informacji, utratą przewagi konkurencyjnej, karami finansowymi bądź poważnym osłabieniem wizerunku firmy.

Złośliwe oprogramowanie

Złośliwym oprogramowaniem nazywa się szkodliwe programy, które mogą zostać wprowadzone do firmy na różne sposoby. Programy takie mogą niszczyć dane (tradycyjne wirusy), ale także przekazywać dane w inne miejsce (trojany), co skutkuje utratą danych. Oprogramowanie takie często wykorzystywane jest w szpiegostwie przemysłowym. Wiele osób uważa, że programy antywirusowe lub zapory zapewniają wystarczającą ochronę przed złośliwym oprogramowaniem, ignorując fakt, że programy takie mogą zainfekować sprzęt lub sieć firmową za pośrednictwem zainfekowanych urządzeń (urządzeń przenośnych, pamięci USB, smartfonów itp.).

Odpowiedzialność

Każda firma zobowiązana jest do przestrzegania Ustawy o ochronie danych. W sytuacji jej naruszenia  firma może ponieść kary finansowe. Przedsiębiorstwa i korporacje mogą zostać pociągnięte do odpowiedzialności nie tylko za naruszenie przepisów o ochronie danych, ale także za łamanie umów licencyjnych, jeżeli pracownicy wykorzystują sprzęt firmowy do celów prywatnych.

Spadek produktywności

Pracownicy używający sprzętu firmowego do gier, edycji prywatnych zdjęć, pobierania muzyki bądź filmów lub rozmów za pośrednictwem serwisów społecznościowych nie tylko mogą postawić firmę przed koniecznością poniesienia konsekwencji naruszenia umów licencyjnych, ale także narazić ją na koszty wynikłe z niższej produktywności, które mogą być znacznie wyższe, niż się często uważa.

Warstwy ochrony

Szyfrowanie całego dysku

Szyfrowanie całego dysku jest możliwe przy użyciu inteligentnych kart, haseł lub tokenów. Istnieje opcja szyfrowania całego dysku lub poszczególnych partycji. Ponadto moduł ten posiada funkcję Emergency Recovery, która pozwala na odzyskanie dostępu do komputera w sytuacji, gdy użytkownik zapomni hasła lub karty. Funkcjonalność szyfrowania opiera się na algorytmach: AES 256 bit, DES, czy DESX.

Szyfrowanie urządzeń przenośnych

Przenośne nośniki danych, takie jak pamięci USB są często używane w każdym środowisku wymagającym elastyczności. Chociaż miniaturyzacja pozwala zmniejszać gabaryty i zwiększać wydajność takich urządzeń, są one coraz częściej gubione bądź kradzione. Szyfrowanie urządzeń przenośnych chroni przed odczytaniem ich zawartości przez osoby niepowołane. Szyfrowanie i odszyfrowywanie za pomocą hasła można zastosować na każdym komputerze używającym systemu Windows, nie przeszkadzając w pracy uprawnionym użytkownikom. Szyfrowanie odbywa się na poziomie plików, i korzysta z wielu dostępnych trybów (dla całej firmy, dla pojedynczych użytkowników bądź dla wybranych grup użytkowników). Możliwe jest zastosowanie wielu trybów szyfrowania dla jednego urządzenia.

Kontrola portów oraz urządzeń podłączanych do stacji roboczej 

Kontrola portów oraz danych kopiowanych na urządzenia zewnętrzne chroni firmy przed „atakami wewnętrznymi”. Funkcjonalność ta pozwala ograniczyć wykorzystanie portów do kopiowania/wysyłania danych na urządzenia zewnętrzne np.: pendrive, CD. Osoby zatrudnione w danej firmie mogą zgodnie z polityka bezpieczeństwa korzystać portów USB, Bluetooth czy WiFI, co zdecydowanie zwiększa bezpieczeństwo informacji w firmie oraz ogranicza możliwość kopiowania danych wrażliwych organizacji przez pracowników do tego nieupoważnionych.

Analiza nazwy pliku i jego rozszerzenia 

Zintegrowane rozwiązania zapewniające bezpieczeństwo muszą posiadać opcję filtrowania wrażliwych informacji oraz danych kopiowanych przez firmę. Filtrowanie nazw plików oraz ich rozszerzeń wg polityki zapewnia wysoce dokładną i sprawną ochronę stacji roboczych. Zabezpiecza przed kopiowaniem plików nielegalnego pochodzenia, niezmniejszając wydajności pracy i przepustowości danych. W takiej sytuacji można zablokować możliwość zapisywana na dysku plików o poszczególnych rozszerzeniach czy nazwach np. filmy, gry.

Kontrola aplikacji

Kontrola aplikacji pozwala ustalić, którzy użytkownicy mogą korzystać z danych programów. Istnieje możliwość stworzenia np. białej listy. Przykładowo, może posłużyć do zablokowania możliwości korzystania z gier bądź nielicencjonowanego oprogramowania, chroniąc przed spadkiem wydajności bądź konsekwencjami natury prawnej. Takie rozwiązanie umożliwia również blokowanie większości wirusów, nawet przed wykryciem ich przez oprogramowanie antywirusowe.

Szyfrowanie folderów

Szyfrowanie folderów chroni dane znajdujące się na zgubionych dyskach twardych lub notebookach a także chroni wybrane informacje wrażliwe dostępne dla wielu użytkowników. Przykładowo, możliwe jest zabezpieczenie wrażliwych danych zarządu przed dostępem ze strony osób posiadających szerokie uprawnienia, np.: pracowników działu IT.

Antywirus

Oprogramowanie antywirusowe jest sprawdzonym rozwiązaniem chroniącym przed anonimowymi atakami z Internetu. Bardzo ważnym czynnikiem jest tu wysoki stopień wykrywalności, który umożliwia szybką reakcję na nowe wirusy i trojany. EgoSecure Endpoint łączy najnowsze rozwiązania z wysokim stopniem wykrywalności.

Warstwa zarządzania

Audyt

Audyt plików kopiowanych na nośniki zewnętrzne jest przezroczysty dla użytkownika. W sytuacji zgubienia pendrive organizacja posiada informacje na dotyczące utraconych informacji. EgoSecure Endpoint jest zgodny z przyjętymi normami IT. Pozwala to na zapewnienie zgodności z zasadami prywatności pracowników. 

Zarządzanie urządzeniami przenośnymi

Rosnąca popularność urządzeń przenośnych, takich jak smartfony lub tablety nie może być ignorowana przez rozwiązania stosowane w firmowej architekturze systemów bezpieczeństwa. Zarządzanie urządzeniami przenośnymi zapewnia inteligentną integrację urządzeń przenośnych, w tym wsparcie dla systemów iOS i Android.

Zarządzanie energią

Inteligentne zarządzanie energią zapewnia efektywne wykorzystanie czasu pracy urządzeń poprzez zapewnienie zasilania wyłącznie w chwili, gdy komputer jest faktycznie używany. Zarządzanie energią pozwala zmniejszyć koszta działania, a także przyspiesza zwrot środków zainwestowanych w rozwiązania EgoSecure Endpoint.



Metoda C.A.F.E. opracowana przez EgoSecure rozwiązuje problem ochrony stacji roboczych dzięki połączeniu następujących funkcji

Kontrola

Określa, którzy użytkownicy mogą korzystać z poszczególnych portów (np. USB). W ten sposób, możliwość kopiowania danych chronionych na nośniki zewnętrzne posiadają tylko te osoby, które mają do tego uprawnienia.

Audyt

Logi stanowią dowód na kopiowanie danych na nośniki wymienne przez użytkownika, dzięki czemu wymuszają ostrożność, co jest ważnym czynnikiem zapewnienia zgodności z normami bezpieczeństwa.

Filtr

Filtruje pliki wg rozszerzeń i umożliwia zapisywanie na dysku komputera  tylko tego rodzaju pliki, które zostały zezwolone przez administratora.

Blokuje zapisywanie niepożądanych danych.

Szyfrowanie

Trzy wcześniejsze składniki tej metody pozwalają udostępniać dane wyłącznie użytkownikom upoważnionym, którym te informacje są niezbędne do pracy. Szyfrowanie zapewnia pełną i stałą ochronę oraz pozwala chronić dane przed zaplanowaną kradzieżą i utratą danych na skutek nieostrożności.

Zarządzanie

Inteligentne, centralne zarządzanie zapewnia łatwą instalację i zarządzanie funkcjami, a także wysoki poziom użyteczności narzędzi. Taka zintegrowana i sprawna zasada bezpieczeństwa jest dodatkowo rozszerzona o oprogramowanie antywirusowe, funkcję zarządzania urządzeniami przenośnymi, integrację systemów operacyjnych iOS i Android, bezpieczne aplikacje pracujące w chmurze i zarządzanie energią.

Korzyści z zastosowania EgoSecure Endpoint

Łatwa instalacja

Implementacja rozwiązań EgoSecure Endpoint nie wiąże się z dużym nakładem pracy działu IT. Podstawowa ochrona jest zapewniona już po 20 minutach instalacji. Możliwe jest też stopniowe zwiększanie standardu bezpieczeństwa.

Łatwe zarządzanie

Wszystkie funkcje są kontrolowane i monitorowane za pomocą centralnej, intuicyjnej konsoli. Klient EgoSecure na komputerach użytkowników zapewnia szybki dostęp do informacji o stanie bezpieczeństwa danego komputera. 

Łatwość obsługi

Większość funkcji bezpieczeństwa działa w tle. Pozwala to uzyskać ustalone standardy bezpieczeństwa, nie dając użytkownikom możliwości omijania ustalonych zasad.

Szyfrowanie całego dysku

  1. Programowe lub sprzętowe szyfrowanie dysku w trybie Pre-boot authentication
  2. Szyfrowanie transparentne
  3. Algorytmy szyfrowania - AES 256bit, DES, DESX, Blowfish
  4. Szyfrowanie dysku przy użyciu inteligentnych kart (smart card) lub hasła
  5. Obsługa czytników m.in:Aladdin eToken Pro, Dell Smartcard Reader Keyboard, Eutron Token, GemPC Twin, IDp token 100, Kobil B1 PCMCIA, Kobil B1 Professional, mIDentity, 02 Micro, Omnikey Cardman 3021, Omnikey Cardman 4000, Omnikey Cardman 6121, Reiner SCT Cyberjack, RicohPCI, RSA SID 800,SCM SCR 241/243, SCM SCR 3320, SCM SCR 3340, SCM SCR 532, StarKeylOO, Vasco
  6. Wsparcie dla kart z certyfikatem PKCS#11, m.in. Aladdin PKCS#11, aTrust, Cryptovision, D-TRUST, Gemalto .NET, Giseke&Devrient PKCS#11, KOBIL PKCS#11, Nexus, Oberthur, RSA SecurlD 800 PKCS#11, Schlumberger, Secude PKCS#11, Secude Tcos, Siemens HiPath
  7. Możliwość  SSO - (Single Sign-on)
  8. Challenge respondes - użytkownik może uzyskać dostęp  do komputera korzystając ze scenariusza Chalenge-Response, w sytuacji gdy zapomniał hasło lub zgubił kartę
  9. Możliwość integracji z Active Directory
  10. Emergency Recovery - w sytuacji kiedy użytkownik zapominał  hasło, lub login, administrator  może ustawić  Emergency Recovery Password i zapisać Emergency Recovery Information (ERI file).
  11. Blokowanie - możliwość definiowania ilości niepoprawnie wpisanego hasła/loginu, po których system ulegnie zablokowaniu. System może zostać odblokowany przez Helpdesk.
  12. Możliwość szyfrowania całego dysku lub jego fragmentu.
  13. Centralne zarządzanie komputerami oraz centralna instalacja oprogramowania na stacjach roboczych (laptopach)

Szyfrowanie urządzeń przenośnych (pen driveów)

  1. Szyfrowanie może dotyczyć wybranych lub wszystkich urządzeń przenośnych.
  2. Każdemu plikowi można nadać uprawnienia do odczytu (odszyfrowania) na poziomie:
  3. prywatnym - plik może odczytać tylko konkretny użytkownik,
  4. grupowym - do odczytania pliku uprawnieni są członkowie konkretnej grupy,
  5. ogólnym - plik mogą odczytać wszyscy użytkownicy w firmie.
  6. Uprawnienie odczytu (odszyfrowania) pliku nadawane jest w momencie jego szyfrowania.
  7. Liczba grup jest nieograniczona.
  8. Szyfrowanie zachodzi w sposób automatyczny i niezauważalny dla użytkownika podczas zapisu pliku na urządzeniu przenośnym.
  9. Odszyfrowywanie plików następuje automatycznie w chwili odczytu plików z urządzenia przenośnego podłączonego do sieci firmowej.
  10. Jeśli urządzenie nie jest podłączone do sieci firmowej, np. podczas pracy poza biurem, w celu odczytania pliku należy podać hasło ustalone przez użytkownika.
  11. Zgodność z zasadami i status aplikacji klienckiej są nieustannie monitorowane.
  12. Źródłem danych o aktywnych (dozwolonych) użytkownikach jest katalog Microsoft Active Directory. Informacje z katalogu Active Directory są automatycznie, regularnie uaktualniane w bazie danych EgoSecure i są dostępne dla wszystkich modułów.

Kontrola urządzeń zewnętrznych podłączanych do komputera

  1. Interfejsy i urządzenia objęte zarządzaniem:
    • urządzenia podłączone za pośrednictwem portów USB, szeregowego (RS232) lub równoległego,
    • napędy CD/DVD.
  2. Zezwolenie na korzystanie z urządzenia lub interfejsu może być przypisywane do:
    • konkretnego użytkownika,
    • konkretnej stacji roboczej,
    • portu,
    • typu urządzenia,
    • urządzenia o określonym numerze seryjnym.
      Przykłady:
      • Pewien konkretny użytkownik może korzystać wyłącznie z pamięci USB o wskazanym numerze seryjnym, pracując na przypisanej do niego stacji roboczej.
      • Inny użytkownik może korzystać z pamięci USB w dowolnej stacji roboczej w sieci.
      • Równocześnie wszystkim użytkownikom wolno korzystać z myszek i klawiatur podłączanych do portu USB.
  3. Prawo do użytkowania urządzeń/interfejsów może być definiowanie w zależności od godzin i dni tygodnia.
    Np. z sieci WiFi można korzystać wyłącznie od poniedziałku do piątku w godzinach od 9:00 do 12:00 oraz od 13:00 do 18:00.
  4. Typ operacji (odczyt lub zapis danych) to kolejny parametr oprócz wspomnianych powyżej, który można zdefiniować dla:
    • typu pliku (konieczne jest podanie danych nagłówka, a nie rozszerzenia pliku),
    • źródła danych.
  5. Obsługiwane jest nadawanie uprawnień na zasadzie ad-hoc.
    Np. konkretnemu użytkownikowi wolno przez następnych 20 minut korzystać z portu USB w określonej stacji roboczej w celu podłączenia pamięci USB, lecz nie wolno mu podłączać żadnego innego urządzenia.
  6. Ogół dozwolonych urządzeń można umieścić na tzw. „białej liście“.
  7. Prawa nadawane są użytkownikom lub ich grupom.
  8. Grupy składają się na hierarchię organizacyjną.
  9. W obrębie hierarchii organizacyjnej ma miejsce dziedziczenie uprawnień.
  10. Obsługa mechanizmu kopii bezpieczeństwa (system przechowuje kopię plików kopiowanych z urządzeń/interfejsów objętych zarządzaniem lub na nie).
  11. Użytkownik musi potwierdzić, że wie o funkcji tworzenia kopii bezpieczeństwa.
  12. Konfiguracja jest zarządzania centralnie i przechowywana w bazie danych.
  13. Wszelkie zmiany konfiguracji są przesyłane do aplikacji klienckich.
  14. Źródłem danych o aktywnych (dozwolonych) użytkownikach i urządzeniach jest katalog Microsoft Active Directory. Informacje z katalogu Active Directory są automatycznie, regularnie uaktualniane w bazie danych EgoSecure i są dostępne dla wszystkich modułów.
  15. Po zainstalowaniu nowego systemu operacyjnego następuje automatyczne wdrożenie zdefiniowanych zasad.

 Nieodwracalne kasowanie danych

  1. Możliwość  zaplanowanego nieodwracalnego kasowania danych znajdujących się w “ koszu” lub katalogach tymczasowych
  2. Używane algorytmy:
    Nadpisywanie cyframi losowanymi
    3- krotne nadpisanie (metoda DoD)
    6- krotne nadpisanie (metoda DoD II)
    7- krotne nadpisanie (metoda VSITR)
    35- krotne nadpisanie (metoda Peter Gutmanna)

Zarządzanie energią:

  1. Konfigurowanie różnych profili, które określają dopuszczalny czas nieaktywności monitora, czas nieaktywności po którym komputer automatycznie będzie hibernowany, ograniczenia prędkości CPU lub wentylatorów, aktywowanie opcji Wake on LAN.
  2. Definiowanie wyjątków (np. aplikacji lub procesów) które powinny zapobiec automatycznemu wyłączeniu komputera oraz możliwość zdefiniowania dany wyjątek który ma być stosowany (np. gdy aplikacja generuje ruch sieciowy lub gdy obciążenie procesora w zadanym okresie przekroczyło ustalony poziom). Ponadto można zdefiniować wyjątki aby określić w jakich przypadkach ma nie działać harmonogram wyłączania monitora.
  3. Określenie odpowiednich parametrów do generowania raportów do analizy oszczędności energii i zapisane emisji C02.
  4. Opcje planowania - pozwalają ustawić komputer w stan hibernacji lub w trybie stand-by, zamknąć go lub uruchomić. Umożliwiają definiowanie kiedy odpowiednie czynności powinny być wykonywane, a następnie można przypisać te definicje do użytkowników.
  5. Zarządzanie komputerem - definiowanie profili - określanie na którym komputerze  oraz w jakim czasie poszczególne profile powinne być realizowane.

Nasi Partnerzy:

Wyślij zapytanie - skontaktujemy się!

Imię i nazwisko*:   
E-mail*:   
Pytanie:   

Lub podaj nam swój numer - oddzwonimy!

Telefon*:   
2 dodać dwa (słownie):