Autor: Ireneusz Piasecki 22 Listopad 2023 23 Listopad 2023
Uwaga
Nasza firma oferuje sprzedaż licencji oraz pełne wdrożenie wraz z usługą zarządzania bezpieczeństwem stacji roboczych/serwerów opartych o WithSecure EPP.
Zapraszamy do KONTAKTU i współpracy!
Tel. kontaktowy: +48 606 356 235
1. Wstęp
“WithSecure™ Elements to ujednolicona, bazująca na chmurze platforma cyberbezpieczeństwa, zaprojektowana w celu ograniczenia ryzyka, zmniejszenia stopnia skomplikowania mechanizmów ochronnych oraz zwiększenia ich wydajności.” - za www.withsecure.com
WithSecure, dawniej F-Secure for Business, w swoim portfolio posiada wiele rozwiązań z zakresu cyberbezpieczeństwa. W tym materiale skupię się głównie na WithSecure Elements EPP (Endpoint Protection Premium).
2. WithSecure EPP (Endpoint Protection Premium)
WithSecure EPP jest idealnym rozwiązaniem do zastosowania w firmach, składa się na to wiele aspektów. Ja skupię się głównie na tych praktycznych, które pomagają w codziennej pracy administratora, który musi dbać o cyberbezpieczeństwo niejednokrotnie kilkudziesięciu komputerów w danej organizacji.
2.1 Konsola zarządzająca “in the cloud”
Konsola zarządzająca jest dostępna jedynie przez przeglądarkę WWW, z każdego miejsca na świecie non-stop dzięki rozwiązaniu “in the cloud”. Oznacza to, że jest dostępna zawsze i z każdego urządzenia, które potrafi wyświetlać stronę WWW. Dzięki temu, nie trzeba już mieć specjalnej instalacji na jednym z komputerów w sieci lokalnej, aby logować się do konsoli administracyjnej (tak jak było to w rozwiązaniu F-Secure CS).
Usprawnia to szalenie proces zarządzania, ponieważ administracją WithSecure EPP można zajmować się skądkolwiek.
2.2 Błyskawiczna reakcja na zagrożenia - łatki na bieżąco
WithSecure EPP został wyposażony w sprawny system instalacji aktualizacji, zarówno definicji nowych zagrożeń, jak i samego agenta EPP (nazwa stosowana przez WithSecure dla zainstalowanego oprogramowania WithSecure EPP).
Zdarza się, że w ciągu dnia agent aktualizuje swoją bazę zagrożeń kilkanaście razy. Świadczy to o bardzo poważnym podejściu do kwestii bezpieczeństwa przez WithSecure.
2.3 Profile
Oczywiście i tego nie mogło zabraknąć w rozwiązaniu WithSecure EPP. Na czym więcj polegają te profile? Otóż każdą stację roboczą (czy serwer) można przypisać do danego profilu, który definiuje pracę stacji w ramach danej instalacji WithSecure EPP. Jako przykład niech posłużą dwa profile. W profilu o nazwie A definiujemy, iż każda stacja w tym profilu ma zablokowany dostęp do portów USB, natomiast stacje z profilu “B” nie mają takiej blokady. Jednym słowem od polityki bezpieczeństwa w danej organizacji możemy definiować w rozwiązaniu WithSecure, co na danej stacji można robić, a co nie.
Jeśli ktoś miał doczynienia z F-Secure Client Security, to tam były tzw. “polisy”, które mogły dziedziczyć swoje właściwości z “polis” nadrzędnych. Tutaj tego nie ma, są natomiast właśnie profile, które umożliwiają zarządzanie “płaskie”, czyli bez mechanizmów dziedziczenia (jak to miało miejsce w F-Secure CS). Wystarcza to jednak w zupełności do zarządzania.
2.4 Blokada zmiany ustawień przez użytkowników
Istnieje możliwość blokowania zmian w WithSecure EPP, tak aby użytkownik dla swojej wygody nie zmieniał pewnych ustawień (obchodząc politykę bezpieczeństwa w danej organizacji). Bardzo przydatna opcja.
2.5 Automatyzacja
W profilu WithSecure EPP można ustawiać zadania, które będą wykonywane cyklicznie (automatycznie).
Przykład: Zazwyczaj użytkownicy nie instalują aktualizacji systemowych, ponieważ nie chce im się czekać na zamknięcie systemu. Można więc tak ustawić zadanie automatyzacji, aby komputer o danej porze instalował aktualizacje systemowe i następnie wyłączał się. Inny przykład, to skanowanie całego dysku przed szkodliwym oprogramowaniem, raz na tydzień w piątek o 10.00.
To są tylko przykłady, ale pokazują możliwości zarządzania taką stacją roboczą. Konsola umożliwia wybór z listy wcześniej zdefiniowanych czynności.
2.6 Izolacja sieciowa stacji roboczej
W przypadku infekcji lub wykrycia podejrzanego zachowania na stacji roboczej, można wykonać izolację sieciową takiej stacji roboczej. W takim przypadku, dostęp do stacji jest jedynie możliwy z poziomu konsoli zarządzającej WithSecure EPP. Pozostałe połączonia wychodzące i przychodzące zostają zablokowane.
Przydatne narzędzie, które w szybki sposób odcina urządzenie od sieci w przypadku wykrytego zagrożenia.
2.7 Kontrola nad aktualizacjami zainstalowanego oprogramowania.
Kolejna bardzo przydatna funkcjonalność: zarządzanie aktualizacjami, czy to zainstalowanego oprogramowania, czy też aktualizacji systemowych. Tak szczerze, to obecnie nie wyobrażam sobie bez tego zarządzania jakąkolwiek grupą komputerów.
W konsoli zarządzającej widzimy dokładnie jaki komputer, jakiej aktualizacji oprogramowania potrzebuje. Teraz za pomocą kliknięcia lub dwóch jestem w stanie zainstalować krytyczną aktualizację np. Chrome, bez oczekiwania, kiedy Chrome zrobi to sam. Wszystko odbywa się w tle, bez niepokojenia użytkowników. Fenomenalne narzędzie!
2.8 Ochrona przeglądania stron WWW
Dodatek do popularnych przęglądarek WWW, który podnosi poziom bezpieczeństwa organizacji. Dzięki temu, każdy adres pobrany przez przeglądarkę jest poddawany ocenie w systemie reputacji stron WWW WithSecure. Tylko bezpieczne adresy stron WWW mogą zostać wyświetlone i pobrane. Inne są blokowane. Oczywiście z poziomu konsoli zarządzającej możemy tworzyć wyjątki.
Alarmy o blokowanych stronach widzimy również w konsoli zarządzającej.
2.9 Uproszczona instalacja na stacjach roboczych
WithSecure EPP posiada bardzo proste mechanizmy instalacyjne, dostępne z poziomu konsoli zarządzającej.
- Możemy wysłać poprzez wiadomość e-mail link-zaproszenie (stworzone przez system), za pomocą którego użytkownik pobierze oprogramowanie i po zainstalowaniu na swoim komputerze od razu pojawi się w konsoli zarządzającej.
- Możemy też wygenerować sobie plik instalatora exe/msi i zainstalować w trybie offline na komputerze docelowym.
- Możemy też wykorzystać GPO domeny Windows i plik instalatora MSI, aby w ten sposób zainstalować agenta WithSecure EPP.
W zależności od potrzeb.
2.10 Raporty
WithSecure EPP posiada rozbudowany mechanizm tworzenia raportów. Administrator może zdefinować własne za pomocą dostępnego kreatora lub korzystać z gotowych raportów.
2.11 Zdarzenia bezpieczeństwa
System wyświetla w konsoli zarządzającej informację o wykrytych i zablokowanych zagrożeniach, podając dokładnie wszystkie informacje: nazwę stacji roboczej, nazwę zalogowanego użytkownika, rodzaj zagrożenia etc. Mamy pełny wgląd w sytuację i możemy szybko zareagować.
3. Rozwiązania w ramach WithSecure Elements - przegląd
Rozwiązanie WithSecure Elements składa się z kilku elementów, które są wykorzystywane razem lub osobno, według potrzeb w danej organizacji:
- WithSecure Elements EPP (Endpoint Protection Premium):
- Ochrona przez całą dobę wpełni autonomicznie, co przekłada się na małą ilość ręcznych operacji - bez konieczności posiadania specjalistycznej wiedzy.
- Pełna Ochrona przed ukrytymi zagrożeniami i atakami - analiza heurystyczna i behawioralna, zaawansowane uczenie maszynowe i dynamiczne gromadzenie danych o zagrożeniach w czasie rzeczywistym.
- Automatyczny system zarządzania poprawkami, który dba, aby poprawki zostały zinstalowane natychmiast po ich pojawieniu się.
- Blokada uruchamiania aplikacji i skryptów według reguł utworzonych przez Twojego administratora (pełna kontrola).
- Aktywna ochrona użytkowników Twojej organizacji przed zagrożeniami w sieci (strony ze złośliwym oprogramowaniem).
- Technologie DeepGuard i DataGuard chronią przed działaniem złośliwego oprogramowania oraz zapobiegają niszczeniu i manipulowaniu danymi.
- Pełna kontrola nad urządzeniami zewnętrznymi typu pendrive, napędy USB - zapobieganie wyciekowi danych.
- Ochrona przed nieuprawnionemu dostępowi aplikacji do plików i zasobów systemowych.
- WithSecure Elements EDR (Endpoint Detection Response):
- Pełny podgląd sytuacji na urządzeniach użytkowników w czasie rzeczywistym - obsługa systemów Windows, macOS i Linux.
- Broad Context Detection - szybkie i dokładne wykrywanie zagrożeń. Brak nieistotnych alertów, obserwowanie podejrzanych zachowań.
- Skuteczny mechanizm wyszukiwania zagrożeń - filtrowania zdarzeń.
- Schematyczne wizualizacje, które pozwalają na zrozumienie powiązanego łańcuchów zdarzeń.
- Natychmiastowa reakcja na zagrożenie za pomocą zdefiniowanych zautomatyzowanych akcji reagowania, łącznie z izolacją hosta od sieci.
- Platforma zgodna z wymogami PCI, HIPAA i GDPR.
- WithSecure Elements VM (Vulnerability Management):
- Pełny obraz sytuacyjny i dokładna prezentacja wszystkich zasobów, systemów i aplikacji oraz shadow IT.
- Zredukowanie do minimum obszaru podatnego na zagrożenia za pomocą identyfikacji podatnych systemów, oprogramowania i niewłaściwych konfiguracji.
- Ryzyko zminimalizowane poprzez zastosowanie środków predykcyjnych i zapobiegawczych przed wystąpieniem jakichkolwiek incydentów.
- Usprawnienie workflow - zautomatyzowane i zaplanowane skanowania systemowe. Priorytetowe traktowanie działań naprawczych z wbudowaną punktacją ryzyka.
- Skanowania w zakresie podatności na urządzenia zdalne poza siecią przy pomocy agenta punktu końcowego systemu Windows.
- Elastyczny system raportowania dotyczący stanu bezpieczeństwa i ryzyka.
- Ułatwienie przy spełnieniu wymagań zgodności – możliwość wygenerowania raportu opartego na kryteriach PCI ASV, na który można powołać się przy certyfikacji zgodności.
- WithSecure Elements CP (Collaboration Protection):
- Wielopoziomowa i atrakcyjna cenowo ochrona zapewniająca ciągłość działania.
- Nieprzerwana ochrona uniezalezniona od urządzenia dostępowego użytkownika końcowego (PC, tablet, smartfon) - brak przerw lub przestojów bramy poczty e-mail.
- Uproszczony workflow - jednolite zarządzanie zabezpieczeniami w urządzeniach końcowych i chmurze.
- Skuteczne wdrożenie dzięki integracji chmura-chmura. Brak potrzeby stosowania oprogramowania pośredniczącego ani rozbudowanej konfiguracji.
- Blokowanie złośliwej zawartości oraz złośliwego oprogramowania ( ransomware) i co za tym idzie prób wyłudzenia informacji.
- Skuteczne wykrywanie zaawansowanego złośliwego oprogramowania, dzięku uruchamianiu i analize podejrzanych plików wykrytych w programach Outlook i SharePoint. Wszystkie operacje odbywają się w izolowanym środowisku typu sandbox.
- Umożliwienie sprawdzenia, czy mogło nastąpić włamanie na konta firmowe dzięki informacjom dotyczącym sposobu, kont, czasu i stopnia zaawansowania.
- Wykrywanie anomalii behawioralnych - zabezpieczenie skrzynki pocztowej przed podejrzanymi działaniami.
- Wydajność zwiększona dzięki automatycznym skanom.
4. Podsumowanie
WithSecure EPP to rozwiązanie dla organizacji każdej wielkości. Zabezpiecza instalacje złożone z klikunastu stacji roboczych, czy też kilkuset. Konsola centralnego zarządzania ułatwia zarządzanie, a funkcjonalności opisane powyżej upraszczają i usprawniają użytkowanie systemu.