Secure Endpoint Management

Was bedeutet Endpoint Security und was beinhaltet dies?

Das braucht man wirklich:

USB Sicherheit

Die Sicherheitsdefizite durch die generische Plug & Play-Pforte für Peripheriegeräte wie USB Memory-Sticks, Flash Pens, digitale Kameras, Scanner, Modems etc. sind seit langem bekannt: unerwünschte Inhalte sowie gefährliche Programme bedrohen die Integrität der Netze und entscheidendes Know-how des Unternehmens kann unerkannt abgezogen und vervielfältigt werden (Data Loss oder Data Leakage).

Archivierung und Beweissicherung von Anfang an:

GOBS, FAIT und viele andere gesetzliche Auflagen bringen neben einer Archivierungspflicht über einen langen Zeitraum auch häufig die Pflicht mit, den Inhalt der Dokumente nach vielen Jahren juristisch sicher beweisen zu können.

DLP Best Practice:

Schnelle Erfolge und nachhaltige Risikominimierung, wie Sie Ihr Netzwerk vor Datenlöchern effizient schützen und dabei Mehrwerte für Ihr Unternehmen generieren.

Verschlüsselung unterwegs:

Zeigt die Anforderungen des neuen Bundesdatenschutzgesetzes und Lösungen bei dem Transport mobiler Daten.

Verschlüsselung: Transparent UND sicher?

Wie transparent darf eine sichere Verschlüsselung sein – welche Transparenz ist für die sichere Verwendung durch den Anwender erforderlich?

Datenschutzverstöße sicher vermeiden:

Die Hauptursachen für Verstöße gegen den Datenschutz sind verbesserte Angriffsverfahren der Täter, mangelndes Risikobewusstsein oder technische Kenntnis der Anwender, aber auch vorsätzlicher Datendiebstahl von internen Mitarbeitern. Strategien zur Vermeidung gemäß der Empfehlungen des BSI werden dargestellt.

Das Ende der Dienstvereinbarung:

Die Angriffe der letzten Zeit (lnk, Stuxnet, pdf-Exploit, …) haben gezeigt, dass technische Unterstützung notwendig Dienstvereinbarungen unterlegen müssen.

Endpoint Security – leicht gemacht:

  • Die erste Welle: Geräteschutz

    • Individuelle Freigabe oder Sperre von einzelnen Geräten – benutzer-, gruppen-, PC-orientiert

  • Die zweite Welle: System-Management

    • Automatisierung
    • Device Driver Management, Drive Mapping, vieles mehr

  • Security „right sizing“: Content & Compliance

    • Proaktives Blocking verbotener Contents
    • Automatische Verschlüsselung sensibler Contents
    • Revisions- und juristisch beweissichere Protokollierung der relevanten Aktivitäten

  • Systemzustand entscheidet: An/Aus genügt nicht

    • Friendly Net Detection, Netztrennung, Überstimmen der Policy durch VIP
    • Schutz vor Informationsverlust – Information Leakage Prevention


Beschreibt Best-Practices bei der Projektierung mit den verschiedenen Phasen „Einsammeln von Information‟, Zieldefinition, „Weicher Roll-out‟, „Scharfschalten‟ und der Integration in das Risk-Management.

Schutz vor Datenklau:

Angriffe durch eingeschleuste Malware (LNK, PDF, IE, ZIP, Stuxnet …), mangelndes Risikobewusstsein der Anwender und vorsätzlicher Datendiebstahl sind Hauptursachen für den Verlust vertraulicher Informationen. itWatch schützt gegen jeden dieser Angriffe.

Spyware bleibt draußen:

Angreifer schleusen Schadcodes verborgen in eigentlich erlaubten Dateiformaten über E-Mail, Web, USB-Sticks und durch die Ausnutzung von Schwachstellen in Programmen vom Benutzer ein. Dieser wird unter Nutzerrechten im Hintergrund ausgeführt und überträgt die sensiblen Daten verschlüsselt ins Internet. itWatch blockt den Schadcode, egal über welchen Weg er auf den PC kommt.

Virtuelle Schleuse für ausführbare und kritische Dateien:

Kritische Aktionen der Anwender, z.B. das Starten von unbekannten Programmen oder Makros in Dateien, können automatisch in eine virtuelle Umgebung umgeleitet werden. Datentransfer und Ausdruck sowie jede weitere Kommunikation mit der virtuellen Umgebung müssen gesichert werden.

Frei konfigurierbare Benutzerdialoge:

Sicherheit gegen die Benutzer ist teuer – ein kosteneffizienter, sicherer Betrieb kann mit hoher Nutzerakzeptanz erzielt werden. Awareness-Dialoge oder situationsbezogene Selbstfreigabe-Dialoge für bestimmte Benutzer helfen die Akzeptanz für nötige Maßnahmen zu verbessern. Es kann frei definiert werden, welche Information der Benutzer eingeben muss, wie diese nach beliebigen Algorithmen geprüft werden, welche Daten optional sind und wie die System-Reaktion ist. Protokollierung und die Zustimmung zur Protokollierung schaffen beweissichere Compliance und bei Bedarf sogar einen Haftungsübergang durch eine elektronische Willenserklärung in Echtzeit.

Verschlüsselung für unterwegs:

Daten sollen unterwegs vor dem Zugriff unbefugter Dritter sicher und beim Verwenden auf Drittrechnern vor USB-Dumpern und anderer Schadsoftware geschützt sein. Unterschiedliche Schlüssel für unterschiedliche Belange sowie der applikatorische Schutz helfen hier.

Welches Tablet passt?

Zwischen dem Gerät mit nur einem Ein-/Ausschalter und einem voll qualifizierten Business-Rechner gibt es im Markt viele Lösungen – wo welche Lösung am besten eingesetzt wird, diskutiert dieser Artikel aus Sicht der IT-Sicherheit in Unternehmen.

White-/Blacklisting allein ist chancenlos

Ein guter Schutz vor Malware ist heute durch traditionelle Ansätze des White-/Blacklisting nicht mehr erreichbar. Ein oder besser zwei gute Anti-Viren-Lösungen sind Grundvoraussetzung, aber was müssen Unternehmen noch tun?

DLP zu Ende gedacht

Mechanismen der Data-Leakage-/Loss-Prevention (DLP), die unerlaubten oder ungewünschten Abfluss von Daten verhindern sollen, müssen neben etablierten Kanälen auch den Datenfluss über Drucker sowie vermeintlich gelöschte Informationen betrachten, um einen umfassenden Schutz zu gewährleisten.

 

Datenfilter für die Cloud

Datenzugriffe überall ermöglichen, Zugriffe gezielt an Kollegen, Partner, Kunden oder Interessierte weltweit weitergeben, synchronisieren von Arbeitsumgebungen – die Cloud macht‘s möglich – überall. Der Preis für diese „Convenience‟ kann aber hoch sein, wenn Sicherheitsdefizite nicht berücksichtigt werden.

Die Lösung in Form einer Endpoint Security Lösungs Suite

(Sie kaufen nur das, was Sie wirklich benötigen!)

DeviceWatch

mit dem Sie alle Devices (externe und eingebaute Geräte) und alle Ports (USB etc.) kosteneffizient und sicher nutzen können – auch die situationsbezogene Freigabe von Netzwerkverbindungen ist enthalten – z.B. WLAN nur „unterwegs‟ erlauben.

DeviceWatch – Devicekontrolle

  • Devices sind alle eingebauten oder externen Geräte wie Memory Sticks, Modems, Drucker, 
Scanner, PDAs, Handys etc.
  • Schnittstellen sind alle Ports, über welche moderne PCs verfügen: USB, SD, Mirco SD, 
Bluetooth, WLAN, …
  • Sie definieren, welcher Benutzer welches Device wann und wo unter welchen Umständen einsetzen darf
  • Überzeugen Sie sich VOR der Nutzung von der Integrität der Inhalte – schützen Sie sich damit vor unerwünschten Folgen von Technologien!

ApplicationWatch

meldet alle „neuen” Anwendungen in Echtzeit – auch portable Anwendungen. Verbote benutzer- und gruppenspezifisch natürlich mit Black- und White-List möglich, Plug-Ins – wie z.B. WebEx als Plug-In in den Internet Explorer – können dediziert verboten oder erlaubt werden.sparungspotentiale und moderne Nutzungsmöglichkeiten sind attraktiv – welche Sicherheitskonzepte sind möglich und mit welchen Kosten sind diese verbunden?

  • Inventarisierung– alle Anwendungen werden in
Echtzeit mit Eigenschaften (Version etc.) 
eingesammelt. Jede Anwendung wird an die 
„Zentrale“ gemeldet.
  • Monitoring – Anwendungsstart und –ende für 
statistische Auswertungen und Lizenzoptimierung
  • Blocking – White- und/oder Black List mit
Echtzeitumschaltung der gültigen Policy.
  • Verwendung der Anwendung abhängig von Systemzustand 
(z.B. Skype oder IE)
  • Content Filter können für Anwendungen vergeben werden.
  • Umsetzung von

    • Restriktionen (z.B. für Browser)
    • erweiterte Anwendungs-Rechte unabhängig von den Rechten des Anwenders
    • Lese-Verbot von sensiblen Dateien bei Kommunikationsanwendungen
    • Schreib-Verbot für ausführbare Dateien bei Kommunikationsanwendungen

Die Cloud – aber sicher!

Verschlüsselung der Daten und die Cloud ist ein guter Datenspeicher. SaaS bei qualitätsgesicherten Services ist hilfreich. Das Sicherheits-Problem: Daten können nur im Klartext verarbeitet werden. Daten, die zur Verarbeitung in die Cloud gehen, müssen also zur Verarbeitung entschlüsselt werden oder schon im Klartext übertragen werden. itWatch hat die Antwort.

Endpoint Security

Portable Anwendungen auf USB-Stick, Synchronisation sensibler Daten via Bluetooth mit Smartphones, eingebaute UMTS oder WLan Adapter, digitale Kameras – ein Gerätezoo, den es zu zähmen gilt. Den Administrationsaufwand senken, die Nutzungsszenarien monitoren, Geräte und Anwendungen inventarisieren und gleichzeitig die Sicherheit erhöhen.

XRayWatch

, mit dem Sie Dateien beim Austausch mit mobilen Datenträgern oder Netzwerkshares inhaltlich kontrollieren, protokollieren und bei Bedarf blockieren.

  • Pattern Prüfung – Schutz vor vorgetäuschten Dateitypen

    • Erweiterung des Content Filters um beliebig genaue inhaltliche Prüfungen (semantisch und syntaktisch)
    • Standardformate werden mitgeliefert und auch mit gewartet,
    • kundenspezifische Erweiterungen sind in wenigen Minuten erledigt, z.B. Suche nach Schlüsselworten wie „firmenvertraulich“.

  • Audit Dateiname – Protokollierung ohne Overkill!

    • Protokollierung kritischer Inhalte
    • Alle Dateien oder nur vordefinierte Dateitypen werden je Device und Benutzer oder Gruppe nach Dateiname protokolliert.

  • Shadowing – 1 zu 1 Kopien besonders sensibler Daten!

    • Shadowing kritischer Inhalte
    • Alle Dateien oder nur vordefinierte Dateitypen werden je Device und Benutzer oder Gruppe vollständig aufbewahrt

XRayWatch

– Austausch mit (Netz)-Laufwerken und Citrix kontrollieren

Content Filter

kontrollieren Datei-Austausch mit

  • Devices
  • Medien
  • Netz-Laufwerken
  • Citrix Terminalserver
  • Anwendungen
  • Kontrollieren jeweils beim Lesen oder Schreiben 
jede einzelne Datei (komprimiert, verschlüsselt oder 
zu Archiven gepackt) individuell nach bestimmten 
Dateitypen oder Inhalten (Pattern)

PDWatch

, mit dem Sie Verschlüsselung bei Export von Dateien auf beliebige Datenträger erzwingen können; die Verwendung eines oder mehrerer Unternehmensschlüssel schützt sicher vor Datenlecks (Data Loss); der persönliche Schlüssel erlaubt den sicheren Transport auf Drittsysteme.

  • Die Entnahme von personenbezogenen Daten aus
dem Firmennetz nur verschlüsselt erlauben.
  • Wer darf vertrauliche Daten aus Ihrem Netz 
unverschlüsselt mitnehmen?
  • Firmenschlüssel beschützen die Daten sicher bei 
Lagerung außer Haus.
  • Erlauben Sie einzelnen Benutzern

    • eigene Schlüssel zu vergeben oder
    • bestimmte Dateien unverschlüsselt mitzunehmen
    • Schlüsselhinterlegung

      • lokal, zur Reduzierung der Help Desk Kosten
      • zentral, für den Notfall

  • Identische Vertraulichkeits-Richtlinien auf mobilen Datenträgern (auch
CD/DVD), der lokalen Platte oder bei Netzkommunikation

DEvCon

, mit dem Sie Ihre Sicherheitsrichtlinien und die Freiräume für Ihre VIPs zwischen reiner Awareness und vollständiger Blockade automatisch organisieren können – übrigens ganz ohne Consulting! DEvCon verfügt zusätzlich über Echtzeit-Monitoring und Reporting sowie viele weitere Mehrwerte.

CDWatch

organisiert die Nutzung von CDs/DVDs im Netz einfach und sicher.

Medien Filter

  • registrieren von Medien (CD/DVD), lokal und
netzwerkweit
  • geben nur eindeutig identifizierte Medien
(Media Key!) gemäß Zugriffsregeln 
(Benutzer/Content Filter/Gültigkeitszeitraum) 
frei
  • ermöglichen (De-) Installationsfreigaben für 
Software vom registrierten Medium
  • kann ein externer Medienkatalog zugeordnet 
werden. Die im Medien Filter definierten 
Zugriffsregeln sind für alle im externen 
Medienkatalog abgespeicherten Medien wirksam.

ReCAppS

, die virtuelle Schleuse: Anwender können kritische Aktionen ohne Gefährdung der internen Systeme eigenständig ausführen; das schafft effiziente, sichere IT-Um-gebungen. Aktiver Code, egal woher dieser stammt und wie er verpackt ist, wird auto-matisch in einer „unsafe Area‟ ausgeführt und problematische Dateien werden in der „unsafe Area‟ geöffnet ohne dabei die produktive Umgebung zu gefährden.

  • Anwender können kritische Aktionen ohne Gefährdung der internen Systeme eigenständig in einer virtuellen Umgebung ausführen, ohne die produktive Umgebung zu gefährden.
  • Automatisches, vollständiges Überführen und Erkennen 
von ausführbaren Elementen – auch als eingebettete 
Objekte z.B. in Zip-Archiven
  • Vollständiges Überführen der ausführbaren Elemente 
in die dafür geeignete virtualisierte Umgebung in Echtzeit 
ohne Benutzerinteraktion.
  • Unterstützung aller Virtualisierungsumgebungen
  • Steuerung des Datenflusses mit unterschiedlichen 
Policies für Import und Export in beiden beteiligten 
Umgebungen (produktiv und virtualisiert), so dass der Datenaustausch für Standardprozesse wie die Datenübergabe von Resultaten in makrofreien Exceldateien ermöglicht wird.

PrintWatch

ermöglicht es, die in Ihrem Unternehmen gespeicherten Informationen auf dem Weg zum Drucker nach Ihren Wünschen zu kontrollieren, bevor sie das Papier als langfristigen, nicht mehr kontrollierbaren „Datenspeicher‟ erreichen.