לרוב, אני נמנע מלציין כלים או פתרונות ספציפיים של יצרן מסויים, ומלכתוב על נושאים שיש להם פתרון השולט בשוק (לפחות המקומי) באופן ייחודי. הפעם, הפוסט הזה יסטה מהנוהג ויציג נושא חשוב שחייב לקבל מענה.
כאשר מדברים על Endpoint Compliance, לרוב מתכוונים לעמידה של תחנות קצה בסט התקנות והגדרות נדרשות על מנת לצמצם סיכונים הנובעים מניצול חולשות אבטחה. למשל, שימוש בתוכנות P2P שיגרמו לזליגת מידע או השתלטות מרחוק על התחנה, סוסים טרויאניים המותקנים על התחנה. פתרונות Compliance נועדו לנטר תחנות ולוודא שתוכנות מסוימות מותקנות ועובדות, ובו בזמן שתוכנות אחרות אינן מותקנות על המחשב.
רוב פתרונות האבטחה לתחנות קצה (Endpoint Security) מתבססות על סוכן (Agent, Client) המותקן על מחשב המשתמש. מערכות כגון Anti-Virus, חסימת התקני זכרון ואחרות, מפיצות את הגדרות האבטחה (ה – Policy) לסוכן בתחנה. לסוכנים אלה יש מספר חולשות ידועות. משתמש עלול להפסיק את ריצתן – למשל כדי לשפר ביצועי התחנה או כדי לעקוף הגדרות אבטחה המונעות ממנו לבצע פעולות מסוימות. סוכנים אלה מופצים לרוב ע"י כלי הפצה ארגוניים. במקרים לא מעטים, הפצת הסוכנים לתחנות נכשלת והתחנות אינן מוגנות. במקרים אחרים, הסוכן הופץ לתחנה אך מסיבה כלשהי, אינו מתקשר מול המערכת. לבסוף, גם כאשר הסוכן פעיל על התחנה, קורים מקרים בהם הגדרות האבטחה המופצות מהמערכת, אינן נקלטות בסוכן והוא נשאר לא מעודכן (למשל, חתימות אנטי-וירוס).
הבעיות לעיל מציגות את החולשה של הסתמכות על פתרון מבוסס Agent בתחנות הקצה. עם זאת, לדעתי, פתרון Client עדיף מהיבטי אבטחת מידע ברוב המקרים מפתרון רשתי. אם כך, נותר לדון כיצד מתמודדים עם חולשות אלה.
הפתרון הראשון מיועד לעניים, וכפי שצוין לעיל, ואינו מספק כיסוי של 100%. ע"י שימוש בכלי הגדרות והפצה (למשל SMS של מיקרוסופט) ניתן לבצע לא מעט פעולות לאבטחת תחנות הקצה, אם כי הוא מצריך הגדרות ידניות ולא מספק יכולות מלאות. לרוב, הכלי עובד ללא בעיות. אך כפי שנאמר, פתרונות מבוססים Agent לא תמיד מותקנים בכל התחנות. ניתן לחבר מערכות אלה למערכת SIEM לצורך ניהול פשוט של הטיפול בתוצאות הסריקות – בין אם היעדר תוכנות ובין אם הימצאות של תוכנות אסורות.
פתרון שני הינו כלי ייחודי המבצע בדיקות תאימות של תחנות ללא צורך בסוכן מותקן, לרוב ע"י שימוש ב – WMI המאפשר תשאול וניהול תחנות. כלי כזה יכול לספק דוח על-פי רשימה לבנה ורשימה שחורה. ברשימה לבנה מגדירים אילו תוכנות ותוכניות חייבות להיות מותקנות, ואף פעילות ומעודכנות, על התחנה. המערכת תדווח על היעדר אחת או יותר מהתוכנות במחשבים. ברשימה שחורה, המערכת מחפשת התקנות אסורות (בין אם תוכנה או חומרה). פתרון מתקדם כזה יכיל גם רשימה שחורה מובנית, המתעדכנת מידי פעם ומתריעה על תוכנות חדשות. מערכת כזו יכולה גם להתריע על היעדר טלאי אבטחה חסרים (Patches) ועל עדכונים למערכת ההפעלה (Service Packs).
פתרון נוסף, קצת פחות קונבנציונלי, יכול להגיע ממערכות NAC (נושא לפוסט נפרד). מערכת NAC מאפשרת לתחנות מורשות בלבד להתחבר לרשת. פתרונות NAC מתקדמים מוודאים בנוסף שתחנות הקצה לא רק שייכות לארגון ועל כן ניתן לאפשר להן להתחבר לרשת, אלא שרמת האבטחה שלהן עומדות במדיניות הארגון. אם רמת האבטחה אינה מספקת, לא יתאפשר לתחנה להתחבר לרשת. למשל, עם AV לא מותקן, או פעיל.
CISO בלוג אבטחת מידע 
תגובות אחרונות