Jak chránit vícero operačních systémů ve firmě

Další článek

Panuje poměrně rozšířený názor, že tuzemské malé a střední firmy využívají výhradně operační systém Windows. Jde nepochybně o nejrozšířenější platformu, ale ne vždy nutně nejvhodnější pro všechny potřeby organizace. Snadno se tak může stát, že se IT stará až o pět operačních systémů: Windows, Linux, macOS, Android a iOS.

Macbook jako přenašeč malware

Uživatelé macOS se mylně domnívají, že jejich operační systém je bezpečnější než Windows. Je pravda, že útočníci se zaměřují na rozšířenější operační systémy, protože mohou své útoky cílit na větší cílovou skupinu. Nicméně existuje i značné množství malwaru pro macOS.

Útočníci se o zařízení od Applu nezajímají jen jako o potenciální cíl, ale také jako přenašeč. Do zabezpečené sítě může přinést škodlivý kód, který není zaměřený přímo na platformu macOS. Pokud je v síti takové nechráněný zařízení, může infikovat zařízení s operačním systémem Windows. Stejným potenciálním zdrojem nákazy může být také zařízení s operačním systémem Android a Linux.

Mobilní zařízení: bezpečnější je iOS

Ve Windows má aplikace práva dle účtu, pod kterým je spuštěna a může tak ovlivnit operační systém či další aplikace. V případě mobilních zařízení s iOS je situace odlišná. Platforma iOS pro mobilní zařízení od Apple byla navržená z hlediska vnitřní struktury velmi bezpečně. V iOS běží každá aplikace ve vlastním sandboxu a má jen omezené možnosti interagovat s jinými aplikacemi. Pokud jim uživatel nedá explicitně jiná práva.

To je jeden z důvodů, proč pro iOS neexistují bezpečnostní aplikace. Taková aplikace by totiž zkontrolovala jen sama sebe, možná ještě fotografie a kontakty. Apple vytváří whitelisting i ve svém obchodě s aplikacemi a nepustí do něj nic škodlivého. Proto lze iOS označit za nejbezpečnější operační systém.

To ale neplatí, jakmile na zařízení provedete tzv. jailbreak. Ten umožní instalaci aplikací z neoficiálních zdrojů a tím narušení jeho bezpečnosti. V případě ztráty nebo krádeže už ale není tak chráněno, jako ve stavu před jailbreakem.

Firma dokáže bezpečnost vynucovat

V případě služebních zařízení si může firma rozhodnout, jaké zabezpečení je pro ni akceptovatelné. Prostřednictvím řešení Mobile Device Management (MDM) může firma definovat, jaké bezpečnostní nastavení nebo stav od zařízení očekává. Například, že není jailbreaknuté, má nastavený adekvátní přístupový PIN v určité délce nebo jaký druh zámku bude použit při zamčení obrazovky.

Systém iOS používá aplikační rámec Apple MDM. V některých zemích, včetně České republiky, má také Device Enrollment Program (DEP). Při spuštění se zařízení připojí přímo do firemního MDM řešení a nainstaluje se na něj bezpečností profil na základě specifikací firmy.

V případě, že zařízení požadavky na bezpečnost nesplní, má firma na dálku možnost zakázat přístup k firemní poště nebo omezit jeho funkčnost. Na dálku je samozřejmě možné takovéto zařízení promazat či lokalizovat. To je užitečné například při ztrátě nebo krádeži firemního iOS zařízení.

Android se bez bezpečností aplikace neobejde

V případě Androidu je otevřenost systému větší, což je v podstatě primární důvod, proč je potřebné mít na takovémto zařízení bezpečnostní aplikaci. I v tomto operačním systému má zaměstnanec cenná data, e-maily a fotky.

Pro Android je k dispozici vícero MDM řešení, které umí zajistit odpovídající úroveň ochrany zařízení. Existuje například řešení Android for Work, což je nativní ekosystém Googlu. Další řešení běží s administrátorskými právy uvnitř zařízení, například ESET Endpoint Security pro Android. Tento program nemá jen MDM funkce, ale nabízí i vícevrstvé zabezpečení, jako například ochranu před malwarem nebo anti-phishing.

Obchod s aplikacemi Google Play má oproti tomu od společnosti Apple méně přísná pravidla a občas se do něho útočníkům podaří nahrát škodlivé aplikace. Zaměstnanec může takovéto zařízení s Androidem bez bezpečnostní aplikace infikovat, aniž by se choval nezodpovědně.

Firma dokáže všechna zařízení s ESET MDM řešením nebo bezpečnostním programem ESET na dálku komfortně monitorovat z webové konzole ESET Security Management Center. Je přitom jedno, jaký operační systém které zařízení využívá. Administrátora informuje jen o tom, zda je zařízení (a tím i firemní data) zabezpečeno správně a případně umí firmu promptně varovat, že se v zařízení děje něco nesprávně.

Přehledné informace o síti, hardwaru i softwaru

Uvedená konzole však dokáže administrátorovi poskytnout i množství informací o hardware jednotlivých počítačů – například zařízení, model, sériové číslo, informace o procesoru či RAM. Monitoruje také všechen nainstalovaný software a čísla verzí. Firmě tak poskytuje ucelený přehled o všech zařízeních. ESET Security Management Center je nabízen bezplatně v rámci balíčku k firemním řešením společnosti ESET.