Päť operačných systémov vo firme? Zvládnuť sa to dá

Ďalší článok

Bežný človek by si mohol myslieť, že firmy v našich končinách nefungujú na ničom inom, len na Windowsoch. Ide síce o najrozšírenejší operačný systém, nemusí byť však najvhodnejšou platformou pre všetky potreby firiem, obzvlášť tých veľkých. Firma preto môže skončiť s tým, že jej IT tím sa stará o bezpečnosť piatich rozdielnych operačných systémov – Windows, Linux, Mac, Android a iOS. To so sebou prináša isté riziká, ktoré sa však dajú vyriešiť.

blog_bcg_enerprise_OS

ESET vo svojom prieskume medzi veľkými firmami zistil, že v každej opýtanej firme je minimálne jeden Mac. Dôvody na jeho prítomnosť vo firemnom ekosystéme sú dva. Macy sú dlhodobo vyhľadávané ľuďmi pôsobiacimi v kreatívnej oblasti, môže ísť o interný grafický tím alebo o celé architektonické štúdiá, či reklamné agentúry. Architektúra Macovéhu systému je totiž na grafický dizajn naozaj dobrá. Mac samozrejme používajú aj vývojári softvéru pre túto platformu. Vo všetkých uvedených prípadoch ide o prejav biznisovej potreby. V druhom prípade ide najmä o osobnú preferenciu zamestnancov, či manažmentu, kedy sú Macy vo firmách napríklad kvôli tomu, že niekomu lepšie vyhovuje ich užívateľské rozhranie, či dokonca výlučne kvôli ich vychytenému dizajnu. 

Mac ako prenášateľ

Používatelia Macov si mylne myslia, že tento operačný systém je bezpečnejší než Windows. Je to skreslený pohľad spôsobený tým, že útočníci sa viac zameriavajú na rozšírenejšie operačné systémy, pretože na ich používateľoch vedia viac zarobiť. Či už kradnutím reálnych peňazí alebo speňažovaním ukradnutých dát. Existuje mnoho príkladov Macových škodlivých kódov.

Mac však útočníkov nezaujíma len ako potenciálny cieľ, ale aj ako prenášač. Do zabezpečenej siete môže priniesť škodlivý kód, ktorý nie je zameraný na platformu Mac. Avšak tým, že tento Mac nebude chránený, vie Windowsový škodlivý kód preniesť do firemnej siete na Windowsové zariadenia, keďže je jej súčasťou - pripojí sa do siete, obíde sieťový firewall alebo sandbox a firemná sieť je úspešne infikovaná. To sa týka aj Linuxových a androidových zariadení, každé môže byť potenciálnym prenášačom nákazy ale aj jej cieľom.

Linux je nie len obľúbenou platformou na serveroch, je čoraz obľúbenejším operačných systémom v niektorých zahraničných vládnych sieťach a obzvlášť v SCADA systémoch. Ide o priemyselné kontrolné systémy používané v strategických odvetviach ako energetika, telekomunikácie, ropný priemysel, vodné hospodárstvo ale aj vo veľkých výrobných halách.



Mobilné zariadenia: bezpečnejší je iOS

Pri mobilných zariadeniach je situácia iná. Platforma iOS pre mobilné zariadenia Apple bola navrhnutá ako bezpečná z hľadiska vnútornej štruktúry. V iOS beží každá aplikácia vo vlastnom sandboxe s veľmi obmedzenými právami interakcie s inými aplikáciami. Ak jej používateľ explicitne právo tohto prístupu nedá, nemá ho. Nie je to ako napríklad vo Windowse, v ktorom každá aplikácia beží a priori pod systémovým účtom a má právo na celý systém. Je to dôvod, prečo pre iOS neexistujú bezpečnostné aplikácie, mali by totiž právo len samé na seba. Takáto aplikácia by preskenovala len samu seba a možno fotografie a zoznam kontaktov. Apple robí whitelisting aj vo svojom aplikačnom obchode a nepustí doň nič škodlivé. iOS by sa preto dal označiť ako bezpečnejší operačný systém. 

To však neplatí, ak je na zariadení vykonaný takzvaný jailbreak. Ten totiž odstraňuje niektoré bezpečnostné ochrany. Pri iOS zariadení tiež vyplýva riziko z jeho straty alebo krádeže. Zamestnanec má v ňom firemné e-maily, cenné kontakty a fotky z interných meetingov, pretože veľa ľudí si poznámky z tabule priamo vyfotí. Je v ňom teda mnoho potenciálne citlivých údajov, ktoré nie vždy musia byť najlepšie chránené. Niektorí zamestnanci totiž nemajú nastavený PIN, prípadne ako PIN používajú číselné reťazce 0000 alebo 1111.

Firma dokáže bezpečnosť vynucovať

Ako však vie firma, či je firemné zariadenie jailbreaknuté, prípadne či má zamestnanec prístup do Apple telefónu chránený aspoň rozumným PINom? Firma to dokáže cez Mobile Device Management riešenie (MDM), napríklad cez ESET Mobile Device Management pre Apple iOS. iOS používa Apple Mobile Device Management framework, v niektorých krajinách má aj Device Enrollment Program (DEP). Ten funguje už v Českej republike, na Slovensku zatiaľ nie. Firma kúpi iOS zariadenie už predenrollnuté v rámci svojej organizácie. V momente spustenia je zariadenie priamo pripojené do firemného MDM riešenia a je naň nainštalovaný bezpečnostný profil na základe špecifikácie firmy.

Firma má možnosť definovať, aké bezpečnostné nastavenie alebo stav od zariadenia očakáva. Napríklad, že nie je jailbreaknuté, má nastavený rozumný prístupový PIN v dĺžke minimálne 6 znakov (alebo vstup cez odtlačok prsta), ktorý zamestnanec v rozumnom intervale mení. Ak zariadenie tieto požiadavky nespĺňa, má firma na diaľku možnosť zakázať zariadeniu prístup k firemnej pošte alebo obmedziť jeho funkčnosť. Na diaľku je samozrejme možné takéto zariadenie aj premazať, lokalizovať a prepnúť do lost módu. To je užitočné napríklad pri strate alebo krádeži firemného iOS zariadenia. Prípadne po zistení, že zamestnanec vynáša údaje z firmy.

Android bezpečnostnú aplikáciu naozaj potrebuje

V prípade Androidu je otvorenosť systému väčšia, čo je v podstate aj primárny dôvod toho, prečo je potrebné mať na takomto zariadení bezpečnostnú aplikáciu. Platí tam tiež to, čo v prípade iOS. Aj v ňom má zamestnanec citlivé dáta, e-maily a fotky. Pre Android je k dispozícii viacero MDM riešení, ktoré vedia zabezpečiť, že zamestnancovi bude nanútená istá ochrana firemného Android zariadenia. Existuje napríklad riešenie Android for Work, čo je natívny ekosystém Googlu. Prípadne sú riešenia, ktoré bežia s administrátorskými právami vo vnútri zariadenia, ako napríklad ESET Endpoint Security pre Android. To však nemá len MDM funkcionalitu ale aj viacvrstvové funkcie bezpečnostnej aplikácie, ako napríklad ochranu pred škodlivým kódom alebo antiphishing. Google Play obchod, ktorý je hlavným zdrojom aplikácií pre Android, má oproti Apple obchodu menej prísne pravidlá a občas sa doň útočníkom podarí dostať škodlivé aplikácie. Zamestnanec s Androidom bez bezpečnostnej aplikácie teda dokáže takéto zariadenie infikovať aj bez toho, aby sa správal vyslovene nebezpečne.

Firma dokáže všetky zariadenia s ESET MDM riešením alebo bezpečnostným programom od spoločnosti ESET na diaľku komfortne monitorovať z webovej konzoly ESET Security Management Center. Je pritom jedno, či ide o zariadenia s Windowsom, Macom, Linuxom, Androidom alebo s iOS. Administrátora informuje nie len o tom, či je zariadenie (a tým pádom firemné dáta), zabezpečené správne, ale vie firmu promptne varovať, že sa v zariadení deje niečo, čo by sa diať nemalo. 

Prehľadné informácie o sieti, hardvéri i softvéri

Uvedená konzola však dokáže administrátorovi poskytnúť aj množstvo informácií o hardvéri jednotlivých počítačov, napríklad zariadenie, výrobcu, model, sériové číslo, procesor, RAM, miesto na disku a množstvo ďalšieho. Monitoruje taktiež všetok nainštalovaný softvér a čísla jeho verzií. Firme tak poskytuje ucelený a prehľadný pohľad na všetky zariadenia, hardvér, softvér a na prípadné bezpečnostné incidenty.

ESET Security Management Center je k dispozícii bezplatne k firemným riešeniam spoločnosti ESET.

Aby vám nič neuniklo, prihláste sa na odber aktuálnych bezpečnostných tipov pre lepšie zabezpečenie vašej firmy cez tento formulár
 


Bezpečnostná spoločnosť ESET pravidelne navštevuje svojich najväčších klientov v zahraničí a na Slovensku, aby sa priamo od nich dozvedela, ktorým bezpečnostným výzvam čelia a ako im môže pomôcť. Počas týchto návštev ESET identifikoval šesť najväčších bezpečnostných problémov veľkých firiem. V našom seriáli vysvetľujeme, čo každý problém zahŕňa a ako sa mu dá predchádzať.
 

 


Viac článkov k téme: