Firma HP Inc z końcem października br. wprowadziła Sure Access Enterprise (SAE), ogłaszając tym samym rozszerzenie możliwości ochrony, w ramach HP Wolf Security. SAE chroni użytkowników z uprawnieniami dostępu do wrażliwych danych, systemów i aplikacji. Nawet jeśli urządzenie końcowe użytkownika jest zagrożone, dostęp do wartościowych danych i systemów może pozostać bezpieczny. Oznacza to, że drobne naruszenia punktów końcowych nie przekształcają się w poważne zagrożenia.
SAE, dostępne zarówno dla urządzeń HP, jak i innych rozwiązań, wykorzystuje unikalną technologię izolacji zadań HP, dzięki której każda sesja dostępu do danych jest uruchamiana w ramach własnej, wzmocnionej sprzętowo maszyny wirtualnej (VM). Zapewnia to poufność i integralność udostępnianych danych, izolując je od złośliwego oprogramowania w systemie operacyjnym danego urządzenia. Użytkownicy mogą tym samym swobodnie prowadzić działania na swoim sprzęcie. Dzięki tym modyfikacjom, nie tylko poprawia się komfort użytkowników i zwiększa poziom ochrony, ale zmniejszają się również koszty utrzymania IT.
Uzyskanie dostępu do urządzenia, z którego korzysta użytkownik końcowy to krytyczny punkt w łańcuchu ataku. W takiej sytuacji atakujący może pozyskać dane uwierzytelniające, dostęp do uprawnień, przemieszczać się i zdobywać wrażliwe dane – komentuje Ian Pratt, Global Head of Security for Personal Systems w HP Inc. Sure Access Enterprise to wyjątkowe rozwiązanie, które zapobiega tej eskalacji, udaremniając działania atakujących.
Każda organizacja posiada w swoich strukturach kilka rodzajów użytkowników, którzy muszą codziennie uzyskiwać dostęp do wrażliwych danych, systemów i aplikacji. Są to zarówno administratorzy IT, pracownicy wsparcia IoT i OT, jak również zespoły obsługi klienta i finansowe.
Umożliwienie im wykonywania na tym samym komputerze zarówno zadań stosunkowo nieistotnych z punktu widzenia całej infrastruktury, jak i bardzo wrażliwych wiąże się z dużym ryzykiem. Nawet jeśli w przypadku kontroli dostępu do systemów wykorzystywane jest PAM (Privileged Access Management), to w przypadku naruszenia bezpieczeństwa punktu końcowego, atakujący mogą nadal uzyskiwać dostęp do takich sesji, wykradać wrażliwe dane i poświadczenia lub umieszczać w systemie złośliwy kod i polecenia (np. poprzez sekwencję naśladującą naciśnięcia klawiszy przez użytkownika, przechwytywanie schowka lub wykorzystanie malware memory scraping).
Najlepsze praktyki zakładają, że użytkownicy z dostępem do kluczowych danych otrzymają dedykowane stacje robocze Privileged Access Workstation (PAW), które są używane wyłącznie do zadań związanych z tym rodzajem dostępu. Jednak takie rozwiązanie jest uciążliwe dla użytkowników i zwiększa koszty IT związane z zakupem oraz zarządzaniem dwoma systemami.
SAE wykorzystuje zaawansowaną, wymuszoną sprzętowo wirtualizację do tworzenia chronionych maszyn wirtualnych, które są odizolowane od podstawowego systemu operacyjnego – nie może on przeglądać, kontrolować ani w jakikolwiek sposób wywierać wpływu na środowisko wirtualne. W ten sposób można zapewnić poufność
i integralność aplikacji oraz danych, bez ponoszenia dodatkowych kosztów operacyjnych i wdawania się w złożone procesy powiązane z wydzielaniem oddzielnych stacji roboczych.
Poprzez izolację zadań w chronionych maszynach wirtualnych, transparentnych dla użytkownika końcowego, Sure Access Enterprise przerywa łańcuch ataków – kontynuuje Pratt. Oprócz chronienia administratorów systemu mających dostęp do serwerów o dużej wartości, SAE można wykorzystać do zabezpieczenia innych wrażliwych zasobów, na przykład danych kart kredytowych, do których dostęp ma dział obsługi klienta w firmie handlowej, danych pacjentów w placówce opieki zdrowotnej lub połączeń z przemysłowym systemem sterowania w firmie produkcyjnej.
Sure Access Enterprise jest już dostępny na rynku, a wśród najważniejszych cech tego rozwiązania warto wyróżnić:
- Integrację z rozwiązaniami Privileged Access Management (PAM) (np. CyberArk, BeyondTrust), protokołami Internet Protocol Security (IPSec) oraz uwierzytelnianie wieloskładnikowe (MFA).
- Scentralizowane zarządzanie umożliwiające podział obowiązków i elastyczne opcje polityki – takie jak blokowanie połączeń z określonymi komputerami lub użytkownikami oraz wymaganie aktywacji HP Sure View w celu zapewnienia prywatności.
- Niezawodność podpartą najnowszymi technologiami Intel®, zapobiegającymi omijaniu zabezpieczeń przez złośliwe oprogramowanie.
- Szyfrowane, odporne na manipulacje rejestrowanie sesji w celu śledzenia dostępu bez zapisywania danych wrażliwych lub poświadczeń, co ułatwia zachowanie zgodności z przepisami.
