Komputer pracownika w starciu z cyberprzestępcą. Jak zapewnić bezpieczeństwo urządzeń i firmowych danych?

Praca zdalna spodobała się pracownikom. Home office to jednak nie tylko wygoda, ale i zagrożenie. Liczba cyberataków rośnie, a hakerzy bez skrupułów wykorzystują to, że pracownicy łączą się z siecią firmową z nieodpowiednio zabezpieczonych urządzeń. Jak skutecznie zadbać o bezpieczeństwo komputerów, smartfonów i tabletów?

W 2021 roku tygodniowa liczba ataków wzrosła w porównaniu do roku 2020 o 50%. Rosną też koszty, jakie firmy ponoszą w związku z działaniami cyberprzestępców. Z raportu IBM Data Breach Investigation wynika, że średni koszt naruszenia danych wyniósł w ubiegłym roku 4,24 mln dolarów.

Hakerzy są coraz aktywniejsi, a sprzyja im także nowy model pracy. Wiele przedsiębiorstw wprowadziło na stałe pracę hybrydową. Co ważne, zdalnie pracują także zespoły IT, które mają większy dostęp do kluczowych zasobów firmy. Według danych No Fluff Jobs w Polsce aż 74,6% specjalistów IT pozostaje na home office w pełnym wymiarze etatu.

– W czasach powszechnej pracy zdalnej szczególnie ważne jest bezpieczeństwo punktów końcowych, czyli każdego sprzętu używanego przez pracowników, kontrahentów czy klientów zewnętrznych do tego, by dostać się do zasobów i aplikacji naszej firmy. Każdy z nich, a mówię o komputerach stacjonarnych, laptopach, serwerach, stacjach roboczych, smartfonach i tabletach, jest potencjalnym punktem cyberataku – tłumaczy Krzysztof Andrian, prezes zarządu Concept Data.

Jak skutecznie chronić punkty końcowe?

Ochrona komputerów pracowników nie jest oczywiście nowym tematem. Firmy od lat korzystają z zapór sieciowych, sieci VPN, rozwiązań do zarządzania punktami końcowymi czy programów antywirusowych. Ich celem jest ochrona poufnych informacji i zapobieganie nieautoryzowanemu dostępowi do aplikacji i zasobów, a także chronienie przez złośliwym oprogramowaniem i innymi podatnościami.

Takie zabezpieczenia to dziś jednak często za mało.

Po pierwsze – zmieniają się same ataki. Cyberprzestępcy coraz rzadziej korzystają z wirusów czy koni trojańskich, by zainfekować urządzenie i dostać się do firmowej sieci. Częściej wybierają ataki z wykorzystaniem podatności zero-day czy ataki bezplikowe. W tym przypadku klasyczny antywirus jest zwyczajnie bezsilny.

Po drugie – przedsiębiorstwa powszechnie stosują w codziennej pracy aplikacje mobilne czy usługi w chmurze, a korzystanie z nich stanowi nowe wyzwanie dla bezpieczeństwa i wymaga innego rodzaju środków ochrony.

Po trzecie – sami pracownicy pomagają cyberprzestępcom, klikając w linki, które przychodzą do nich w mailach, SMS-ach czy innych komunikatorach, i tym samym instalując na swoich urządzeniach złośliwe oprogramowanie.

By odnaleźć się w tym nowym środowisku, przedsiębiorstwa coraz częściej wprowadzają nowe podejście do ochrony punktów końcowych, obejmujące szerszy zakres kontroli bezpieczeństwa. Jego podstawą są systemy EDR oraz EPM.

EDR i EPM, czyli bezpieczeństwo nowej generacji

Czym są i jak działają systemy klasy EDR i EPM?

Systemy Endpoint Detection and Response (EDR) to narzędzia służące do proaktywnego identyfikowania i badania podejrzanej aktywności na urządzeniach końcowych. Większość rozwiązań EDR stale monitoruje, rejestruje i analizuje takie zdarzenia, pomagając w skutecznym wykrywaniu i ograniczaniu zaawansowanych zagrożeń, nawet takich ukrytych w pamięci komputera. EDR działa dzięki wdrożonym na końcówkach agentom. Co bardzo ważne – daje zespołom ds. bezpieczeństwa IT dużą widoczność i wiedzę o tym, co dzieje się na lokalnych stacjach roboczych i serwerach. Pozwala łatwiej gromadzić informacje i odpowiednio reagować na incydenty. Ułatwia też zrozumienie przyczyny zagrożenia.

Systemy Endpoint Privilege Management (EPM) pozwalają zarządzać uprawnieniami w taki sposób, by przyznawać użytkownikom i procesom minimalny zestaw uprawnień, tylko taki, który jest im potrzebny do wykonywania wymaganych zadań. Taka zasada najmniejszych przywilejów usuwa lokalne prawa administratora na serwerach i komputerach osobistych, ograniczając uprawnienia dostępu do autoryzowanych użytkowników i aplikacji. Rozwiązania tej klasy wprowadzają także tzw. Application Control, czyli możliwość tworzenia bezpiecznych (tzw. white list) lub zabronionych (tzw. black list) list aplikacji. Dodatkową elastyczność daje możliwość zdefiniowania niezaakceptowanych aplikacji i polityk obsługi wyjątków (tzw. grey list).

– Białe i czarne listy, obsługiwane przez systemy EPM, to duże ułatwienie w przypadku zabezpieczania urządzeń. Pozwalają na zdefiniowanie tych aplikacji, które można uruchomić na danym urządzeniu. Użytkownik nie będzie zatem mógł otworzyć aplikacji spoza listy. Co to oznacza? Nawet jeśli kliknie w niebezpieczny link, którego celem jest zainstalowanie złośliwego oprogramowania, nic się nie stanie. Bo to oprogramowanie się na jego urządzeniu nie uruchomi – dodaje Krzysztof Andrian.

Nowe sposoby pracy i coraz szersza gama urządzeń, z których korzystają pracownicy, zmuszają przedsiębiorców do przemyślenia swoich polityk bezpieczeństwa. Technologie dostępne dziś na rynku pozwalają jednak skutecznie ochronić komputery, tablety czy smartfony przed cyberatakami. Warto po nie sięgnąć.

Więcej o bezpiecznej pracy zdalnej:

Bezpieczna i wydajna praca zdalna. Jakie narzędzia wybrać?

Bezpieczny dostęp do danych firmowych. Jak ułatwić pracę zdalną i wspomóc działy IT?

Bezpieczny dostęp do danych. Dlaczego jest teraz taki ważny i jak go wprowadzić w firmie

Co jeśli nie VPN? Czyli dlaczego warto sięgnąć po rozwiązania w duchu Zero Trust