Η HP ανακοίνωσε βελτιώσεις στο χαρτοφυλάκιο του HP Wolf Security για την προστασία endpoint συσκευών, με την κυκλοφορία του Sure Access Enterprise (SAE). Το SAE προστατεύει τους χρήστες με δικαιώματα πρόσβασης σε ευαίσθητα δεδομένα, συστήματα και εφαρμογές. Αποτρέπει τους εισβολείς από το να παραβιάσουν αυτές τις προνομιακές περιόδους σύνδεσης – ακόμα κι αν η endpoint συσκευή των χρηστών έχει παραβιαστεί, η πρόσβαση σε δεδομένα και συστήματα υψηλής αξίας μπορεί να παραμείνει ασφαλής. Αυτό εμποδίζει τις μικρές παραβιάσεις να μετατρέπονται σε σοβαρά περιστατικά ασφάλειας.
Διαθέσιμο τόσο για συσκευές HP όσο και για άλλων κατασκευαστών, το SAE αξιοποιεί τη μοναδική τεχνολογία της HP task Isolation για την εκτέλεση κάθε προνομιακής συνεδρίας μέσα από τη δική της hardware-enforced εικονική μηχανή (VM). Αυτό διασφαλίζει την εμπιστευτικότητα και την ακεραιότητα των δεδομένων στα οποία διατίθεται πρόσβαση, απομονώνοντάς τα από οποιοδήποτε κακόβουλο λογισμικό στο λειτουργικό σύστημα end point συσκευών. Οι χρήστες είναι ελεύθεροι να διεξάγουν προνομιακές, μη προνομιακές και προσωπικές δραστηριότητες με ασφάλεια από ένα μηχάνημα. Αυτό βελτιώνει την εμπειρία χρήστη, μειώνει τα γενικά έξοδα των τμημάτων πληροφορικής και ενισχύει την προστασία.
«Η απόκτηση πρόσβασης στη συσκευή ενός προνομιούχου/ διαβαθμισμένου χρήστη είναι ένα κρίσιμο βήμα στην αλυσίδα επίθεσης. Με αυτό τον τρόπο, ένας εισβολέας μπορεί να αφαιρέσει διαπιστευτήρια, να κλιμακώσει τα προνόμια, να κινηθεί «πλαγίως» και να έχει πρόσβαση σε ευαίσθητα δεδομένα.” σχολιάζει ο Ian Pratt, Global Head of Security for Personal Systems της HP Inc. «Το Sure Access Enterprise είναι μια μοναδική λύση που αναστέλλει αυτήν την κλιμάκωση, αποτρέποντας τους εισβολείς».
Οι οργανισμοί έχουν διάφορους τύπους χρηστών που πρέπει να έχουν καθημερινή πρόσβαση σε ευαίσθητα δεδομένα, συστήματα και εφαρμογές. Αυτοί οι χρήστες ενδέχεται να είναι οι διαχειριστές των τμημάτων πληροφορικής, το προσωπικό υποστήριξης IoT και OT, οι ομάδες υποστήριξης πελατών και τα οικονομικά τμήματα.
Το να επιτρέπεται σε αυτούς τους χρήστες να εκτελούν αδιαβάθμητες και «απόρρητες» εργασίες στον ίδιο υπολογιστή ενέχει σημαντικό κίνδυνο. Ακόμα κι αν χρησιμοποιείται ένα σύστημα Privileged Access Management (PAM) για τον έλεγχο της πρόσβασης σε απόρρητα συστήματα, οι εισβολείς μπορούν ενδεχομένως να αποκτήσουν πρόσβαση, να αποσπάσουν ευαίσθητα δεδομένα και διαπιστευτήρια ή να εισαγάγουν κακόβουλο κώδικα και εντολές (π.χ. απόξεση μνήμης) εάν η end point συσκευή έχει παραβιαστεί.
Η παραδοσιακή βέλτιστη πρακτική ήταν να χορηγούνται σε προνομιούχους/ διαβαθμισμένους χρήστες προσωπικοί Privileged Access Workstations (PAW) που χρησιμοποιούνται αποκλειστικά για ευαίσθητες εργασίες. Ωστόσο, αυτό ενοχλεί τους χρήστες και αυξάνει τα γενικά έξοδα των τμημάτων πληροφορικής για την αγορά και τη διαχείριση δύο συστημάτων.
Το SAE χρησιμοποιεί προηγμένο hardware-enforced virtualization με χρήση υλικού για τη δημιουργία προστατευμένων VM που είναι απομονωμένα από το λειτουργικό σύστημα επιφάνειας εργασίας και ως εκ τούτου δεν μπορούν να προβληθούν, να επηρεαστούν ή να ελεγχθούν από αυτό. Έτσι, μπορούν να διασφαλιστούν η εμπιστευτικότητα και η ακεραιότητα της εφαρμογής και των δεδομένων μέσα στο προστατευμένο VM, χωρίς το λειτουργικό κόστος και την πολυπλοκότητα της έκδοσης ξεχωριστού PAW.
«Με την απομόνωση εργασιών σε προστατευμένα VM, για τα οποία υπάρχει διαφάνεια στον τελικό χρήστη, το Sure Access Enterprise ανακόπτει την αλυσίδα επίθεσης», συνεχίζει ο Pratt. «Εκτός από την προστασία των Διαχειριστών Συστήματος που έχουν πρόσβαση σε διακομιστές υψηλής αξίας, το SAE μπορεί να χρησιμοποιηθεί για την προστασία ευαίσθητων δεδομένων όπως -για παράδειγμα-, των στοιχείων πιστωτικής κάρτας στα οποία έχει πρόσβαση η υποστήριξη πελατών σε καταστήματα λιανικής, την πρόσβαση σε δεδομένα ασθενών τα οποία βρίσκονται στην κατοχή παρόχων υγειονομικής περίθαλψης ή την σύνδεσης στο Σύστημα Βιομηχανικού Ελέγχου σε κατασκευαστές»
Το Sure Access Enterprise είναι διαθέσιμο και διαθέτει:
- Ισχυρές ενσωματώσεις με λύσεις προνομιακής διαχείρισης πρόσβασης (PAM) (π.χ. CyberArk, BeyondTrust), συστήματα απομακρυσμένης πρόσβασης IPSec και Έλεγχο Ταυτότητας Πολλαπλών Παραγόντων (MFA).
- Κεντρικοποιημένη διαχείριση για την ενεργοποίηση του διαχωρισμού των καθηκόντων και των ευέλικτων επιλογών πολιτικής απορρήτου – όπως το κλείδωμα συνδέσεων σε συγκεκριμένους υπολογιστές ή χρήστες ή η απαίτηση ενεργοποίησης του HP Sure View για ιδιωτικότητα.
- Hardware root of trust, που υποστηρίζεται από τις πιο πρόσφατες τεχνολογίες Intel®, για την αποτροπή του κακόβουλου λογισμικού από την παράκαμψη των ελέγχων ασφαλείας.
- Κρυπτογραφημένη, ανθεκτική σε παραβιάσεις καταγραφή συνεδρίας για παρακολούθηση της πρόσβασης, χωρίς εγγραφή ευαίσθητων δεδομένων ή διαπιστευτηρίων, διευκολύνοντας τη συμμόρφωση.