Video: Viewfinity (Ottobre 2024)
Il percorso più comune verso una violazione dei dati è di gran lunga l'uso improprio dei diritti amministrativi su un sistema di dati aziendali. Normalmente ciò avviene in due modi: il primo è rubare le credenziali di qualcuno con diritti amministrativi e il secondo è elevare i diritti di un utente esistente. Una volta compiuto uno dei due, il furto di dati viene spesso eseguito inserendo un'applicazione in background che sottrae i dati critici e li invia ai criminali che lo desiderano. I servizi basati su cloud di Viewfinity Privilege Management and Application Control ($ 20 per utente all'anno) mirano a prevenire entrambi questi scenari.
Innanzitutto, la parte di gestione dei privilegi di questa soluzione SaaS (Software-as-a-Service) controlla ogni macchina a cui ha accesso per gli utenti con diritti amministrativi e contrassegna chi li possiede. Quindi, controlla quei computer per qualsiasi modifica dello stato amministrativo. Le persone che già utilizzano uno scanner per la sicurezza della rete, come GFI LanGuard, troveranno la concentrazione di Viewfinity sulla gestione dei diritti un'utile aggiunta al loro portafoglio di scansioni poiché gli scanner tradizionali non sono generalmente attrezzati per cercare questo tipo di vulnerabilità. Un altro motivo è un'aggiunta particolarmente preziosa al set di strumenti di sicurezza esistente è il suo prezzo. All'interno dei confini di ciò che pretende di proteggere e monitorare, Viewfinity è uno strumento potente e capace che è facilmente alla pari con piattaforme di sicurezza di livello aziendale, come CloudPassage o Exabeam.
Inoltre, il software Application Control di Viewfinity fornisce una whitelist di applicazioni su ciascun computer endpoint, il che significa semplicemente un elenco di app che possono essere eseguite. Quelli che non sono nella lista bianca non possono essere eseguiti o possono funzionare con diritti limitati e accesso limitato alle risorse. Quando ho provato a eseguire applicazioni che richiedevano diritti amministrativi da un account senza di loro, mi è stato impedito di farlo e presentato con una finestra di messaggio che mi ha permesso di spiegare all'amministratore di sistema perché avevo bisogno dei diritti.
In effetti, Viewfinity impedisce agli utenti non autorizzati di ottenere diritti amministrativi e impedisce anche a quelli con credenziali amministrative di eseguire applicazioni che potrebbero contenere minacce. Tuttavia, poiché alcune applicazioni legittime eseguite su computer degli utenti finali richiedono diritti amministrativi per funzionare, Viewfinity può concedere diritti amministrativi solo a tali applicazioni, impedendo comunque all'account di un utente di disporre dei diritti di amministratore completi.
Preparazione
Iniziare con le applicazioni Viewfinity SaaS è semplice. Inserisci le informazioni di contatto di base nella console di Viewfinity, quindi conferma la tua esistenza rispondendo a un'email. Il sito in cui lo fai può essere sul server cloud di Viewfinity o può essere installato nella tua sede in un cloud privato. Ho testato la versione del software Viewfinity basata sul cloud pubblico.
Dopo aver stabilito te stesso con Viewfinity, il passaggio successivo è scaricare il primo agente su un computer Windows. Viewfinity supporta entrambe le versioni di Windows a 32 e 64 bit. Dovrai scaricare il file di installazione per qualsiasi versione di Windows che utilizzerai per la console di gestione.
Dopo aver scaricato e installato Viewfinity Agent (che utilizza il programma di installazione standard di Windows), ti verrà presentata la possibilità di installare agenti su altri computer della tua rete. Il processo di installazione dell'agente su altri computer di rete può avvenire tramite la schermata di distribuzione di Viewfinity Agent oppure può essere gestito dal metodo di distribuzione del software esistente come Microsoft System Center Configuration Manager (SCCM). Viewfinity Agent sulla workstation di gestione cercherà altri client sulla rete che può gestire in remoto. Se ne trova alcuni, Viewfinity Agent offrirà di installare agenti su quei computer.
Ho scoperto che sulle reti (inclusa la mia rete di test) in cui la sicurezza dell'endpoint è già elevata, Viewfinity potrebbe non essere in grado di installare gli agenti in remoto perché non è in grado di rilevarli. Per gestire questa eventualità abbastanza comune, Viewfinity Agent supporta anche il download dei programmi di installazione dell'agente su un'unità di memoria USB e l'utilizzo di questo per installare gli agenti, che era il metodo che ho usato in questo test. Se si desidera una soluzione meno intensiva, è possibile distribuire l'agente tramite la distribuzione del software di gestione aziendale, distribuirla tramite la console Viewfinity, utilizzare una condivisione di rete o inviarla tramite e-mail.
Una volta che almeno alcuni degli agenti sono stati distribuiti sulla rete, è necessario impostare la posta in arrivo sull'agente in esecuzione sulla workstation di gestione. La posta in arrivo consente di raccogliere eventi di sicurezza dagli altri client della rete e consente di concedere diritti amministrativi per le applicazioni che ne hanno bisogno. Viewfinity viene fornito con una serie di applicazioni e diritti predefiniti, ma questo deve essere modificato per soddisfare le esigenze specifiche della rete.
Dopo aver installato gli agenti Viewfinity sugli endpoint, gli utenti vedranno un'icona Viewfinity sui loro desktop. Facendo clic sull'icona, gli utenti accedono a una pagina che consente loro di richiedere un aumento dei privilegi. La richiesta viene visualizzata nella posta in arrivo della console di Viewfinity in cui l'amministratore può scegliere di approvarla ea quale livello.
Per l'amministratore, il processo di approvazione prevede il clic sul messaggio di richiesta nella posta in arrivo e la scelta se approvare o meno la richiesta. Se viene concessa l'approvazione, tale modifica viene ritrasmessa alla persona che effettua la richiesta e ha luogo la modifica del privilegio.
Ma l'amministratore ha anche altre opzioni. Viewfinity supporta una serie di funzioni forensi in modo che gli amministratori possano tenere d'occhio cosa è successo o cosa sta per accadere sulla rete. Ad esempio, è possibile indirizzare Viewfinity Agent a effettuare una registrazione delle azioni sull'endpoint remoto in modo da poter vedere esattamente cosa sta succedendo su quel computer. È inoltre possibile tenere traccia delle azioni eseguite su un endpoint, come sono state eseguite, come la persona ha effettuato l'accesso al computer per apportare le modifiche e chi le ha eseguite.
L'unico problema in questo processo è che Viewfinity sembra occasionalmente perdere traccia dei suoi plug-in necessari e apparirebbe una finestra che chiede di eseguire una riparazione. Fortunatamente ciò ha richiesto solo pochi secondi, ma inizialmente era sconcertante. Altrimenti, l'automazione delle politiche di Viewfinity e le capacità di auditing, insieme alla sua analisi forense, sono impressionanti.
Processo amministrativo
Viewfinity rende il processo amministrativo facile da seguire e personalizzabile. Puoi scegliere quali sei immagini di stato vengono visualizzate nella dashboard e puoi modificarle in base alle esigenze. Puoi anche facilitare la transizione da una rete in cui tutti sono amministratori sul proprio computer a uno in cui non lo sono. Viewfinity supporta ciò consentendo agli utenti di modificare i privilegi per alcune applicazioni stesse, quindi di passare a un ambiente in cui devono chiedere l'autorizzazione, per supportare infine una rete in cui la maggior parte delle applicazioni in esecuzione sono autorizzate e tutto il resto è bloccato.
Inoltre, Viewfinity può essere configurato in modo tale che gli utenti possano comunque installare ed eseguire alcune delle loro applicazioni preferite se non hanno effetti negativi sulla sicurezza della rete. Ciò significa che, se i tuoi lavoratori vogliono installare il solitario per l'uso durante le chiamate in conferenza o Rosetta Stone in modo che possano praticare il francese durante il pranzo, possono farlo.
Gli unici problemi che ho riscontrato durante il mio periodo con Viewfinity sarebbero stati risolti se avessi effettivamente letto le informazioni "Guida introduttiva" dal sito Web prima di avviare il processo. Una volta mi è venuto in mente che avrei dovuto farlo, l'intero processo di installazione era chiaro, veloce e facile. La maggiore difficoltà è derivata dal dover percorrere la distanza da un computer all'altro con un'unità di memoria USB ed eseguire l'installazione, ma nel mondo reale non dovresti farlo
Vale la pena notare che la definizione di Viewfinity di un endpoint include server e per questo motivo ho installato l'agente su Windows Server 2012 R2 dove funzionava perfettamente. Per la cronaca, anche l'agente funziona bene con Windows 10 sebbene abbia identificato la versione di anteprima come Windows 8.
Questo software vale il suo costo modesto, soprattutto considerando la sua efficacia. Dovrebbe essere sulla tua lista della spesa della rete.
