Войти
Проблема конечного узла возникает, когда отдельные компьютеры используются для конфиденциальной работы и / или временно становятся частью надежной, хорошо управляемой сети / облака, а затем используются для более рискованных действий и / или присоединитесь к ненадежным сетям. (Отдельные компьютеры на периферии сетей / облаков называются конечными узлами.) Конечные узлы часто не управляются в соответствии с высокими стандартами компьютерной безопасности доверенной сети. Конечные узлы часто имеют слабое / устаревшее программное обеспечение, слабые инструменты безопасности, чрезмерные разрешения, неправильные конфигурации, сомнительный контент и приложения, а также скрытые атаки. Перекрестное заражение и несанкционированный выпуск данных из компьютерной системы становится проблемой.
В обширной киберэкосистеме эти конечные узлы часто временно подключаются к одному или нескольким облакам / сетям, некоторые из которых заслуживают доверия, а другие нет. Несколько примеров: корпоративный настольный компьютер, просматривающий Интернет, корпоративный ноутбук, проверяющий веб-почту компании через открытую точку доступа Wi-Fi кофейни, персональный компьютер, используемый для удаленной работы днем и игр ночью, или приложение в смартфоне / планшете (или в любой из предыдущих комбинаций использования / устройства). Даже если они полностью обновлены и жестко заблокированы, эти узлы могут пересылать вредоносное ПО из одной сети (например, поврежденную веб-страницу или зараженное сообщение электронной почты) в другую, уязвимую сеть. Аналогичным образом конечные узлы могут извлекать конфиденциальные данные (например, регистрировать нажатия клавиш или снимок экрана ). Предполагая, что устройство полностью заслуживает доверия, конечный узел должен предоставить средства для правильной аутентификации пользователя. Другие узлы могут выдавать себя за доверенные компьютеры, таким образом требуя аутентификации устройства. Устройству и пользователю можно доверять, но в ненадежной среде (как определено по обратной связи встроенных датчиков). В совокупности эти риски называются проблемой конечного узла. Есть несколько средств защиты, но все они требуют создания доверия в конечном узле и передачи этого доверия в сеть / облако.
Облачные вычисления может быть охарактеризован как обширный, казалось бы, бесконечный массив обработки и хранения, который можно арендовать со своего компьютера. В последнее время внимание СМИ сосредоточено на безопасности в облаке. Многие считают, что реальный риск заключается не в хорошо контролируемом, круглосуточно управляемом и полностью избыточном облачном хосте, а во многих сомнительных компьютерах, которые обращаются к облаку. Многие такие облака сертифицированы FISMA, тогда как подключенные к ним конечные узлы редко настраиваются на какой-либо стандарт.
С 2005 по 2009 год наибольший и растущие угрозы личным и корпоративным данным, исходящие от использования персональных компьютеров пользователей. Организованные киберпреступники сочли более выгодным внутреннее использование множества слабых персональных и рабочих компьютеров, чем атаковать через сильно укрепленные периметры. Одним из распространенных примеров является кража доступа к учетной записи онлайн-банкинга малого бизнеса.
Чтобы устранить проблему с конечным узлом, разрешите подключаться к вашей сети / облаку только авторизованным пользователям на надежных удаленных компьютерах в безопасных средах.. Есть много способов добиться этого с помощью существующих технологий, каждый с разным уровнем доверия.
Многие компании выпускают обычные ноутбуки и разрешают удаленное подключение только этим конкретным компьютерам. Например, Министерство обороны США разрешает своим удаленным компьютерам подключаться к своей сети только через VPN (без прямого просмотра Интернета) и использует двухфакторную аутентификацию. Некоторые организации используют серверные инструменты для сканирования и / или проверки компьютера конечного узла, например, для связи с Trusted Platform Module (TPM) узла.
Гораздо более высокий уровень доверия можно получить, выполнив неизменяемый, защищенный от взлома клиент без локального хранилища, что позволяет ему подключаться только после аутентификации устройства и пользователя, удаленно предоставляя ОС и программное обеспечение (через PXE или Etherboot ), а затем только с удаленного рабочего стола или доступа через браузер к конфиденциальным данным.
Менее затратный подход - доверять любому оборудованию (корпоративному, правительственному, личному или общедоступному), но предоставлять известное ядро и программное обеспечение и требовать строгой аутентификации пользователь. Например, инициатива DoD по защите программного обеспечения предлагает Lightweight Portable Security, LiveCD, который загружается только в ОЗУ, создавая нетронутый, непостоянный конечный узел. при использовании программного обеспечения Common Access Card для аутентификации в сетях DoD.
