Sanctuary Device Control - Lumension Security - CyProtect AG Deutschland

Kontrolle aller Peripheriegeräte zur Vermeidung von Datenverlust

Datenverlust - dieses Problem hat aufgrund der unsachgemäßen und in manchen Fällen sogar unrechtmäßigen Nutzung mobiler Mediengeräte inzwischen ein alarmierendes Ausmaß erreicht. Neueren Sicherheitsberichten zufolge hatten 75 Prozent aller Fortune 1000-Unternehmen im Jahr 2006 einen Datenverlust zu verzeichnen¹, wobei die Kosten für eine Datenwiederherstellung im Durchschnitt über 5.000.000 US-Dollar lagen.²

Sanctuary Device Control ermöglicht eine policybasierte Kontrolle der gesamten Gerätenutzung. Damit lässt sich jeglicher Datenverlust über mobile Geräte ausgrenzen, denn der ein- und abgehende Datenfluss an den Endpunkten wird umfassend gesteuert. Im Hinblick auf die Schnittstellensicherheit gewährleistet Sanctuary Folgendes:

Kontrolle und Verwaltung sämtlicher E/A-Geräte an allen Ports - USB, Firewire, WIFI, Bluetooth usw.
Verhinderung von Datendiebstahl/Datenverlust
Verhinderung der Einführung von Malware über mobile Medien
Auditing der E/A-Gerätenutzung
Blockierung von Key-Loggern (sowohl PS2 als auch USB)
Verschlüsselung mobiler Medien
Gewährleistung der Regelkonformität

1. 2006, CSI/FBI-Studie zu Computerverbrechen und -sicherheit
2. Studie des Ponemon Institute zu den Kosten für Einbrüche in die Datensicherheit 2006

Einführung

Mit Sanctuary Device Control erhalten Sie umfassende Kontrolle über die Speichergeräte, die die Benutzer an Ihre Netzwerkkomponenten anzuschließen versuchen. Die detaillierten, policybasierten Kontrollfunktionen tragen zu einer wesentlich Begrenzung des Risikos von Datendiebstahl, Datenverlust und Einschleusung von Malware über nicht autorisierte mobile Medien bei. Gleichzeitig wird Konformität mit der gesamten Fülle an Regelungen in Bezug auf Datenschutz und Rechenschaftspflicht gewährleistet.

Proaktives Konzept für die USB-Sicherheit

In Büroräumen auf der ganzen Welt zirkuliert eine Unmenge von Hardware – USB-Memory-Sticks, externe FireWire-Festplatten, Scanner, Audio-Player, Digitalkameras, PDAs, CD/DVD-Brennlaufwerke und vieles andere mehr. Die Verbreitung dieser Hardware multipliziert die Bedrohungen, die durch Außenstehende oder interne Benutzer gegeben sind, nämlich durch die Verwendung von Geräten, die die Sicherheit kritischer Daten in Frage stellen können.

Durch den Rückgriff auf ein Whitelist-Konzept gestattet Sanctuary ausschließlich autorisierten Geräten den Zugriff auf Netzwerke, Laptops oder PCs. Dadurch gestaltet sich das Sicherheits- und Systemmanagement um einiges einfacher, gleichzeitig bleibt die für das Unternehmen erforderliche Flexibilität gewährleistet.

Einfachheit, Schnelligkeit und Flexibilität bei Administration und Management

Sanctuary ermöglicht Administratoren die Erstellung und Umsetzung von Policies zur Gerätekontrolle in kürzester Zeit: Nach der Identifizierung aller Geräte können direkt entsprechende Zugriffsberechtigungen auf höchster Ebene bzw. auf der erforderlichen Detailebene bis hin zu einer bestimmten Anwendung an einzelne Benutzer, an Benutzergruppen oder selbst an spezifische Rechner erteilt werden. Zur Kontrolle der Gerätenutzung kann im Rahmen der Policies nach Bedarf auf zeitliche Begrenzung, Verschlüsselung, Datenvolumen, Datentransfer und zahlreiche andere Kriterien zurückgegriffen werden. Sanctuary verknüpft die vorhandenen Anwendungs- und Gerätepolicies mit den in Microsoft Active Directory oder Novell eDirectory gespeicherten Benutzer- und Benutzergruppendaten, darüber hinaus wird zusätzlich zum traditionellen Windows-Betriebssystem für Server und Desktops Unterstützung für Windows Embedded-Plattformen geboten. Dadurch trägt die Lösung zu einer wesentlichen Vereinfachung der Verwaltung der Anwendungsressourcen an den Endpunkten bei.

Sanctuary ermöglicht die Kontrolle einer breiten Palette von Geräten, die sich als grundlegende Quelle für Sicherheitseinbrüche erweisen, und übernimmt darüber hinaus die Verwaltung und das Auditing der Gerätenutzung nach Gerätetyp und nicht nach der jeweiligen Verbindungsart. Nach Bedarf kann Sanctuary Device Control für eine vollständige Blockierung der USB-Ports bzw. jedes anderen Porttyps (Bluetooth, FireWire, IrDA, WiFi usw.) konfiguriert werden. Auch die Verweigerung des Zugriffs auf jede beliebige Gerätekategorie ist möglich, ungeachtet der Art und Weise, in der die Zugriffsversuche erfolgen. Anhand detaillierter Policies lassen sich die Zugriffsberechtigungen (Lesen/Schreiben) auf ein einziges Gerätemodell oder eine identifizierbare Einheit pro Benutzer oder Benutzergruppe begrenzen.

Bedarfsgerecht skalierbare USB-Sicherheit

Die dreistufige Architektur und die Fähigkeit zum Lastausgleich machen Sanctuary zur perfekten USB-Sicherheitslösung für Unternehmen jeder Größenordnung – von 50 bis hin zu 100.000 Endpunkten. Durch die Integration mit Active Directory oder eDirectory lässt sich Sanctuary problemlos in die bestehende Infrastruktur und den vorhandenen logischen Aufbau integrieren. Sanctuary bietet ebenfalls Unterstützung für Windows Embedded-Plattformen, um auch für die wachsende Anzahl exponierter Embedded-Geräte effektiven Schutz bereitstellen zu können.

Umfassende Sicherheits- und Auditing-Funktionen für USB-Geräte

Durch den Rückgriff auf die zum Patent angemeldete bidirektionale I/O-Shadowing-Technologie von Sanctuary können alle Informationen aufgezeichnet werden, die von Disketten, CDs/DVDs und mobilen Geräten eingelesen bzw. darauf geschrieben werden. Darüber hinaus steht ein umfassendes Audit-Protokoll zu sämtlichen Ereignissen bereit, ob es sich nun um genehmigte Aktionen oder unzulässige, gescheiterte Versuche handelt, einschließlich Zugriffsversuche durch nicht autorisierten Code. Auch alle Schreibaktionen auf mobile Medien und spezifische Ports werden festgehalten. Als zusätzliche Option kann sogar eine vollständige Kopie der auf ein Gerät geschriebenen bzw. davon ausgelesenen Daten erfasst und gespeichert werden.

Audit-Protokolle sind nicht nur von unschätzbarem Wert für die Beurteilung und Durchsetzung der Policy-Konformität, sondern stellen darüber hinaus alle Informationen in gebündelter Form bereit, die Sie für den Nachweis Ihrer Konformität mit einer ganzen Reihe gesetzlicher Regelungen benötigen, z. B. dem Sarbanes-Oxley Act von 2002 (SOX), dem Gramm-Leach-Bliley Act (GLBA) oder dem Health Insurance Portability and Accountability Act (HIPAA).

Features und Vorteile

Feature	Funktion	Vorteil
Whitelist	Benutzern oder Benutzergruppen werden Zugriffsberechtigungen für autorisierte Geräte und Applikationen zugewiesen - Standardmäßig gilt: Keine Autorisierung, kein Zugriff.	Verhindert die Nutzung unbekannter Anwendungen bzw. unerwünschter Geräte in Ihrem Netzwerk und reduziert das Risiko von Datenverlust und Malware. Hierdurch lässt sich auch die Stabilität des Netzwerks verbessern.
Integrierte Sanctuary-Konsole	Zentrale Verwaltungskonsole für die Konfiguration und Verwaltung von Regeln zur Kontrolle von Anwendungen und Geräten	Vereinfacht die Konfiguration von Anwendungen und die Verwaltung von Geräten mit Hilfe umfangreicher Logging- Möglichkeiten durch die Verknüpfung von Geräten, Dateien, Anwendungen und deren Benutzer innerhalb einer Oberfläche.
Benutzerdefinierte Benachrichtigungen bei Zugriffsverweigerung	Anpassbare Meldungen, die für den Benutzer angezeigt werden und diesen über die Verweigerung eines Zugriffs informieren.	Ermöglicht die Übermittlung unternehmens - spezifischer Anweisungen, z. B. Informationen für die Kontaktaufnahme mit dem Helpdesk.
Unterstützung mehrerer Sprachen für die Client-Oberfläche	Auf den Sanctuary-Clientrechnern werden 12 Sprachen unterstützt	Vereinfacht die Arbeit für Benutzer in internationalen Unternehmen
Offline-Aktualisierung der Berechtigungen	Export der Berechtigungen in eine Datei für den Import auf Offline-Rechnern.	Ermöglicht die Aktualisierung von Offline-Clientsystemen mit den aktuellen Sanctuary-Berechtigungen.
Einheitliche Protokollverwaltung und Berichterstellung	Die Protokolle von Sanctuary Device Control und Application Control werden in einem gemeinsamen Format gespeichert und angezeigt.	Ermöglicht eine überaus leistungsstarke forensische Analyse, da die genaue Beziehung zwischen Gerät, Anwendungsnutzung, Shadow-Datei und Benutzern gebildet werden kann.
Leistungsstarke und flexible Logging-Möglichkeiten und Berichterstellung	Detaillierte Logging-Möglichkeiten mit flexiblen Filter-, Sortier- und Anzeigeoptionen und gespeicherten Abfragevorlagen sowie zentraler Berichterstellung	Ermöglicht die Sicherstellung der Policy-Übereinstimmung sowie das Einschreiten bei verdächtigem Verhalten im Hinblick auf die Ergreifung rechtlicher oder verwaltung - stechnischer Schritte.
Gespeicherte Vorlagen für die Protokollabfrage	Es stehen vordefinierte Vorlagen zur Verfügung. Zudem kann die Konfiguration jeder beliebigen Protokollabfrage gespeichert werden.	Ermöglicht eine schnelle und einfache Prüfung der Protokolle in regelmäßigen Zeitabständen.
Export von Protokolldateien	Angezeigte Protokolleinträge können im Dateiformat CSV gespeichert werden.	Bietet die erforderliche Flexibilität für die Prüfung und Analyse von Protokollen in allen CSV-kompatiblen Anwendungen.
Dateikompression	Dateien werden in einem komprimierten Format zwischen Client und Server sowie zur Managementkonsole gesendet. Außerdem werden Shadow-Dateien für die Speicherung komprimiert.	Ermöglicht eine Optimierung der Netzwerkbandbreite sowie eine Steigerung der Effizienz, da weniger Speicherplatz in Anspruch genommen wird. Gleichzeitig wird das Abrufen von Dateien auf entfernten Servern beschleunigt.
Schutz für offline/entfernte Computer	Konstanter Schutz durch die Verwaltung einer lokalen Kopie der letzten Hash- und Berechtigungsliste auf jedem offline Rechner.	Ermöglicht den Schutz der Rechner ungeachtet der Netzwerkverbindung, so dass sichergestellt werden kann, dass auch entfernte oder nicht verbundene Benutzer geschützt sind.
Dezentrale Dateispeicherung	Die Shadow-Dateien, Scans und Protokolldateien werden auf dem jeweiligen Sanctuary-Anwendungsserver gespeichert. Zentraler Zugriff über die Management-Konsole bleibt gewährleistet	Reduziert die für die Übertragung und Speicherung von Dateien in großen oder komplexen Unternehmen erforderliche Bandbreite.
Unterstützung von Active Directory und eDirectory	Unterstützung von Active Directory und eDirectoryDie bereits vorhandenen Benutzer- und Benutzergruppen - definitionen in Microsoft Active Directory und Novell eDirectory werden genutzt.	Umgeht den doppelten Arbeitsaufwand bei der Definition von Benutzern / Benutzergruppen für die Zugriffskontrolllisten und reduziert dadurch den Aufwand bei der Konfiguration und laufenden Instandhaltung.
Hochskalierbare Architektur	Three-Tier-Architektur mit Datenbank, einem oder mehreren Applikationsservern und Clients.	Ermöglicht die flexible und hochskalierbare Gestaltung grosser und komplexer Netzwerke.
Silent-Installation ohne Eingriff	Installation mit Hilfe beliebiger Implementierungstools mit MSI-Setup (z. B. Microsoft Systems Management Server (SMS), Group Policies, WinInstall usw.)	Beschleunigt und vereinfacht die Implementierung.
Audit der Administratoraktionen	Vollständiges Auditing und umfassende Berichterstellung für alle Aktionen des Administrators	Untermauert die Regelkonformität und stellt dadurch sicher, dass die Konfiguration nach wie vor intakt ist. Darüber hinaus kann ein potenzieller Missbrauch oder Schulungsbedarf identifiziert werden.
Log Reporting	Bericht über alle Aktivitäten, die am Client aufgetreten sind zur Identifizierung nicht autorisierter Anwendungen und Geräte.	Untermauert die Einhaltung der rechtlichen Vorschriften und dokumentiert verdächtiges Verhalten für entsprechende rechtliche oder betriebliche Maßnahmen
Differentielle Updates	Ausschliesslich Veränderungen von Richtlinien oder Application Control-Dateisignaturen werden an die Clients verschickt.	Optimiert die Leistung in einem hochgradig dezentralen Netzwerk und/oder die Arbeit über eine eher langsame Netzwerkverbindung.
Automatisierte Aktualisierung der Berechtigungen	Neue Berechtigungen werden bei der Anmeldung, stündlich und bei einer Änderung des Netzwerk-Verbindungsstatus aktualisiert. Anwendungsdatei-Signaturen werden bei jeder Anmeldung aktualisiert.	Ermöglicht die Automatisierung von Policy-Aktualisierungen, für die keinerlei Eingriff seitens des Benutzers erforderlich ist. Dadurch wird sichergestellt, dass die Benutzer stets mit den neuesten Policies arbeiten.
Direkte Umsetzung von Berechtigung - sänderungen	Änderungen von Zugriffsberechtigungen für Anwendungen können direkt auf einen oder mehrere Benutzer angewendet werden.	Ermöglicht die unmittelbare Implementierung neuer Richtlinien in Bezug auf Nutzung von Anwendungen und Geräten– ein Neustart oder Neuaufbau der Netzwerkverbindung ist nicht erforderlich
Berechtigungen auf der Grundlage einer Zugriffskontrollliste (Access Control List, ACL)	Zugriffsberechtigungen für Geräte, die sich für Benutzer bzw. Benutzergruppen vergeben lassen, basierend auf Active Directory oder eDirectory.	Ermöglicht die Erstellung detaillierter Zugriffsrechte für die Benutzer unabhängig vom Arbeitsplatz
Variable Berechtigungsvergabe im Rahmen der Gerätekontrolle	Mögliche Berechtigungseinstellungen: Lese-/Schreibzugriff, zeitlich begrenzter Zugriff, Online/Offline-Nutzung, spezifische Schnittstellen, HDD/Nicht-HDD-Geräte u.v.a.	Eliminiert das Risiko eines Zugriffs auf das Netzwerk durch nicht autorisierte Geräte und stattet gleichzeitig die Benutzer mit der für ihre Tätigkeit erforderlichen Flexibilität aus.
Eindeutige Identifizierung und Autorisierung bestimmter Medien	Bestimmte DVD/CD-ROMs können für den Zugriff von Benutzern oder Benutzergruppen autorisiert und Wechseldatenträger verschlüsselt werden.	Verringert den Zugriff auf nur im Unternehmen erlaubte DVDs und CD-ROMs. Verhindert Zugriff auf unerlaubte Daten bzw. den Zugriff auf Daten durch unautorisierte Benutzer
Plug-and-Play- Geräte: Hot Plug Unterstützung	Erkennung von Plug-and-Play-Geräten im laufenden Betrieb	Produktivität bleibt erhalten, die Tätigkeit wird nicht durch die Verwaltung und den Gebrauch von Plug-and-Play-Geräten unterbrochen
Option für bidirektionales Shadowing	Die patentierte Shadowing-Technologie ermöglicht die Speicherung aller Daten, die aus Geräten ausgelesen und/oder darauf geschrieben werden.	Erfasst den Fluss von Informationen in das und aus dem Netzwerk, wodurch sich das Risiko und die damit verbundenen Auswirkungen eines Datenverlustes erheblich eingrenzen lassen.
Beschränkung der kopierten Datenmenge	Möglichkeit, die Datenmenge zu beschränken, die vom PC (oder Netzwerk) auf ein externes Gerät (Wechselmedien oder Diskette) kopiert wird	Verhindert den Verlust von großen Mengen vertraulicher Informationen
Schutz vor PS/2- und USB-Key-Loggern	Blockierung der PS/2-Anschlüsse, Kontrolle der Nutzung von USB-Tastaturen und Identifizierung / Blockierung aller gängigen Modelle von USB-Key-Loggern	Reduziert das Risiko des Zugriffs auf vertrauliche Informationen über Key-Logger.
Flexible Verschlüs - selungsoptionen für Wechseldatenträger	Administratoren können Wechseldatenträger von einem zentralen Standort aus verschlüsseln oder Benutzer zur Verschlüsselung dieser bei deren Nutzung verpflichten.	Stellt sicher, dass sensible Daten nicht versehentlich über einen nicht autorisierten Zugriff verfügbar werden.
Dateityp-Filterung	Kontrolle des Dateityps der auf Wechseldatenträger geschriebenen bzw. der von dort ausgelesenen Dateien	Reduziert das Risiko des Eindringens unerwünschter Dateien in das Netzwerk sowie des Verlustes sensibler Dateien aus dem Netzwerk
Benutzerdefinierte Berichte	Benutzerdefinierte Abfragevorlagen können für eine automatische Generierung von Berichten im HTML-, XML- oder CSV-Format erstellt und per E-Mail oder Netzwerk-Dateisharing übermittelt werden	Ermöglicht die Generierung von Daten, die für Konformität-Audits und Management-Berichterstellungen in einem Bericht- oder Datenformat im Hinblick auf die problemlose Integration in ein Drittherstellersystem erforderlich sind
Kennwortsperre und –wiederherstellung bei verschlüsselten Wechseldatenträgern	Sperren Sie Benutzer nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche Geräten / Wechseldatenträgern; stellen Sie den Zugriff auf Geräte bei vergessenem Kennwort wieder her	Reduziert das Risiko eines Eindringens durch Hacker in verschlüsselte Geräte und ermöglicht die Wiederherstellung verschlüsselter Daten auf Geräten
Temporäre Offline-Berechtigungen	Anfrage-/Antwort-System für die Generierung neuer Berechtigungen auf nicht verbundenen Geräten. Dadurch können Benutzern auf Anfrage temporäre Berechtigungen erteilt werden, selbst wenn diese nicht mit dem Netzwerk verbunden sind	Ermöglicht die Zuweisung temporärer Berechtigungen für Benutzer nach Bedarf, auch wenn keine aktive Verbindung besteht

Anforderungen

Client (32 Bit, sofern nicht anders angegeben)	Datenbank	Server	Managementkonsole
Windows 2000 (SP 3+) Professional, Windows XP Professional, Windows XPe, Windows Embedded Point of Service, Windows XP Tablet PC Edition, Windows Vista (32 und 64 Bit)	Windows 2000 (SP 3+) Server oder Professional, Windows XP Professional, Windows Server 2003	Windows 2000 (SP 4+) Server oder Windows Server 2003	Windows 2000 (SP 3+) Server oder Professional, Windows XP Professional, Windows Server 2003
		Windows 2000 (SP 4+) Server oder Windows Server 2003

Unterstützte Gerätetypen:

USB-Memory-Sticks
ZIP-Laufwerke
PDAs
Diskettenlaufwerke
Biotech-Laufwerke
Bandlaufwerke
Festplatten
Modems
Wireless-LAN-Adapter
Digitalkameras
CD/DVD-Brenner/Player
Scanner
Smart Card-Lesegeräte
USB-Drucker

Unterstützte Konnektivität

USB
FireWire
Bluetooth
WiFi
PCMCIA
PS/2
LPT
IrDA
IDE
COM
S-ATA
SCSI