2/3 tietoturvahyökkäyksistä tapahtuu päätelaitteen kautta. Käyttäjä painaa vahingossa linkkiä, joka aiheuttaa pienen epidemian yrityksen IT-ympäristössä. Vaikka Suomessa keskivertokäyttäjä on melko valveutunut ja tunnistaa huijaussähköpostit ja linkit, täytyy IT:n olla entistä enemmän hereillä. 

Fiiliksellä vetäminen ja excelöinti laitehallinnassa on nyt ohi. Tänä päivänä on niin paljon raportointityökaluja, josta näet yhdellä silmäyksellä laitteiden tilan. Niitä kannattaa käyttää paitsi yleisesti laitehallinnan näkökulmasta, erityisesti tietoturvasyistä.  

Tässä blogikirjoituksessa summaan, miten Microsoftin työkalut helpottavat laitehallintaa Zero Trust -näkökulmasta ja referoin HP:n Riku Reimaan taannoista puheenvuoroa webinaarissamme erityisesti HP:n laitteiden tietoturvasta

Jos haluat katsoa webinaaritallenteen tämän kirjoituksen sijaan, voit katsoa sen täältä. Webinaarissa demoamme työkaluja ja näkymiä, joten sieltä saat vielä konkreettisempia esimerkkejä laitehallinnan helpottamiseen.  

Laitehallinnan rooli zero trust -mallissa

Aikaisemmin laitehallinta tarkoitti pitkälti uusien laitteiden asennuksia, olemassa olevien laitteiden päivittämistä, ylläpitämistä, muutostenhallintaa, laitteiden resetointia ja mahdollisten tietoturvaongelmien havaitsemista ja korjaamista. Tänä päivänä laitehallinta tarkoittaa kaiken tämän lisäksi myös raportointia, analytiikkaa ja tietoturvan proaktiivista kehittämistä. 

Zero Trust -malli osuu edellä mainituista tietoturvan proaktiivisen kehittämisen kategoriaan. Mallin idea on lyhykäisyydessään se, että käyttäydyt siten kuin olisit koko ajan hyökkäyksen kohteena. Et odota passiivisena mahdollista vihiä hyökkäyksestä. 

Zero Trust -mallin avulla varmistat, että kaikki laitteet, jotka pääsevät yrityksesi palveluihin, ovat turvallisia ja hallinnassa. Sen avulla estät tehokkaammin tietoturvahyökkäyksiä ja suojaat yrityksesi arkaluonteisia tietoja. Mallin noudattaminen vaatii sen, että yrityksenä teidän on pystyttävä hallitsemaan kaikkia laitteita, jotka pääsevät verkkoonne. 

Käyttäjän identiteetti on uusi palomuuri 

Yksi tärkeimmistä osista laitehallintaa on yrityksen palveluihin saapuvan käyttäjän identiteetin tarkastaminen. Sen pystyt tekemään näppärästi conditional accessillä, joka on Azure AD:n perusominaisuuksia. 

Ensimmäisenä asiana vaadi multifactor authenticatea (MFA), kun käyttäjä saapuu yrityksenne palveluihin. Käytännössä se tarkoittaa sitä, että asetat MFAn vaatimuslistalle puhelimia, number matching, security devices ja ylipäänsä varmistat, että MFA on mahdollisimman hyvä. Suosittelen, että et edes tarjoa mahdollisuutta käyttäjälle syöttää salasanaa, mikä jo itsessään nostaa tietoturvatasoanne huomattavasti. 

Conditional accessin avulla voit myös tarjota tarkastuksia käyttäjän koneelle. Yksinkertaisimmillaan tarkastus selvittää, onko laite hallittu vai ei. Jos laite on Azure AD:n jäsen, se on Intunen hallinnassa – ja pelkästään tämä voi riittää. Jos kone on Hybrid Joinattu, sekin voi olla ok. 

Käyttäjä pääsee yrityksenne palveluihin käsiksi vasta läpäistyään MFAn ja tarkastus-vaiheet.

👉Lataa Tietoturvan pikamanuaali: suojaa yrityksesi käyttäjät, laitteet ja data

Microsoft Autopilot ratkaisee kaikki laitehallinnan haasteet

Luit oikein: Microsoft Autopilot ratkaisee monta logistista haastetta, mutta suurimmassa osassa yrityksiä ajattelutavan ja prosessien tulee muuttua ensin, jotta autopilotista saa kaiken hyödyn irti. 

Kertauksena: Autopilot on työkalu, jolla voit ottaa koneet suoraan paketista loppukäyttäjälle käyttöön. Ei asentaa, vaan määrittää asetukset koneelle. 

Autopilotin lupaukset ovat kovia: 

1) Laitteen voi ottaa käyttöön kuka vain ja missä vain. Tämä tietenkin ratkaisee logistisia haasteita koko laitteen elinkaaren ajan. Se myös vähentää koneiden toimittamista “uudelleen asennettavaksi”. 

2) Autopilot kattaa koko laitteen elinkaaren. 

3) Autopilotin avulla voidaan hyödyntää laitevalmistajan rakentamaa asennusta eikä kiireessä tehtyä vanhaa imagea.

Lunastaakseen kaikki lupauksensa, Autopilot kuitenkin vaatii, että yrityksen koko laitehallinta on siirretty pilveen.

Kuten aikaisemmin jo mainitsin, ei laitehallinta missään nimessä ole enää ainoastaan laitteiden käyttöönottoa. Myös analytiikalla on siinä iso rooli. Autopilotin Endpoint Analyticsistä näet todella hurjaa dataa siitä, mitä koneella tapahtuu, mitkä softat hidastavat konetta, missä laitteissa on vielä esimerkiksi pyöriviä levyjä tai mitkä laitteet buuttaavat hitaasti – ja niin edelleen. 

Koko laitekannan dataa katsoessasi näet suoraan, minkä valmistajan laitteet ja mallit ovat toimineet huonoiten, mitkä ovat kaatuneet eniten, ja minkä kanssa on ollut eniten haasteita. Tämän tiedon perusteella voit helposti tehdä päätöksen siitä, mitä malleja tai merkkejä kannattaa jatkossa vältellä. 

Ei siis hullumpi juttu lainkaan!

Microsoft System Center Configuration Manager – On-Prem -verkkojen ehdoton kuningas

Microsoft System Center Configation Manager, SCCM, on edelleen validi on-prem verkossa. Sen haaste on kuitenkin siinä, että SCCM on rakennettu maailmaan, jossa koneet ovat kiinteästi pultattuna pöytiin ja piuhan päässä kiinni. Jotta SCCM kukkuu ja voi hyvin myös hybridityössä, kannattaa sitä laajentaa Intunella. 

Voit tehdä laajennuksen kolmella tavalla. 

  1. Voit viedä SCCM-toimintaa pilveen Cloud Management Gatewayllä. Se on käytännössä Distribution Point ja Management Point pilvessä, eli kun koneet ovat yhteydessä verkkoon, ne voivat “jutella” SCCM:n kanssa.
     
  2. Otat käyttöön Cloud Attach, eli tunnetummin Go Management. Tällä kombolla voit päättää, mitä asioita Intune ja SCCM tekevät laitteilla. 
  3. Kolmas vaihtoehto on se, että liität kaikki hybridikoneet Cloud Management Gatewayhin, SCCMään, ja sitä mukaan, kun koneet siirtyvät pilveen niillä on yksi hallinta, joka on Intune. 

Seuraavaksi kerron pari Riku Reimaalta kuultua pointtia, miten Zero Trust -mallia hyödynnetään HP:n laitteissa. 

Miten varmistua, ettei HP-laitetta ole käpälöity?

HP:lle on tullut jonkin verran kysymyksiä logistiikkaan liittyen tämän hetken maailman tilan vuoksi. Rekkoja on kadonnut ja löytynyt uudelleen, kontteja on jäänyt jumiin Suezin kanavaan ja niin edelleen. Miten turvataan laitteen eheys tehtaalta loppukäyttäjälle? 

HP on kehittänyt digitaalinen sinetti -tyyppisen ratkaisun, jolla varmistetaan, että laitetta ei ole päästy kopeloimaan. Ratkaisu tunnistaa esimerkiksi, onko läppärin pohjalevy avattu. Jos herää epäilys siitä, että konetta on manipuloitu, voit automaattisesti tyhjentää TPM ja vaatia recovery keytä. TPM on koneen sisällä oleva siru, jota käytetään esimerkiksi levyn salauksessa tai vahvassa tunnistautumisessa. Jos sen tyhjentää, ei koneen tietoihin pääse käsiksi ilman palautusavainta.

Ei siis syytä huoleen: koneen voi resetoida täysin pränikäksi!

HP Sure View Reflect – Suojaudu visuaaliselta kalasteluyrityksiltä

Yksi HP:n suosituimpia ja näkyvimpiä tietoturvan ratkaisuja on laitteeseen sisäänrakennettu sähköinen yksityisyyden suoja. Sure View -paneelilla rajaat napin painalluksella katselukulman, jonka takaa vieruskaveri ei pääse kahvilassa tai junassa kyttäilemään, mitä ruudullasi tapahtuu. 

Sure Viewssa on muitakin erinomaisia ominaisuuksia. IT voi Configuration Managerin kautta määritellä suoraan Sure view -politiikan, eli sen, miten ratkaisua käytetään. Jos käsittelyssä on esimerkiksi word-dokumentti, joka on määritelty Sharepoint-kirjastoon luottamukselliseksi, menee Sure view -toiminto automaattisesti päälle. Keskitetyn hallinnan kautta voit myös määrittää asetuksen, jossa järjestelmä kehottaa laittamaan Sure View -toiminnan päälle tunnistettuaan, että käyttäjä toimii julkisessa verkossa.  

Wolf Security – laitehallinnointi yhdessä ja samassa paikassa

HP toi markkinoille puolitoista vuotta sitten Wolf Security -paketin. Kaikki tietoturvaominaisuudet, jotka tulevat laitteiston mukana ja mitä tarjotaan HP-asiakkaille käyttöoikeutena, brändättiin kokonaisuutena Wolf Security -brändin alle. Tässä muutama poiminta siitä, mitä paketin enterprise- eli bisnesversion ominaisuudet sisältävät.

Wolf Security Controller on pilvestä tarjottava palvelu, jonka voit myös asentaa omaan ympäristöön. Sen kautta saat keskitetyn näkymän koko laitekannalle. Voit tarkastella, mitä kaikkia haittaohjelmia on mahdollisesti havaittu hyvinkin tarkalla tasolla. Lisäksi sen kautta voit informoida käyttäjiä vaarallisista sivuista. Järjestelmä skannaa koko ajan sivuja, joilla käyttäjät ovat liikkuneet ja tunnistaa kalastelusivut ja osaa niistä ilmoittaa käyttäjälle, jos he ovat kliksuttelemassa kyseisille sivuille. 

HP image assistance -työkalulla voit vertailla eri laitteiden suoriutumista. Esimerkiksi, jos yksi laite toimii moitteettomasti ja toinen hidastelee voit vertailla, mitä eroa näillä laitteilla on. Lisäksi voit tehdä listan yrityksen kaikista laitteista ja hakea niille päivitykset näppärästi yhdestä näkymästä. 

Eikä tässä vielä suinkaan kaikki! Webinaaritallenteesta löydät liudan lisää ominaisuuksia, mitä Riku esitteli esimerkkien kera. Klikkaa katsomaan tallenne täältä.