עמדות הקצה / תחנות העבודה נשלטות ברמה כזו או אחרת ע"י מנהל הרשת ומנהל אבטחת המידע. למרות זאת, במרבית הארגונים ניתנת עצמאות מסוימת למשתמש הקצה מחד, ומנהל הרשת לא תמיד ער למתרחש בעמדות-הקצה בארגון מאידך. עקב כך, מומלץ מאוד לבדוק את תחנות הקצה באופן שוטף להיות מודעים לתמונת המצב בארגון ולנקוט בפעולות המתחייבות במידת הצורך. מטרה נוספת בבדיקת עמדות-קצה היא איתור תחנות אשר חרגו מן המדיניות הארגונית במודע או שלא במודע (Rogue Stations).
בבדיקה של תחנות הקצה ניתן למצוא בעיות ספציפיות כגון:
- תחנה שאינה מתעדכנת משרת האנטי-וירוס
- תחנה שאינה מתעדכנת בטלאי אבטחת מידע של מיקרוסופט
- תחנה שעליה מותקנות תוכנות העלולות לגרום לפרצות חמורות במערך האבטחה הארגוני
- תחנה שעליה מותקנות תוכנות ללא רישיון או לחילופין, תוכנות שמותקנות בניגוד למדיניות הארגון כגון: Skype, תוכנות Peer2Peer, משחקים, סרגלי כלים שונים ועוד.
ניתוח התוצאות מציף על פני השטח בעיות אשר לא שמים לב לקיומן במהלך העבודה השוטף, ושעצם הימצאותן עלול לגרום לפרצות קריטיות באבטחה - פרצות אשר עלולות להיות מנוצלות בקלות לפריצה ע"י תוקף פוטנציאלי - פנימי או חיצוני.
הבעיה
בעבר היו ארגונים מתנהלים ע"י רשת מרכזית אחת (כדוגמת Mainframe), עמדות הקצה היו עמדות "טיפשות" ולכן הניהול היה קל ומרכזי. כיום, כשהמחשבים חזקים פי-כמה והדרישות מתגברות והולכות מצד המשתמשים, עבודת הניהול השוטף מורכבת הרבה יותר מכל הבחינות.
ניתן להגביל את המשתמשים לבצע פעולות כאלו ואחרות באמצעות הפעלת GPO's. בנוסף, קיימים בשוק מוצרי מדף לצורך אכיפת נהלים אלו. הבעיה במרבית המקרים הינה בעיה תפעולית - רבות מן התחנות הינן עמדות אשר יתקשו לתפקד באופן יעיל תחת הגבלות אלו, שכן המשתמשים זקוקים להרשאות מסוימות לצורך עבודתם השוטפת - לדוגמא: תחנות עבודה של מפתחים, של אנשי אבטחה, DBAs ועוד.
ברמת החומרה - מרבית המחשבים כיום מצויידים במספר רב של אמצעי קלט/פלט (I/O Ports) כמו: DiskOnKey, CD, Floppy Disk, CDRW, DVD וכד'. אמצעים אלו מהווים איום ברור, מיידי ומתמיד על מערך אבטחת המידע הארגוני, שכן השימוש בהם חושף את הארגון באופן יום-יומי לדליפה של חומר רגיש אל מחוץ לארגון ולחילופין - לחדירה של מזיקים למיניהם אל תוך הרשת הארגונית.
הפתרון
- מכיוון שבמרבית הארגונים המשתמשים יכולים להתקין תוכנות מסוגים שונים ע"ג מחשביהם האישיים, מומלץ לבצע שתי פעולות בהקשר זה:
- חידוד הנהלים בקרב מי שמתוקף עבודתו חייב לעבוד עם הרשאות אלו (אנשי-רשת, אנשי-פיתוח וכד').
- הקשחת המדיניות אם ע"י GPO's או ע"י הקשחה מקומית למשתמשים אשר הרשאות Local Admin אינן נחוצות למהלך עבודתם השוטפת.
- חומרת המחשבים - בכל תחנות העבודה הסטנדרטיות ישנם אמצעי קלט/פלט רבים דרכם ניתן להוציא חומר מסווג מהארגון וכ"כ להכניס חומר מזיק כזה או אחר אל תוך הארגון במודע או שלא במודע. לכן, מומלץ לחדד ולרענן את הנהלים בקרב עובדי הארגון ולהגיע לכלל החלטה למי מותר להשתמש ובאילו יציאות. לשאר משתמשי-הקצה מומלץ במקרים מסויימים אף לנתק פיזית אמצעי קלט/פלט אלו.
- במידה ונמצאו תחנות שלא מותקנת עליהן תוכנת אנטי-וירוס, ובמידה והתוכנה המותקנת אינה מעודכנת - יש לטפל בדחיפות בבעיה קריטית זו. כמו כן מומלץ להגדיר מדיניות טיפול קשוחה בווירוסים - ניקוי, ואם אין אפשרות - השמדת הקובץ הנגוע. לא מומלץ לעבוד על התחנות בתצורת בידוד (Quarantine).
- יש להטמיע מדיניות של התקנות של Service Packs וטלאי אבטחת מידע עדכניים של מיקרוסופט על תחנות העבודה סמוך ככל הניתן למועד פרסומם וזמינותם.
- מומלץ להסיר תוכנות המותקנות בניגוד למדיניות החברה ונהליה; לאחר מכן מומלץ לאסור על התקנות בלתי מאושרות בתחנות הקצה. התקנות אלו חושפות את הארגון לאיום ברור ומיידי על נכסיו העסקיים הקריטיים ביותר - ובראשם חשיפה ודליפת מידע מסווג על פעילות החברה ומוצריה.
- מומלץ לבצע הערכת סיכוני אבטחת מידע בתחנות-קצה אחת לשלושה או שישה חודשים. הסיבות לכך הן:
- השליטה האבסולוטית על המשתמש ומעשיו היא מוגבלת.
- בארגונים גדולים ודינאמיים חלים שינויים על בסיס תקופתי כגון: תחלופת עובדים גבוהה, מעבר של עובדים ממחלקות שונות, עבודה משותפת של מספר עובדים על תחנות מסוימות ועוד.
- כתיבה ואכיפה של נהלים - יש להגדיר המטרה הסופית בראייתנו את הארגון בתפקוד השוטף והיומיומי העתידי. לאחר מכן ניתן לגזור מחזון זה את הנהלים ולבצע את אכיפתם בהתאם, תוך העברת האינפורמציה למשתמשי הקצה ללא יוצא מהכלל.
