ZENworks®Endpoint Security Management 3.5 / 4.0 TargoSoft IT-Systemhaus GmbH Novell GmbH

Novell® ZENworks® Novell ZENworks reduces the cost of managing and securing your mix of devices, operating systems and users Asset Management Application Virtualization Endpoint Security Management Endpoint Network Access Control Handheld Management Linux Management Patch Management Configuration Management

Umfassende Endpoint Security

Endpoint Security als Notwendigkeit

Ursachen für Datenmissbrauch Quelle: 2007 Annual Study: U.S. Cost of a Data Breach – Ponemon Institute, LLC Verlorenes Notebook oder anderes Gerät – 49 % Drittanbieter oder Outsourcer – 16 % Papieraufzeichnungen – 9 % Böswillige Insider – 9 % Elektronische Datensicherungen – 7 % Hackerangriffe – 5 % Malware – 4 % Unbekannt – 2 % Ursachen von Datenmissbrauch

Die häufigsten Technologiemaßnahmen nach einem Missbrauch Verschlüsselung Datenverlustvorbeugung Identitäts- und Zugriffsmanagement Endpoint Security-Kontrollen Sicherheits-Ereignismanagement Umkreiskontrollen Quelle: 2007 Annual Study: U.S. Cost of a Data Breach – Ponemon Institute, LLC

Endgeräte – die Achillesferse der Unternehmenssicherheit Geräte können mit allen PCs kommunizieren – ohne Transparenz oder Kontrolle Es gibt mehr als 26.000 verschiedene USB-Produkte; 2005 wurden 1,4 Mrd. Stück ausgeliefert. Speichergeräte Netzwerkadapter Drucker, Scanner, Webcams Kaffeewärmer, Handmassagegeräte… Bis heute wurden mehr als 1 Mrd. Geräte verkauft. 2005 wurden mehr als 32 Mio. iPods verkauft. Wöchentlich werden mehr als 5 Mio. Bluetooth-Geräte verkauft. Ihr Speichervolumen wird immer größer: 2010 gibt es das 10-GB-Laufwerk für 50 US-Dollar. Sie sind praktisch nicht nachverfolgbar.

Datenverlust in Bundesministerien Computer mit geheimen Inhalten gestohlen Berlin (RPO). Bei Bundesbehörden sind durch gestohlene Computer, Laptops, Handys und anderen Datenträgern im großen Umfang sensible Daten abhanden gekommen. Laut Bundes-innenministerium befinden sich darunter sogar Steuerdaten und Geheimunterlagen des Verteidigungsministeriums. Wie die "Bild"-Zeitung berichtet sind allein von 2005 bis 2007 in Bundesministerien und anderen Behörden 189 Tischcomputer und 326 Laptops verschwunden, davon 46 im Ausland. Außerdem gingen 271 Handys und Taschencomputer sowie 38 Speichersticks, CD und DVD mit Daten verloren oder wurden gestohlen. Der Wert der fehlenden Geräte beziffert das Innenministerium auf rund 540 000 Euro. Nach dem Bekanntwerden der Datenverluste will nun auch der Bundesdatenschutzbeauftragte Ermittlungen aufnehmen. Die Behörde verlangt eine Meldepflicht für sensible Datenverluste bei Ämtern und Unternehmen. Der Sprecher des Bundesbeauftragten für den Datenschutz, Dietmar Müller, sagte der Zeitung: "Die Vorfälle zeigen, wie wichtig, eine Meldepflicht für solche Datenverluste ist, damit wir ermitteln können." RP-Online 19.04.2008, http://www.rp-online.de/public/article/politik/deutschland/557907/Geheime-Daten-aus-Ministerien-gestohlen.html

Fallbeispiele Daten sämtlicher US-Veteranen, die seit 1975 entlassen wurden (einschließlich Namen, Sozialversicherungsnummern und Geburtsdaten) wurden aus dem Haus eines Behördenmitarbeiters entwendet. Der Mitarbeiter war nicht befugt, die Daten mit nach Hause zu nehmen und dort mit ihnen zu arbeiten. (Associated Press, 22. Mai 2006) Sicherheits-Audit einer Genossenschaftsbank. Geschickte Verbreitung von USB-Sticks für den Zugriff auf Datenbestände der Genossenschaftsbank. Verteilung von Datenträgern auf einem Parkplatz. Inhalt: Grafikdateien und ein eingebetteter Trojaner. Wie hoch war die Erfolgsrate? Welche Informationen wurden sonst noch missbraucht? (http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1) Gestohlene Militärdaten in Afghanistan auf dem Markt. USB-Sticks mit EXTREM heiklen Inhalten einschließlich Personendaten (sogar von Spionagefachleuten), Sozialversicherungsdaten, Strategieplanungsdaten etc. (Associated Press und Nightly News, 13. April 2006) Die jüngsten Fälle von Datenmissbrauch finden Sie unter http://www.privacyrights.org/ar/ChronDataBreaches.htm

ZENworks Endpoint Security Management

Ansatz: Richtliniendurchsetzung

Standortbewusste Durchsetzung Standortbewusst – immer. Überall. Passt Kontrollen und Schutz automatich an den Gerätestandort an Ideal für die Kontrolle von Wechseldatenträgern und USB-Geräten , komplette Netzwerkkontrolle einschließlich Firewall-Regeln, Wireless-Kontrollen und VPN-Durchsetzung

Rahmenwerk: Schutz auf Treiberebene Dateisystemtreiber Kann die Ausführung jeder beliebigen Datei verhindern Nicht-intrusiver Ansatz für die Handhabung von Storage ohne Beeinträchtigung andere Funktionen Storage-Filtertreiber Kümmert sich um komplette Dateisysteme Schreibgeschützt oder keine Freigabe TDI-Filtertreiber Sperrt den Netzwerkzugang beliebiger Anwendungen Firewall auf NDIS-Ebene Stateful und sitzungsbasiert Kümmert sich um Netzwerkdatenverkehr, bevor er das Betriebssystem erreicht

Kontrolle über verwaltete Speichergeräte Deaktivierung von oder schreibgeschützter Zugriff auf Wechselspeichermedien (z. B. USB-Flash-Speicher, iPods, Disketten usw.) und optische Schreibgeräte (CD-/DVD-Laufwerke) Berichterstattung über die Daten, die auf diese Geräte geschrieben oder auf die zugegriffen wird

Integrierte Verschlüsselung Ein Management Framework für Endpunkt- und Datensicherheit Datei basierte Verschlüsselung und “Safe Harbor” AES 256 bit Verschlüsselung Gerätesicherheit bei externen Festplatten “Data in Motion Security”– Verschlüsselung bleibt in der Datei Schlüssel Verwaltung über Regeln Einfache Schlüsselverwaltungt, Schlüssel Rotation, Schlüssel Wiederherstellung Optionale Verschlüsselung durch Passwort für einen sicheren Dateiaustausch Beinhaltet Entschlüsselungstool über Anwendungstool Auditierung der geschriebenen Dateien auf einen Datenträger

Sicher, aber nicht verloren! Hat Ihr Anwender seinen USB-Stick vergessen, kann das Helpdesk temporär Funktionen freischalten Deaktivierung der Anwendungsblockung Anwender darf selbständig Lokation wechseln Anwender darf Firewallregel anpassen Überschreibt Gerätkontrolle für USB, Firewire, etc.

WLAN-Sicherheit WLAN deaktivieren, WLAN deaktivieren bei Verbindung per Kabel, Ad-hoc-Netzwerke deaktivieren, Adapter Bridge deaktivieren Drahtloszugang per SSID, MAC, Drahtlosadapter sperren WLAN für WEP verwalten Einstellen einer erforderlichen Mindestsicherheit für Drahtloszugang (keine Verschlüsselung, WEP 64, WEB 128, WPA)

Durchsetzung der VPN-Nutzung für Remote-Benutzer VPN-Client ist obligatorisch und wird automatisch gestartet, wenn das Gerät außerhalb des Büros verwendet wird Daten werden für die Übertragung verkapselt und verschlüsselt Vollständiges Tunneling und Sicherheitsrichtlinie für komplette Client-Sperre zur Gewährleistung des Schutzes ALLER Daten

Integrität und Gegenmaßnahmen Lückenlose Durchsetzung (24 x 7) Ortsunabhängig Unabhängig vom Verbindungsstatus Obligatorische Anwendung von Virenschutzprogrammen, Windows-Patches oder anderer Software

Zentral gesteuerte Firewall Hält Bedrohungen am Zugangspunkt des Computers ab - d. h. an der Netzwerkschnittstellenkarte (NIC) Schützt vor Protokollangriffen ACLs (Zugriffssteuerungslisten) für vertrauenswürdige Kommunikation Zentrale Regelung von Firewall-Einstellungen, schnelle Übertragung von Änderungen Durchsetzung echter Firewall-Quarantäne bei Integritätsverlust

Kontrolle über verwaltete Anwendungen und Kommunikationshardware Kontrolle über verwaltete Kommunikations- hardware Kontrolle über und Blockierfunktion für verwaltete Anwendungen Blockieren der Anwendungsausführung Blockieren des Netzwerkzugriffs durch Anwendungen Standortorientierte Kontrolle Deaktivieren von Geräten je nach Position IrDA Bluetooth 1394 (Firewire) Serielle/parallele Anschlüsse

Anpassbar, selbstverteidigend Selbstverteidigend - Selbst Benutzer mit Administratorrechten können Funktion nicht deaktivieren oder entfernen Dateischutz Registrierungsschutz Treiberschutz Prozessschutz Serviceschutz Deinstallationsschutz Anpassbare Skripterstellungsumgebung für nahezu JEDES Bedürfnis

Zentralisiertes Management und Reporting Zentrale Konfiguration der Regeln und Verteilung über den vorhandenen Verzeichnisdienst (eDirectory, Active Directory, LDAP) Alarme und/oder Auswertungen entscheiden über Gesundheit oder Lock Down einfach anpassbare Berichte

Auswertungen

Awards 2009 (…) With other solutions, we have seen a focus on one or two of the endpoint categories. ZENworks provides a true cross-section of services across the entire endpoint spectrum

Referenzen

Q4 2009 Novell® ZENworks® Endpoint Management Product Roadmap – Public

2005-2009 1995-1999 ZENworks ZENworks 7 2000-2004 Future Server Management Desktop Management Handheld Management Linux Management Patch Management Desktop Management Full Lifecycle Management Patch & Vulnerability Compliance Cross Platform Modern Architecture Integrated Management Endpoint Security IT Asset Mgmt Application Virtualization Desktop Virtualization Automated Resource Allocation Workflow and Approvals ZENworks 10 Configuration Management Asset Management Endpoint Security Management Network Access Control Application Virtualization IT Service Mgmt ITIL Hosted Service Offerings Multi-Tenancy Audit and Regulatory Compliance Novell® ZENworks® Roadmap The Evolution of Consolidated Resource Management

Goals and Objectives for 2010 Provide new capabilities for new and existing customers Introduce new products that address market needs Extend support for new platforms and devices Continue product line integration Offer alternative product delivery options

Current ZENworks® Solution

Extend Our ITIL Vision

Scale to the Very Large

Demo

Unpublished Work of Novell, Inc. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc. Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability. General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. Novell, Inc. makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for Novell products remains at the sole discretion of Novell. Further, Novell, Inc. reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.