De laptop is het zwaartepunt van de digitale beveiliging van een bedrijf. Hoe zorg je ervoor dat er zeker geen criminelen achter het toetsenbord zitten? Of erger, dat hackers toegang hebben tot het beheer van een toestel?
Op de computer van een werknemer komt de hele beveiliging van een bedrijf samen. De toestellen geven hun gebruikers toegang tot netwerken, bestanden en applicaties, zowel lokaal als on-premises bij het bedrijf als in de cloud. Gevoelige data, facturatiegegevens, mailboxen: het zijn stuk voor stuk krachtige tools in de handen van hackers.
HP wil als computerfabrikant zijn verantwoordelijkheid nemen en er mee voor zorgen dat enkel de juiste personen plaatsnemen achter het toetsenbord. Die ambitie vertaalt zich naar een breed beveiligingsaanbod onder de naam Wolf Security, dat we eerder al in z’n geheel bekeken. Vandaag focussen we op één van de drie belangrijke pijlers van endpointbeveiliging: identiteit.
Biometrie
Identiteit heeft in de eerste plaats te maken met authenticatie. Om toegang te krijgen tot een systeem, moet een werknemer zich kenbaar maken. Dat kan via een account met wachtwoord, maar wachtwoorden zijn niet zo veilig. Aanvallers kunnen ze stelen via phishing, of gewoon raden. Al te veel mensen gebruiken immers te eenvoudige wachtwoorden, of hergebruiken exemplaren die al jaren op straat liggen na een eerder hack van een dienst of website.
Biometrie is de oplossing. Zowel een vingerafdruk als een gezichtsscan via Windows Hello zijn een betere methode dan een wachtwoord om je te identificeren. Microsoft neemt hier een belangrijke rol op zich, door biometrie in Windows te integreren. Dat is echter maar de helft van de beveiligingsvergelijking.
Het is aan de computerfabrikant om die biometrie te ondersteunen. Voor gezichtsherkenning gebeurt dat via een Windows Hello-compatibele camera die infrarood gebruikt voor een nauwkeurige gezichtsscan. De meeste zakelijke laptops hebben die technologie aan boord.
De vingerafdruk is een even veilig alternatief met enkele voordelen. Zo strooit tegenlicht op kantoor geen roet in het eten, mag je kiezen of je een bril opzet, en hoef je je nooit af te vragen of je exuberante wallen op maandagochtend de oorzaak zijn van een mislukte herkenning door de camera.
Zeker met Sure
HP voorziet zijn professionele toestellen van enkele opties die verder gaan dan wat Microsoft aanbiedt. De focus ligt daarbij op de identiteit van de beheerder. Wat ben je immers met een veilig inlogsysteem in Windows als de BIOS van je laptop enkel met een simpel wachtwoord wordt beschermd?
Binnen Wolf Security heet de oplossing daarvoor Sure Admin. Sure Admin laat beheerders toe om van overal op een veilige manier toegang te krijgen tot de BIOS, maar dan zonder wachtwoord. In de plaats daarvan gebruikt HP cryptografie op basis van een publieke sleutel, gekoppeld met een app.
Via die app kunnen beheerders zich identificeren, gebruik makend van biometrie. Die aanpak werkt zowel voor beheer vanop afstand als lokaal beheer en heeft als bijkomend voordeel dat het niet meer nodig is om lokale BIOS-wachtwoorden te delen met IT’ers. Identiteit is voortaan de sleutel tot de BIOS.
Extra beveiligingslaag
Geen oplossing is honderd procent waterdicht. Kijkt een hacker ondanks alle maatregelen toch mee op een computer, dan wrijft die in z’n handen wanneer je een erg kritieke toepassing opstart. Ook daar verzon HP een oplossing voor: Sure Access Enterprise.
Sure Access Enterprise (SAE) dient om de meest kritieke taken te beveiligen. Denk aan IT-beheerders met toegang tot honderden systemen of belangrijke productieservers, of beheerders van OT-omgevingen waar het voortbestaan van een bedrijf vanaf hangt. Dergelijke taken openen vanzelf in Sure Access in een beveiligde en geïsoleerde container, gescheiden van de rest van het besturingssysteem.
HP noemt de techniek micro-virtualisatie. De beveiligingsoplossing wordt rechtstreeks vanuit de hardware van de computer onderbouwd, zodat zelfs het besturingssysteem zelf geen manier heeft om over de muur van de virtuele machine mee te kijken naar de gevoelige activiteiten.
SAE werkt verder op applicatie-niveau. Enkel applicaties waarvoor dat nodig is, genieten dus die extra beveiliging. De gebruiker zal daar niet veel van merken eens SAE geconfigureerd is: apps openen automatisch als micro-VM. HP denkt dat iedere grote organisatie wel een tiental echt kritieke workloads heeft die van de beveiligingstechnologie kunnen profiteren.
Verschillende bouwstenen
Biometrie zorgt ervoor dat de gebruiker is wie hij claimt te zijn, Sure Admin doet hetzelfde voor de beheerder, en Sure Access Enterprise zorgt voor een extra beveiligingslaag zodat zelfs in het geval van een succesvolle aanval een hacker niet kan meekijken met het gevoelige werk van een beheerder.
HP bouwt met de componenten verder op de beveiliging die Microsoft al standaard biedt in Windows. De tools zijn beschikbaar op de meeste professionele computers van HP en zijn meestal bij de aankoopprijs inbegrepen. Secure Access Enterprise is een uitzondering: de oplossing is ook een deel van Wolf Security maar is afzonderlijk verkrijgbaar, ook op PC’s van andere fabrikanten.
Dit artikel is onderdeel van een reeks over de rol van HP in laptopbeveiliging. Het redactionele stuk kwam tot stand met medewerking van HP. Klik hier voor meer info, of hier als je HP wil contacteren rond deze oplossingen.