בכל פרויקט IT חדש שאני נכנס אליו, אחת השאלות הראשונות שאני שואל היא: “איך אתם שולטים על נקודות הקצה שלכם?”. לא מעט ארגונים כיום פונים לכלי Endpoint Central לצורך ניהול ובקרה של תחנות הקצה. לצערי, התשובה היא לרוב שילוב של סקריפטים ידניים, WSUS מיושן. בנוסף לכך, יש כמה כלי עזר חינמיים שלא מדברים אחד עם השני.
בארגונים האחרונים בהם הובלתי תהליכי הטמעה ושדרוג תשתיות, בחרתי להטמיע את ManageEngine Endpoint Central (לשעבר Desktop Central). הסיבה לכך פשוטה: זהו לא עוד כלי לניהול מלאי. במקום זאת, מדובר בפלטפורמה אחודה (Unified Endpoint Management – UEM) שסוגרת את הפער הקריטי שבין תפעול IT שוטף לבין אבטחת מידע הדוקה.
בפוסט הזה אני רוצה לצלול לעומק ולשתף אתכם בחוויה שלי עם המערכת. בנוסף לכך, אפרט את הכלים המעולים שהיא מציעה – כלים שחוסכים לצוות ה-IT מאות שעות עבודה בחודש ומעלים את רמת האבטחה בצורה דרמטית.
הבעיה: הכאוס של ניהול תחנות הקצה
לפני שאצלול לפתרון, בואו נדבר רגע על הכאב. רשת ארגונית ממוצעת מורכבת ממאות או אלפי מחשבים, שרתים, לפטופים ומכשירים ניידים. זאת ועוד, על כל אחד מהם מותקנות עשרות תוכנות. מספיק שמשתמש אחד לא עדכן את ה-Adobe Reader או את דפדפן הכרום שלו. כך, הארגון כולו חשוף למתקפת כופרה. האתגר הוא כפול:
- תפעולי: איך מפיצים תוכנה ל-500 משתמשים בלחיצת כפתור בלי להפריע להם לעבוד?
- אבטחתי: איך מוודאים שכל מערכות ההפעלה וכל התוכנות צד-שלישי (3rd Party) מעודכנות עם טלאי האבטחה (Patches) האחרונים?
כאן Endpoint Central נכנסת לתמונה.
ניהול עדכונים ופאצ’ים (Patch Management): הלב הפועם של המערכת
אחד הפיצ’רים החזקים ביותר, וזה שאני משתמש בו באופן יומיומי, הוא מערכת ניהול הפאצ’ים האוטומטית. כולנו מכירים את Windows Update, אבל מה עם כל שאר התוכנות? Endpoint Central תומכת בעדכון של מעל 850 אפליקציות צד-שלישי (כמו Java, WinRAR, Chrome, Zoom ועוד). בנוסף, תומכת גם במערכות ההפעלה (Windows, Mac, Linux).
איך זה עובד אצלי בארגון? הגדרתי תהליך של “Test & Approve” אוטומטי. המערכת מזהה פאצ’ים חדשים. ראשית, מתקינה אותם על קבוצת בדיקה (Test Group) של מחשבים לא קריטיים. אם לא נרשמו תקלות לאחר מספר ימים – היא מפיצה את העדכון לכלל הארגון. זה נותן לי שקט נפשי שאני לא “שובר” את הארגון עם עדכון תקול. מצד שני, זה גם סוגר פרצות אבטחה במהירות שיא. עבור שרתים, זה קריטי כפליים – היכולת לתזמן את העדכונים לחלונות תחזוקה בלילות ובסופי שבוע היא הצלה אמיתית.
הפצת תוכנות וניהול תוכנות מקומיות (Software Deployment)
כלי נוסף שחוסך לנו המון זמן הוא מנוע הפצת התוכנות. במקום שטכנאי יתחבר למחשב-מחשב (או ירוץ בין הקומות) כדי להתקין Office או CRM חדש, אני יוצר חבילת התקנה (Package) במערכת ושולח אותה לכל המחשבים הרלוונטיים. מעבר לכך, היתרון הגדול הוא היכולת לנהל את “מאגר התוכנות” (Software Repository) וליצור פורטל שירות עצמי (Self Service Portal). כך, אם עובד צריך תוכנה מסוימת שאושרה מראש, הוא לא צריך לפתוח קריאת שירות. הוא פשוט נכנס לפורטל, לוחץ “התקן”, והתוכנה יורדת אליו ברקע. זה משפר את חווית העובד ומוריד עומס מה-Helpdesk.
שכבת הגנה נוספת: Malware Protection ואבטחת מידע
נקודה סופר-חשובה שרבים מפספסים היא היכולות האבטחתיות המתקדמות של המערכת. Endpoint Central היא כבר מזמן לא רק כלי IT, אלא כלי Security לכל דבר. באחד הארגונים האחרונים, הטמענו את המודול של Malware Protection כשכבת הגנה נוספת. זה לא מחליף בהכרח את ה-EDR הארגוני הכבד. יחד עם זאת, זה נותן מעטפת הגנה מצוינת שמזהה התנהגויות חשודות, חוסמת תהליכים זדוניים ומספקת הגנה מפני כופרות (Ransomware) בזמן אמת.
מעבר לזה, המערכת מאפשרת לנו לבצע:
- Vulnerability Management: סריקה מתמדת של הרשת לגילוי חולשות, מיסקונפיגורציות (כמו סיסמאות ברירת מחדל או פורטים פתוחים) ותוכנות בסיכון גבוה.
- Application Control: ניהול רשימות לבנות (Whitelisting) ושחורות (Blacklisting). אני יכול להגדיר ששום קובץ EXE לא ירוץ ברשת אלא אם כן הוא אושר דיגיטלית או נמצא ברשימה המותרת. זהו אחד המחסומים היעילים ביותר נגד וירוסים.
- Browser Security: שליטה על התוספים (Extensions) בדפדפנים, חסימת אתרים זדוניים ואכיפת הגדרות אבטחה בכרום ואדג’.
רשימת הכלים המרכזיים ב-Endpoint Central (לגזור ולשמור)
מתוך העבודה השוטפת והתיעוד של ManageEngine, הנה רשימה של הכלים שכל מנהל IT חייב להכיר בתוך הפלטפורמה הזו:
- Patch Manager Plus: אוטומציה מלאה של עדכוני אבטחה ל-Windows, Mac, Linux ולמעלה מ-850 תוכנות צד-שלישי.
- Vulnerability Manager Plus: סריקה, תיעדוף ותיקון של חולשות אבטחה, כולל ניהול קונפיגורציות אבטחה.
- Mobile Device Manager Plus (MDM): ניהול מלא של מכשירים ניידים (סמארטפונים וטאבלטים), כולל הפרדה בין מידע אישי לארגוני, מחיקה מרחוק והפצת אפליקציות.
- OS Deployer: יצירת אימג’ים (Images) של מערכות הפעלה והפצה שלהם למחשבים חדשים (Bare-metal deployment) בצורה חלקה.
- Remote Access Plus: כלי השתלטות מרחוק מתקדמים לפתרון תקלות, כולל צ’אט, העברת קבצים, הקלטת סשנים ותמיכה בריבוי מסכים – הכל דרך הדפדפן וללא צורך ב-VPN מורכב.
- Application Control Plus: שליטה מלאה על אילו אפליקציות מותרות לרוץ בארגון וניהול הרשאות משתמשים (Privilege Management) כדי למנוע ממשתמשים רגילים לרוץ כ-Admin.
- Device Control Plus: מניעת דליפת מידע (DLP) באמצעות שליטה על התקנים חיצוניים (USB, כוננים ניידים, מצלמות). ניתן להגדיר שרק USB ארגוני מוצפן יקרא ע”י המחשב.
- Browser Security Plus: הקשחת דפדפנים, ניהול תוספים ובידוד גלישה לאתרים מסוכנים.
- BitLocker Management: ניהול הצפנת הדיסקים בארגון וגיבוי מפתחות השחזור בצורה מרכזית.
- IT Asset Management: ניהול מלאי חומרה ותוכנה, מעקב אחרי רישיונות, וזיהוי תוכנות אסורות המותקנות ברשת.
סיכום: כלי אחד שעושה (כמעט) הכל
היתרון הגדול ביותר של Endpoint Central הוא הריכוזיות. במקום לקפוץ בין חמישה דשבורדים שונים – אחד לאנטי-וירוס, אחד לעדכוני ווינדוס, אחד להשתלטות ואחד למלאי – אני מקבל תמונת מצב מלאה (Single Pane of Glass) על כל הרשת שלי.
בארגונים שהטמעתי את המערכת, ראיתי ירידה דרסטית בכמות קריאות השירות (בזכות עדכונים אוטומטיים ומניעת תקלות מראש) ושיפור משמעותי בציון האבטחה של הארגון. היכולת לראות ברגע נתון איזה מחשב חסר לו פאץ’ קריטי של Adobe או איזה שרת חשוף למתקפה חדשה, ולתקן את זה בלחיצת כפתור, היא יכולת שאין לה תחליף בעידן הסייבר הנוכחי.
אם אתם מנהלי IT או אנשי אבטחת מידע שמחפשים לקחת את השליטה בארגון לרמה הבאה, אני ממליץ בחום לבחון את המערכת הזו. היא לא רק “חוסכת זמן”, היא הופכת את ה-IT מפרואקטיבי לריאקטיבי, ומאפשרת לכם לישון טוב יותר בלילה.
יש לכם שאלות על ההטמעה? רוצים לשמוע עוד טיפים על קונפיגורציה נכונה? מוזמנים להגיב