Introduksjon
HP Workforce Experience Platform (WXP) er en skybasert bedriftsløsning som hjelper IT-team med å redusere digital friksjon, forbedre sikkerheten og proaktivt løse enhetsproblemer. Det gir sentralisert synlighet og administrasjon av en organisasjons PC-flåte, for eksempel stasjonære datamaskiner, bærbare datamaskiner og andre tilkoblede eiendeler, gjennom en sikker, skalerbar plattform.
WXP analyserer telemetridata fra enheter og programmer i nær sanntid for å identifisere problemer, overvåke tilstanden og anbefale utbedring. IT-administratorer kan vise enhetsstatus, definere policyer, generere rapporter og starte eksterne handlinger for å støtte drifts- og sikkerhetsbehov.
Dette dokumentet skisserer WXPs sikkerhets- og personvernarkitektur, med fokus på administrerte PC-enheter. Den forklarer hvordan data samles inn, overføres, lagres og beskyttes, og beskriver plattformens samsvar med databeskyttelsesstandarder. Den tiltenkte målgruppen inkluderer IT-administratorer, tjenesteleverandører og sikkerhetskontrollører som vurderer plattformens datahåndteringspraksis.
WXP-opplevelsesarkitektur
Som en alt-i-ett, skybasert analyseplattform for enheter, data og brukere, inkorporerer WXP bransjeprøvd sikkerhet på tjenestenivå på tvers av arkitekturen og utviklingsprosessene. Viktige tjenester inkluderer:
Samle inn og analysere enhetstelemetri på tvers av flere operativsystemer
Gjør det mulig for HP-kunder og administrerte tjenesteleverandører å generere rapporter og administrere hendelser
Integrering av ulike tredjepartstjenester gjennom en programvare-som-en-tjeneste (SaaS)-modell
Brukere og roller
Instrumentbordet til WXP tilbyr flere typer brukere og roller, som vist i diagrammet nedenfor.
Roller | Omfang |
|---|---|
Regional administrator | Denne kontoen brukes av en forretningsdriftsadministrator hos HP til å opprette nye leietakere for både direkte kunder og partnere. Regionale rotadministratorkontoer kontrolleres og har tilgang til å administrere og navigere direkte kunde- og partnerleiere. Vanligvis finnes det separate rotadministratorkontoer for hvert område. For øyeblikket opererer WXP i to regionale AWS-datasentre:
|
Partnere | Partnerleiere kan omfatte roller som partneradministrator, servicespesialist og salgsspesialist. Disse leiere kan få tilgang til flere kundekontoer og administrere enheter, brukere og daglige operasjoner på deres vegne. I tillegg:
|
HP-støtte | En HP Support-konto kan få tilgang til flere selskaper samtidig og administrere enheter, brukere og daglig drift på vegne av kunder for feilsøkingsformål. Disse handlingene administreres av HPs Business Operations-team. Det finnes to typer brukere under en HP-støttekonto: støtteadministratorer og støttespesialister. Støtteadministratorer kan opprette flere kontoer for støtteadministratorer eller støttespesialister. |
Bedriftseier | Når et selskap opprettes, tilordnes en standard Bedriftseier av rotadministratorer. Som standard får denne brukeren også rollen IT-administrator for å administrere brukere og enheter i firmaet. Bedriftseiere kan administrere brukere, håndtere enhetsrelaterte oppgaver og få tilgang til rapporter og andre administrative funksjoner basert på deres tillatelser. Mens administrerte tjenesteleverandører (MSP-er) administrerer brukere på tvers av flere selskaper, administrerer bedriftseiere uavhengig brukere i sitt eget selskap. |
Bedriftsbruker | I WXP er en bruker en person i en bedriftsbedriftsleier som er tilordnet en rolle som lar dem utføre handlinger. Brukere kan opprettes på følgende måter:
|
IT-administrator | IT-administratorrollen tilordnes brukere i kunde- eller selvadministrerte firmaer. Den lar brukere utføre viktige administrative oppgaver som å administrere brukere og enheter. Selv om funksjonen ligner på roller som er tilgjengelige for MSP-er, er IT-administratortilgang begrenset til deres eget selskap. |
Rapporter administrator | Som standard har bedriftseiere tilgang til rapporter. Alle bedriftsbrukere kan også få rapporttilgang. Rollen Rapportadministrator er skrivebeskyttet og lar brukere vise informasjon fra WXP-rapporter. |
Administrator for kobling | Denne rollen muliggjør sikker, rollebasert administrasjon av integrasjoner i WXP. Denne rollen styrer tilgang til integreringshandlinger på tvers av alle støttede koblinger. Det sikrer at bare autoriserte brukere kan konfigurere og administrere integrasjonswidgeter og tilkoblingsinnstillinger. |
Viktige funksjoner
Koblingsadministratorer kan utføre følgende handlinger i WXP:
Konfigurer og administrer integreringskontrollprogrammer.
Koble til og koble fra tredjepartsintegrasjoner, inkludert ServiceNow, Teams, Graph API og mer.
Vis og få tilgang til tilknyttet integrasjonsdokumentasjon.
Diagrammet nedenfor gir en oversikt på høyt nivå over Insights-funksjonaliteten og -funksjonene:
HP Workforce Experience-enheter
WXP-arkitekturen er utformet for å hindre angripere i å få kontroll over enheter. Avhengig av maskinvare og operativsystemer, må enhetsprogramvare installeres under klargjøringsprosessen.
For å legge til enheter må bedriftens IT-administrator eller en administrert tjenesteleverandør (MSP) registrere dem på en sikker måte i WXP ved hjelp av en tilordnet firma-PIN-kode. Under registreringen skjer det en asymmetrisk nøkkelutveksling mellom serveren og enheten. Hver enhet genererer et unikt nøkkelpar når enheter identifiseres, og deretter mottar enhetene et tilgangstoken som er gyldig i 24 timer. Etter denne perioden må enheter sende signaturer til serveren for å bevise identiteten deres for nye tilgangstokener.
Med bedriftssamtykke laster registrerte enheter opp telemetridata daglig til WXP-analysedatasamlebånd. I løpet av dagen mottar de også kommandoer og kontrollsignaler fra WXP. All kommunikasjon er beskyttet av tilgangstokenet nevnt ovenfor.
WXP for Microsoft Windows® bruker HTTPS/TLS 1.2-protokollen over port 443 for all kommunikasjon. Den installerer ikke sertifikater og endrer ikke sertifikatlageret for Windows-operativsystemet.
HPs plattform for arbeidsstyrkeopplevelse
WXP driftes i Amazon Web Services (AWS) i to forskjellige regioner: USA (AWS-OR) og EU (AWS-DE).
Avhengig av registreringslandet opprettes firmaleieren i det tilsvarende regionale datasenteret. IT-administratorer får tilgang til WXP via en nettleser, som gir grensesnitt for enhetsregistrering, autentisering og kommunikasjon.
De neste avsnittene dekker designbeslutninger om sikkerhet.
Identitetsadministrasjon
For øyeblikket er de støttede identitetsleverandørene (IdP-er) HP Common Identity System (HPID) og Microsoft Entra ID. For identiteter som administreres av HP Common Identity System, kan ikke passordkvaliteten konfigureres, og passordpolicyen angis av HP ID-registreringssiden. Passord må inneholde minst åtte tegn og inneholde tre eller flere av følgende kriterier:
Én stor bokstav
En liten bokstav
Numre
Symboler eller spesialtegn
Identitet som administreres av Microsoft Entra ID, følger policyene som er angitt av administratoren for Entra ID-kontoen. Dette inkluderer, men er ikke begrenset til: multifaktorautentisering, passordkompleksitet, etc.
Administrasjon av økter
Det er ingen grense for hvor mange samtidige økter en bruker kan ha. Hver økt avsluttes imidlertid automatisk etter 30 minutter med inaktivitet. For enheter utløper økter hver 24. Autentisering og autorisasjon implementeres ved hjelp av OAuth 2.0-protokollen og administreres gjennom øktbaserte mekanismer. Denne funksjonen bruker JSON Web Tokens (JWT). Hver WXP-mikrotjeneste håndhever JWT-verifisering for signaturgyldighet og tokenutløp.
Autorisasjon
I tillegg til JWT-tokenverifisering utføres leiekontroller for alle API-er. Dette sikrer at riktige leierdata sendes til den som ringer. I tillegg forekommer rollekontroller for alle kritiske operasjoner.
For ytterligere informasjon, se avsnittet Users and Roles .
Flere leieforhold
WXP er en skybasert løsning med flere leietakere. Leierdata skilles logisk ved hjelp av relasjonsdatabaser og håndheves gjennom kontroller av leierettigheter. Hver leier er knyttet til en universelt unik identifikator (UUID), som sikrer dataisolering og sporbarhet.
Inaktive data
Bedriftsinformasjon som enheter, brukere og relaterte data lagres i en AWS Relational Database Service (RDS) MySQL-database og et MongoDB-datalager. Både AWS RDS MySQL-databasen og MongoDB-datalagrene er kryptert. Sensitive felt som nøkler og tokens krypteres også ved hjelp av AWS Key Management Service (KMS). Hovednøkkelen roteres i henhold til HPs retningslinjer for cybersikkerhet.
Data i transitt
All ekstern kommunikasjon til og fra WXP bruker HTTPS/TLS1.2-protokollen. Tjenester innenfor AWS Virtual Private Cloud (VPC) kommuniserer ved hjelp av ren tekst.
For ytterligere informasjon, se avsnittet Operational Security .
Tredjeparts integrasjon
WXP integreres med ulike tredjepartstjenester som ServiceNow, PowerBI, Tableau, EntraID. Server-til-server-kommunikasjon skjer over HTTPS ved hjelp av autentiseringsmetoder levert av våre partneres systemer.
Hvis du vil ha mer informasjon om tredjepartsintegrering, kan du kontakte en HP-serviceekspert.
Validering av brukergrensesnitt (UI)
Validering av brukergrensesnittfelt beskytter inndatafelt i WXP-agenten. Validering håndheves basert på datatyper (f.eks. streng, dato/klokkeslett, valuta) og forretningsregler (f.eks. obligatoriske eller anbefalte felt). Felt kan også sikres basert på brukerroller og tillatte operasjoner (lese/skrive). Ytterligere validering kan brukes gjennom skriptfunksjoner.
HPs plattform for analyse av arbeidsstyrkeopplevelser
WXP-analyseplattformen er vert på AWS og fungerer som ryggraden for databehandling for WXP. De fleste komponentene i analyseplattformen er interne og ikke eksponert for ekstern tilgang.
Datainnsamling
Analyseplattformen tilbyr grensesnitt for sikker opplasting av data fra enheter. Den bruker en godkjent API-gateway for å motta data. I denne transportmodusen sendes tilkoblinger, kommandoer og policyer verken til eller samles inn fra enheter – noe som sikrer enveiskommunikasjon fra enhet til sky.
Inaktive data
Ustrukturerte data i hvile oppbevares i AWS S3; strukturerte data lagres imidlertid i AWS RedShift. Både strukturerte og ustrukturerte data er kryptert i analyseplattformen.
HP Workforce Experience driftssikkerhet
Denne delen beskriver hvordan WXP bruker Service Level Security for å ivareta sikkerheten i ulike kommunikasjonslag.
Datasenter
WXP driftes av Amazon Web Services (AWS), nærmere bestemt Amazon Elastic Compute Cloud (Amazon EC2). Amazon EC2 gir skalerbar databehandlingskapasitet i AWS-skyen. WXP vedlikeholder datasentre i Oregon, USA (AWS-OR) og Frankfurt, Tyskland (AWS-DE). Data for kunder i europeiske land kan hostes i det tyske datasenteret. Data for kunder i alle andre land kan driftes i det amerikanske datasenteret.
Alle data i én enkelt kunde-«leier» driftes i ett enkelt datasenter, selv om kunder som ønsker å ha separate leiere i forskjellige datasentre for å være vert for data for forskjellige forretningsenheter, kan be om dette alternativet. Ved å bruke AWS utnytter WXP Amazons over femten års erfaring med å levere storstilt, global infrastruktur på en pålitelig og sikker måte. For mer informasjon, se AWS-informasjonsportalen: http://aws.amazon.com/ec2/ .
På det fysiske laget er det viktig å ta tak i kontrollene som er på plass for å sikre anlegg og nettverket. Kunde- og enhetsdata lagres i AWS-datasentre som er geografisk distribuert for å gi redundans. AWS er en anerkjent leder innen skyhosting. Ved å samarbeide med AWS arver WXP en skyinfrastruktur som er konstruert for å være et av de mest fleksible og sikre cloud computing-miljøene som er tilgjengelige i dag. Noen av de viktigste sikkerhetsegenskapene inkluderer:
Designet for sikkerhet
AWS sin skyinfrastruktur er plassert i AWS-datasentre som er designet for å tilfredsstille kravene til de mest sikkerhetssensitive kundene.
AWS-infrastrukturen er designet for å gi høy tilgjengelighet samtidig som den setter inn sterke sikkerhetstiltak for kundenes personvern og datasegregering.
Enhets-, applikasjons- og posisjonsdata som overføres til U.S. Analytics Management Datacenter, inkluderer ikke brukernavn eller e-postadresser. I stedet er dataene knyttet til enhetens serienumre og systemgenererte identifikatorer, og krypteres når de er inaktive i samsvar med HPs databeskyttelsesstandarder.
Alle strukturerte og ustrukturerte data i WXP krypteres i hvile ved hjelp av AWS-native krypteringsmekanismer som AWS KMS, i samsvar med HPs retningslinjer for cybersikkerhet Highly Automated
AWS bygger målrettet de fleste av sikkerhetsverktøyene sine for å skreddersy dem for AWS sitt unike miljø og skalakrav.
Disse sikkerhetsverktøyene er bygget for å gi maksimal beskyttelse for data og applikasjoner. Dette betyr at AWS-sikkerhetseksperter bruker mindre tid på rutineoppgaver, noe som gjør det mulig å fokusere mer på proaktive tiltak som kan øke sikkerheten til AWS Cloud-miljøet.
Svært tilgjengelig
AWS bygger sine datasentre i flere geografiske regioner så vel som på tvers av flere tilgjengelighetssoner innenfor hver region for å tilby maksimal motstandskraft mot systembrudd.
AWS designer sine datasentre med betydelige overflødige båndbreddetilkoblinger, slik at hvis det oppstår en større forstyrrelse, er det tilstrekkelig kapasitet til å gjøre det mulig å lastbalansere trafikken til de gjenværende nettstedene.
Høyt akkreditert
Sertifiseringer betyr at revisorer har verifisert at spesifikke sikkerhetskontroller er på plass og fungerer etter hensikten.
Du kan se gjeldende samsvarsrapporter ved å kontakte en AWS-kontorepresentant for å hjelpe deg med å oppfylle spesifikke sikkerhetsstandarder og forskrifter for myndigheter, bransjer og selskaper.
AWS gir sertifiseringsrapporter som beskriver hvordan AWS Cloud-infrastrukturen oppfyller kravene til en omfattende liste over globale sikkerhetsstandarder, inkludert: ISO 27001, SOC, Payment Card Industry (PCI) Data Security Standard, FedRAMP, Australian Signals Directorate (ASD) Information Security Manual, og Singapore Multi-Tier Cloud Security Standard (MTCS SS 584).
For mer informasjon om sikkerhetsforskriftene og standardene som AWS overholder, se AWS Compliance-nettsiden.
For detaljert informasjon om fysisk og miljømessig sikkerhet, AWS-tilgang og nettverkssikkerhet, vennligst sjekk: AWS Best Practices for Security, Identity & Compliance.
Nettverk
Nettverksenheter, inkludert brannmur og andre grenseenheter, er på plass for å overvåke og kontrollere kommunikasjon ved den ytre grensen til nettverket og ved viktige interne grenser i nettverket. Disse grenseenhetene bruker regelsett, tilgangskontrolllister (ACL-er) og konfigurasjoner for å håndheve informasjonsflyten til spesifikke informasjonssystemtjenester.
ACL-er, eller policyer for trafikkflyt, opprettes på hvert administrerte grensesnitt, som håndhever trafikkflyten. ACL-policyer er godkjent av Amazon Information Security. Disse retningslinjene skyves automatisk ved hjelp av AWS sitt ACL-administrasjonsverktøy, for å sikre at disse administrerte grensesnittene håndhever de mest oppdaterte ACL-ene.
Forbedrede sikkerhetspunkter
AWS har strategisk plassert et begrenset antall tilgangspunkter til skyen for å muliggjøre en mer omfattende overvåking av innkommende og utgående kommunikasjon og nettverkstrafikk. Disse kundetilgangspunktene kalles API-endepunkter, og de tillater HTTP-tilgang (HTTPS), som sikrer kommunikasjonsøkter med lagrings- eller dataforekomster i AWS. I tillegg har AWS implementert nettverksenheter som er dedikert til å administrere grensesnittkommunikasjon med Internett-leverandører (ISP). AWS bruker en redundant tilkobling til mer enn én kommunikasjonstjeneste på hver Internett-vendte kant av AWS-nettverket. Alle tilkoblinger har hver dedikerte nettverksenheter.
Program-, verts- og administratorsikkerhet
På det logiske laget brukes ulike kontroller for å sikre vertssystemene, applikasjonene som kjører på disse systemene, og for administratorer som administrerer vertssystemene og tilknyttede applikasjoner.
IT-administratorers tilgang til WXP og kundedata er begrenset og strengt administrert. Bare de personene som er avgjørende for å utføre en oppgave får tilgang forutsatt at de oppfyller de riktige bakgrunnssjekkene og kravene til kontoadministrasjon.
Datasikkerhet
Data som utveksles med WXP bruker AWS-implementeringen av Transport Layer Security (TLS) v1.2, den nyeste formen for industristandarden Secure Sockets Layer (SSL)-protokollen. TLS bidrar til å sikre data på flere nivåer, og gir serverautentisering, datakryptering og dataintegritet. Fordi TLS er implementert under applikasjonslaget, er det en passiv sikkerhetsmekanisme som ikke er avhengig av ytterligere trinn eller prosedyrer fra brukeren. Applikasjoner er bedre beskyttet mot angripere selv om brukere har liten eller ingen kunnskap om sikker kommunikasjon.
Disse funksjonene bidrar til å sikre data mot tilfeldig korrupsjon og mot ondsinnede angrep og er ment å unngå vanlige nettbaserte trusler. I tillegg til SSL-kryptering for nettverkskommunikasjon mellom klienter og servere, krypterer HP logger og inaktive data som lagres i serverdatabasene våre.
WXP-enheter må ha operativsystemene og enhetsprogramvaren som er beskrevet i systemkravene. Selv om HPs serviceeksperter kan hjelpe til med å håndheve sikkerhetspolicyer på enheter basert på administrative innstillinger, er det ingen ekstra sikkerhetskrav for distribusjon av WXP-programvaren på enheter. Påloggingsinformasjon, for eksempel den ansattes e-postadresse og passord, kreves bare når du får tilgang til WXP.
Uavhengig verifisering
To forskjellige modelleringsteknikker for trusselintelligens utføres på WXP:
WXP gjennomgår trusseletterretningsmodellering for alle nye funksjoner som utgis og med jevne mellomrom for alle mindre forbedringer av eksisterende funksjonalitet. Før du begynner programvareutviklingen av nye funksjoner, gjennomgår WXP også en gjennomgang av sikkerhetsarkitekturen av HP Cyber Security.
Eksempel på utførte sikkerhetstester:
På WXP:
Skripting på tvers av nettsteder
Phishing-angrep
Stjeling av godkjenningstoken
Fuzzing av inngang
Forfalskning av e-post
SQL-injeksjon
Forfalskning av forespørsler på tvers av nettsteder (CSRF)
Andre vanlige nettsårbarheter
På WXP-skytjenesten og analyseinfrastrukturen (inkludert mikrotjenester):
Grensesnitttesting for autentisering og autorisasjon
Endre leier-ID-ene for å sikre at riktige data bare går til autoriserte brukere
SQL-injeksjon
Ekstern kodeinjeksjon
DOS-angrep
Fuzzing av inngang
På WXP på tvers av operativsystemer, for eksempel Windows, Android og MAC:
installasjonskilde og applikasjonsintegritet,
Eskalering av privilegier
MITM-angrep
Fuzzing av inngang
Kommandoverifisering med dataintegritetskontroller
forgiftning av sertifikatbutikk
Ødelagt autentisering
sikkerhetskonfigurasjon osv.
WXP-utviklingsteamet følger en sikker programvareutviklingsprosess. Den inkluderer sikkerhetsgjennomganger i tillegg til vanlige arkitektur- og kodegjennomganger som fokuserer på sikkerhet, trusselmodellering og analyse. I tillegg utfører WXP-teamet også regelmessig infrastrukturskanning og -reduksjon gjennom verktøy som Nessus-agent. Alle disse blir uavhengig revidert av Coalfire samtidig som WXP tildeles ISO 27001-sertifisering.
HPs rammeverk for samsvar og sikkerhet
WXP demonstrerer HPs forpliktelse overfor kundene ved å implementere et robust og akkreditert program for informasjonssikkerhet og risikostyring. Kjernen i alle rammeverk for sikkerhetssamsvar er beskyttelsen av kundedata, som kundene overlater til HP. Som en del av sin strategiske retning sikrer WXP implementering av passende prosedyrer og sikkerhetsverktøy for å beskytte disse dataene.
Gjennom globalt anerkjente bransjeakkrediteringer blir alle kundedata, inkludert proprietære, operasjonelle, generelle og personlige opplysninger, grundig gjennomgått for å bekrefte at WXPs sikkerhetskontroller er i tråd med etablerte samsvarsrammeverk.
ISO 27001:2022-sertifisering
Sikkerhet for informasjonssystemer og forretningskritisk informasjon krever konstant måling og styring. ISO 27001:2022-sertifisering, utstedt av den uavhengige revisoren Coalfire, er en verifisering av HPs forpliktelse til å levere driftskontinuitet og databeskyttelse.
International Organization for Standardization (ISO) er ansvarlig for utviklingen av flere internasjonalt anerkjente standarder for produkter, tjenester og systemer. ISO 27001:2022-sertifiseringen tildeles etter fullføring av en ekstern revisjon av et akkreditert sertifiseringsorgan og er aktivabasert (informasjon, prosesser, mennesker og teknologi). HP har oppnådd ISO-sertifisering på tvers av Remote Monitoring and Management Services-miljøet, for både administrert utskrift og personlige systemtjenester.
ISO 27001 spesifiserer kravene for å etablere, implementere, vedlikeholde og kontinuerlig forbedre et styringssystem for informasjonssikkerhet (ISMS) innenfor rammen av en organisasjon. Et ISMS er en systematisk tilnærming til å håndtere sensitiv selskapsinformasjon slik at informasjonen forblir sikker i samsvar med prinsippene om konfidensialitet, integritet og tilgjengelighet. Tilnærmingen omfatter mennesker, prosesser og IT-systemer, og består av flere støttedokumenter og retningslinjer som definerer implementerings- og sertifiseringsveien.
ISO 27001:2022-sertifiseringen dekker følgende:
Retningslinjer for informasjonssikkerhet
Driftssikkerhet
Organisering av informasjonssikkerhet
Sikkerhet for kommunikasjon
Sikkerhet for menneskelige ressurser
Systemanskaffelse, utvikling og vedlikehold
Kapitalforvaltning
Leverandørforhold
Adgangskontroll
Håndtering av informasjonssikkerhetshendelser
Kryptografi
Informasjonssikkerhetsaspekter ved styring av forretningskontinuitet
Fysisk og miljømessig sikkerhet
Samsvar
HP har utvidet ISO-sertifiseringen til å omfatte:
ISO 27701:2019 (PIMS for administrasjonssystemer for personvern)
ISO 27017:2015 (Informasjonssikkerhetskontroller for skytjenester)
ISO 27701:2019-sertifisering
Kunder og partnere som bruker WXP for kontinuerlig overvåking, søker forsikring om at dataene deres er beskyttet når de bruker en skytjenesteleverandør. ISO 27017:2015 definerer bransjeanerkjente standarder for informasjonssikkerhetskontroller spesielt for skytjenestekunder og -leverandører.
SOC 2 Type 2
En SOC2-attest gir kundene forsikring om å vite at WXP følger globalt anerkjente standarder for sikkerhet, konfidensialitet, personvern og tilgjengelighet. SOC 2 gir kunder og partnere bekreftelse på hvordan HP administrerer, lagrer og behandler private data om klienten på en repeterbar og kontinuerlig innsats. Kunder krever ytterligere rammeverk for å støtte deres toleranse for risiko. HP begynte å forfølge årlig SOC 2-attestering for å fortsette å forbedre seg for fremtiden og for å møte kundenes etterspørsel.
HPs sikre livssyklus for programvareutvikling (SSDL)
Industriens tilnærminger til applikasjonssikkerhet har vanligvis vært reaktive, og bransjetilnærminger har ikke klart å bruke lærdom fra kvalitetsfeltet. De to utbredte tilnærmingene er:
Grav hodet i sanden: Dette er preget av reaktiv sikkerhetsoppdatering. Denne tilnærmingen er avhengig av vanlige sårbarheter og eksponeringer (CVE-er) med lite arbeid for å unngå eller minimere sårbarhetsintroduksjon. Dette ses oftest i bransjesegmenter med minimal sikkerhetsrelevant regulatorisk byrde.
Test sikkerhet i: Dette merkes av mangelen på robusthet designet inn i applikasjoner. I stedet brukes innsats for å finne og fikse sårbarheter under testing i kombinasjon med sikkerhetsoppdateringer. Denne tilnærmingen forekommer oftere i offentlig sektor, sikkerhetsregulerte bransjer og helsevesenet. Disse segmentene må vise samsvar med forskrifter, inkludert USAs Federal Information Security Management Act (FISMA), Payment Card Industry Data Security Standard (PCI-DSS), Health Information Portability and Accountability Act (HIPAA) og Health Information Technology for Economic and Clinical Health (HITECH). Sikkerhet som en kvalitetsegenskap må imidlertid brukes på alle stadier av livssyklusen på samme måte som kvalitetsfeltet lærte for et halvt århundre siden.
Viktige leietakere inkluderer følgende:
Kvalitet kan ikke testes i; Den må designes og bygges inn, og deretter testes.
Sikkerhetsfeil og sårbarheter må oppdages før heller enn senere i livssyklusen av hensyn til kostnadene.
HP tar programvaresikkerhet svært alvorlig, og HP har tatt i bruk en Secure Software Development Lifecycle (SSDL). Flere mål er knyttet til SSDL-prosessen, inkludert følgende:
Reduser cyberangrepsoverflaten via sikker programvarearkitektur
Minimer kodeinduserte sårbarheter
Beskytt personvernet og sikkerheten til kundedata og -identiteter
HP inkluderer spesifikke sikkerhetsrelaterte prosedyrer i sine SSDL-prosesser, utfører milepælgjennomganger for å sikre at sikkerhetsprosesser fullføres, og leverer løpende sikkerhetsopplæring til sine programvarearkitekter, utviklere, testingeniører, programledere og deres lederteam.
De syv trinnene i SSDL-prosessen er definert nedenfor:
Opplæring (trinn 1) – Formelle kurs som dekker SSDL-prosessen, sikkerhetsforbedret design, trusselmodellering og sikker koding.
Krav (trinn 2) – Planlegging for sikkerhet helt i starten av programvareprosjekter, inkludert sikkerhetsrisikovurderinger funksjon for funksjon.
Design (trinn 3) – Definere og dokumentere sikkerhetsarkitekturen; identifisere kritiske sikkerhetskomponenter.
Implementering (trinn 4) – Utførelse av det utformede beskyttelsesskjemaet og avbøtende tilnærming, sammen med nodekodegjennomganger og valideringer.
Verifisering (trinn 5) – Utføre dynamisk kodeanalyse, fuzz-testing (fuzzing) og gjennomgang av angrepsoverflaten.
Utgivelse (trinn 6) – Bekrefter at SSDL-kravene er oppfylt og at det ikke finnes noen kjente sårbarheter.
Svar (trinn 7) – Utføre svaroppgavene som er skissert under utgivelsesfasen.
Datainnsamling
Datatypene som samles inn av WXP, leveres enten direkte av kunder eller samles inn automatisk fra den skybaserte WXP. Data fra enheter samles inn ved hjelp av WXP-agenter som er installert på enhetene. WXP samler inn følgende data for å utføre kontraktstjenester:
Formål med datainnsamling | Data samlet inn | Beskrivelse av innsamlede data |
Administrasjon av kontoer | Kontodata | Informasjon relatert til kundekjøp eller registrering for WXP-tjenester, støttehistorikk med hensyn til hendelser generert av WXP, og alt annet relatert til WXP-kontoen for å utføre transaksjonstjenester som kontoadministrasjon. |
Sørg for at WXP og tjenester fungerer som de skal | Søknadsdata | Inkluderer versjonsnummer, installasjonsstatus og oppdateringshistorikk for WXP-agenten på hver administrerte enhet. |
Kontooppsett, identitetsadministrasjon og Validering av rettigheter | Kontaktinformasjon | Personlige og/eller forretningsmessige kontaktopplysninger, inkludert fornavn, etternavn, postadresse, telefonnummer, faksnummer, e-postadresse og annen lignende kontaktinformasjon som brukes til oppsett og validering av WXP-kundekonto, tjenesterettigheter og e-postvarsler knyttet til hendelser og tjenester. |
Lever proaktivt vedlikehold og administrasjon av IT-tjenester, og kundesentrerte rapporter/dashbord | Enhetsdata | Grunnleggende enhetsinformasjon, for eksempel enhetsnavn, operativsystem, minnemengde, enhetstype, diskstørrelse, områdeinnstilling, språkinnstilling, tidssoneinnstilling, modellnummer, første startdato, alder på enheten, enhetens produksjonsdato, nettleserversjon, enhetsprodusent, garantistatus, unike enhetsidentifikatorer og ytterligere teknisk informasjon som varierer etter modell. Maskinvareinformasjon, for eksempel BIOS, skjerm, GPU, lagring, systemspor, minne, sanntidsklokke, systemets maskinvareutnyttelsesdata (CPU, GPU, minne og disk-I/O), drivere, termisk, vifte, PnP-enheter, RPOS-tilbehør, HP Sure Recover-innstillinger, HP-diagnostikktest, dokkingstasjon (kun HP), eksterne enheter koblet til dokkingstasjon, batteritilstand, strømkonfigurasjon og -tilstand, systemhvilediagnostikk, Primær/ekstern diskattribusjon, diskutnyttelse, Intel-plattformtjenesteoppføring (krever Intel vPro), systemstrømforbruk, systemstrømforbruk per PCM (krever HP Business PC G11 eller nyere), Intel SoC-margin på minne (bare HP Business PC G12 eller nyere) og bærbar PC-tastaturtilstand (kun HP Business PC G12 eller nyere) Programvareapplikasjoner installert på enheten, for eksempel listen over installerte applikasjoner, kjøretid for applikasjoner, applikasjonsfeil, maskinvareutnyttelsesdata etter applikasjon (CPU og minne).
Webprogrammer i nettlesere, for eksempel antall sidebesøk, sideinnlastingstid og sideinnlastingsfeil for bare URL-adressene som er forhåndskonfigurert på Innstillinger-siden i WXP. Som standard er datainnsamling for webprogrammer deaktivert, men den kan aktiveres på siden WXP > Innstillinger . WXP skanner eller samler ikke inn innhold fra webapplikasjoner i nettlesere. Operativsystemgenerert informasjon for enheten, for eksempel OS-hendelser, manglende Windows-oppdateringer, prosess- og tjenesteovervåking, oppstarts-/dvale-/dvale-/avslutningstid, enhetsbrukstid, påloggingstid for enheten, full oppstart og rask oppstartstid, siste omstartsdato og systemkrasj – blåskjermkrasj på Windows OS. Merk: Som standard er innsamling av krasjdump for systemkrasj deaktivert, men det kan aktiveres på WXP-innstillingssiden. Nettverksinformasjon som nettverksgrensesnitt, MAC-adresse, IP-adresse, SSID, signalstyrke, tilkoblingshastighet, nettverksautentiseringsinnstillinger, nettverksfeil, nettverksforbruk, nettverksutnyttelse, pakketap, jitter og ventetid etter prosess, og nettverkstilkoblinger og frakoblinger.
Sikkerhetsinformasjon, for eksempel TPM (Trusted Platform Module), antivirusstatus, brannmurstatus, BitLocker-krypteringsstatus og Secure Boot-status. Brukerinformasjon for kundens brukere som registrerer enhetene sine i WXP, for eksempel sist pålogget brukerinformasjon og Active Directory-tilsluttet brukerinformasjon.
Informasjon om enhetsplassering, for eksempel geografisk plassering av enheten i sanntid og plassering av eiendeler (angitt av brukere for å indikere hvor enheten hører hjemme). OBS: Som standard er datainnsamling for enhetsplassering deaktivert, men den kan aktiveres på WXP-innstillingssiden. |
Godkjenning og autorisasjon av brukertilgang til kontoer og tjenester som bruker HP | Legitimasjon for sikkerhet | Brukerpassord, passordtips og lignende sikkerhetsinformasjon som kreves for godkjenning for å gi brukere tilgang til WXP-skybaserte portalkontoer og -tjenester. (bare hvis du bruker HP ID) |
Datagrupperinger
Enhetsdata som samles inn av WXP 1 , kan inneholde følgende grupperinger:
Datagruppe | Beskrivelse |
Maskinvare | Inkludert batteri, BIOS, disk, skjerm/skjerm, grafikk, inventar, minne, nettverksgrensesnitt, Plug and Play (PnP), prosessor, systemklokke, systemspor, termiske og systemytelsesdata. |
Programvare applikasjoner | Inkludert samsvar, feil, lager, ytelse, utnyttelse og utnyttelsesdata for webapplikasjoner. |
Sikkerhet | Inkludert ikke-rapporterende enheter, oppdagelse/administrasjon av operativsystemoppdateringer, enhetsplassering, enhetsalarm, låsing og sletting, innstilling av sikkerhetspolicy, håndhevelse av sikkerhetspolicyer, sikkerhetstrusler, lagringskryptering, brukersikkerhetsinnstillinger, Wi-Fi-klargjøring og data om brudd på Windows Information Protection |
Windows-hendelseslogger | Windows-hendelseslogger gir detaljert oversikt over system-, sikkerhets- og programvarsler som er lagret av Windows-operativsystemet , og som brukes av administratorer til å diagnostisere systemproblemer og forutsi fremtidige problemer. |
HPs garanti- og pleiepakker | HP Care Packs er utvidede garantier for din HP-datamaskin eller -skriver som dekker produkter etter at standardgarantien er utløpt. |
Brukerdata samlet inn av WXP inkluderer:
Brukerens e-postadresse
Sist pålogget brukerkonto
WXP samler ikke inn følgende typer data:
Demografisk informasjon (med unntak av land- eller språkpreferanser)
Finansiell kontoinformasjon, kreditt- eller debetkortnumre, kredittoppføringer eller betalingsdata
Sosiale medier
Offentlig utstedt identifikator som personnummer, personnummer eller offentlig utstedt ID
Helseopplysninger
Sensitive data som etnisk opprinnelse, politisk overbevisning, fagforeningsmedlemskap, helsedata, seksuell legning og genetiske data
Personvern
HP har en lang historie med bransjeledelse innen personvern og databeskyttelse. Sammen med vår robuste portefølje av produkter og tjenester støtter vi våre kunders og partneres innsats for å beskytte personopplysninger. Når det gjelder WXP-analyse, fungerer HP som databehandler. Se avsnittet Databehandler på HP Privacy Central. Som et globalt selskap er det mulig at all informasjon du oppgir, kan overføres til eller åpnes av HP-enheter over hele verden i samsvar med HPs personvernerklæring og basert på de internasjonale personvernprogrammene som er oppført i avsnittet Internasjonale dataoverføringer.
Datapersonvern styres av HPs retningslinjer for personvern for land over hele verden. Disse retningslinjene oppdateres med jevne mellomrom og dekker følgende emner:
Våre personvernprinsipper
Internasjonale dataoverføringer (inkludert Privacy Shield-informasjon mellom EU og USA.)
Hvordan vi bruker data
Hvilke data vi samler inn
Barns personvern
Hvordan vi oppbevarer og holder dataene dine sikre
Hvordan vi deler data
HP-kommunikasjon
Utøve dine rettigheter og kontakte oss
Endringer i personvernerklæringen vår
Oppbevaring av data
Dataoppbevaring er en viktig del av ethvert samsvarsprogram og nødvendig for å oppfylle riktig forvaltning av data. HPs retningslinjer for dataoppbevaring omfatter følgende anbefalte fremgangsmåter for dataoppbevaring:
Oppbevaring av data i kortere perioder enn nødvendig kan bryte kontraktsmessige eller juridiske krav eller påvirke sikkerheten.
Å opprettholde data i lengre perioder enn nødvendig kan bryte personvernforskriftene og er en topp kundebekymring og salgsforespørsel.
Når data er slettet, er det ingen forpliktelse til å gi dem til kunden eller rettshåndhevelse.
Alle data i regionale datasentre i USA og Tyskland slettes permanent innen tretti dager etter at kunden er deaktivert fra WXP.
Data i U.S. Analytics-datasenteret slettes permanent etter to år fra datoen for dataopprettelse eller innen tretti dager etter at kunden har deaktivert fra WXP for både strukturert og ustrukturert lagring. Siden WXP-applikasjonens analysepakke er en enkelt delt pakke på tvers av mange HP-applikasjoner, slettes ikke dataene i US Analytics-datasenteret permanent hvis kunden deaktiveres fra WXP fordi den samme kunden kan være registrert i andre HP-applikasjoner. og slettes først etter tre år fra dataene for dataopprettelse.
Merk: Telemetridata som overføres til U.S. Analytics-datasenteret, er knyttet til enhetens serienumre og systemgenererte ID-er. Disse dataene krypteres når de er inaktive og håndteres i samsvar med HPs standarder for databeskyttelse og sikkerhet. .
Lagring av data
Datalagring for WXP er begrenset til bruker- og enhetsinformasjonen til betalende abonnenter.
Alle databaser i amerikanske og tyske regionale datasentre som lagrer personlige data, er kryptert.
Alle databaser i datasentrene for identitetsadministrasjon i USA som lagrer personlige data, er kryptert.
Alle databaser og ustrukturert lagring i US Analytics-datasenteret er kryptert.
Følgende datatyper overføres og lagres i de forskjellige datasentrene:
Data-kategori | Regionale regioner i USA Datasenter1 | Tysk Regional Datasenter2 | Amerikanske analyser Datasenter3 | Data for identitetsadministrasjon i USA Senter3 |
Kontodata | Ja | Ja | Nei | Nei |
Søknadsdata | Ja | Ja | Ja | Nei |
Kontaktinformasjon | Ja | Ja | Nei | Ja (hvis du bruker HP ID) |
Enhetsdata | Ja | Ja | Ja | Nei |
Posisjonsdata | Ja | Ja | Ja | Nei |
Data om sikkerhetslegitimasjon | Nei | Nei | Nei | Ja (hvis du bruker HP ID) |
For kunder som ikke er basert i Europa
For kunder i Europa
For alle kunder
Tjenesteovervåking og rapportering
WXP tilbyr tjenesteoppdateringer regelmessig for å levere de nyeste funksjonene og oppdateringene til kundene. WXP varsler også kunder gjennom ulike metoder om planlagte eller ikke-planlagte oppdateringer og endringer i tjenesten. For planlagte serviceavbruddshendelser, for eksempel servicevedlikehold, varsles kundene åtte timer i forveien.
For å levere optimal service utfører HP kontinuerlig serviceovervåking og rapportering.
Overvåking av tjenester
WXP og agent overvåkes på 24x7x365-basis for pålitelighet og ytelse. I tillegg skjer nettverksytelse og tilgjengelighetsovervåking kontinuerlig. Alle overvåkingsverktøyene ruter eventuelle problemer, advarsler og problemer direkte til serviceteknikere. Unntak heves automatisk til et internt billettsystem som høyt prioriterte arbeidsposter som krever bekreftelse.
Hvis en terskel overskrides, skjer følgende automatiske eskaleringsprosess:
Et e-postvarsel sendes til en tilsvarende supporttekniker
Et push-varsel til mobilenheten til teknikeren på vakt sendes
En e-post sendes til distribusjonslisten for operasjonsteam
WXP bruker forskjellige overvåkingsverktøy, inkludert:
Ny relikvie: Overvåker ulike komponenter i systemet og enda viktigere, hjelper til med å identifisere og feilsøke flaskehalser når de dukker opp. De fleste applikasjonene/tjenestene har blitt instrumentert for Splunk og gir dermed kontinuerlig datainnsamling og ytelsesmålinger i nær sanntid.
Amazon CloudWatch: Overvåker hendelser relatert til klargjøring, tjenestefeil og terskeloppnåelse (for eksempel minneforbruk). Hendelser gjennomgås og kategoriseres for å identifisere de viktigste problemområdene. Basert på prioriteringen iverksettes tiltak umiddelbart eller planlegges å bli tatt opp for senere utvikling. Det holdes et møte for tjenestekvalitet (QoS) for å gjennomgå funn, identifisere rotårsaker og implementere endringer for forbedring.
Konklusjon
HP erkjenner at trussellandskapet endres raskt. Utviklingen av nettangrep begynte med sletting av filer og ødeleggelse av nettsteder på slutten av 1990-tallet, og gikk deretter inn i inntektsgenereringsstadiet med stjålet legitimasjon og løsepengeprogramvare. Nylig blir angrep utført av nasjonalstater som er ekstremt godt finansiert og har til hensikt å få ned strømnett og gjøre titusenvis av datamaskiner og mobile enheter ubrukelige.
Å håndtere disse risikoene er et oppdrag HP tok fatt på for mer enn førti år siden. HPs arv av innovasjon innen oppdagelse og beskyttelse av sikkerhetstrusler, sammen med pågående sikkerhetsfokuserte investeringer, informerer utformingen av applikasjoner som WXP. Resultatet er en sikker, skybasert IT-administrasjonsløsning bygget på en integrert sikkerhetsplattform som spenner over applikasjonen, det fysiske datasenteret og sluttbrukertilgang.
Med innebygde sikkerhetsfunksjoner tilbyr WXP, tilgjengelig gjennom HP Proactive Insights, HP Active Care og andre tjenester drevet av WXP, organisasjoner et pålitelig verktøy for å forenkle den daglige administrasjonen av enheter, data og brukere gjennom flere robuste sikkerhetslag.