пятница, 6 июля 2012 г.

СОИБ. Проектирование. Виртуальные мобильные рабочие места


В сегодняшней заметке хотелось бы уделить внимание решениям типа Защищенные мобильные виртуальные рабочие места на базе съемного USB носителя.
Написать данную заметку меня сподвигла статья Андрея Комарова на Хабре, к которой я вернусь ниже.

Для кого защиты, каких объектов могут использоваться такие решения:
·        для сотрудников, которым необходимо поработать с корпоративной защищаемой информацией находясь за пределами контролируемой территории – в командировках, при работе из дома, на площадке партнера/клиента/заказчика
·        для клиентов Банков, которые подключаются к платежным системам из своих корпоративных (такие сети тоже можно считать неконтролируемыми – ведь банком они не контролируются) или домашних сетей

При такой работе становятся актуальными следующие угрозы, связанные с неконтролируемой средой:
1.      Отсутствие у пользователя необходимых сервисов и приложений для работы с защищаемой информацией. Например, пользователю удалось в командировке найти компьютер, но на нем отсутствует КриптоПро или Visio или 1С
2.      Отсутствие у пользователя прав на временном рабочем месте. Например, пользователю удалось в командировке найти компьютер в интернет кафе, но на нем очень ограничены права пользователя – недостаточны для выполнения каких-то действий
3.      Отсутствие у пользователя соединения с сетью Интернет при необходимости локальной работы с защищаемой информацией.
4.      Утечка информации в следствии утери носителя с защищаемой информацией
5.      Утечка информации в следствии оставления следов на временном рабочем месте
6.      Несанкционированный доступ в следствии наличия вредоносных программ (запись нажатия клавиш, снимки экрана, копирование временных файлов) на временном рабочем месте
7.      Несанкционированный доступ в следствии отсутствия на временном рабочем месте необходимых средств защиты (антивирус, контроль приложений, персональный межсетевой экран), что приводит к заражению вредоносными программами в процессе работы
8.      Утечка информации в следствии подключения к корпоративным приложениям по неконтролируемому каналу

Основные функции таких решений:
·        аутентификация пользователя (по паролю, OTP, сертификату) – защищает от угрозы 4
·        шифрование диска c данными – защищает от угрозы 4
·        шифрование и удаление временных файлов – защищает от угрозы 5
·        возможность локальной (работы без подключения к серверу) - защищает от угрозы 3
·        изоляция виртуального рабочего места от физического АРМ – защищает от угрозы 2, 5, 6
·        контроль защищенности физического АРМ (проверка наличия актуального антивируса и контроль других политик) - защищает от угрозы 6,7
·        защита он записи экрана - защищает от угрозы 6
·        встроенный контроль приложений (по пути к приложению и md5 хэш) - защищает от угрозы 7
·        контроль трафика (МЭ) - защищает от угрозы 7
·        встроенный VPN клиент и шифрование трафика (возможность направлять весь трафик через VPN сервер)  -  защищает от угрозы 8
·        наличие предустановленных сервисов и приложений – защищает от угрозы 1

Фактически единственным корпоративным решением типа Защищенные мобильные виртуальные рабочие места является CheckPoint GO (ранее известное как Abra).

Наиболее близко к нему по функциям приближается решение с защищенным мобильным рабочим местом, но без виртуализации, «МАРШ!» от САПР ОКБ

Так-же для сравнения включил типовой шифрованный носитель и продвинутое решение SSL VPN

Характеристики
Check Point GO
САПР ОКБ «МАРШ!»
Шифрованный USB носитель
Типовой SSL VPN
аутентификация пользователя
+
(по паролю - виртуальная клавиатура, OTP, сертификату)
+
(по паролю, сертификату)
+
(по паролю, сертификату)
+
(по паролю, сертификату)
шифрование диска c данными
+
+
+
-
шифрование и удаление временных файлов
+
+
-
-
возможность локальной работы
+
-
+
-
изоляция виртуального рабочего места от физического АРМ
+
(в зависимости от политик возможно взаимодействие)
+
(невозможно взаимодействие между защищенной ОС и существующей на физическом АРМ ОС)
-
+
контроль защищенности физического АРМ
+
(контроль наличия актуального антивируса и других политик )
-
(не требуется так как перезагружаемся в доверенную ОС. Но в защищенной ОС отсутствует антивирус)
-
+
защита он записи экрана
+
-         
(не требуется так как перезагружаемся в доверенную ОС)
-         
-         
встроенный контроль приложений
по пути к приложению и md5 хэш
-
-
-
контроль трафика (персональный МЭ)
+
-
-
+
встроенный VPN клиент и шифрование трафика
+
+
-
+
наличие предустановленных сервисов и приложений
+
(более 50 готовых пакетов приложений, возможность создания своих пакетов)
+
(предустановлен 1 набор сервисов – криптосервис, Firefox, можно установить другие приложения под Linux)
-
-
централизованное управление всеми политиками
+
-
+
+
возможные размеры носителя
4 иГб
4 Гб
любой
-
тип виртуализации
песочница типа ОС Windows XP, Vista, 7
не используется виртуализация, необходимо перезагружаться и заходить под другой ОС Linux
-
песочница типа ОС Windows XP, Vista, 7
наличие сертификатов ФСТЭК/ФСБ
-
-
-+
-+

Необходимо учитывать следующие ограничения:
·        Для работы с «МАРШ!» необходимо перезагружать компьютер и загружаться под другой ОС (в BIOS должна быть разрешена загрузка с USB)
·        В «МАРШ!» используется ОС Linux в которую можно установить не все корпоративные приложения
·        Для работы с Check Point GO необходима гостевая ОС Windows XP, Vista, 7
·        Для самых экзотических приложений может не удастся подготовить портативную версию для Check Point GO даже под ОС Windows XP, Vista, 7

А теперь о статье Андрея Комарова который подверг серьезной критике устройства Check Point GO. Конечно проведенный анализ уязвимостей заслуживает благодарности.  Но Алексей провел технический анализ и выводу получились слишком технические.

На счет запуска сторонних программ в защищенном сеансе Алексей явно забыл про возможность у решения делать хеши по md5.
На счет фишинговой атаки Алесей явно не учел, что весь трафик как правило проходит через VPN сервер и корпоративный DNS. А при подмене адреса интернет-банка HTTPS просигнализирует о несоответствии сертификата сайта.

Все приведенные им сценарии атак были рассчитаны на то, что пользователь сам начнет взламывать свою защищенную систему и пытаться выйти за рамки ограничений.
В тоже время в перечне актуальных угроз, для защиты от которых предназначено решение – приведены совершенно другие угрозы: потеря флешки, оставление следов, случайный запуск пользователем не доверенных программ, незащищенные каналы передачи данных, отсутствие прав и программ. С защитой от этих угроз решение GO отлично справляется.

9 комментариев:

Сергей Борисов комментирует...

RE:"Артем Агеев: если мне нужно будет поработать в командировке - я сделаю это, накрайняк, с телефона.

даже запустив софт с флешки, останется уйма способов украсть информацию - кейлогер, сниффер, скринграббер и т.д. и т.п.

в статье явно не хватает ценника чтобы окончательно похоронить данные устройства."

Я например, не могу работать с телефона, так как вравить документы, рисовать в visio и заходить в 1С он не может.

Политиками организации может быть запрещено обрабатывать КИ на незащищенных устройствах.
А телефон к защищенным пока никак не отнести.

Так что хоронить совершенно не получится. Данный продукт занимает свою нишу - я описал её в начале статьи.

Стоимости 165$ и 210$

Сергей Борисов комментирует...

Кстати с руткитами борется. Против кейлогеров - виртуальная клавиатура для особо важных мест, против снифферов встроенный SSL и IPSEC VPN, против скринграбера - тоже встроена защита.

Артем Агеев комментирует...

с телефона по RDP можно зайти на большой комп и делать все вышеописанное. С большим экраном планшета процедуру можно назвать даже вполне комфортной.

Почему это телефон - незащищенное устройство? Мало какой компьютер может похвастаться защитой, которую даёт, к примеру, неджеилбрейкнутый iOS.

200$ - стоимость нетбука или телефона на андроиде. Т.ч. все-таки хоронить ;)

виртуальную клавиатуру "подсмотрит" скринграббер (или видеокамера). Сетевой трафик можно попытаться дампить ещё до того, как его передадут драйверу IPSec.

Сергей Борисов комментирует...

Я с телефона не смогу сделать всё вышеописанное даже по RDP. Технически возможность есть, но нет достаточных интерфейсов для того чтобы работать - большие объемы текста, изменений, формул и т.п.

В лучшем случае с телефона ты можешь по почте отправить кому-то документы с просьбой помочь и по телефону объяснить что править.

И нормальный телефон или планшет, извините, стоит 1000$.

На счет GO - как минимум стоит учитывать что это флешка с аппаратным шифрованием по AES. Что само по себе уже стоит немало (аналоги стоят немало).

И на iOS пока нет возможности установить корпоративный антивирус, HIPS, персональный МЭ, СКЗИ, агент DLP.
А когда это всё появится - то комплект корпоративных СЗИ будет стоить порядка 200$ за одно устройство.
И ещё вопрос - разрешит ли каждый человек ставить на свой личный телефон корпоративные СЗИ.

Сергей Борисов комментирует...

И Артем, а ты точно знаешь какую информацию не сливает твой iOS?

http://www.aif.ru/techno/article/49610

Михаил Новокрещенов комментирует...

CheckPoint GO это я так понимаю бывшая Abra. Решение безусловно интересное, главный недостаток один - ограниченная сфера применения, в связи с использованием коммерческих алгоритмов шифрования.

Артем Агеев комментирует...

я с планшета прекрасно управляю домашним компьютером по RDP. С документами можно спокойно работать через Google Docs.

"нормальный" телефон за 1000 долларов для документов не нужен. Сойдет нетбук (Asus EEE PC, телефон (LG optimus) или планшет (Google Nexus 7). Все в пределах 200-300 долларов.

Аппаратное шифрование AES стоит копейки. Аналогов на 4 ГБ просто нет %). А 64Гб + аппаратный AES стоит 70 долларов.http://www.newegg.com/Product/Product.aspx?Item=N82E16820171412

"антивирус, HIPS, персональный МЭ, СКЗИ, агент DLP" - серьезно считаешь, что это нужно для безопасности пользователя на iOS?

Ссылка про "слив из iOS" никакого отношения к защите корпоративных секретов не имеет.

Сергей Борисов комментирует...

Артем: Для iOS сейчас нет полноценных средств безопасности (которые я перечислил) потому что никто не обрабатывает на них защищаемую информацию.

Так только будет развиваться тема - должны появятся и СЗИ. Но пока их нет.

Сергей Борисов комментирует...

Михаил:
Да - это бывшая Abra. Сделали ребрендинг.

На счет российской криптографии - надо прорабатывать вопрос.
Теоретически на него ставится КриптоПро. И далее работаем в связке КриптоПро и SSL-VPN от CheckPoint.

Да - в некоторых случаях может потребоваться положительное заключение ФСБ, которого пока нет у CheckPoint. Ну тут либо ждать - они в процессе.
Либо интегрировать Криптопро с IIS как вы описали в своей статье.