СОИБ. Проектирование. Виртуальные мобильные рабочие места
В сегодняшней заметке хотелось бы
уделить внимание решениям типа Защищенные мобильные виртуальные рабочие места
на базе съемного USB носителя.
Написать данную заметку меня сподвигла
статья Андрея Комарова на Хабре, к которой я вернусь ниже.
Для кого защиты, каких объектов могут
использоваться такие решения:
·
для сотрудников, которым необходимо поработать
с корпоративной защищаемой информацией находясь за пределами контролируемой
территории – в командировках, при работе из дома, на площадке партнера/клиента/заказчика
·
для клиентов Банков, которые подключаются к
платежным системам из своих корпоративных (такие сети тоже можно считать неконтролируемыми
– ведь банком они не контролируются) или домашних сетей
При такой работе становятся
актуальными следующие угрозы, связанные с неконтролируемой средой:
1.
Отсутствие у пользователя необходимых сервисов
и приложений для работы с защищаемой информацией. Например, пользователю
удалось в командировке найти компьютер, но на нем отсутствует КриптоПро или Visio или 1С
2.
Отсутствие у пользователя прав на временном
рабочем месте. Например, пользователю удалось в командировке найти компьютер в
интернет кафе, но на нем очень ограничены права пользователя – недостаточны для
выполнения каких-то действий
3.
Отсутствие у пользователя соединения с сетью
Интернет при необходимости локальной работы с защищаемой информацией.
4.
Утечка информации в следствии утери носителя с
защищаемой информацией
5.
Утечка информации в следствии оставления
следов на временном рабочем месте
6.
Несанкционированный доступ в следствии наличия
вредоносных программ (запись нажатия клавиш, снимки экрана, копирование
временных файлов) на временном рабочем месте
7.
Несанкционированный доступ в следствии отсутствия
на временном рабочем месте необходимых средств защиты (антивирус, контроль
приложений, персональный межсетевой экран), что приводит к заражению вредоносными
программами в процессе работы
8.
Утечка информации в следствии подключения к
корпоративным приложениям по неконтролируемому каналу
Основные функции таких решений:
·
аутентификация пользователя (по паролю, OTP, сертификату) – защищает от угрозы 4
·
шифрование диска c данными – защищает от угрозы 4
·
шифрование и удаление временных файлов –
защищает от угрозы 5
·
возможность локальной (работы без подключения
к серверу) - защищает от угрозы 3
·
изоляция виртуального рабочего места от
физического АРМ – защищает от угрозы 2, 5, 6
·
контроль защищенности физического АРМ (проверка
наличия актуального антивируса и контроль других политик) - защищает от угрозы
6,7
·
защита он записи экрана - защищает от угрозы 6
·
встроенный контроль приложений (по пути к
приложению и md5 хэш) - защищает от угрозы 7
·
контроль трафика (МЭ) - защищает от угрозы 7
·
встроенный VPN клиент и шифрование трафика (возможность направлять весь трафик через VPN сервер) -
защищает от угрозы 8
·
наличие предустановленных сервисов и
приложений – защищает от угрозы 1
Фактически единственным корпоративным
решением типа Защищенные мобильные виртуальные рабочие места является CheckPoint GO (ранее известное как Abra).
Наиболее близко к нему по функциям
приближается решение с защищенным мобильным рабочим местом, но без виртуализации, «МАРШ!» от САПР ОКБ
Так-же для сравнения включил типовой
шифрованный носитель и продвинутое решение SSL VPN
Характеристики
|
Check Point GO
|
САПР
ОКБ «МАРШ!»
|
Шифрованный
USB носитель
|
Типовой
SSL VPN
|
аутентификация пользователя
|
+
(по паролю - виртуальная клавиатура,
OTP, сертификату)
|
+
(по
паролю, сертификату)
|
+
(по
паролю, сертификату)
|
+
(по
паролю, сертификату)
|
шифрование диска c данными
|
+
|
+
|
+
|
-
|
шифрование и удаление временных файлов
|
+
|
+
|
-
|
-
|
возможность локальной работы
|
+
|
-
|
+
|
-
|
изоляция виртуального рабочего места от физического АРМ
|
+
(в зависимости от политик возможно
взаимодействие)
|
+
(невозможно взаимодействие между
защищенной ОС и существующей на физическом АРМ ОС)
|
-
|
+
|
контроль защищенности физического АРМ
|
+
(контроль наличия актуального
антивируса и других политик )
|
-
(не требуется так как
перезагружаемся в доверенную ОС. Но в защищенной ОС отсутствует антивирус)
|
-
|
+
|
защита он записи экрана
|
+
|
-
(не требуется так как
перезагружаемся в доверенную ОС)
|
-
|
-
|
встроенный контроль приложений
|
по пути к приложению и md5 хэш
|
-
|
-
|
-
|
контроль трафика (персональный МЭ)
|
+
|
-
|
-
|
+
|
встроенный VPN клиент и шифрование трафика
|
+
|
+
|
-
|
+
|
наличие предустановленных сервисов и приложений
|
+
(более 50 готовых пакетов
приложений, возможность создания своих пакетов)
|
+
(предустановлен 1 набор сервисов –
криптосервис, Firefox, можно
установить другие приложения под Linux)
|
-
|
-
|
централизованное управление всеми политиками
|
+
|
-
|
+
|
+
|
возможные размеры носителя
|
4 и 8 Гб
|
4 Гб
|
любой
|
-
|
тип виртуализации
|
песочница типа ОС Windows XP,
Vista, 7
|
не используется виртуализация,
необходимо перезагружаться и заходить под другой ОС Linux
|
-
|
песочница типа ОС Windows XP,
Vista, 7
|
наличие сертификатов ФСТЭК/ФСБ
|
-
|
-
|
-+
|
-+
|
Необходимо учитывать следующие
ограничения:
·
Для работы с «МАРШ!» необходимо перезагружать
компьютер и загружаться под другой ОС (в BIOS должна быть разрешена загрузка с USB)
·
В «МАРШ!» используется ОС Linux в которую можно установить не все
корпоративные приложения
·
Для работы с Check Point GO необходима гостевая
ОС Windows XP, Vista, 7
·
Для самых экзотических приложений может не удастся
подготовить портативную версию для Check Point GO даже под ОС Windows XP, Vista,
7
А теперь о статье Андрея Комарова
который подверг серьезной критике устройства Check Point GO. Конечно проведенный анализ
уязвимостей заслуживает благодарности.
Но Алексей провел технический анализ и выводу получились слишком
технические.
На счет запуска сторонних программ в
защищенном сеансе Алексей явно забыл про возможность у решения делать хеши по md5.
На счет фишинговой атаки Алесей явно
не учел, что весь трафик как правило проходит через VPN сервер и корпоративный DNS. А при подмене адреса интернет-банка HTTPS просигнализирует о несоответствии сертификата сайта.
Все приведенные им сценарии атак были рассчитаны
на то, что пользователь сам начнет взламывать свою защищенную систему и
пытаться выйти за рамки ограничений.
В тоже время в перечне актуальных
угроз, для защиты от которых предназначено решение – приведены совершенно
другие угрозы: потеря флешки, оставление следов, случайный запуск пользователем
не доверенных программ, незащищенные каналы передачи данных, отсутствие прав и
программ. С защитой от этих угроз решение GO
отлично справляется.
Комментарии
даже запустив софт с флешки, останется уйма способов украсть информацию - кейлогер, сниффер, скринграббер и т.д. и т.п.
в статье явно не хватает ценника чтобы окончательно похоронить данные устройства."
Я например, не могу работать с телефона, так как вравить документы, рисовать в visio и заходить в 1С он не может.
Политиками организации может быть запрещено обрабатывать КИ на незащищенных устройствах.
А телефон к защищенным пока никак не отнести.
Так что хоронить совершенно не получится. Данный продукт занимает свою нишу - я описал её в начале статьи.
Стоимости 165$ и 210$
Почему это телефон - незащищенное устройство? Мало какой компьютер может похвастаться защитой, которую даёт, к примеру, неджеилбрейкнутый iOS.
200$ - стоимость нетбука или телефона на андроиде. Т.ч. все-таки хоронить ;)
виртуальную клавиатуру "подсмотрит" скринграббер (или видеокамера). Сетевой трафик можно попытаться дампить ещё до того, как его передадут драйверу IPSec.
В лучшем случае с телефона ты можешь по почте отправить кому-то документы с просьбой помочь и по телефону объяснить что править.
И нормальный телефон или планшет, извините, стоит 1000$.
На счет GO - как минимум стоит учитывать что это флешка с аппаратным шифрованием по AES. Что само по себе уже стоит немало (аналоги стоят немало).
И на iOS пока нет возможности установить корпоративный антивирус, HIPS, персональный МЭ, СКЗИ, агент DLP.
А когда это всё появится - то комплект корпоративных СЗИ будет стоить порядка 200$ за одно устройство.
И ещё вопрос - разрешит ли каждый человек ставить на свой личный телефон корпоративные СЗИ.
http://www.aif.ru/techno/article/49610
"нормальный" телефон за 1000 долларов для документов не нужен. Сойдет нетбук (Asus EEE PC, телефон (LG optimus) или планшет (Google Nexus 7). Все в пределах 200-300 долларов.
Аппаратное шифрование AES стоит копейки. Аналогов на 4 ГБ просто нет %). А 64Гб + аппаратный AES стоит 70 долларов.http://www.newegg.com/Product/Product.aspx?Item=N82E16820171412
"антивирус, HIPS, персональный МЭ, СКЗИ, агент DLP" - серьезно считаешь, что это нужно для безопасности пользователя на iOS?
Ссылка про "слив из iOS" никакого отношения к защите корпоративных секретов не имеет.
Так только будет развиваться тема - должны появятся и СЗИ. Но пока их нет.
Да - это бывшая Abra. Сделали ребрендинг.
На счет российской криптографии - надо прорабатывать вопрос.
Теоретически на него ставится КриптоПро. И далее работаем в связке КриптоПро и SSL-VPN от CheckPoint.
Да - в некоторых случаях может потребоваться положительное заключение ФСБ, которого пока нет у CheckPoint. Ну тут либо ждать - они в процессе.
Либо интегрировать Криптопро с IIS как вы описали в своей статье.