Главная » Блоги Экспертов И ИТ-Компаний » СОИБ. Проектирование. Виртуальные мобильные рабочие места

СОИБ. Проектирование. Виртуальные мобильные рабочие места

По материалам блога http://sborisov.blogspot.com/2012/07/blog-post.html


              В сегодняшней заметке хотелось бы уделить внимание решениям типа Защищенные мобильные виртуальные рабочие места на базе съемного 
USB носителя.

Написать данную заметку меня сподвигла статья Андрея Комарова на Хабре, к которой я вернусь ниже.

 

Для кого защиты, каких объектов могут использоваться такие решения:

·        для сотрудников, которым необходимо поработать с корпоративной защищаемой информацией находясь за пределами контролируемой территории – в командировках, при работе из дома, на площадке партнера/клиента/заказчика

·        для клиентов Банков, которые подключаются к платежным системам из своих корпоративных (такие сети тоже можно считать неконтролируемыми – ведь банком они не контролируются) или домашних сетей


При такой работе становятся актуальными следующие угрозы, связанные с неконтролируемой средой:

1.      Отсутствие у пользователя необходимых сервисов и приложений для работы с защищаемой информацией. Например, пользователю удалось в командировке найти компьютер, но на нем отсутствует КриптоПро или Visio или 1С

2.      Отсутствие у пользователя прав на временном рабочем месте. Например, пользователю удалось в командировке найти компьютер в интернет кафе, но на нем очень ограничены права пользователя – недостаточны для выполнения каких-то действий

3.      Отсутствие у пользователя соединения с сетью Интернет при необходимости локальной работы с защищаемой информацией.

4.      Утечка информации в следствии утери носителя с защищаемой информацией

5.      Утечка информации в следствии оставления следов на временном рабочем месте

6.      Несанкционированный доступ в следствии наличия вредоносных программ (запись нажатия клавиш, снимки экрана, копирование временных файлов) на временном рабочем месте

7.      Несанкционированный доступ в следствии отсутствия на временном рабочем месте необходимых средств защиты (антивирус, контроль приложений, персональный межсетевой экран), что приводит к заражению вредоносными программами в процессе работы

8.      Утечка информации в следствии подключения к корпоративным приложениям по неконтролируемому каналу

 

Основные функции таких решений:

·        аутентификация пользователя (по паролю, OTP, сертификату) – защищает от угрозы 4

·        шифрование диска c данными – защищает от угрозы 4

·        шифрование и удаление временных файлов – защищает от угрозы 5

·        возможность локальной (работы без подключения к серверу) - защищает от угрозы 3

·        изоляция виртуального рабочего места от физического АРМ – защищает от угрозы 2, 5, 6

·        контроль защищенности физического АРМ (проверка наличия актуального антивируса и контроль других политик) - защищает от угрозы 6,7

·        защита он записи экрана - защищает от угрозы 6

·        встроенный контроль приложений (по пути к приложению и md5 хэш) - защищает от угрозы 7

·        контроль трафика (МЭ) - защищает от угрозы 7

·        встроенный VPN клиент и шифрование трафика (возможность направлять весь трафик через VPN сервер)  -  защищает от угрозы 8

·        наличие предустановленных сервисов и приложений – защищает от угрозы 1


Фактически единственным корпоративным решением типа Защищенные мобильные виртуальные рабочие места является CheckPoint GO.

 

Наиболее близко к нему по функциям приближается решение с защищенным мобильным рабочим местом, но без виртуализации, «МАРШ!» от САПР ОКБ

 

Так-же для сравнения включил типовой шифрованный носитель и продвинутое решение SSL VPN 

Характеристики

Check Point GO

САПР ОКБ «МАРШ!»

ШифрованныйUSB носитель

Типовой SSL VPN

аутентификация пользователя

+

(по паролю - виртуальная клавиатура, OTP, сертификату)

+

(по паролюсертификату)

+

(по паролюсертификату) 

+

(по паролюсертификату) 

шифрование диска c данными

+

+

+

-

шифрование и удаление временных файлов

+

+

-

-

возможность локальной работы

+

-

+

-

изоляция виртуального рабочего места от физического АРМ

+

(в зависимости от политик возможно взаимодействие)

+

(невозможно взаимодействие между защищенной ОС и существующей на физическом АРМ ОС)

-

+

контроль защищенности физического АРМ

+

(контроль наличия актуального антивируса и других политик )

-

(не требуется так как перезагружаемся в доверенную ОС. Но в защищенной ОС отсутствует антивирус)

-

+

защита он записи экрана

+

-         

(не требуется так как перезагружаемся в доверенную ОС)

-         

-         

встроенный контроль приложений

по пути к приложению и md5 хэш

-

-

-

контроль трафика (персональный МЭ)

+

-

-

+

встроенный VPN клиент и шифрование трафика

+

+

-

+

наличие предустановленных сервисов и приложений

+

(более 50 готовых пакетов   приложений, возможность создания своих пакетов)

+

(предустановлен 1 набор сервисов – криптосервис, Firefox, можно установить другие приложения под Linux)

-

-

централизованное управление всеми политиками

+

-

+

+

возможные размеры носителя

4 и 8  Гб

4 Гб

любой

-

тип виртуализации

песочница типа ОС Windows XPVista, 7

не используется виртуализация, необходимо перезагружаться и заходить под другой ОС Linux 

-

песочница типа ОС Windows XP,   Vista, 7

наличие сертификатов ФСТЭК/ФСБ

-

-

-+

-+

 

Необходимо учитывать следующие ограничения:

·        Для работы с «МАРШ!» необходимо перезагружать компьютер и загружаться под другой ОС (в BIOS должна быть разрешена загрузка с USB)

·        В «МАРШ!» используется ОС Linux в которую можно установить не все корпоративные приложения

·        Для работы с Check Point GO необходима гостевая ОС Windows XPVista, 7

·        Для самых экзотических приложений может не удастся подготовить портативную версию для Check Point GO даже под ОС Windows XPVista, 7


А теперь о статье Андрея Комарова который подверг серьезной критике устройства Check Point GO. Конечно проведенный анализ уязвимостей заслуживает благодарности.  Но Алексей провел технический анализ и выводу получились слишком технические.


На счет запуска сторонних программ в защищенном сеансе Алексей явно забыл про возможность у решения делать хеши по md5.

На счет фишинговой атаки Алесей явно не учел, что весь трафик как правило проходит через VPN сервер и корпоративный DNS. А при подмене адреса интернет-банка HTTPS просигнализирует о несоответствии сертификата сайта.


Все приведенные им сценарии атак были рассчитаны на то, что пользователь сам начнет взламывать свою защищенную систему и пытаться выйти за рамки ограничений.

В тоже время в перечне актуальных угроз, для защиты от которых предназначено решение – приведены совершенно другие угрозы: потеря флешки, оставление следов, случайный запуск пользователем не доверенных программ, незащищенные каналы передачи данных, отсутствие прав и программ. С защитой от этих угроз решение GO отлично справляется.


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://sborisov.blogspot.com/, https://www.ussc.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>