Защита мобильных

устройствБезмалый В.Ф.MVP Consumer SecurityMicrosoft Security Trusted Advisorvladb@windowslive.comhttp://vladbez.spaces.live.com

- Неужеливсетакплохои ?хужебытьнеможет- - Может может

Мнениеоптимиста

Угрозыиутечки• Из штаб-квартиры компании Educational Credit

Management Corp (ECMC), осуществляющей выплату федеральных студенческих кредитов, были украдены данные 3,3 миллиона человек.

• В числе утекших данных были имена, адреса, номера социального страхования и даты рождения заемщиков. Информация хранилась на портативном устройстве

• Номер соцстрахования (с именем и датой рождения) продаётся на чёрном рынке за 16-18 долларов. С учётом оптовых скидок, похититель может выручить 20-30 миллионов долларов. Недурной куш! Пожалуй, перед подобным соблазном устоит мало кто из работников. (по данным InfoWatch)

Британскаястраховаякомпания 8 потеряла ноутбуковсперсональными даннымиконтрагентов

• Данные содержащиеся на ноутбуках не были зашифрованы, но компьютеры были защищены паролем.

• В докладе сказано, что менеджеры общества не отдавали себе отчет в том, что хранение персональных данных на компьютерах предполагает необходимость дополнительной защиты информации, чего и не было сделано.

• После инцидента директор компании Майкл Ярдли подписал официальное постановление, гласящее, что все портативные устройства, включая мобильные телефоны и ноутбуки, должны быть зашифрованы.

Украденноутбук• Украден ноутбук, в котором хранилась база данных с

информацией на 800 000 докторов. Это практически все доктора Соединенных Штатов.

• Подозреваемым в этом деле проходил якобы сотрудник чикагского офиса Blue Cross and Blue Shield Association, который скачал базу на свой домашний персональный компьютер

Отчет Ponemon Institute• Около 10 278 ноутбуков теряются еженедельно в 36

больших американских аэропортах, и 65 % из них не возвращаются владельцам. В аэропортах среднего размера регистрируется потеря около 2 000 ноутбуков, и 69 % не из них не возвращены.

• Приблизительно 77 % опрошенных рассказали, что у них нет никакой надежды на возвращение потерянного ноутбука,, 16 % говорят, что они ничего не делали бы, если бы потеряли свой ноутбук.

• Приблизительно 53 % сказали, что ноутбуки содержат конфиденциальную информацию компании, а 65 %, не сделали ничего для защиты информации.

ШИФРОВАНИЕНОУТБУКОВВ. ?ОРГАНИЗАЦИИ КАКИМОБРАЗОМ

ОРГАНИЗАЦИОННЫЕМЕРОПРИЯТИЯ

?Чемшифровать• BitLocker• Secret Disk• Kaspersky KryptoStorage• Check Point EndPoint Protection• Другие технологии

КРАТКИЙОБЗОРТЕХНОЛОГИИBITLOCKER

Развертываниетехнологии BitLockerшифрованиядиска

• Оценить готовность ваших аппаратных средств к BitLocker• Определить возможность разворачивания• Выбрать конфигурацию BitLocker• Создать план восстановления данных в случае

чрезвычайной ситуации

Оценитеготовностьаппаратных BitLockerсредствкприменению

• Операционная система Windows 7 Enterprise или Windows 7 Ultimate;

• Если вы хотите использовать BitLocker вместе с модулем TPM, материнские платы ваших компьютеров должны быть TPM совместимы, т.е. оборудованы чипами TPM ‐соответствующими спецификации Trusted Computing Group TPM v.1.2 или выше;

• Жесткий диск должен содержать два раздела с файловой системой NTFS. Раздел, на который BitLocker будет записывать загрузочные компоненты должен быть первым и содержать не менее 100 Mb чистого пространства. Кроме того, это должен быть активный раздел.

Trusted Platform Module• Понимание сущности этого аппаратного обеспечения

является важнейшей частью конфигурирования BitLocker в вашей организации. Для того, чтобы понять больше о технологии TPM и Trusted Computing Group следует прочесть статью Trusted Platform Module (TPM) Specifications https://www.trustedcomputinggroup.org/specs/TPM.

Определитевозможность BitLockerразвертывания

• Какие компьютеры в вашей организации нуждаются в защите?

• Нужно ли защищать все ваши мобильные и настольные компьютеры?

• Какие данные в вашей организации нуждаются в криптографической защите?

Какиекомпьютерынуждаютсяв?защите

• Компьютеры, используемые топ менеджерами, ‐работающими с наиболее важной конфиденциальной информацией;

• Компьютеры, используемые служащими, которые могут иметь доступ к личным или финансовым данным клиентов, служащих или деловых партнеров;

• Компьютеры, на которых обрабатывается персональная информация клиентов или служащих;

Какиекомпьютерынуждаютсяв?защите

• Компьютеры, используемые в тех областях, где они уязвимы к физическому воздействию (воровство);

• Портативные компьютеры, используемые служащими вне пределов офиса;

• Домашние компьютеры служащих, используемые для удаленной работы в сети компании.

Какиеданныенуждаютсяв ?защитеспомощьюшифрования

• Конфиденциальная информация, защищаемая законом, включая финансовую, банковскую, кредитную информацию а также стратегические планы предприятия;

• Личные данные служащих, уволенных служащих или клиентов (информация, отнесенная к категории персональных данных);

• Исходные тексты программного обеспечения, базы данных и другая интеллектуальная собственность;

• Лицензионные материалы, принадлежащие вашим деловым партнерам или клиентам.

Выборконфигурации BitLockerКомпьютер Конфигурация BitLocker

Стационарная рабочая станция Стационарная рабочая станция может использовать шифрование BitLocker с использованием ТРМ или с хранением ключа на USB устройстве, в зависимости от аппаратной конфигурации

Стандартный ноутбук Все новые компьютеры, оборудованные ТРМ должны использовать конфигурацию BitLocker с TPM и PIN‐кодом. Остальные ‐ BitLocker без ТРМ (с USB устройством).

Ноутбуки, на которых хранится информация, отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНО»

Все должны использовать конфигурацию BitLocker с TPM и PIN‐кодом. Ноутбуки, на которых не поддерживается подобная технология, должны быть заменены.

BitLocker TPM ( PIN-срежимом без).кода

• В случае если вы не нуждаетесь в мультифакторной аутентификации

• Если данные, хранимые на вашем компьютере не требуют усиленной аутентификации

BitLocker TPMВнедрение с• Создание перечня компьютеров, находящихся в вашей

организации и оборудованных ТРМ модулями;• Описание цикла обновления (замены) аппаратных средств;• Существуют ли в вашей организации компьютеры,

требующие автоматического запуска, ведь BitLocker с TPM, в отличие от BitLocker с TPM и PIN кодом, BitLocker с ТРМ и ‐USB устройством, BitLocker без ТРМ (с USB устройством), позволяет автоматический запуск, остальные режимы требуют физического наличия пользователя.

• Описание процедур замены жесткого диска, ремонта и списания для ТРМ-защищенных систем, при условии что зашифрованный с помощью BitLocker диск не может быть непосредственно использован в качестве срочной замены.

Внедрение BitLocker с TPM и PIN-кодом• В случае внедрения этого способа шифрования,

необходимо обратить внимание на создание инструкции для пользователей, которая будет предназначена для:• обучения пользователей процедуре выбора устойчивого к

взлому PIN кода, удовлетворяющего требованиям политики ‐безопасности организации;

• рассмотрения процедуры доступа к компьютеру и восстановления данных в случае если пользователь забыл свой PIN код;‐

• рассмотрения процедуры сброса PIN кода.‐

Внедрение BitLocker сUSB-устройством• Проверьте компьютеры, на которых вы собираетесь

использовать BitLocker с USB ключом, чтобы убедиться в ‐том, что они могут распознать USB ключ во время ‐загрузки;

• Создайте план перемещения данных и приложений с этих компьютеров на компьютеры с поддержкой ТРМ, в случае обновления аппаратного парка.

Восстановлениеданных• Существуют следующие методики хранения пароля

восстановления:• Печать пароля в распечатанном на бумаге виде;• Хранение пароля на сменных носителях;• Хранение пароля на сетевом носителе;• Хранение пароля в Active Directory.

Active Directory• Процесс хранения автоматизирован и не требует

вовлечения пользователя;• Информация, необходимая для восстановления не может

быть утеряна или изменена пользователем;• AD обеспечивает централизованное управление и

хранение информации восстановления;• Информация восстановления защищена вместе с другими

данными AD.

Новыетребования• Организация должна иметь устойчивую, хорошо

управляемую инфраструктуру AD;• AD на базе Windows Server 2003 должна быть расширена

для включения атрибутов BitLocker. Подробнее об этом можно прочесть в статье Extending Your Active Directory Schema in Windows Server 2003 R2 http://technet2.microsoft.com/WindowsServer/en/library/509ada1a-9fdc-45c1-8739-20085b20797b1033.mspx?mfr=true.

• Необходимо иметь политику безопасности для обеспечения безопасного хранения паролей восстановления в AD.

Печатьпаролявосстановления( )сохранениееговтекстовомфайле• Преимущества:

• Процесс легко осуществим;• Требуется небольшая инфраструктура;• Легко осуществим для нетехнических пользователей.

• Недостатки:• Процесс создания и хранения пароля восстановления зависит

от пользователя;• Хранение пароля данным способом не обеспечивает

централизованного управления;• Не существует гарантированной защиты от компрометации

(хищения, несанкционированного ознакомления, утраты или повреждения).

Сохранениепароля USB восстановленияна устройстве

• Преимущества:• Вы можете хранить большое количество паролей

восстановления на одном USB устройстве, так как все они ‐хранятся в виде текстовых файлов;

• Легче обеспечить физическую защиту устройства, его безопасное хранение.

• Недостатки:• Далеко не все компьютеры на сегодня поддерживают

обращение к USB устройству в процессе загрузки;‐• Сбор паролей восстановления для последующего хранения –

ручной процесс, который не может быть автоматизирован;• USB устройство может быть утрачено (потеряно или ‐

повреждено) и в таком случае все пароли восстановления будут утрачены.

Политикавосстановления• Для безопасного восстановления данных чрезвычайно

важно определить кто именно будет заниматься их восстановлением.

• Восстановление данных, шифрованных с помощью BitLocker будет требовать наличия физического доступа к восстанавливаемому компьютеру для ввода пароля восстановления.

ШИФРОВАНИЕДИСКАС ПОМОЩЬЮ BITLOCKER ( )ДЕМО

SECRET DISK

Возможности• Шифрование системного раздела, разделов на жестких

дисках, томов на динамических дисках, виртуальных дисков и съемных носителей;

• Аутентификация пользователя по USB-ключу eToken или смарт-карте для загрузки операционной системы и для доступа к зашифрованным данным;

• Запрет доступа по сети к зашифрованным данным для всех пользователей, включая системного администратора;

Возможности• Восстановление доступа к данным в случае утери USB-

ключа; • Защита данных от сбоев во время операций шифрования,

включая перебои электропитания; • Режим энергосбережения для ноутбуков; • Динамическое распределение скорости шифрования.

Безопасность• Защита сеанса загрузки операционной системы:

для загрузки операционной системы с зашифрованного системного раздела пользователь должен подключить USB-ключ eToken или смарт-карту и ввести PIN-код;

• Двухфакторная аутентификация: для доступа к зашифрованной информации пользователь должен подключить ключевой носитель и ввести его PIN-код;

• Блокирование доступа по сети к зашифрованным данным даже для системного администратора;

Безопасность• Поддержка «спящего» режима с сохранением образа

оперативной памяти в зашифрованном виде, также в зашифрованном виде сохраняется образ памяти, записываемый на жесткий диск операционной системой в случае фатальных ошибок;

• Блокирование компьютера в перерывах между работой и автоматическое отключение зашифрованных дисков при отсоединении eToken;

• Возможность использования российских сертифицированных криптоалгоритмов (ГОСТ 28147-89).

Надежность• Защита от сбоев во время выполнения операций

шифрования, включая перебои электропитания; • Защита от случайного / умышленного уничтожения или

повреждения защищенных данных; • Аварийное восстановление главной загрузочной записи

(Master Boot Record) с использованием специального загрузочного Rescue CD;

• Резервное копирование / восстановление ключей шифрования.

Удобство

• Фоновое шифрование: операции зашифрования, расшифрования и перешифрования дисков проводятся в фоновом режиме, с возможностью приостановки и дальнейшего продолжения выполнения этих операций, что позволяет быстро ввести систему в эксплуатацию;

• Оптимизация скорости работы системы при операциях первичного зашифрования (инициализации) и перешифрования/расшифрования защищенных дисков. Это достигается за счет применения алгоритма, определяющего количество системных ресурсов, требуемое Secret Disk, по остаточному принципу, что дает возможность проводить указанные операции без значительного изменения общей производительности системы;

• Многопользовательская работа: несколько пользователей (каждый со своим USB-ключом) могут загружать ОС с зашифрованного системного раздела и получать доступ к зашифрованным дискам;

• Режим сохранения заряда батарей для ноутбуков; • Полная интеграция в Microsoft Windows 2000, XP, Vista, Windows 7

ТИПОВЫЕСЦЕНАРИИИСПОЛЬЗОВАНИЯ

Мобильныйкомпьютер

Описание Secret Disk 4 установлен на мобильном компьютере, защищен системный раздел, зашифрованы остальные разделы жесткого диска

Особенности Рекомендуется для защиты персональных мобильных компьютеров (ноутбуков), для которых риск утери или кражи очень высок. Шифрование всех разделов жесткого диска, а также защита системного раздела, позволит избежать попадания конфиденциальной и личной информации в посторонние руки.

Преимущества вся информация хранятся на жестком диске в защищенном системном разделе и не доступна для несанкционированного просмотра;• неавторизованный пользователь не сможет использовать мобильный компьютер

Недостатки нет возможности скрыть факт использования Secret Disk 4 для защиты системного раздела.

Персональный компьютерв

локальнойсети

Особенности пользователь является администратором Secret Disk 4, он устанавливает Secret Disk 4 на персональный компьютер и выполняет операции шифрования несистемных разделов жесткого диска, а также устанавливает защиту системного раздела;доступ других пользователей к загрузке операционной системы и к данным, хранящимся на защищенных дисках, полностью запрещен;доступ к зашифрованным дискам по сети запрещен для всех пользователей, включая системного администратора.

Персональный компьютерв

локальнойсети

Преимущества

защита от несанкционированного доступа к конфиденциальной информации, хранящейся на персональном компьютере;обеспечение работы с персональным компьютером одного пользователя, являющегося администратором Secret Disk 4; незарегистрированный пользователь не сможет даже загрузить операционную систему;защита конфиденциальной информации, хранящейся на защищенных дисках, от утечки по локальной сети

Многопользовательский персональныйкомпьютерв

локальнойсети( )особенности

• для работы нескольких пользователей необходимо наличие лицензий на Secret Disk 4, записанных в защищѐнной памяти электронного ключа eToken PRO каждого пользователя;

• для обеспечения возможности загрузки операционной системы с защищенного системного раздела, администратор Secret Disk 4 должен зарегистрировать пользователей. Для этого необходим доступ к сертификату X.509 регистрируемого пользователя;

Многопользовательский персональныйкомпьютерв

локальнойсети( )особенности

• доступ к зашифрованным дискам по сети запрещен для всех пользователей, включая системного администратора;

• пользователи Secret Disk 4 могут создавать свои зашифрованные диски на жестком диске персонального компьютера и съемных внешних носителях и давать доступ к этим дискам другим пользователям Secret Disk 4.

Многопользовательский персональныйкомпьютерв

локальнойсети( )преимущества

• защита конфиденциальных данных и разграничение доступа к ним на персональных компьютерах, на которых работает несколько пользователей;

• обеспечение работы с персональным компьютером только для пользователей Secret Disk 4, незарегистрированный пользователь не сможет даже загрузить операционную систему;

• защита конфиденциальной информации, хранящейся на защищенных дисках, от утечки по локальной сети.

SECRET DISK ДЕМО

KASPERSKY KRYPTOSTORAGE

Аппаратныетребования• процессор Intel Celeron 1 ГГц и выше• 256 Мб свободной оперативной памяти• 15 Мб свободного дискового пространства для установки

приложения

Программныетребования• Microsoft Windows 7• Microsoft Windows Vista Service Pack 1• Microsoft Windows XP Service Pack 2• Microsoft Windows 2000 Professional Service Pack 4• Windows 2003 Server• Microsoft Windows 2000 Server Service Pack 4

Ограничениянаустановкузащиты• Установка защиты на логические разделы жесткого диска и

съемных носителей возможна, если размер сектора на соответствующем устройстве 512 байт.

• Установка на динамические разделы невозможна.• На одном физическом диске не может быть одновременно

запущена установка \ удаление \ переустановка защиты для нескольких логических разделов. С логическими разделами разных дисков можно работать одновременно.

• В Windows 7 при физическом подключении защищенных съемных носителей операционная система сообщает, что носитель не форматирован, и доступа к нему не предоставляет до тех пор, пока носитель не будет подключен средствами Kaspersky KryptoStorage

Защищеннаяпапка• Все файлы и папки, находящиеся внутри защищенной

папки, зашифрованы и являются защищенными.• Выполнение любых действий (чтение, запись,

переименование, архивирование, удаление и т. п.) над защищенной папкой возможно только после подключения этой папки.

• Доступ к защищенным папкам по сети запрещен• Система не позволяет выполнять непосредственно с

защищенными папками и их содержимым следующие действия: удаление в корзину, перемещение в рамках одного тома файлов и папок, содержащих файлы.

Защищенныйкриптоконтейнер

• Следует учесть, что, с точки зрения ОС, защищенный криптоконтейнер ничем не отличается от обычного файла, а, следовательно, может быть удален. Если вы хотите этого избежать, следует разместить криптоконтейнер внутри зашифрованной папки.

Заключение

• Данная технология представляет весьма широкие возможности по шифрованию. Однако, на мой взгляд, имеет существенный недостаток, который, уверен, будет со временем исправлен. Это отсутствие возможности централизованного хранения ключей шифрования.

• Кроме того, хотелось бы, чтобы в процессе шифрования логических дисков и т.д. система предлагала сохранить предварительно пароль в файле (распечатать пароль), так как большинство пользователей, я просто уверен в этом, не задумаются о необходимости сохранения резервной копии пароля.

KASPERSKY KRYPTOSTORAGE ДЕМО

, Угрозы связанныес применением

мобильных телефонов

Переченьугроз• Утеря, хищение• Выход из строя (потеря информации)• Вредоносное ПО

, Утеря хищение• Защита от последствий хищения:

• Удаленное стирание• Удаленное блокирование• Шифрование

Недостатокудаленногостирания( )блокировки• Коммуникатор может быть сразу же перепрограммирован

(сброшен в заводские установки)• Коммуникатор может не иметь доступ в интернет

KASPERSKY MOBILE SECURITY ДЕМО

?ВопросыБезмалый В.Ф.MVP Consumer SecurityMicrosoft Security Trusted Advisorvladb@windowslive.comhttp://vladbez.spaces.live.com