18 июня 2007
Остановить сорвавшуюся с лафета заряженную пушку!
Кража одного-единственного ноутбука, "начиненного" секретной информацией, способна привести к краху вашего бизнеса. Позволительно ли в связи с этим не шифровать данные на жестких дисках? Чтобы вы смогли ответить на заданный вопрос, предлагаем вам результаты тестирования трех программных пакетов шифрования.
Над корпоративной Америкой, университетами и правительственными организациями "навис дамоклов меч" угрозы утечки данных из-за утрат мобильных устройств, в которых они содержатся. Мы решили рассмотреть наилучший способ обеспечения информационной безопасности на случай попадания этих устройств в чужие руки - сплошное, или полное, шифрование диска.
Внедрение программного пакета полного шифрования диска в масштабах всей организации не простое дело. И отнюдь не дешевое: самый доступный из тестировавшихся нами продуктов стоит 70 долл. в расчете на одно обслуживаемое устройство даже при поддержке им тысячи устройств. Да, цена и сложность велики, но и угроза не меньше: согласно проведенному в 2006 г. Институтом компьютерной безопасности и ФБР исследованию, по мнению почти половины респондентов, кража ноутбуков и мобильных устройств является второй главной угрозой после вирусов. При этом потери в расчете на одного респондента выросли с 19 562 долл. в 2005 г. до 30 057 долл. в 2006-м.
Впрочем, вскоре, возмосе файлы и приложения. Так что полное шифрование дисков - наилучший способ предотвратить извлечение информации из украденного устройства.
Но неправильно выполненное шифрование дисков способно привести к развалу бизнес-процессов, не говоря уже о том, что установка любого нового приложения требует тщательной подготовки: надо спланировать, что делать в случае выхода жесткого диска из строя; как переустанавливать ОС, если произойдет порча программы шифрования; где хранить шифровальные ключи или пароли; и т. п. Необходимо также подготовить свою службу оперативной поддержки пользователей к тому, что обязательно будут звонки людей, забывших пароли и потерявших доступ к своим ноутбукам.
Ясно, что при внедрении ПО полного шифрования дисков в масштабе целой организации очень важны административно-управленческие функции соответствующих пакетов, чтобы специалисты по ИТ легко могли выполнять такие рутинные процедуры, как перезадание паролей или ПИН-кодов пользователей и администраторов. Данное обстоятельство нашло отражение в том, как мы проранжировали тестировавшиеся пакеты.
Для того чтобы определить, какие продукты в наибольшей мере пригодны для корпоративного применения, мы попросили шесть производителей прислать в нашу партнерскую лабораторию Neohapsis свои пакеты полного шифрования дисков для настольных систем и ноутбуков. Это сделали компании PGP, SafeBoot и SafeNet. Фирмы Entrust и Voltage Security наше предложение отклонили, поскольку они перепродают продукты компаний PointSec Mobile Technologies и SafeBoot соответственно. Компания PointSec на наш запрос не откликнулась вовсе.
Все три тестировавшихся продукта успешно справляются с шифрованием данных, но пакет Device Encryption компании SafeBoot при этом явно выделяется. Входящая в его состав консоль администратора проста в использовании и имеет интуитивный интерфейс. Восстановление данных осуществляется очень просто, а приложение Web Recovery является превосходным компонентом, который, несомненно, получит высокую оценку служб оперативной поддержки: пользователи сами регистрируются в этом приложении по схеме "запрос-ответ". В случае потери доступа к компьютеру пользователь звонит в службу поддержки, представитель последней регистрируется в том же приложении по вышеупомянутой схеме и вводит ключ одноразового доступа, обеспечивающий возобновление работы пользователя.
Пакет Whole Disk Encryption компании PGP хорошо показал себя в категориях аудита и регистрации событий. Кроме того, он дешевле всех остальных. Но PGP должна еще поработать над внедрением функций управления полным шифрованием дисков в администраторский интерфейс Universal Server.
Пакет ProtectDrive 7.2 компании SafeNet для корпоративного применения мы рекомендовать не можем. Дело не только в недостаточной развитости его функций управления и интеграции - он по ходу дела фактически модифицировал схему Active Directory нашей испытательной среды. В нормальной производственной обстановке это недопустимо.
Нас разочаровало то, что все три продукта поддерживают только ОС Windows. Называйте нас че-ресчур большими оптимистами, но мы надеялись, что хотя бы некоторые продукты будут работать на машинах с Mac OS X и - чего не бывает?! - даже на машинах с ОС Linux. Может быть, "пришествие" утилиты BitLocker воодушевит производителей на расширение своих горизонтов?
Что кроется за шифрованием
Мы структурировали процесс тестирования, выделив пять пунктов, интересующих в первую очередь менеджеров по ИТ и администраторов настольных систем, которые рассматривают вопрос развертывания ПО полного шифрования дисков в масштабах организации.
1. Когда должно начинаться шифрование - до или после загрузки ОС?
В типичном варианте последовательность загрузки выглядит следующим образом: включается питание, инициализируется ЦПУ, BIOS (базовая система ввода-вывода) сканирует память, проверяет наличие оборудования (видеокарт, жестких дисков), затем осуществляет поиск подлежащей загрузке главной загрузочной записи. Все тестировавшиеся продукты меняли последний шаг процедуры: в то время как BIOS ищет главную загрузочную запись, программа шифрования перехватывает управление, загружая свой собственный начальный загрузчик. После этого программа побуждает пользователя ввести свое имя и/или парольное слово/PIN-код/парольную фразу. В продукте компании PGP предусмотрен ввод только парольной фразы.
Во всех продуктах, которые мы испытывали, до загрузки ОС запускается функция защиты дисков шифрованием. Благодаря этому возможность загрузить ОС получают только прошедшие аутентификацию пользователи. Это означает также, что только они смогут исполнять соответствующие утилиты с целью последующего анализа инцидентов или для "подмены" дисковода.
2. Поддерживает ли шифрование режим "спячки"/приостановки исполнения?
Многие пользователи часто не выключают свои ноутбуки в конце рабочего дня; они оставляют их в режиме приостановки или в режиме пониженного энергопотребления ("спячки"), чтобы можно было возобновить работу с того места, на котором она была прекращена. С точки зрения безопасности это является дополнительным источником риска: если пакет полного шифрования диска не шифрует содержимое памяти при перезаписи его на жесткий диск (т. е. там оказываются незашифрованные данные) и если ноутбук, не дай Бог, будет украден, то злоумышленник сможет поставить диск на свою машину и потом спокойно считывать имеющиеся на нем данные в своих нехороших целях. К счастью, все протестированные нами продукты вышеописанную процедуру проводят непрерывно. Так что если злоумышленник украдет ноутбук, вытащит из него дисковод и смонтирует его на другой машине, то он доступа к данным не получит.
Пакет Device Encryption компании SafeBoot включает в себя программу формирования защитной экранной заставки, разблокировать которую сумеет только авторизованный пользователь.
3. Как пользователи восстанавливают пароли или PIN-коды?
Сколько сил и времени уходит у вашей службы оперативной поддержки на перезадание забытых паролей и PIN-кодов? Если ваша организация так внимательно относится к информационной безопасности, что реализует полное шифрование дисков, то у вас, вероятно, проводится жесткая парольная политика, требующая, чтобы пользователи получали новые пароли каждые несколько месяцев, а это означает, что и перезадавать их приходится достаточно часто.
Продукт Device Encryption компании SafeBoot и ProtectDrive фирмы SafeNet для генерации ключей задействует схему "запрос-ответ", при которой забывший пароль пользователь обращается к службе оперативной поддержки. Та, в свою очередь, формирует одноразовый ключ для загрузки диска, после чего пользователь должен сменить свой пароль. Все три продукта поддерживают интеграцию со службой Active Directory. Правда, в продукте компании SafeNet эта функция работала не слишком четко.
Продукт Device Encryption компании SafeBoot позволяет создавать приложение Web Helpdesk, в котором регистрируются сотрудники службы оперативной поддержки и через которое они могут перезадавать пароли пользователей. В продукте имеется также очень полезная функция Web Recovery. А вот продукт ProtectDrive компании SafeNet обеих вышеназванных возможностей не имеет. Фирма PGP идет другим путем; пользователи легко могут менять свои парольные фразы, но должны зарегистрироваться под своими учетными записями с помощью специальной программы PGP Desktop. Далее, если пользователь задействовал функцию восстановления ключа в сервисе PGP Universal Server, то служба оперативной поддержки получает возможность восстановить его пароль. В случае, когда данная опция не задействована, администратор восстановить парольную фразу не сможет.
4. Каким образом администратор восстанавливает пароль или PIN-код?
Администраторам ИТ-групп регулярно требуется "заходить" в машины конечных пользователей для выполнения разного рода задач - таких, как установка "заплат" и обновление ПО, восстановление/переустановка ОС, - а также для расследования каких-то инцидентов. Поэтому правильная политика требует, чтобы администраторы регулярно меняли свои пароли.
С этой точки зрения лучше других выглядит компания SafeBoot. Работая с ее пакетом, мы имеем возможность средствами управляющего интерфейса наделять пользователя или группу пользователей специфическими административными правами. После этого процесс смены пароля или PIN-кода осуществляется так же, как процесс смены пароля конечным пользователем. В случае с продуктом компании PGP администраторы должны регистрироваться в программе PGP Universal Server и менять пароли уже из нее. Компания SafeNet не предусматривает отдельных паролей для администраторов - пользователь, установивший продукт, становится администратором своей машины и... точка.
5. Как администратор восстанавливает мастер-пароль или мастер-PIN-код (если таковые преду-смотрены)?
В случае увольнения пользователя и его отказа сообщить ИТ-группе идентифицирующую информацию для разблокировки его жесткого диска в компании могла бы иметь место утрата данных. На этот случай заводится так называемый мастер-ключ, позволяющий дешифровать все дисковые накопители организации. Правда, если дисковод, на котором вы храните свой мастер-ключ, выйдет из строя или будет утерян, то все кончено. Но, когда речь идет о безопасности, лучше перестраховаться.
В продукте Device Encryption компании SafeBoot не предусмотрено ни мастер-пароля, ни общего ключа шифрования для всех дисководов ноутбу-ков, так что сама проблема их безопасного хране-ния отпадает. Продукт компании PGP тоже не оснащен мастер-ключом. А вот в продукте ProtectDrive фирмы SafeNet реализован прием, применив который мы почувствовали себя неуютно. В зависимости от варианта установки ПО вы задействуете один и тот же ключ для шифрования всех жестких дисков или создаете новый ключ для каждой инсталляции в отдельности. И то и другое неприемлемо. Идет ли речь о безопасном хранении одного или 15 тыс. ключей, их утрата приводит к потере данных. На такой большой риск вряд ли согласится любой разумный администратор.
Почувствуйте силу
Все требования к ПО проистекают из нужд его администрирования. Мы, как администраторы, хотели бы иметь возможности: группирования, блокирования/разблокирования пользователей, выдачи им разрешений на определенные действия; обновления ПО; интеграции с инфраструктурой LDAP или Active Directory; наложения ограничений на пользовательские пароли, их длину, стойкость и допустимое число попыток ввода пароля; задания тайм-аутов, а также восстановления зашифрованных данных. Ах да, еще мы хотели бы, чтобы администраторский интерфейс был простым в освоении и использовании!
И снова на первую позицию выходит компания SafeBoot. Ее продукт SafeBoot Administrator позволяет разбивать администраторские задачи по пользователям, группам пользователей и машинам. В каждой из категорий имеется множество опций - типа установки парольных ограничений и создания списков управления доступом (Access-Control List - ACL). Работая с этим продуктом, мы могли блокировать того или иного пользователя одним щелчком мыши.
В SafeBoot предлагается несколько способов перезадания паролей. У пользователей появляется возможность позвонить с этой целью в службу оперативной поддержки, ее сотрудники могут при наличии доступа воспользоваться администраторским интерфейсом пакета или задействовать приложение Web HelpDesk, позволяющее им соединиться с соответствующим Web-интерфейсом. Кроме того, в продукте имеется средство Web Recovery, которое отлично подходит для предприятий, поскольку им при этом не нужно создавать отдельные пользовательские группы для организации доступа к администраторскому интерфейсу. Нам очень понравилась также удобная утилита диагностики и устранения неполадок SafeTech - она бывает очень полезной, если дисковый накопитель оказывается испорченным.
Пакет SafeBoot имеет необходимые коннекторы LDAP и Active Directory. Последний мы применили для "заселения" пользователей в инфраструктуру SafeBoot. Пакет позволяет принудительно проводить политику синхронизации мобильных устройств с доведением ее до отдельных пользователей, если требующиеся изменения подлежат немедленной реализации. Мы проверили эту возможность путем блокирования пользователей и принудительной синхронизации устройств. Когда мы во время синхронизации сделали попытку зарегистрироваться в системе в качестве штатного пользователя, в доступе к ОС нам было отказано.
Здесь нужно предупредить: синхронизация возможна, только когда пользователь работает на своем компьютере и интерфейс администратора способен обмениваться информацией с этим компьютером. Фактически ни один из продуктов не обеспечивает доступа на уровне начальной загрузки, и не синхронизирует внесенные изменения - например, даже не выполняет блокировку пользователя - до момента регистрации в сети.
Мы нашли администраторскую инфраструктуру пакета Device Encryption весьма усеченной. Компания SafeNet предлагает администраторский сервер, который интегрируется со службой Active Directory. Нас неприятно удивило, что работа пакета в нашей тестовой среде приводила к модификации указанной службы - это будет препятствием к его принятию на вооружение большинством организаций. Отягчающими обстоятельствами будет и то, что в данном продукте не предусмотрена блокировка пользователей и что его серверный компонент имеет ограниченную функциональность. Пакет позволяет администратору открывать или закрывать доступ только к последовательным и LPT-портам.
Инженеры компании SafeNet сообщили нам, что к моменту опубликования данной статьи они выпустят обновленную версию программы ProtectDrive, в которой будет расширена функциональность администраторской части серверного компонента. Кроме того, фирма SafeNet предлагает несколько удобных DOS-утилит, предназначенных для восстановления незагружающейся или испорченной системы.
Средства администрирования пользователей в пакете PGP Whole Disk Encryption нас разочаровали. Компания PGP занимается шифрованием уже долгие годы, и мы ожидали увидеть до конца продуманный администраторский интерфейс. Вместо этого мы обнаружили лишь скудный набор опций шифрования диска - например, в нем отсутствуют функции ACL для ограничения числа пользователей, которым разрешен доступ к чему-либо, и, что еще важнее, для установления перечня разрешенных им операций.
Средство PGP Universal Server явно рассчитано на применение в составе других продуктов PGP. Интерфейс управления шифрованием дисков в данном случае представляется несколько обособленным от всего остального, что может потребоваться при развертывании системы. Web-интерфейс, написанный на языке Java, реализован элегантно, но в нем довольно сложно ориентироваться.
Аудит
Регистрация событий очень важна для организации аудиторского контроля и выявления моментов времени, в которые пользователи меняют пароли. Это особенно полезно, если обнаруживаются неудачные попытки зарегистрироваться в системе или если происходят ошибки при работе шифрованного дискового накопителя. С точки же зрения последующего анализа инцидентов регистрационные записи являются необходимым средством слежения за подозрительной активностью.
В этом отношении на первое место снова вышла компания SafeBoot. Ее продукт регистрирует в журнале аудита всех пользователей, группы пользователей и машины. Регистрируются также все имевшие место операции синхронизации с указанием успешности или неуспешности их исхода. Когда мы стали просматривать аудиторские записи, то обнаружили много очень полезной информации: зафиксированы все зарегистрировавшиеся пользователи, неудачные попытки зарегистрироваться, проверки на предмет обновления конфигурации и случаи восстановления паролей. Вышеназванный продукт также предоставил нам возможность определить, кто имеет право просматривать, экспортировать и очищать регистрационные записи. К его недостаткам относится отсутствие функции экспорта регистрационных записей на сервер системной регистрации (syslog), а ведь она жизненно важна для многих систем, основным назначением которых является мониторинг.
Пакет компании PGP предоставляет функции регистрации событий через свой Web-интерфейс, а также позволяет отображать активность и статистику системы в графической форме. На нас большое впечатление произвела имеющаяся в нем опция поиска. При нахождении конкретной регистрационной записи или информации, относящейся к заданному моменту времени, у нас была возможность сужать пространство поиска или засекать отдельные события. Другой отличительной характеристикой пакета является то, что он пересылает регистрационные записи на внешний сервер системной регистрации.
Продукт фирмы SafeNet предоставляет всплывающее диалоговое окно, которое появляется, когда пользователь регистрируется, и в котором фиксируется число неудачных попыток зарегистрироваться, но никакого центрального "пункта", куда сходится вся подлежащая журналированию информация, нет. Отсутствие надежной регистрации событий разочарует многие организации, и компании необходимо решить эту проблему в следующих версиях пакета.
Публикации по теме
30 декабря 2013
Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.
|
|
25 февраля 2011
Утечка данных о бюджетах пользователей сервиса контекстной рекламы Google AdWords стала одной из самых интересных в прошедшем году.
|
|
24 февраля 2011
Еще одна крупная утечка в 2010 году связана с самой популярной в мире социальной сетью Facebook, аудитория которой превышает 500 млн зарегистрированных пользователей по всему миру.
|
|
|
|
29 апреля 2014
Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
|
|