СОИБ. Проектирование. Виртуальные мобильные рабочие места

СОИБ. Проектирование. Виртуальные мобильные рабочие места

В сегодняшней заметке хотелось бы уделить внимание решениям типа Защищенные мобильные виртуальные рабочие места на базе съемного USB носителя.
Написать данную заметку меня сподвигла статья Андрея Комарова на Хабре, к которой я вернусь ниже.

Для кого защиты, каких объектов могут использоваться такие решения:
·        для сотрудников, которым необходимо поработать с корпоративной защищаемой информацией находясь за пределами контролируемой территории – в командировках, при работе из дома, на площадке партнера/клиента/заказчика
·        для клиентов Банков, которые подключаются к платежным системам из своих корпоративных (такие сети тоже можно считать неконтролируемыми – ведь банком они не контролируются) или домашних сетей

При такой работе становятся актуальными следующие угрозы, связанные с неконтролируемой средой:
1.      Отсутствие у пользователя необходимых сервисов и приложений для работы с защищаемой информацией. Например, пользователю удалось в командировке найти компьютер, но на нем отсутствует КриптоПро или Visio или 1С
2.      Отсутствие у пользователя прав на временном рабочем месте. Например, пользователю удалось в командировке найти компьютер в интернет кафе, но на нем очень ограничены права пользователя – недостаточны для выполнения каких-то действий
3.      Отсутствие у пользователя соединения с сетью Интернет при необходимости локальной работы с защищаемой информацией.
4.      Утечка информации в следствии утери носителя с защищаемой информацией
5.      Утечка информации в следствии оставления следов на временном рабочем месте
6.      Несанкционированный доступ в следствии наличия вредоносных программ (запись нажатия клавиш, снимки экрана, копирование временных файлов) на временном рабочем месте
7.      Несанкционированный доступ в следствии отсутствия на временном рабочем месте необходимых средств защиты (антивирус, контроль приложений, персональный межсетевой экран), что приводит к заражению вредоносными программами в процессе работы
8.      Утечка информации в следствии подключения к корпоративным приложениям по неконтролируемому каналу

Основные функции таких решений:
·        аутентификация пользователя (по паролю, OTP, сертификату) – защищает от угрозы 4
·        шифрование диска cданными – защищает от угрозы 4
·        шифрование и удаление временных файлов – защищает от угрозы 5
·        возможность локальной (работы без подключения к серверу) - защищает от угрозы 3
·        изоляция виртуального рабочего места от физического АРМ – защищает от угрозы 2, 5, 6
·        контроль защищенности физического АРМ (проверка наличия актуального антивируса и контроль других политик) - защищает от угрозы 6,7
·        защита он записи экрана - защищает от угрозы 6
·        встроенный контроль приложений (по пути к приложению и md5 хэш) - защищает от угрозы 7
·        контроль трафика (МЭ) - защищает от угрозы 7
·        встроенный VPN клиент и шифрование трафика (возможность направлять весь трафик через VPN сервер)  -  защищает от угрозы 8
·        наличие предустановленных сервисов и приложений – защищает от угрозы 1

Фактически единственным корпоративным решением типа Защищенные мобильные виртуальные рабочие места является CheckPoint GO .

Наиболее близко к нему по функциям приближается решение с защищенным мобильным рабочим местом, но без виртуализации,  «МАРШ!» от САПР ОКБ

Так-же для сравнения включил типовой шифрованный носитель и продвинутое решение SSL VPN

Характеристики
Check Point GO
САПР ОКБ «МАРШ!»
Шифрованный USB носитель
Типовой SSL VPN
аутентификация пользователя
+
(по паролю - виртуальная клавиатура, OTP, сертификату)
+
(по паролю, сертификату)
+
(по паролю, сертификату)
+
(по паролю, сертификату)
шифрование диска c данными
+
+
+
-
шифрование и удаление временных файлов
+
+
-
-
возможность локальной работы
+
-
+
-
изоляция виртуального рабочего места от физического АРМ
+
(в зависимости от политик возможно взаимодействие)
+
(невозможно взаимодействие между защищенной ОС и существующей на физическом АРМ ОС)
-
+
контроль защищенности физического АРМ
+
(контроль наличия актуального антивируса и других политик )
-
(не требуется так как перезагружаемся в доверенную ОС. Но в защищенной ОС отсутствует антивирус)
-
+
защита он записи экрана
+
-         
(не требуется так как перезагружаемся в доверенную ОС)
-         
-         
встроенный контроль приложений
по пути к приложению и md5 хэш
-
-
-
контроль трафика (персональный МЭ)
+
-
-
+
встроенный VPN клиент и шифрование трафика
+
+
-
+
наличие предустановленных сервисов и приложений
+
(более 50 готовых пакетов приложений, возможность создания своих пакетов)
+
(предустановлен 1 набор сервисов – криптосервис, Firefox, можно установить другие приложения под Linux)
-
-
централизованное управление всеми политиками
+
-
+
+
возможные размеры носителя
4иГб
4 Гб
любой
-
тип виртуализации
песочница типа ОС Windows XP, Vista, 7
не используется виртуализация, необходимо перезагружаться и заходить под другой ОС Linux
-
песочница типа ОС Windows XP, Vista, 7
наличие сертификатов ФСТЭК/ФСБ
-
-
-+
-+

Необходимо учитывать следующие ограничения:
·        Для работы с «МАРШ!» необходимо перезагружать компьютер и загружаться под другой ОС (в BIOS должна быть разрешена загрузка с USB)
·        В «МАРШ!» используется ОС Linuxв которую можно установить не все корпоративные приложения
·        Для работы с Check Point GO необходима гостевая ОС Windows XP, Vista, 7
·        Для самых экзотических приложений может не удастся подготовить портативную версию для Check Point GO даже под ОС Windows XP, Vista, 7

А теперь о статье Андрея Комарова который подверг серьезной критике устройства Check Point GO. Конечно проведенный анализ уязвимостей заслуживает благодарности.  Но Алексей провел технический анализ и выводу получились слишком технические.
Check Point СОИБ проектирование ДБО
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале