В сегодняшней заметке хотелось бы уделить внимание решениям типа Защищенные мобильные виртуальные рабочие места на базе съемного USB носителя.
Написать данную заметку меня сподвигла статья Андрея Комарова на Хабре, к которой я вернусь ниже.
Для кого защиты, каких объектов могут использоваться такие решения:
· для сотрудников, которым необходимо поработать с корпоративной защищаемой информацией находясь за пределами контролируемой территории – в командировках, при работе из дома, на площадке партнера/клиента/заказчика
· для клиентов Банков, которые подключаются к платежным системам из своих корпоративных (такие сети тоже можно считать неконтролируемыми – ведь банком они не контролируются) или домашних сетей
При такой работе становятся актуальными следующие угрозы, связанные с неконтролируемой средой:
1. Отсутствие у пользователя необходимых сервисов и приложений для работы с защищаемой информацией. Например, пользователю удалось в командировке найти компьютер, но на нем отсутствует КриптоПро или Visio или 1С
2. Отсутствие у пользователя прав на временном рабочем месте. Например, пользователю удалось в командировке найти компьютер в интернет кафе, но на нем очень ограничены права пользователя – недостаточны для выполнения каких-то действий
3. Отсутствие у пользователя соединения с сетью Интернет при необходимости локальной работы с защищаемой информацией.
4. Утечка информации в следствии утери носителя с защищаемой информацией
5. Утечка информации в следствии оставления следов на временном рабочем месте
6. Несанкционированный доступ в следствии наличия вредоносных программ (запись нажатия клавиш, снимки экрана, копирование временных файлов) на временном рабочем месте
7. Несанкционированный доступ в следствии отсутствия на временном рабочем месте необходимых средств защиты (антивирус, контроль приложений, персональный межсетевой экран), что приводит к заражению вредоносными программами в процессе работы
8. Утечка информации в следствии подключения к корпоративным приложениям по неконтролируемому каналу
Основные функции таких решений:
· аутентификация пользователя (по паролю, OTP, сертификату) – защищает от угрозы 4
· шифрование диска cданными – защищает от угрозы 4
· шифрование и удаление временных файлов – защищает от угрозы 5
· возможность локальной (работы без подключения к серверу) - защищает от угрозы 3
· изоляция виртуального рабочего места от физического АРМ – защищает от угрозы 2, 5, 6
· контроль защищенности физического АРМ (проверка наличия актуального антивируса и контроль других политик) - защищает от угрозы 6,7
· защита он записи экрана - защищает от угрозы 6
· встроенный контроль приложений (по пути к приложению и md5 хэш) - защищает от угрозы 7
· контроль трафика (МЭ) - защищает от угрозы 7
· встроенный VPN клиент и шифрование трафика (возможность направлять весь трафик через VPN сервер) - защищает от угрозы 8
· наличие предустановленных сервисов и приложений – защищает от угрозы 1
Фактически единственным корпоративным решением типа Защищенные мобильные виртуальные рабочие места является CheckPoint GO .
Наиболее близко к нему по функциям приближается решение с защищенным мобильным рабочим местом, но без виртуализации, «МАРШ!» от САПР ОКБ
Так-же для сравнения включил типовой шифрованный носитель и продвинутое решение SSL VPN
Характеристики | Check Point GO | САПР ОКБ «МАРШ!» | Шифрованный USB носитель | Типовой SSL VPN |
аутентификация пользователя | + (по паролю - виртуальная клавиатура, OTP, сертификату) | + (по паролю, сертификату) | + (по паролю, сертификату) | + (по паролю, сертификату) |
шифрование диска c данными | + | + | + | - |
шифрование и удаление временных файлов | + | + | - | - |
возможность локальной работы | + | - | + | - |
изоляция виртуального рабочего места от физического АРМ | + (в зависимости от политик возможно взаимодействие) | + (невозможно взаимодействие между защищенной ОС и существующей на физическом АРМ ОС) | - | + |
контроль защищенности физического АРМ | + (контроль наличия актуального антивируса и других политик ) | - (не требуется так как перезагружаемся в доверенную ОС. Но в защищенной ОС отсутствует антивирус) | - | + |
защита он записи экрана | + | - (не требуется так как перезагружаемся в доверенную ОС) | - | - |
встроенный контроль приложений | по пути к приложению и md5 хэш | - | - | - |
контроль трафика (персональный МЭ) | + | - | - | + |
встроенный VPN клиент и шифрование трафика | + | + | - | + |
наличие предустановленных сервисов и приложений | + (более 50 готовых пакетов приложений, возможность создания своих пакетов) | + (предустановлен 1 набор сервисов – криптосервис, Firefox, можно установить другие приложения под Linux) | - | - |
централизованное управление всеми политиками | + | - | + | + |
возможные размеры носителя | 4и 8 Гб | 4 Гб | любой | - |
тип виртуализации | песочница типа ОС Windows XP, Vista, 7 | не используется виртуализация, необходимо перезагружаться и заходить под другой ОС Linux | - | песочница типа ОС Windows XP, Vista, 7 |
наличие сертификатов ФСТЭК/ФСБ | - | - | -+ | -+ |
Необходимо учитывать следующие ограничения:
· Для работы с «МАРШ!» необходимо перезагружать компьютер и загружаться под другой ОС (в BIOS должна быть разрешена загрузка с USB)
· В «МАРШ!» используется ОС Linuxв которую можно установить не все корпоративные приложения
· Для работы с Check Point GO необходима гостевая ОС Windows XP, Vista, 7
· Для самых экзотических приложений может не удастся подготовить портативную версию для Check Point GO даже под ОС Windows XP, Vista, 7
А теперь о статье Андрея Комарова который подверг серьезной критике устройства Check Point GO. Конечно проведенный анализ уязвимостей заслуживает благодарности. Но Алексей провел технический анализ и выводу получились слишком технические.