1 / 58

Защита мобильных устройств

Защита мобильных устройств. Безмалый В.Ф. MVP Consumer Security Microsoft Security Trusted Advisor vladb@windowslive.com http://vladbez.spaces.live.com. - Неужели все так плохо и хуже быть не может? - Может-может Мнение оптимиста. Угрозы и утечки.

irma
Download Presentation

Защита мобильных устройств

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Защита мобильных устройств Безмалый В.Ф. MVP Consumer Security Microsoft Security Trusted Advisor vladb@windowslive.com http://vladbez.spaces.live.com

  2. - Неужели все так плохо и хуже быть не может?- Может-может Мнение оптимиста

  3. Угрозы и утечки • Из штаб-квартиры компании EducationalCreditManagementCorp (ECMC), осуществляющей выплату федеральных студенческих кредитов, были украдены данные 3,3 миллиона человек. • В числе утекших данных были имена, адреса, номера социального страхования и даты рождения заемщиков. Информация хранилась на портативном устройстве • Номер соцстрахования (с именем и датой рождения) продаётся на чёрном рынке за 16-18 долларов. С учётом оптовых скидок, похититель может выручить 20-30 миллионов долларов. Недурной куш! Пожалуй, перед подобным соблазном устоит мало кто из работников. (по данным InfoWatch)

  4. Британская страховая компания потеряла 8 ноутбуков с персональными данными контрагентов • Данные содержащиеся на ноутбуках не были зашифрованы, но компьютеры были защищены паролем. • В докладе сказано, что менеджеры общества не отдавали себе отчет в том, что хранение персональных данных на компьютерах предполагает необходимость дополнительной защиты информации, чего и не было сделано. • После инцидента директор компании Майкл Ярдли подписал официальное постановление, гласящее, что все портативные устройства, включая мобильные телефоны и ноутбуки, должны быть зашифрованы.

  5. Украден ноутбук • Украден ноутбук, в котором хранилась база данных с информацией на 800 000 докторов. Это практически все доктора Соединенных Штатов. • Подозреваемым в этом деле проходил якобы сотрудник чикагского офиса BlueCrossandBlueShieldAssociation, который скачал базу на свой домашний персональный компьютер

  6. Отчет Ponemon Institute • Около 10 278 ноутбуков теряются еженедельно в 36 больших американских аэропортах, и 65 % из них не возвращаются владельцам. В аэропортах среднего размера регистрируется потеря около 2 000 ноутбуков, и 69 % не из них не возвращены. • Приблизительно 77 % опрошенных рассказали, что у них нет никакой надежды на возвращение потерянного ноутбука,, 16 % говорят, что они ничего не делали бы, если бы потеряли свой ноутбук. • Приблизительно 53 % сказали, что ноутбуки содержат конфиденциальную информацию компании, а 65 %, не сделали ничего для защиты информации.

  7. Шифрование ноутбуков в организации. Каким образом?

  8. Организационные мероприятия

  9. Чем шифровать? • BitLocker • Secret Disk • Kaspersky KryptoStorage • Check Point EndPoint Protection • Другие технологии

  10. Краткий обзор технологии BitLocker

  11. Развертывание технологии шифрования диска BitLocker • Оценить готовность ваших аппаратных средств к BitLocker • Определить возможность разворачивания • Выбрать конфигурацию BitLocker • Создать план восстановления данных в случае чрезвычайной ситуации

  12. Оцените готовность аппаратных средств к применению BitLocker • Операционная система Windows 7 Enterprise или Windows 7 Ultimate; • Если вы хотите использовать BitLocker вместе с модулем TPM, материнские платы ваших компьютеров должны быть TPM‐совместимы, т.е. оборудованы чипами TPM соответствующими спецификации TrustedComputingGroup TPM v.1.2 или выше; • Жесткий диск должен содержать два раздела с файловой системой NTFS. Раздел, на который BitLocker будет записывать загрузочные компоненты должен быть первым и содержать не менее 100 Mb чистого пространства. Кроме того, это должен быть активный раздел.

  13. TrustedPlatformModule • Понимание сущности этого аппаратного обеспечения является важнейшей частью конфигурирования BitLocker в вашей организации. Для того, чтобы понять больше о технологии TPM и TrustedComputingGroup следует прочесть статью TrustedPlatformModule (TPM) Specificationshttps://www.trustedcomputinggroup.org/specs/TPM.

  14. Определите возможность развертывания BitLocker • Какие компьютеры в вашей организации нуждаются в защите? • Нужно ли защищать все ваши мобильные и настольные компьютеры? • Какие данные в вашей организации нуждаются в криптографической защите?

  15. Какие компьютеры нуждаются в защите? • Компьютеры, используемые топ‐менеджерами, работающими с наиболее важной конфиденциальной информацией; • Компьютеры, используемые служащими, которые могут иметь доступ к личным или финансовым данным клиентов, служащих или деловых партнеров; • Компьютеры, на которых обрабатывается персональная информация клиентов или служащих;

  16. Какие компьютеры нуждаются в защите? • Компьютеры, используемые в тех областях, где они уязвимы к физическому воздействию (воровство); • Портативные компьютеры, используемые служащими вне пределов офиса; • Домашние компьютеры служащих, используемые для удаленной работы в сети компании.

  17. Какие данные нуждаются в защите с помощью шифрования? • Конфиденциальная информация, защищаемая законом, включая финансовую, банковскую, кредитную информацию а также стратегические планы предприятия; • Личные данные служащих, уволенных служащих или клиентов (информация, отнесенная к категории персональных данных); • Исходные тексты программного обеспечения, базы данных и другая интеллектуальная собственность; • Лицензионные материалы, принадлежащие вашим деловым партнерам или клиентам.

  18. Выбор конфигурации BitLocker

  19. BitLocker с режимом TPM (без PIN-кода). • В случае если вы не нуждаетесь в мультифакторной аутентификации • Если данные, хранимые на вашем компьютере не требуют усиленной аутентификации

  20. Внедрение BitLocker с TPM • Создание перечня компьютеров, находящихся в вашей организации и оборудованных ТРМ модулями; • Описание цикла обновления (замены) аппаратных средств; • Существуют ли в вашей организации компьютеры, требующие автоматического запуска, ведь BitLocker с TPM, в отличие от BitLocker с TPM и PIN‐кодом, BitLocker с ТРМ и USB устройством, BitLocker без ТРМ (с USB устройством), позволяет автоматический запуск, остальные режимы требуют физического наличия пользователя. • Описание процедур замены жесткого диска, ремонта и списания для ТРМ-защищенных систем, при условии что зашифрованный с помощью BitLocker диск не может быть непосредственно использован в качестве срочной замены.

  21. Внедрение BitLockerс TPM и PIN-кодом • В случае внедрения этого способа шифрования, необходимо обратить внимание на создание инструкции для пользователей, которая будет предназначена для: • обучения пользователей процедуре выбора устойчивого к взлому PIN‐кода, удовлетворяющего требованиям политики безопасности организации; • рассмотрения процедуры доступа к компьютеру и восстановления данных в случае если пользователь забыл свой PIN‐код; • рассмотрения процедуры сброса PIN‐кода.

  22. Внедрение BitLockerс USB-устройством • Проверьте компьютеры, на которых вы собираетесь использовать BitLockerс USB‐ключом, чтобы убедиться в том, что они могут распознать USB‐ключ во время загрузки; • Создайте план перемещения данных и приложений с этих компьютеров на компьютеры с поддержкой ТРМ, в случае обновления аппаратного парка.

  23. Восстановление данных • Существуют следующие методики хранения пароля восстановления: • Печать пароля в распечатанном на бумаге виде; • Хранение пароля на сменных носителях; • Хранение пароля на сетевом носителе; • Хранение пароля в ActiveDirectory.

  24. ActiveDirectory • Процесс хранения автоматизирован и не требует вовлечения пользователя; • Информация, необходимая для восстановления не может быть утеряна или изменена пользователем; • AD обеспечивает централизованное управление и хранение информации восстановления; • Информация восстановления защищена вместе с другими данными AD.

  25. Новые требования • Организация должна иметь устойчивую, хорошо управляемую инфраструктуру AD; • AD на базе WindowsServer 2003 должна быть расширена для включения атрибутов BitLocker. Подробнее об этом можно прочесть в статье ExtendingYourActiveDirectorySchemainWindowsServer 2003 R2 http://technet2.microsoft.com/WindowsServer/en/library/509ada1a-9fdc-45c1-8739-20085b20797b1033.mspx?mfr=true. • Необходимо иметь политику безопасности для обеспечения безопасного хранения паролей восстановления в AD.

  26. Печать пароля восстановления (сохранение его в текстовом файле) • Преимущества: • Процесс легко осуществим; • Требуется небольшая инфраструктура; • Легко осуществим для нетехнических пользователей. • Недостатки: • Процесс создания и хранения пароля восстановления зависит от пользователя; • Хранение пароля данным способом не обеспечивает централизованного управления; • Не существует гарантированной защиты от компрометации (хищения, несанкционированного ознакомления, утраты или повреждения).

  27. Сохранение пароля восстановления на USB устройстве • Преимущества: • Вы можете хранить большое количество паролей восстановления на одном USB‐ устройстве, так как все они хранятся в виде текстовых файлов; • Легче обеспечить физическую защиту устройства, его безопасное хранение. • Недостатки: • Далеко не все компьютеры на сегодня поддерживают обращение к USB‐устройству в процессе загрузки; • Сбор паролей восстановления для последующего хранения – ручной процесс, который не может быть автоматизирован; • USB‐устройство может быть утрачено (потеряно или повреждено) и в таком случае все пароли восстановления будут утрачены.

  28. Политика восстановления • Для безопасного восстановления данных чрезвычайно важно определить кто именно будет заниматься их восстановлением. • Восстановление данных, шифрованных с помощью BitLocker будет требовать наличия физического доступа к восстанавливаемому компьютеру для ввода пароля восстановления.

  29. Шифрование диска с помощью bitlocker (Демо)

  30. Secret Disk

  31. Возможности • Шифрование системного раздела, разделов на жестких дисках, томов на динамических дисках, виртуальных дисков и съемных носителей; • Аутентификация пользователя по USB-ключу eToken или смарт-карте для загрузки операционной системы и для доступа к зашифрованным данным; • Запрет доступа по сети к зашифрованным данным для всех пользователей, включая системного администратора;

  32. Возможности • Восстановление доступа к данным в случае утери USB-ключа; • Защита данных от сбоев во время операций шифрования, включая перебои электропитания; • Режим энергосбережения для ноутбуков; • Динамическое распределение скорости шифрования.

  33. Безопасность • Защита сеанса загрузки операционной системы: для загрузки операционной системы с зашифрованного системного раздела пользователь должен подключить USB-ключ eToken или смарт-карту и ввести PIN-код; • Двухфакторная аутентификация: для доступа к зашифрованной информации пользователь должен подключить ключевой носитель и ввести его PIN-код; • Блокирование доступа по сети к зашифрованным данным даже для системного администратора;

  34. Безопасность • Поддержка «спящего» режима с сохранением образа оперативной памяти в зашифрованном виде, также в зашифрованном виде сохраняется образ памяти, записываемый на жесткий диск операционной системой в случае фатальных ошибок; • Блокирование компьютера в перерывах между работой и автоматическое отключение зашифрованных дисков при отсоединении eToken; • Возможность использования российских сертифицированных криптоалгоритмов (ГОСТ 28147-89).

  35. Надежность • Защита от сбоев во время выполнения операций шифрования, включая перебои электропитания; • Защита от случайного / умышленного уничтожения или повреждения защищенных данных; • Аварийное восстановление главной загрузочной записи (MasterBootRecord) с использованием специального загрузочного Rescue CD; • Резервное копирование / восстановление ключей шифрования.

  36. Удобство • Фоновое шифрование: операции зашифрования, расшифрования и перешифрования дисков проводятся в фоновом режиме, с возможностью приостановки и дальнейшего продолжения выполнения этих операций, что позволяет быстро ввести систему в эксплуатацию; • Оптимизация скорости работы системы при операциях первичного зашифрования (инициализации) и перешифрования/расшифрования защищенных дисков. Это достигается за счет применения алгоритма, определяющего количество системных ресурсов, требуемое SecretDisk, по остаточному принципу, что дает возможность проводить указанные операции без значительного изменения общей производительности системы; • Многопользовательская работа: несколько пользователей (каждый со своим USB-ключом) могут загружать ОС с зашифрованного системного раздела и получать доступ к зашифрованным дискам; • Режим сохранения заряда батарей для ноутбуков; • Полная интеграция в MicrosoftWindows 2000, XP, Vista, Windows 7

  37. Типовые сценарии использования

  38. Мобильный компьютер

  39. Персональный компьютер в локальной сети

  40. Персональный компьютер в локальной сети

  41. Многопользовательский персональный компьютер в локальной сети (особенности) • для работы нескольких пользователей необходимо наличие лицензий на SecretDisk 4, записанных в защищѐнной памяти электронного ключа eToken PRO каждого пользователя; • для обеспечения возможности загрузки операционной системы с защищенного системного раздела, администратор SecretDisk 4 должен зарегистрировать пользователей. Для этого необходим доступ к сертификату X.509 регистрируемого пользователя;

  42. Многопользовательский персональный компьютер в локальной сети (особенности) • доступ к зашифрованным дискам по сети запрещен для всех пользователей, включая системного администратора; • пользователи SecretDisk 4 могут создавать свои зашифрованные диски на жестком диске персонального компьютера и съемных внешних носителях и давать доступ к этим дискам другим пользователям SecretDisk 4.

  43. Многопользовательский персональный компьютер в локальной сети (преимущества) • защита конфиденциальных данных и разграничение доступа к ним на персональных компьютерах, на которых работает несколько пользователей; • обеспечение работы с персональным компьютером только для пользователей Secret Disk 4, незарегистрированный пользователь не сможет даже загрузить операционную систему; • защита конфиденциальной информации, хранящейся на защищенных дисках, от утечки по локальной сети.

  44. Secret Disk Демо

  45. Kaspersky KryptoStorage

  46. Аппаратные требования • процессор Intel Celeron 1 ГГц и выше • 256 Мб свободной оперативной памяти • 15 Мб свободного дискового пространства для установки приложения

  47. Программные требования • Microsoft Windows 7 • Microsoft Windows Vista Service Pack 1 • Microsoft Windows XP Service Pack 2 • Microsoft Windows 2000 Professional Service Pack 4 • Windows 2003 Server • Microsoft Windows 2000 Server Service Pack 4

  48. Ограничения на установку защиты • Установка защиты на логические разделы жесткого диска и съемных носителей возможна, если размер сектора на соответствующем устройстве 512 байт. • Установка на динамические разделы невозможна. • На одном физическом диске не может быть одновременно запущена установка \ удаление \ переустановка защиты для нескольких логических разделов. С логическими разделами разных дисков можно работать одновременно. • В Windows 7 при физическом подключении защищенных съемных носителей операционная система сообщает, что носитель не форматирован, и доступа к нему не предоставляет до тех пор, пока носитель не будет подключен средствами KasperskyKryptoStorage

  49. Защищенная папка • Все файлы и папки, находящиеся внутри защищенной папки, зашифрованы и являются защищенными. • Выполнение любых действий (чтение, запись, переименование, архивирование, удаление и т. п.) над защищенной папкой возможно только после подключения этой папки. • Доступ к защищенным папкам по сети запрещен • Система не позволяет выполнять непосредственно с защищенными папками и их содержимым следующие действия: удаление в корзину, перемещение в рамках одного тома файлов и папок, содержащих файлы.

  50. Защищенный криптоконтейнер • Следует учесть, что, с точки зрения ОС, защищенный криптоконтейнер ничем не отличается от обычного файла, а, следовательно, может быть удален. Если вы хотите этого избежать, следует разместить криптоконтейнер внутри зашифрованной папки.

More Related