- Статті та публікації Інтернет-портал anti-malware.ru, жовтень, 2016 Стаття зі згадуванням Secret...
- Методи отримання несанкціонованого доступу
- Захист від нештатної завантаження операційної системи
- Захист від розкрадання носіїв інформації
- Реалізація захищеного обміну конфіденційними даними
- висновки
- Статті та публікації
- Вступ
- Методи отримання несанкціонованого доступу
- Захист від нештатної завантаження операційної системи
- Захист від розкрадання носіїв інформації
- Реалізація захищеного обміну конфіденційними даними
- висновки
- Статті та публікації
- Вступ
- Методи отримання несанкціонованого доступу
- Захист від нештатної завантаження операційної системи
- Захист від розкрадання носіїв інформації
- Реалізація захищеного обміну конфіденційними даними
- висновки
Статті та публікації
Інтернет-портал anti-malware.ru, жовтень, 2016
Стаття зі згадуванням Secret Disk Enterprise від компанії "Аладдін Р.Д."
Захист інформації від несанкціонованого доступу (НСД) - комплексна задача, яка вирішується продуктами різних класів. У даній статті ми розглянемо, як продукт, що забезпечує криптографічний захист даних, що зберігаються, може застосовуватися для захисту від несанкціонованого доступу.
Вступ
Несанкціонований доступ до конфіденційної інформації - основна загроза інформаційній безпеці, про яку слід пам'ятати при побудові системи захисту. Для захисту інформації, що обробляється на робочих станціях, від несанкціонованого доступу повинен застосовуватися цілий комплекс заходів: забезпечення надійної аутентифікації, реалізація правил розмежування доступу, контроль витоків інформації на знімні носії і по мережі і багато інших. Класичні методи захисту від несанкціонованого доступу засновані на застосуванні одного з продуктів класу СЗІ від НСД. Ці продукти розробляються відповідно до керівним документом "Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації", випущеним Гостехкомиссией Росії (нині ФСТЕК Росії) в 1992 році. З моменту появи цього документа змінилося дуже багато чого - виникли нові способи атак, нові канали витоку інформації, і в цілому даний документ не охоплює весь спектр актуальних загроз безпеки. Сучасні реалії вимагають від фахівців з інформаційної безпеки використовувати широкий набір засобів різних класів для забезпечення високого рівня захисту. Обов'язковою доповненням до СЗІ від НСД є засоби шифрування інформації.
Продукт Secret Disk Enterprise, детальний огляд якого ми публікували раніше, є криптографічним засобом захисту і дозволяє реалізувати ряд заходів, що знижують загрозу несанкціонованого доступу до інформації.
Методи отримання несанкціонованого доступу
Існує безліч методів, за допомогою яких зловмисники отримують несанкціонований доступ до конфіденційної інформації. В цілому всі способи можна розділити на чотири основні групи:
- Несанкціонований доступ зовнішнім порушником при наявності фізичного доступу до комп'ютера.
- Несанкціонований доступ до інформації при її передачі за межі контрольованої зони.
- Витік інформації, викликана внутрішнім порушником, має легітимний доступ до даних.
- Віддалене проникнення на комп'ютер і викрадення даних за допомогою експлуатації вразливостей або використання шкідливого програмного забезпечення.
У першому випадку порушник, який не є користувачем робочого місця, але має фізичний доступ до комп'ютера з конфіденційною інформацією, може виконати різні локальні атаки, наприклад, завантаження з зовнішнього носія і копіювання інформації з жорсткого диска, або скоїти крадіжку носіїв інформації. Дана загроза має найбільшу актуальність для організацій, що працюють в сфері послуг і обслуговування. У таких компаніях відкритий вільний доступ для відвідувачів, і зловмисник може відвернути оператора або використовувати один з вільних комп'ютерів для проведення атаки. Якщо ж говорити про крадіжку - від даної загрози не захищена жодна компанія. Відомо багато випадків, коли пограбування планувалося з однією метою - викрасти жорсткі диски з цінними комерційними даними.
Для захисту від небажаних маніпуляцій зловмисника з комп'ютерами можна використовувати різні підходи. Класичним методом є фізичний захист портів введення-виведення, використання апаратних плат довіреної завантаження і інші складні заходи, які вимагають істотних витрат і гальмують бізнес-процеси. Криптографічні засоби можуть вирішити цю проблему простіше, забезпечивши повне шифрування даних на жорстких дисках і надаючи доступ користувачеві тільки після надійної аутентифікації. Додатково даний спосіб захисту дозволить нівелювати загрозу крадіжки носіїв - зловмисник не зможе прочитати інформацію з викраденого жорсткого диска.
Другий випадок - в доступі в разі передачі інформації за межі контрольованої зони - дуже великий через наявність великої кількості можливих каналів передачі. Дані можуть передаватися через глобальні мережі з використанням різних протоколів і через безліч сервісів. Існує маса видів атак і загроз - перехоплення трафіку, підробка адрес, злом сервісів зберігання файлів і так далі. Всі ці загрози знаходяться за межами захищається периметра і засоби захисту можуть тільки блокувати передачу даних, але не можуть забезпечити їх безпеку. Крім того, інформацію за межі периметра можуть виносити за допомогою знімних носіїв - дисків, флеш-накопичувачів, зовнішніх жорстких дисків, - і ці дані також можна контролювати. Єдиний спосіб зберегти конфіденційні дані в таємниці - використовувати криптографічні перетворення, щоб захистити інформацію від несанкціонованого доступу і дозволити працювати з нею тільки легітимному одержувачу даних.
В інших випадках криптографічний захист безсила - шифрування не може забезпечити захист від витоку інформації з боку користувача, що має легітимний доступ до даних, і захистити дані від віддаленого проникнення через уразливості і шкідливе ПО, т. К. Дані види атак діють від імені користувача.
Захист від нештатної завантаження операційної системи
Засіб криптографічного захисту Secret Disk Enterprise має функцію полнодіскового шифрування з власним завантажувача операційної системи, що дозволяє реалізувати гарантований захист від отримання доступу до даних через завантаження нештатної операційної системи. Secret Disk Enterprise забезпечує шифрування всіх даних на локальних жорстких дисках і дозволяє отримати доступ до інформації і завантажити операційну систему тільки легітимному користувачеві. Авторизація виконується у власному засобі завантаження, що працює до завантаження операційної системи.
Малюнок 1. Завантажувач Secret Disk Enterprise з підтримкою двофакторної аутентифікації
Додатковий захист забезпечується підтримкою двофакторної аутентифікації за допомогою електронних ключів JaCarta і eToken. Синхронізація з Microsoft Active Directory робить управління системою по-справжньому зручним - адміністратору немає необхідності вести різні бази користувачів для засобу захисту і операційної системи.
Малюнок 2. Управління обліковими записами користувачів з підтримкою інтеграції з Active Directory в Secret Disk Enterprise
Захист від розкрадання носіїв інформації
Функції Secret Disk Enterprise по полнодісковому шифрування захищають дані в разі крадіжки жорстких дисків, не дозволяючи зловмисникові отримати доступ до інформації з вкраденого носія. Але існує проблема розкрадання інших носіїв інформації, які використовуються в роботі будь-якої організації. Для вирішення даної проблеми в продукті Secret Disk Enterprise реалізовані функції щодо шифрування файлів на зовнішніх носіях - знімних дисках, флеш-накопичувачах і т. Д. Шифрування виконується прозоро для користувача, і робота із захищеними даними можлива з будь-якого об'єкта, що захищається комп'ютера в рамках мережі за умови надання доступу користувачеві даного комп'ютера.
Малюнок 3. Шифровані диски, розділи і папки в Secret Disk Enterprise
Всі перетворення в Secret Disk Enterprise виконуються по крипостійкість алгоритмам з використанням сторонніх служб криптографії (КріптоПро CSP і ViPNet CSP) або за допомогою вбудованої служби Microsoft Windows. Сторонні служби дозволяють забезпечити відповідність криптографічного захисту вимогам російських регуляторів, але вимагають додаткових витрат на ліцензування.
Реалізація захищеного обміну конфіденційними даними
Багатьом компаніям необхідно обмінюватися конфіденційними даними з контрагентами, замовниками та іншими зовнішніми суб'єктами, тому процес передачі закритої інформації із зовнішніх каналах зв'язку або з використанням знімних носіїв необхідно захищати. За допомогою Secret Disk Enterprise захист реалізується шляхом розміщення переданих даних в шифрованих файл-контейнерах. Доступ до файл-контейнеру можна отримати лише за допомогою введення спеціального пароля, який відомий тільки творцеві контейнера. Передача пароля повинна здійснюватися по каналу зв'язку, відмінного від того, через який переданий шифрований контейнер: наприклад, якщо файл відправлений по електронній пошті, пароль може бути переданий по телефону або в SMS-повідомленні. У разі якщо зловмисник перехопить файл-контейнер і не буде мати паролем, він не зможе отримати доступ до конфіденційної інформації. Для додаткового захисту Secret Disk Enterprise самостійно кожен раз при підготовці контейнера до відправки генерує випадковий пароль, не дозволяючи користувачеві задати просту і небезпечну комбінацію символів.
Малюнок 4. Автоматично згенерований пароль від шифрованого контейнера Secret Disk Enterprise
Робота з шифрованими контейнерами здійснюється прозоро для користувача на комп'ютері, де був створений контейнер. Для одержувача контейнера робота з ним також не складає великих труднощів - достатньо встановити безкоштовну програму Secret Disk Reader і ввести пароль до контейнера.
На відміну від звичайних файлових архівів, які також підтримують функції шифрування, файл-контейнер не припускав стиснення даних всередині себе, а тому при монтуванні його як віртуального логічного тому не створюються тимчасові файли з незахищеними даними, які зловмисник зможе прочитати, аналізуючи вміст комп'ютера.
Малюнок 5. Робота з шифрованими контейнерами в Secret Disk Enterprise
Secret Disk Enterprise дозволяє використовувати шифровані контейнери для двостороннього обміну інформацією: одержувач може не тільки читати файли з контейнера, але також поміщати в нього нові файли і модифікувати існуючі, що дозволяє налагодити повністю захищений обмін конфіденційними даними з будь-яких небезпечним каналах зв'язку.
висновки
Продукт Secret Disk Enterprise виконує максимум функцій по захисту інформації від несанкціонованого доступу на робочих станціях для свого класу. Повний набір можливостей щодо шифрування дисків, розділів, пристроїв і папок дозволяють забезпечити ефективний захист конфіденційної інформації від фізичного несанкціонованого доступу. Можливість створення шифрованих контейнерів і роботи з ними Secret Disk Enterprise забезпечують захист інформації від несанкціонованого доступу при її передачі партнерам, замовникам та іншим зовнішнім суб'єктам.
Криптографічні засоби, так само, як і інші види засобів захисту, не можуть самі по собі забезпечити повний захист від несанкціонованого доступу до інформації на робочих станціях. Дане завдання має вирішуватися в комплексі і вимагає застосування засобів захисту різних класів - антивіруса, DLP-системи, класичного СЗІ від НСД, засоби криптографічного захисту та інших. Тільки при одночасній роботі всіх цих продуктів можна з упевненістю заявляти про реалізацію максимального захисту від несанкціонованого доступу. Як засіб криптографічного захисту Secret Disk Enterprise може з успіхом застосовуватися як один з елементів системи захисту будь-якого рівня.
Статті та публікації
Інтернет-портал anti-malware.ru, жовтень, 2016
Стаття зі згадуванням Secret Disk Enterprise від компанії "Аладдін Р.Д."
Захист інформації від несанкціонованого доступу (НСД) - комплексна задача, яка вирішується продуктами різних класів. У даній статті ми розглянемо, як продукт, що забезпечує криптографічний захист даних, що зберігаються, може застосовуватися для захисту від несанкціонованого доступу.
Вступ
Несанкціонований доступ до конфіденційної інформації - основна загроза інформаційній безпеці, про яку слід пам'ятати при побудові системи захисту. Для захисту інформації, що обробляється на робочих станціях, від несанкціонованого доступу повинен застосовуватися цілий комплекс заходів: забезпечення надійної аутентифікації, реалізація правил розмежування доступу, контроль витоків інформації на знімні носії і по мережі і багато інших. Класичні методи захисту від несанкціонованого доступу засновані на застосуванні одного з продуктів класу СЗІ від НСД. Ці продукти розробляються відповідно до керівним документом "Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації", випущеним Гостехкомиссией Росії (нині ФСТЕК Росії) в 1992 році. З моменту появи цього документа змінилося дуже багато чого - виникли нові способи атак, нові канали витоку інформації, і в цілому даний документ не охоплює весь спектр актуальних загроз безпеки. Сучасні реалії вимагають від фахівців з інформаційної безпеки використовувати широкий набір засобів різних класів для забезпечення високого рівня захисту. Обов'язковою доповненням до СЗІ від НСД є засоби шифрування інформації.
Продукт Secret Disk Enterprise, детальний огляд якого ми публікували раніше, є криптографічним засобом захисту і дозволяє реалізувати ряд заходів, що знижують загрозу несанкціонованого доступу до інформації.
Методи отримання несанкціонованого доступу
Існує безліч методів, за допомогою яких зловмисники отримують несанкціонований доступ до конфіденційної інформації. В цілому всі способи можна розділити на чотири основні групи:
- Несанкціонований доступ зовнішнім порушником при наявності фізичного доступу до комп'ютера.
- Несанкціонований доступ до інформації при її передачі за межі контрольованої зони.
- Витік інформації, викликана внутрішнім порушником, має легітимний доступ до даних.
- Віддалене проникнення на комп'ютер і викрадення даних за допомогою експлуатації вразливостей або використання шкідливого програмного забезпечення.
У першому випадку порушник, який не є користувачем робочого місця, але має фізичний доступ до комп'ютера з конфіденційною інформацією, може виконати різні локальні атаки, наприклад, завантаження з зовнішнього носія і копіювання інформації з жорсткого диска, або скоїти крадіжку носіїв інформації. Дана загроза має найбільшу актуальність для організацій, що працюють в сфері послуг і обслуговування. У таких компаніях відкритий вільний доступ для відвідувачів, і зловмисник може відвернути оператора або використовувати один з вільних комп'ютерів для проведення атаки. Якщо ж говорити про крадіжку - від даної загрози не захищена жодна компанія. Відомо багато випадків, коли пограбування планувалося з однією метою - викрасти жорсткі диски з цінними комерційними даними.
Для захисту від небажаних маніпуляцій зловмисника з комп'ютерами можна використовувати різні підходи. Класичним методом є фізичний захист портів введення-виведення, використання апаратних плат довіреної завантаження і інші складні заходи, які вимагають істотних витрат і гальмують бізнес-процеси. Криптографічні засоби можуть вирішити цю проблему простіше, забезпечивши повне шифрування даних на жорстких дисках і надаючи доступ користувачеві тільки після надійної аутентифікації. Додатково даний спосіб захисту дозволить нівелювати загрозу крадіжки носіїв - зловмисник не зможе прочитати інформацію з викраденого жорсткого диска.
Другий випадок - в доступі в разі передачі інформації за межі контрольованої зони - дуже великий через наявність великої кількості можливих каналів передачі. Дані можуть передаватися через глобальні мережі з використанням різних протоколів і через безліч сервісів. Існує маса видів атак і загроз - перехоплення трафіку, підробка адрес, злом сервісів зберігання файлів і так далі. Всі ці загрози знаходяться за межами захищається периметра і засоби захисту можуть тільки блокувати передачу даних, але не можуть забезпечити їх безпеку. Крім того, інформацію за межі периметра можуть виносити за допомогою знімних носіїв - дисків, флеш-накопичувачів, зовнішніх жорстких дисків, - і ці дані також можна контролювати. Єдиний спосіб зберегти конфіденційні дані в таємниці - використовувати криптографічні перетворення, щоб захистити інформацію від несанкціонованого доступу і дозволити працювати з нею тільки легітимному одержувачу даних.
В інших випадках криптографічний захист безсила - шифрування не може забезпечити захист від витоку інформації з боку користувача, що має легітимний доступ до даних, і захистити дані від віддаленого проникнення через уразливості і шкідливе ПО, т. К. Дані види атак діють від імені користувача.
Захист від нештатної завантаження операційної системи
Засіб криптографічного захисту Secret Disk Enterprise має функцію полнодіскового шифрування з власним завантажувача операційної системи, що дозволяє реалізувати гарантований захист від отримання доступу до даних через завантаження нештатної операційної системи. Secret Disk Enterprise забезпечує шифрування всіх даних на локальних жорстких дисках і дозволяє отримати доступ до інформації і завантажити операційну систему тільки легітимному користувачеві. Авторизація виконується у власному засобі завантаження, що працює до завантаження операційної системи.
Малюнок 1. Завантажувач Secret Disk Enterprise з підтримкою двофакторної аутентифікації
Додатковий захист забезпечується підтримкою двофакторної аутентифікації за допомогою електронних ключів JaCarta і eToken. Синхронізація з Microsoft Active Directory робить управління системою по-справжньому зручним - адміністратору немає необхідності вести різні бази користувачів для засобу захисту і операційної системи.
Малюнок 2. Управління обліковими записами користувачів з підтримкою інтеграції з Active Directory в Secret Disk Enterprise
Захист від розкрадання носіїв інформації
Функції Secret Disk Enterprise по полнодісковому шифрування захищають дані в разі крадіжки жорстких дисків, не дозволяючи зловмисникові отримати доступ до інформації з вкраденого носія. Але існує проблема розкрадання інших носіїв інформації, які використовуються в роботі будь-якої організації. Для вирішення даної проблеми в продукті Secret Disk Enterprise реалізовані функції щодо шифрування файлів на зовнішніх носіях - знімних дисках, флеш-накопичувачах і т. Д. Шифрування виконується прозоро для користувача, і робота із захищеними даними можлива з будь-якого об'єкта, що захищається комп'ютера в рамках мережі за умови надання доступу користувачеві даного комп'ютера.
Малюнок 3. Шифровані диски, розділи і папки в Secret Disk Enterprise
Всі перетворення в Secret Disk Enterprise виконуються по крипостійкість алгоритмам з використанням сторонніх служб криптографії (КріптоПро CSP і ViPNet CSP) або за допомогою вбудованої служби Microsoft Windows. Сторонні служби дозволяють забезпечити відповідність криптографічного захисту вимогам російських регуляторів, але вимагають додаткових витрат на ліцензування.
Реалізація захищеного обміну конфіденційними даними
Багатьом компаніям необхідно обмінюватися конфіденційними даними з контрагентами, замовниками та іншими зовнішніми суб'єктами, тому процес передачі закритої інформації із зовнішніх каналах зв'язку або з використанням знімних носіїв необхідно захищати. За допомогою Secret Disk Enterprise захист реалізується шляхом розміщення переданих даних в шифрованих файл-контейнерах. Доступ до файл-контейнеру можна отримати лише за допомогою введення спеціального пароля, який відомий тільки творцеві контейнера. Передача пароля повинна здійснюватися по каналу зв'язку, відмінного від того, через який переданий шифрований контейнер: наприклад, якщо файл відправлений по електронній пошті, пароль може бути переданий по телефону або в SMS-повідомленні. У разі якщо зловмисник перехопить файл-контейнер і не буде мати паролем, він не зможе отримати доступ до конфіденційної інформації. Для додаткового захисту Secret Disk Enterprise самостійно кожен раз при підготовці контейнера до відправки генерує випадковий пароль, не дозволяючи користувачеві задати просту і небезпечну комбінацію символів.
Малюнок 4. Автоматично згенерований пароль від шифрованого контейнера Secret Disk Enterprise
Робота з шифрованими контейнерами здійснюється прозоро для користувача на комп'ютері, де був створений контейнер. Для одержувача контейнера робота з ним також не складає великих труднощів - достатньо встановити безкоштовну програму Secret Disk Reader і ввести пароль до контейнера.
На відміну від звичайних файлових архівів, які також підтримують функції шифрування, файл-контейнер не припускав стиснення даних всередині себе, а тому при монтуванні його як віртуального логічного тому не створюються тимчасові файли з незахищеними даними, які зловмисник зможе прочитати, аналізуючи вміст комп'ютера.
Малюнок 5. Робота з шифрованими контейнерами в Secret Disk Enterprise
Secret Disk Enterprise дозволяє використовувати шифровані контейнери для двостороннього обміну інформацією: одержувач може не тільки читати файли з контейнера, але також поміщати в нього нові файли і модифікувати існуючі, що дозволяє налагодити повністю захищений обмін конфіденційними даними з будь-яких небезпечним каналах зв'язку.
висновки
Продукт Secret Disk Enterprise виконує максимум функцій по захисту інформації від несанкціонованого доступу на робочих станціях для свого класу. Повний набір можливостей щодо шифрування дисків, розділів, пристроїв і папок дозволяють забезпечити ефективний захист конфіденційної інформації від фізичного несанкціонованого доступу. Можливість створення шифрованих контейнерів і роботи з ними Secret Disk Enterprise забезпечують захист інформації від несанкціонованого доступу при її передачі партнерам, замовникам та іншим зовнішнім суб'єктам.
Криптографічні засоби, так само, як і інші види засобів захисту, не можуть самі по собі забезпечити повний захист від несанкціонованого доступу до інформації на робочих станціях. Дане завдання має вирішуватися в комплексі і вимагає застосування засобів захисту різних класів - антивіруса, DLP-системи, класичного СЗІ від НСД, засоби криптографічного захисту та інших. Тільки при одночасній роботі всіх цих продуктів можна з упевненістю заявляти про реалізацію максимального захисту від несанкціонованого доступу. Як засіб криптографічного захисту Secret Disk Enterprise може з успіхом застосовуватися як один з елементів системи захисту будь-якого рівня.
Статті та публікації
Інтернет-портал anti-malware.ru, жовтень, 2016
Стаття зі згадуванням Secret Disk Enterprise від компанії "Аладдін Р.Д."
Захист інформації від несанкціонованого доступу (НСД) - комплексна задача, яка вирішується продуктами різних класів. У даній статті ми розглянемо, як продукт, що забезпечує криптографічний захист даних, що зберігаються, може застосовуватися для захисту від несанкціонованого доступу.
Вступ
Несанкціонований доступ до конфіденційної інформації - основна загроза інформаційній безпеці, про яку слід пам'ятати при побудові системи захисту. Для захисту інформації, що обробляється на робочих станціях, від несанкціонованого доступу повинен застосовуватися цілий комплекс заходів: забезпечення надійної аутентифікації, реалізація правил розмежування доступу, контроль витоків інформації на знімні носії і по мережі і багато інших. Класичні методи захисту від несанкціонованого доступу засновані на застосуванні одного з продуктів класу СЗІ від НСД. Ці продукти розробляються відповідно до керівним документом "Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації", випущеним Гостехкомиссией Росії (нині ФСТЕК Росії) в 1992 році. З моменту появи цього документа змінилося дуже багато чого - виникли нові способи атак, нові канали витоку інформації, і в цілому даний документ не охоплює весь спектр актуальних загроз безпеки. Сучасні реалії вимагають від фахівців з інформаційної безпеки використовувати широкий набір засобів різних класів для забезпечення високого рівня захисту. Обов'язковою доповненням до СЗІ від НСД є засоби шифрування інформації.
Продукт Secret Disk Enterprise, детальний огляд якого ми публікували раніше, є криптографічним засобом захисту і дозволяє реалізувати ряд заходів, що знижують загрозу несанкціонованого доступу до інформації.
Методи отримання несанкціонованого доступу
Існує безліч методів, за допомогою яких зловмисники отримують несанкціонований доступ до конфіденційної інформації. В цілому всі способи можна розділити на чотири основні групи:
- Несанкціонований доступ зовнішнім порушником при наявності фізичного доступу до комп'ютера.
- Несанкціонований доступ до інформації при її передачі за межі контрольованої зони.
- Витік інформації, викликана внутрішнім порушником, має легітимний доступ до даних.
- Віддалене проникнення на комп'ютер і викрадення даних за допомогою експлуатації вразливостей або використання шкідливого програмного забезпечення.
У першому випадку порушник, який не є користувачем робочого місця, але має фізичний доступ до комп'ютера з конфіденційною інформацією, може виконати різні локальні атаки, наприклад, завантаження з зовнішнього носія і копіювання інформації з жорсткого диска, або скоїти крадіжку носіїв інформації. Дана загроза має найбільшу актуальність для організацій, що працюють в сфері послуг і обслуговування. У таких компаніях відкритий вільний доступ для відвідувачів, і зловмисник може відвернути оператора або використовувати один з вільних комп'ютерів для проведення атаки. Якщо ж говорити про крадіжку - від даної загрози не захищена жодна компанія. Відомо багато випадків, коли пограбування планувалося з однією метою - викрасти жорсткі диски з цінними комерційними даними.
Для захисту від небажаних маніпуляцій зловмисника з комп'ютерами можна використовувати різні підходи. Класичним методом є фізичний захист портів введення-виведення, використання апаратних плат довіреної завантаження і інші складні заходи, які вимагають істотних витрат і гальмують бізнес-процеси. Криптографічні засоби можуть вирішити цю проблему простіше, забезпечивши повне шифрування даних на жорстких дисках і надаючи доступ користувачеві тільки після надійної аутентифікації. Додатково даний спосіб захисту дозволить нівелювати загрозу крадіжки носіїв - зловмисник не зможе прочитати інформацію з викраденого жорсткого диска.
Другий випадок - в доступі в разі передачі інформації за межі контрольованої зони - дуже великий через наявність великої кількості можливих каналів передачі. Дані можуть передаватися через глобальні мережі з використанням різних протоколів і через безліч сервісів. Існує маса видів атак і загроз - перехоплення трафіку, підробка адрес, злом сервісів зберігання файлів і так далі. Всі ці загрози знаходяться за межами захищається периметра і засоби захисту можуть тільки блокувати передачу даних, але не можуть забезпечити їх безпеку. Крім того, інформацію за межі периметра можуть виносити за допомогою знімних носіїв - дисків, флеш-накопичувачів, зовнішніх жорстких дисків, - і ці дані також можна контролювати. Єдиний спосіб зберегти конфіденційні дані в таємниці - використовувати криптографічні перетворення, щоб захистити інформацію від несанкціонованого доступу і дозволити працювати з нею тільки легітимному одержувачу даних.
В інших випадках криптографічний захист безсила - шифрування не може забезпечити захист від витоку інформації з боку користувача, що має легітимний доступ до даних, і захистити дані від віддаленого проникнення через уразливості і шкідливе ПО, т. К. Дані види атак діють від імені користувача.
Захист від нештатної завантаження операційної системи
Засіб криптографічного захисту Secret Disk Enterprise має функцію полнодіскового шифрування з власним завантажувача операційної системи, що дозволяє реалізувати гарантований захист від отримання доступу до даних через завантаження нештатної операційної системи. Secret Disk Enterprise забезпечує шифрування всіх даних на локальних жорстких дисках і дозволяє отримати доступ до інформації і завантажити операційну систему тільки легітимному користувачеві. Авторизація виконується у власному засобі завантаження, що працює до завантаження операційної системи.
Малюнок 1. Завантажувач Secret Disk Enterprise з підтримкою двофакторної аутентифікації
Додатковий захист забезпечується підтримкою двофакторної аутентифікації за допомогою електронних ключів JaCarta і eToken. Синхронізація з Microsoft Active Directory робить управління системою по-справжньому зручним - адміністратору немає необхідності вести різні бази користувачів для засобу захисту і операційної системи.
Малюнок 2. Управління обліковими записами користувачів з підтримкою інтеграції з Active Directory в Secret Disk Enterprise
Захист від розкрадання носіїв інформації
Функції Secret Disk Enterprise по полнодісковому шифрування захищають дані в разі крадіжки жорстких дисків, не дозволяючи зловмисникові отримати доступ до інформації з вкраденого носія. Але існує проблема розкрадання інших носіїв інформації, які використовуються в роботі будь-якої організації. Для вирішення даної проблеми в продукті Secret Disk Enterprise реалізовані функції щодо шифрування файлів на зовнішніх носіях - знімних дисках, флеш-накопичувачах і т. Д. Шифрування виконується прозоро для користувача, і робота із захищеними даними можлива з будь-якого об'єкта, що захищається комп'ютера в рамках мережі за умови надання доступу користувачеві даного комп'ютера.
Малюнок 3. Шифровані диски, розділи і папки в Secret Disk Enterprise
Всі перетворення в Secret Disk Enterprise виконуються по крипостійкість алгоритмам з використанням сторонніх служб криптографії (КріптоПро CSP і ViPNet CSP) або за допомогою вбудованої служби Microsoft Windows. Сторонні служби дозволяють забезпечити відповідність криптографічного захисту вимогам російських регуляторів, але вимагають додаткових витрат на ліцензування.
Реалізація захищеного обміну конфіденційними даними
Багатьом компаніям необхідно обмінюватися конфіденційними даними з контрагентами, замовниками та іншими зовнішніми суб'єктами, тому процес передачі закритої інформації із зовнішніх каналах зв'язку або з використанням знімних носіїв необхідно захищати. За допомогою Secret Disk Enterprise захист реалізується шляхом розміщення переданих даних в шифрованих файл-контейнерах. Доступ до файл-контейнеру можна отримати лише за допомогою введення спеціального пароля, який відомий тільки творцеві контейнера. Передача пароля повинна здійснюватися по каналу зв'язку, відмінного від того, через який переданий шифрований контейнер: наприклад, якщо файл відправлений по електронній пошті, пароль може бути переданий по телефону або в SMS-повідомленні. У разі якщо зловмисник перехопить файл-контейнер і не буде мати паролем, він не зможе отримати доступ до конфіденційної інформації. Для додаткового захисту Secret Disk Enterprise самостійно кожен раз при підготовці контейнера до відправки генерує випадковий пароль, не дозволяючи користувачеві задати просту і небезпечну комбінацію символів.
Малюнок 4. Автоматично згенерований пароль від шифрованого контейнера Secret Disk Enterprise
Робота з шифрованими контейнерами здійснюється прозоро для користувача на комп'ютері, де був створений контейнер. Для одержувача контейнера робота з ним також не складає великих труднощів - достатньо встановити безкоштовну програму Secret Disk Reader і ввести пароль до контейнера.
На відміну від звичайних файлових архівів, які також підтримують функції шифрування, файл-контейнер не припускав стиснення даних всередині себе, а тому при монтуванні його як віртуального логічного тому не створюються тимчасові файли з незахищеними даними, які зловмисник зможе прочитати, аналізуючи вміст комп'ютера.
Малюнок 5. Робота з шифрованими контейнерами в Secret Disk Enterprise
Secret Disk Enterprise дозволяє використовувати шифровані контейнери для двостороннього обміну інформацією: одержувач може не тільки читати файли з контейнера, але також поміщати в нього нові файли і модифікувати існуючі, що дозволяє налагодити повністю захищений обмін конфіденційними даними з будь-яких небезпечним каналах зв'язку.
висновки
Продукт Secret Disk Enterprise виконує максимум функцій по захисту інформації від несанкціонованого доступу на робочих станціях для свого класу. Повний набір можливостей щодо шифрування дисків, розділів, пристроїв і папок дозволяють забезпечити ефективний захист конфіденційної інформації від фізичного несанкціонованого доступу. Можливість створення шифрованих контейнерів і роботи з ними Secret Disk Enterprise забезпечують захист інформації від несанкціонованого доступу при її передачі партнерам, замовникам та іншим зовнішнім суб'єктам.
Криптографічні засоби, так само, як і інші види засобів захисту, не можуть самі по собі забезпечити повний захист від несанкціонованого доступу до інформації на робочих станціях. Дане завдання має вирішуватися в комплексі і вимагає застосування засобів захисту різних класів - антивіруса, DLP-системи, класичного СЗІ від НСД, засоби криптографічного захисту та інших. Тільки при одночасній роботі всіх цих продуктів можна з упевненістю заявляти про реалізацію максимального захисту від несанкціонованого доступу. Як засіб криптографічного захисту Secret Disk Enterprise може з успіхом застосовуватися як один з елементів системи захисту будь-якого рівня.