24 марта, 2015, BIS Journal №1(16)/2015

Время доверять


Нейгер Сергей

сотрудник отдела (компания "Перспективный мониторинг")

Периметра безопасности больше нет, контролировать среду обработки и хранения информации становится всё сложнее

Современный безопасник может не думать о доверии своим информационным технологиям только в двух случаях — если он верит, что существует периметр безопасности корпоративной информационной системы, и что каждый Новый год подарки приносит Дед Мороз. Конечно, иногда очень хочется верить в чудо, но современный мир киберпреступности приучил нас к тому, что чудес не бывает. Периметра безопасности, внутри которого все ИТ считаются доверенными, больше нет. Сфера деятельности сотрудников абсолютного большинства компаний и государственных организаций выходит за границы офисного здания, и контролировать среду обработки и хранения информации становится всё сложнее.

 

Почему важно быть уверенным, что мой компьютер, это действительно мой компьютер? Во-первых, следует признать, что мы не всегда единолично владеем информацией, хранящейся и обрабатываемой на наших ПК. Компьютер может быть частью бот-сети, на нём может быть установлено шпионское ПО, конфиденциальная информация может передаваться по незащищённым каналам связи или без нашего на то согласия. И что самое неприятное, приведённый список угроз не исчерпывающий. К тому же, мы не всегда знаем, что происходит с нашими ПК (или информационными технологиями в более широком смысле), и не можем принять адекватных мер для пресечения опасной ситуации. Конечно, в какой-то мере программные end-point средства защиты помогают, но они работают уже, как правило, на уровне операционной системы. А нам нужно доверять самой ОС.

Обеспечить доверенную среду обработки информации без аппаратной составляющей невозможно, поскольку любой софт злоумышленник может модифицировать для своих нужд. До недавнего времени проблема обеспечения доверия была успешно решена только для настольных ПК, которые позволяют разместить необходимые платы расширения. И такие продукты отлично работают там, где не важна мобильность или размеры. Но как же быть с ноутбуками и ультрабуками? Там нет места под платы. А если и есть, то имеющиеся разъёмы не позволяют установить туда существующие решения.

В Лаборатории доверенной среды компании ЭЛВИС-ПЛЮС была создана технология Базовый Доверенный Модуль (БДМ), позволяющая обойти перечисленные ограничения и создать доверенную среду на мобильных компьютерах, в которых есть предустановленный производителем ноутбуков аппаратный корень доверия. Именно его возможности и использует БДМ для контроля целостности среды и обеспечения доверенной загрузки. Следует отметить, что сфера применения БДМ не ограничивается только ноутбуками. Технология БДМ может применяться и для защиты планшетов, серверов и смартфонов.

Для того чтобы обеспечить требуемый уровень безопасности информации, решение ЭЛВИС-ПЛЮС поддерживает двухфакторную строгую аутентификацию. Это значит, что для начала работы и доступа к данным нужно не только знать пароль для входа в операционную систему, но и обладать специальным физическим ключом (токеном). В сочетании с контролем целостности эта технология реализует функции электронного замка.

Каждый из линейки защищённых БДМ-Ноутбуков может работать в двух режимах — открытом и доверенном. Это означает, что на ноутбуке есть две полноценных операционных системы. Одна для личных нужд, вторая — для служебных задач. Эти две системы всегда работают по очереди, всегда изолированы друг от друга и никогда не пересекаются. Основное удобство такого подхода в том, что для запуска открытого режима не требуется никаких дополнительных действий. Вы просто включаете ноутбук и используете его как своё личное устройство. Играйте, общайтесь, сидите в интернете.

Рисунок 1. Открытый режим

Рисунок 2. Доверенный режим

В этот момент вся конфиденциальная информация надёжно зашифрована на доверенном разделе. При этом обнаружить, что на устройстве есть какая-то важная информация, не так-то и просто, и сделать это может только человек, хорошо разбирающийся в ИТ — доверенный раздел жёсткого диска не показывается в Проводнике. Даже если такой ноутбук у вас украдут, вор вряд ли поймёт, что это устройство содержит данные более ценные, чем сама «железка». БДМ-Ноутбук можно включать, выключать, перезагружать — он ничем не отличается от обычного ноутбука и никак не выдаёт своей защищённой сути.

Всё меняется, если до включения ноутбука подключить USB-токен. Базовый Доверенный Модуль «поймёт», что пользователь хочет загрузиться в доверенном режиме и потребует ввести PIN-код для дополнительной аутентификации. На целостность и неизменность будут проверены аппаратная конфигурация и BIOS компьютера, основные файлы и настройки доверенной операционной системы. Такой подход предупреждает любые изменения аппаратной части и операционной системы, которые могли бы повлиять на безопасность данных, и гарантирует, что будет загружена именно та ОС, которой доверяет пользователь.

В отличие от аналогичных решений, в доверенном режиме работы БДМ шифрует не только пользовательские данные и системный раздел, но и временные файлы, файлы подкачки, файлы-журналы приложений, дампы памяти, а также образы рабочей станции, сохраняемые на диске при переходе компьютера в спящий режим. Поэтому возможность утери или кражи компьютера больше не является угрозой конфиденциальности хранимых данных. Раздел жёсткого диска, на котором установлена доверенная операционная система, шифруется с использованием собственного криптопровайдера по алгоритму ГОСТ 28147–89. Производительности криптопровайдера достаточно для решения абсолютно любых рабочих задач, и в повседневном использовании задержек жёсткого диска не наблюдается.

В настоящий момент линейка защищённых БДМ-Ноутбуков включает в себя ноутбуки производства Lenovo: от настоящей «рабочей лошадки» Lenovo ThinkPad T440 до ультрабука Lenovo ThinkPad X1 Carbon. При этом БДМ-Ноутбуки полностью совместимы с современными корпоративными ИТ и могут внедряться в корпоративную систему по мере модернизации парка мобильных компьютеров. Сейчас есть возможность протестировать защищённые компьютеры в вашей корпоративной информационной системе. Просто свяжитесь с нами для уточнения деталей.

Вся информация о Базовом Доверенном Модуле — elvis.ru/products/bdm.

 

 

 

Смотрите также

Подпишись на новости!
Подписаться