Шифрование информации на основе профилей пользователей
Экспертная статья Дениса Суховея, руководителя департамента развития технологий компании "Аладдин Р.Д."
Криптографическая защита важной, конфиденциальной или критичной информации на дисках рабочих станций уже давно зарекомендовала себя эффективной и в то же время простой мерой безопасности, помогающей организациям бороться с рисками компрометации своих секретов.
Существует несколько базовых методов шифрования, активно используемых для противодействия утечкам информации:
- шифрование томов;
- шифрование системного тома ОС Windows;
- шифрование файлов и папок;
- шифрование файл-контейнеров (виртуальные диски, подключаемые части файловой системы).
У каждого метода есть своё назначение, особенности и ограничения, именно поэтому специалистам информационной безопасности приходится зачастую сочетать использование нескольких методов шифрования одновременно, что, безусловно, усложняет процесс защиты информации и систему защиты в целом.
Рассмотрим подробнее основные методы шифрования.
1. Традиционные методы шифрования
1.1 Шифрование томов диска (FDE)
Суть метода и объекты защиты: Основной сутью данного метода является полное шифрование всего содержимого для выбранного раздела жёсткого диска. Стоит отметить, что полное шифрование всего накопителя вышло из употребления в связи с широким распространением GPT-разметки разделов. Поэтому термин FDE (Full Disk Encryption) поменял значение и обозначает теперь шифрование отдельных разделов. Данный метод является наиболее распространённым по причине простоты его использования.
Сценарий использования: При удачной аутентификации пользователя производится расшифрованное представление всего содержимого раздела (тома) жёсткого диска.
Сценарии утечек и их предотвращения: Сфера применения метода достаточно широка, но наиболее часто такой метод применятся при шифровании разделов на внешних USB-дисках и дополнительных разделах жёсткого диска рабочей станции. Соответственно, основным сценарием защиты информации здесь является защита носителя информации при его перемещении. Например, из офиса в офис. Кража или потеря носителя с конфиденциальной информацией не приведет к её компрометации – секреты организации будут сохранены.
Ограничения метода: Метод рассчитан на специфичный и "узкий" пользовательские сценарий работы. Для защиты информации необходимо её переместить на защищаемый раздел, что не всегда возможно. Важная информация зашифрована, но под угрозой компрометации остаётся остаточная информация временных файлов, используемых при работе с конфиденциальными данными. Применять FDE для работы с защищённой информацией в недоверенной среде крайне не рекомендуется, ведь после успешной аутентификации владельца доступ к защищаемой информации смогут получить все пользователи компьютера, на котором осуществляется её обработка. Ещё одним значимым ограничением метода является отсутствие контроля копирования информации из защищённого раздела диска в незащищённый (пользователь, например, может это сделать непреднамеренно).
1.2 Шифрование системного раздела ОС Windows
Суть метода и объекты защиты: В основу данного метода положена идея защиты всей информации, находящейся на "диске С:" компьютера с ОС Windows. Условным удобством метода является простота организации меры защиты. Специалисту не приходится определять папки и файлы с конфиденциальной информацией, знать места расположения временных файлов (которые также содержат конфиденциальную информацию), заботиться о защите файлов подкачки операционной системы (SWAP) и т.д. Все будет зашифровано на системном разделе. Дополнительным плюсом при этом является устанавливаемый контроль загрузки ОС с возможностью усиленной двухфакторной аутентификации перед запуском ОС.
Сценарии утечек и их предотвращения: Данный метод наиболее эффективен при работе пользователя с защищаемой информацией на корпоративном ноутбуке за пределами контролируемой зоны организации. Именно при выносе ноутбука с секретами за пределы организации возможна утеря или кража ноутбука. Риск компрометации конфиденциальной информации при активированной защите системного раздела ОС Windows стремится к нулю.
С некоторым ограничениями, можно добавить, что метод обеспечивает защиту целостности программной среды операционной системы. Изменить, заразить существующие программы или добавить новую зловредную не получится. Системный раздел на выключенном компьютере будет представлять собой нечитаемое/зашифрованное содержимое. Злоумышленник не может "подсадить" что-то в систему, просто скопировав файлы на системный диск и прописав их запуск.
Метод также эффективен при сценариях передачи неработоспособного ноутбука (с конфиденциальной информацией на борту) в службу сервисной поддержки, где сохраняется ненулевой риск злонамеренного доступа сотрудников сервисного центра к файлам на диске неисправного ноутбука.
Основные ограничения метода: Обратной стороной медали при использовании данного метода является необходимость регулярного обновления ОС Windows 10. Практика показывает, что механизм обновления имеет высокую вариативность поведения, с каждым пакетом обновлений производит кардинальные изменения программной среды ОС. Например, модернизирует порядок загрузки и сами загрузчики ОС, удаляет загрузочные записи других программных продуктов, изменяет размеры томов жёсткого диска, заменяет стеки драйверов файловых систем и т.п. Можно уверенно утверждать, что механизм обновления Windows 10 существенно влияет на параметры защищённости данных на рабочей станции. В таких условиях трудно гарантировать полноценную работоспособность средств защиты, которые как раз нацелены на предотвращение подобных действий со стороны других программ (в т.ч. ОС).
Обновление большого количества защищённых компьютеров значительно повышает нагрузку на специалистов ИБ. При каждом обновлении приходится совершать массу действий подготовительного и тестового характера, ведь обновляется зашифрованное содержимое системного раздела и загрузчика ОС.
Дополнительным ограничением является также неполная универсальность данного метода защиты – не предусмотрена защита информации от доступа привилегированных пользователей, при которой администратор ОС Windows может стать потенциальным злоумышленником и скомпрометировать защищаемые данные. Например, если защищён системных раздел, но ноутбук с загруженной операционной системой выносится за пределы контролируемой зоны, то это может означать потенциальный риск утечки и компрометации информации, так как авторизация при загрузке уже успешно пройдена и доступ к данным предоставлен.
Как и при использовании метода FDE, значимым ограничением метода является отсутствие контроля копирования информации из защищённого раздела диска в незащищённый.
1.3 Шифрование папок и файлов
Суть метода и объекты защиты: Создание метода пофайлового шифрования стало ответом на множество ограничений метода FDE. Действительно, метод шифрования файлов и папок имеет высокую гибкость, позволяя специалисту определить объект защиты любого уровня сложности. Плюсом является возможность одновременного использования шифрования папок и файлов с другими методами шифрования. Немаловажной особенностью пофайлового шифрования является так называемая "защита от Админа", при которой авторизованному пользователю предоставляется расшифрованная информация и одновременно с этим Администратору ИТ информация доступна только в зашифрованном виде.
Сценарии утечек и их предотвращения: При использовании данного метода набор рабочих сценариев противодействия утечкам универсален. Наиболее полезные сценарии – это безопасная работа с конфиденциальной информацией в недоверенной среде, при которой ни внешние, ни внутренние нарушители не смогут скомпрометировать защищаемую информацию, даже имея доступ к файлам.
Основные ограничения метода: К сожалению, основное преимущество метода – гибкость, также является основным ограничением его использования. Набор файлов с конфиденциальными данными современного пользователя достаточно широк, динамичен и разнесён по большому количеству папок в файловой системе. Задача учёта и мониторинга этого большого набора объектов защиты слишком трудозатратна. При большом количестве пользователей такой метод становится непосильной нагрузкой на службу ИБ, именно поэтому использование шифрование папок и файлов зачастую сочетают с другими методами.
Совершенно новый подход – Шифрование на основе профилей
Ограничения при использовании различных методов криптографической защиты информации являются ахиллесовой пятой службы безопасности организаций – разнородность методов затрудняет понимание, развёртывание и сопровождение системы защиты. Повышается вероятность неоптимального использования или ошибок. Именно преодоление ограничений повлияло на создание принципиально нового способа организации защиты информации пользователя: комплексная защита, сфокусированная на профиле пользователя, а не на "защите ресурсов" самих по себе. Т.е. вся детализация и уникальность набора объектов защиты для конкретного пользователя может быть "упакована" в единый профиль, на который в дальнейшем накладывается криптографическая защита.
Суть подхода
Объект защиты: папки с рабочими файлам пользователя, находящиеся в его системном профиле, которые доступны пользователю после входа в Windows. (Например, всем известные папки Документы и Изображения, также к ним можно добавить другие корневые папки).
Метод защиты: размещение папок профиля на защищённом ресурсе (виртуальном диске или логическом томе). Перенос папок осуществляется при включении защиты либо создании нового рабочего места пользователя.
Дополнительные меры защиты: шифрование файла подкачки (page file) одноразовым уникальным ключом, запрет пользователю записи данных куда-либо ещё, кроме его профиля, выборочное невключение защиты профиля для системного администратора, выполняющего сервисные задачи (установка и обновление ПО, резервное копирование и тд.), чтобы исключить его доступ к защищённым ресурсам пользователя без ограничения свободы действий.
Что это даёт? Возможность автоматизации предустановки защиты профилей индивидуальными пользователями. При создании данного метода за основу был взят принцип профилирования объектов пользователя – т.е. определение специфического множества файловых объектов пользователя как профиля защиты и передача его в введение модуля шифрования для защиты.
При таком подходе администратор не тратит время на трудоёмкий анализ состава защищаемых файлов и папок пользователя, но оперирует настроечным стандартом профиля, в который объединены все папки/файлы с важной информацией. Дополнительно защищаются области временного хранения файлов, файлы подкачки (page/swap-файлы) и закрываются остальные места, куда пользователь может случайно или намеренно сохранять информацию.
Тем самым осуществляется навязывание пользователю правильных действий по изменению только файлов своего профиля, все остальные объекты файловой системы или недоступны, или доступны только на чтение (в зависимости от назначения).
Сценарии утечек и их предотвращения: Данный метод покрывает большинство сценариев предотвращения утечек информации:
- вынос корпоративного ноутбука с загруженной ОС за пределы контролируемой зоны;
- работа на корпоративном ноутбуке в недоверенной среде;
- утеря или кража ноутбука с последующими попытками доступа к информации на диске со стороны злоумышленника;
- защита от Администратора ИТ во время работы на компьютере;
- надёжное разграничение рабочих областей для нескольких пользователей, на одном компьютере;
- контроль попыток копирования информации из защищённой области на другие ресурсы компьютера;
- надёжная защита информации в компьютере при передаче его третьим лицам (например, в сервисный центр).
Очевидные преимущества метода
1. Продвинутое администрирование: Данный метод позволяет существенно упростить использование пофайлового шифрования. Специалисту безопасности теперь не нужно держать под контролем большое количество файлов, но можно оперировать профилями, что существенно упрощает работу с политиками шифрования.
2. Совместимость с Win10UPDATE: Использование защиты профилей пользователей позволяет избежать массу проблем при обновлениях Windows 10 за счёт отказа от избыточного шифрования системных файлов ОС.
3. Поддержка эшелонированной защиты: Метод отлично сочетается с остальными методами шифрования, позволяя специалисту ИБ выбрать наиболее оптимальный уровень защиты данных.
4. Реализация SSO и тесная интеграция в Windows logon: Расшифрованные данные предоставляются только авторизованному пользователю и только на период работы сессии в ОС, после завершения сессии доступ к данным автоматически блокируется.
5. Контекстная независимость защиты: Информация остается защищённой вне зависимости от операционного контекста и режима работы рабочей станции. Не важно, загружена ОС или не загружена, данные будут предоставлены только пользователю и только после прохождения аутентификации в сеансе ОС.
6. Позволяет использовать рекомендованное шифрование ГОСТ для конфиденциальных данных пользователя и быстрое шифрование AES для системного раздела.
Практика применения метода
Важнейшим условием эффективного применения данного метода защиты является осознанный подход к определению состава объекта защиты. Специалистам ИБ надлежит определить, какие данные пользователя необходимо защитить. Это требует дополнительных усилий и внимания. Возможные примеры использования метода шифрования на основе профилей пользователя.
1. Сотрудники с корпоративными ноутбуками и перешедшие на режим работы из дома (на "удалёнке"). При данном сценарии, помимо переноса корпоративного ноутубка из офиса домой, нужно учитывать, что ноутбук будет подключен к домашней сети, которая может быть уже скомпрометированной.
2. Сотрудники с корпоративными ноутбуками, работающие в гибридном режиме посещения офиса. Какую-то часть времени эти сотрудники пребывают в офисе, какую-то – за пределами контролируемой зоны. Во всех местах работы сотрудники обрабатывают защищаемую информацию. В таком сценарии наиболее важно создание защищённого рабочего пространства – профиля пользователя, доступ к которому будет иметь только авторизованный пользователь. При этом попытки копирования информации за пределы своего профиля будут блокироваться системой защиты.
3. Сотрудники, совершающие выезды в командировки. При данном сценарии заведомо определено, что пользователь будет обрабатывать конфиденциальную информацию в условиях недоверенной среды. В таком сценарии важно, чтобы после прохождения аутентификации доступ к защищаемой информации предоставлялся только авторизованному пользователю.
4. Посменная работа нескольких сотрудников на одном корпоративном компьютере. В этом сценарии для каждого сменного пользователя будет создан отдельный профиль, реализующий защищённое рабочее пространство. Профили сотрудников не будут пересекаться, возможность копирования информации из профиля в профиль будет блокироваться системой защиты.
Применение мер защиты на основе профилирования пользователей даёт большую степень свободы при настройке объекта защиты и одновременно с этим позволяет в дальнейшем действовать по отношению к внушительному количеству файлов, папок, ссылок и других объектов как к единому целому, упрощая систему защиты и усиливая её эффективность.