© Gi4 Sp. z o.o.© Gi4 Sp. z o.o.

Ochrona informacji na nośnikach wymiennych – przegląd dostępnych rozwiązao

© Gi4 Sp. z o.o.

Zastrzeżenia

Gi4 Sp. z o.o. nie oferuje żadnegoz prezentowanych rozwiązao

Oferujemy doradztwo oraz prowadzenie projektóww tym zakresie – jesteśmy niezależni od producentów

prezentowanych rozwiązao

© Gi4 Sp. z o.o.

Szyfrowanie w locie (on-the-fly) - komercyjne

Producent Kraj Produkt Algorytm Centralne zarządzanie

Sophos Anglia (Bliski Wschód?)

SafeGuardEnterprise

AES Tak

Symantec USA EndpointEncryption

AES Tak

McAfee USA Complete Data Protection

AES Tak

Microsoft USA BitLocker AES Tak -ograniczone

• Funkcjonalności centralnego zarządzania różnią się!• Szyfrowanie może też dotyczyd innych nośników (HD, CD,

DVD….) oraz folderów/plików

© Gi4 Sp. z o.o.

Centralne zarządzanie – przegląd możliwości

• Ustalanie polityk (np. dotyczących haseł)• Whitelisty i blacklisty (np. wg numerów seryjnych)• Aktualizacja oprogramowania pendrive’ów• Zdalne usuwanie danych• Ograniczanie użycia do określonych domen/adresów IP• Ograniczanie możliwości kopiowania informacji na pendrive’y• Możliwośd resetu haseł (w tym zdalnego)• Zamknięte grupy obiegu informacji• Integracja z usługami katalogowymi (np. Active Directory)• Dzienniki zdarzeo (audit log)• Powiązanie z DLP

• UWAGA! Niektóre konsole sąpotężne i trudne do opanowania na początku

© Gi4 Sp. z o.o.

Szyfrowanie w locie (aplikacje darmowe)

• Dostępnych jest wiele rozwiązao

• Przykład „flagowy” – TrueCrypt

• Wady i zalety

– podstawowa zaleta: koszt

– podstawowe wady:• brak formalnego wsparcia technicznego

• (najczęściej) brak centralnego zarządzania

© Gi4 Sp. z o.o.

Pendrive’y z szyfrowaniem sprzętowym

Podstawowe zalety pendrive’ów z wbudowanym szyfrowaniem:

– chip trudniej zaatakowad (w porównaniu do oprogramowania)

– certyfikacja FIPS

– niektóre są niezależne od systemu operacyjnego

• Podstawowa wada:

– utrudnione/niemożliwe centralne wdrożenie szyfrowania na już istniejącej „flocie” pendrive’ów

© Gi4 Sp. z o.o.

Wybrane pendrive’y z szyfrowaniem

Producent Kraj Algorytm Centralnezarządzanie i

monitorowanie

FIPS 140-2 Dodatkowe funkcjonal-

ności

Wzmoc-nione

fizycznie, wodo-

odporne

Kingston USA AES Tak Level 2 - -

Kanguru USA AES Tak Level 2 - -

CMS USA AES Tak Level 2 - Tak

Imation USA AES Tak Level 3 Odcisk -

Apricorn USA AES Nie Level 3 PIN-pad Tak (IP57)

© Gi4 Sp. z o.o.

Co wybrad?

1. Po pierwsze: analiza procesów i potrzeb biznesowych– nie ten produkt jest lepszy, który ma więcej funkcji

2. Po drugie: analiza liczby, stanu i sposobu obecnego stosowania nośników wymiennych– szyfrowad istniejące czy wymieniad?

3. Jakie oprogramowanie antywirusowe jest używane? Czy wdrożone jest centralne zarządzanie? Możliwośd wykorzystania?

4. Wdrożenie i obsługa powdrożeniowa– wstępny plan wdrożenia– wstępny plan obsługi powdrożeniowej

5. Koszt zakupu, wdrożenia i warunki wsparcia technicznego6. Instalacja próbna na wybranej grupie użytkowników

• Decyzja powinna byd podjęta po kompletnej analizie w w/w obszarach

© Gi4 Sp. z o.o.

Cold boot attack

• Wszystkie systemy korzystające z szyfrowania w locie narażone są na tzw. cold boot attack– pamięd DRAM/SRAM można odczytywad w krótkim okresie

(sekundy) po odcięciu zasilania

– klucze kryptograficzne znajdują się w pamięci

– zawartośd pamięci jest kopiowana do pliku i analizowana

– można też usprawnid proces:• szybko przełożyd pamięci w celu analizy

• schłodzid pamięd

• Zapobieganie:– szyfrowanie pamięci (przykład: Xbox)

– wyłączanie komputera / odłączanie (dismount) dysków

– stały fizyczny nadzór, gdy komputer jest włączony

– szyfrowanie plików hibernacji

– unikanie stanu „sleep”

– klucze w CPU, a nie w RAM

© Gi4 Sp. z o.o.

© Gi4 Sp. z o.o.

© 2013 Gi4 Sp. z o.o.Niniejsza prezentacja (przy czym poprzez prezentację rozumie się nie tylko informacje pisemne zawarte wpowyższych slajdach, ale również wszystkie informacje przekazane ustnie lub pisemnie przez przedstawicieli Gi4spółka z o.o. w trakcie przedstawiania tych slajdów) zawiera utwory w rozumieniu przepisów o prawie autorskimbędące przedmiotem ochrony prawnoautorskiej. Wszelkie prawa do tych utworów należą do Gi4 Sp. z o.o.

Niniejsza prezentacja zawiera informacje stanowiące tajemnicę przedsiębiorstwa Gi4 Sp. z o.o. Informacje te niemogą zostad ujawnione w stosunku do osób lub podmiotów trzecich i są przeznaczone wyłącznie dlaosób/podmiotu, dla których/którego prezentacja była przeprowadzona i/lub którym to osobom/podmiotowizostała przekazana w formie elektronicznej i/lub drukowanej. Ani informacje te, ani treśd niniejszej prezentacji (wcałości lub w części, w dowolnej formie: papierowej, elektronicznej, nagrania lub dowolnych innych środkówgromadzenia i przesyłania informacji) nie mogą byd przekazywane innym podmiotom ani osobom, ani nie mogąbyd rozpowszechniane lub używane bez uprzedniej pisemnej zgody Gi4 sp. z o.o.

Wszelkie rozwiązania, propozycje, pomysły, idee, koncepcje lub inne informacje zawarte w niniejszej prezentacjioraz przekazane podczas jej przeprowadzania stanowią informacje poufne, które nie mogą zostad ujawnione bezuprzedniej pisemnej zgody Gi4 sp. z o.o. żadnej osobie/podmiotowi, którym prezentacja nie była udostępnionalub przeprowadzona. Gi4 sp. z o.o. nie wyraża zgody na wykorzystanie lub użycie w jakiejkolwiek formiejakichkolwiek rozwiązao, pomysłów, idei, koncepcji lub informacji zawartych w niniejszej prezentacji,wynikających z niej lub przedstawionych w trakcie jej przeprowadzania, bez udziału Gi4 sp. z o.o. lub bezuprzedniej pisemnej zgody Gi4 sp. z o.o. Wszelkie takie wykorzystanie lub użycie będzie stanowiło czynnieuczciwej konkurencji oraz naruszenie praw przysługujących Gi4 sp. z o.o. i będzie uprawniało do żądanianaprawienia szkody wyrządzonej Gi4 sp. z o.o. przez takie wykorzystanie lub użycie.

Gi4 Sp. z o.o.ul. Rzymowskiego 53, 02-697 Warszawa

tel. 22 5480140, faks 22 5480001info@gi4.biz

Gi4 Sp. z o.o.ul. Rzymowskiego 53, 02-697 Warszawa

tel. 22 5480140, faks 22 5480001info@gi4.biz