McAfee Encryption: отличия и преимущества

Информация – главный актив современного бизнеса.

«Первое правило бизнеса — защищайте свои инвестиции», — этикет банкира, 1775 г.

Криптография и криптоанализ появились задолго до того, как компьютер стал персональным. Но именно широкое распространение персональных вычислительных мощностей обеспечило активное развитие этих наук. Если отбросить в сторону экзотику вроде стеганографии (которая пока не предназначена для использования в корпоративной среде), можно прийти к выводу, что на сегодняшний день шифрование является достаточно действенным методом защиты информации как в случае передачи данных по открытым каналам (электронная почта, облачные сервисы и т.д.), так и в случае кражи/утери самого носителя информации (внешний HDD, “флешка”, ноутбук).

Беглое сравнение шифрования от McAfee с BitLocker и TrueCrypt 

Эта заметка является результатом сравнения, предпринятого по просьбе одного из заказчиков. Поскольку я сам не первый год пользовался TrueCrypt и имел возможность “поковырять” BitLocker – мне было с чем сравнивать. Информация, представленная ниже, носит сугубо технический характер и отражает личное мнение автора статьи. Если у читателя по мере прочтения материала возникнут разногласия, просьба связаться со мной. Я с удовольствием предоставлю триальные версии решений McAfee для проведения стороннего сравнения или продемонстрирую то, о чем написано ниже.

Итак, McAfee имеет в своем портфеле два отдельных программных продукта, которые по разному осуществляют защиту информации при помощи симметричного/асимметричного шифрования по алгоритму AES с длинной ключа 256 бит.

McAfee Drive Encryption (бывш. Endpoint Encryption for PC/Mac) – применяется для шифрование всего hdd или отдельных разделов. Обеспечивает предотвращение НСД в случае кражи/утери ноутбука либо в случае физического доступа к жесткому диску сервера/рабочей станции. Шифрование осуществляется на блочном уровне: при записи данных на диск специальный драйвер-фильтр осуществляет шифрование записываемой информации, при чтении (обращение ОС, или пользовательских приложений) осуществляется дешифрование. Таким образом защита “прозрачна” – ОС не знает о “прослойке” шифрования.  Доступ к ОС и пользовательским файлам предоставляется на основе pre-boot аутентификации на этапе включения системы. В качестве фактора аутентификации может применяться пароль, аппаратный токен (в т.ч с биометрией) или местоположение устройства (для систем с поддержкой Intel vPro).

McAfee File and Removable Media Protection (бывш. Endpoint Encryption for Files and Folders) – используется для выборочного шифрования каталогов и файлов, которые активно используются сотрудниками. Например, файлы, которые пользователи пересылают друг-другу по каналам связи, безопасность которых контролировать на 100% мы не можем (сетевые шары, почта, флешки и т.д.). Шифрование / дешифрование данных осуществляется при наличии ключа. Ключи создаются и раздаются пользователям централизованно из единой консоли ePolicy Orchestrator (которая обеспечивает развертывание и управление практически всеми решениями McAfee). Отдельный ключ может быть назначен отдельному пользователю либо группе пользователей (организационной единице, отдельному департаменту). Кроме того, в состав решения входит модуль EERM, который обеспечивает создание шифрованных контейнеров на внешних накопителях (“флешки”, жесткие диски).

Оба решения могут внедряться вместе или порознь. Однако, следует обратить внимание, что комплекс из двух решений позволяет обеспечить защиту критически важных данных “внахлест”. Что это значит? Шифрование жесткого диска защищает данные от несанкционированного доступа при попытке “чужих” загрузить систему с Live CD или снять жесткий диск с целью копирования данных. Другими словами, эта защита не позволяет “чужим” людям загрузить ОС и войти в систему, т.е. работает до тех пор, пока сотрудник не предоставил правильный токен. Как только процедура pre-boot аутентификации пройдена, ОС получает прозрачный доступ к файлам на жестком диске. Если пользователь после успешной аутентификации покинет рабочее место забыв заблокировать рабочую станцию (частое явление среди обитателей openspace, с которым неустанно борются ИБники) любой может скопировать информацию с его машины. В этом случае, использование обоих решений в комплексе дает преимущество – после успешной pre-boot аутентификации, информация с грифом “коммерческая тайна” остается зашифрованной, т.к. для этих файлов будет применено выборочное шифрование, при котором файл всегда пребывает в зашифрованном состоянии, включая кэш, временный файлы и файл подкачки. Таким образом при случайном или умышленном копировании такой информации она будет недоступна на других системах.

Отличия McAfee Drive Encryption от BitLocker и TrueCrypt:

– решение McAfee позволяет защищать диски на системах не зависимо от наличия TPM модуля;

(я знаю про трюк в gpedit.msc благодаря которому можно заставить BitLocker работать без TPM, но все же)

– пользователь с правами локального/доменного Администратора не может отключить шифрование McAfee;

– решение McAfee поддерживает впечатляющий список токенов, в последней версии (7.0.1) появилась поддержка токенов с биометрической аутентификацией, включая встроенные считыватели отпечатков пальцев;

– решение McAfee поддерживает SSO (синхронизация пароля pre-boot с AD, т.е. пароль запрашивается лишь 1 раз и после этого пользователь попадает на Рабочий стол); BitLocker и TrueCrypt не поддерживают SSO.

– решение McAfee позволяет занести в pre-boot file system более 60 пользователей, т.е. на одной системе может обеспечиваться безопасная аутентификация большого кол-ва пользователей;

– решение McAfee поддерживает 5 сценариев восстановления доступа к данным в случае утери токена/пароля или сбоя файловой системы (self-recovery, admin recovery, Intel AMT remote recovery, EETech recovery, EETech autoboot);

– решение McAfee поддерживает больше редакций ОС чем BitLocker, McAfee может шифровать серверные ОС и кроме Windows поддерживается MacOS; BitLocker поддерживает только Enterprise/Ultimate редакции.

– решение McAfee поддерживает различные типы ввода, включая экранную клавиатуру и различные раскладки обычной (не только US) + звуковое сопровождение для людей с ограничен. способностями;

– решение McAfee устойчиво к атакам типа cold-boot, решение обладает защитой от попытки выгрузить ключи шифрования из памяти вроде этого;

– решение McAfee развертывается и сопровождается из единой консоли ePolicy Orchestrator, что позволяет упростить администрирование шифрования; Для управления BitLocker необходимо разворачивать несколько консолей (MBAM, SCCM, SCOM, GPO).

– решение McAfee позволяет проводить аутентификацию как для доменных пользователей так и для локальных (смотрите мою заметку про Offline activation);

– решение McAfee позволяет предотвратить использование системы в случае ее компрометации (возможность удаленного уничтожения ключей);

– решение McAfee разработано с учетом оптимизации процессов шифрования с помощью процессорных инструкций Intel® AES-NI;

– решение McAfee интегрируется с Intel vPro/ Intel AMT, что обеспечивает удаленный доступ и сопровождение зашифрованных систем;

– решение McAfee полностью поддерживает Windows 8 включая GPT разбивку, UEFI, Secure Boot, Hybrid Boot;

– решение McAfee устойчиво к перебору пароля (политиками можно ограничить количество неправильных попыток ввода пароля, после которых токен перестает быть действительным);

Политики McAfee Drive Encryption.

Обратите внимание на ограничение неправильных попыток ввода пароля и на параметры Single sign-on (SSO)

Выводы:

Таким образом решение надежно настолько, насколько персонал подкупо-устойчив и насколько консоль управления защищена от компрометации. Фактически, единственный способ получить доступ – это либо оказать давление на пользователя системы (выдача пароля), либо подкупить оператора консоли.

– – – – – – – – – – – – – – – – – – – –

Ключевые преимущества McAfee File and Removable Media Protection:

– perUser и perSystem политики, т.е. ключ можно назначить выборочно пользователям для выборочных систем (к примеру, можно делегировать ключ только для определенной комбинации пользователь:система);

– политики позволяют при необходимости полностью скрыть факт шифрования от пользователей, которые работают с файлами/каталогами в прозрачном режиме. Возможен вариант когда администратор зашифровал документы/каталог одним ключом и распространил это ключ на целый отдел. Все у кого есть ключ редактируют документы как и раньше, но как только файл случайно или умышленно окажется на машине, на которой не делегируется ключ или не установлено решение (например домашняя система пользователя) – доступ к информации будет невозможен;

– операции шифрования/дешифрования жестко контролируются политиками, к примеру, есть возможность одной группе пользователей дать право на оба действия, а второй – только на шифрование (т.е. даже обладая ключом пользователь не сможет случайно или умышленно расшифровать файлы);

– выборочное шифрование интегрируется с McAfee DLP Endpoint, что позволяет кроме мониторинга/блокирования действий пользователя принудительно шифровать файлы;

– в модуль выборочного шифрования входит ПО для формирования крипто-контейнера на USB накопителях, т.е. имея на системах развернутый McAfee File and Removable Media Protection, можно из любой флешки, не зависимо от объема и цены девайса создать шифрованный контейнер для безопасной транспортировки данных;

– не беря DLP, говоря только о функционале EEFF, можно политиками принудительно ввести такой режим работы с USB Mass Storage Device, при котором в случае подключения внешнего накопителя пользователю дается выбор: или создать крипто-контейнер (и тогда он сможет писать информацию на накопитель), или продолжить работу в режиме Read Only. Т.е. мы можем разрешить сотрудникам записывать данные только на те носители, на которых предварительно был создан шифрованный контейнер.

Политики McAfee File and Removable Media Proteсtion

Обратите внимание на конструктор условий назначения ключа.

Спасибо всем, кто дочитал до конца!

Надеюсь, информация будет для Вас полезной.

Владислав Радецкий

vr@bakotech.com

– – – – – – – – – – – – – – – – – – – –

Список использованной литературы:

DOC-4474 McAfee Community

KB72685 – FAQs for Endpoint Encryption Files and Folders 4.x

KB76591 – FAQs for Endpoint Encryption for PC 7.x

[Coursera] Stanford Cryptography I