Сейчас всё больше организаций используют решения класса DLP (Data Loss Prevention) для защиты корпоративной информации от утечек. Каждая компания перед внедрением DLP оценивает риски и строит модель угроз, в которой прописываются классы защищаемой информации, сценарии использования данных и связанные с ними угрозы. В большинстве случаев потенциальными каналами утечки данных признаются внешние накопители, принтеры, корпоративная почта и различные веб-сервисы, и мало кто задумывается о защите данных, записываемых на магнитные ленты или другие резервные носители, которые, в итоге, хранятся и транспортируются в незащищенном виде.
По статистике как минимум раз в месяц крупными компаниями с серьезными требованиями к безопасности, в том числе при хранении и транспортировке данных, обнародуется информация о потере или краже резервных носителей. Стоит заметить, что в таком случае в руки злоумышленникам попадает куда больший объём информации, чем при обычной утечке, иногда это вообще все данные компании за определенный период. При этом для защиты резервных копий не подходят традиционные для DLP контроль и архивирование всей выходящей за пределы организации информации, ведь само по себе создание бэкапа является стандартной процедурой даже для небольших компаний.
Немного статистики
Кент Каунти, США, 18 января 2010. — Украдены незашифрованные магнитные ленты фирмы Goodwill Industries с информацией о 10 000 сотрудников компании. На лентах были записаны имена сотрудников, адреса, даты рождения, номера социального страхования и другие персональные данные.
Нью-Йорк, 29 марта 2010. — Украдены незашифрованные магнитные ленты с личными данными сотрудников компании Proxima Alfa Investments LLC. Виновный был найден и задержан полицией.
Денвер, США, 16 июня 2010. — Пропали магнитные ленты с именами, адресами и номерами социального страхования клиентов компании Mercer Health and Benefits, отправленные через курьерскую службу FedEx. Виновные были найдены и наказаны.
Отсутствие защиты резервных копий обычно связано с тем, что специалисты и руководство компаний не понимают реальных рисков и не представляют ситуаций, при которых может произойти утечка, ведь почти всегда важная информация хранится «под замком» в охраняемых помещениях с множеством систем безопасности. Эти помещения могут находиться как в собственности самой компании, так и в ведении специальных депозитариев, оказывающих услуги безопасного хранения различных данных. Логика вполне понятна, ведь человеку со стороны проникнуть в хорошо охраняемые помещения и украсть данные будет очень нелегко, и вряд ли кто-то выберет подобный путь для хищения информации.
Однако при более тщательном рассмотрении вопроса и построении модели угроз оказывается, что доступ в подобные помещения имеет большое количество сотрудников — от обслуживающих ИТ-специалистов до охранников и уборщиц, а в депозитарии данные хранятся далеко не так красиво и безопасно как на картинке с сайта подрядчика. Кроме того, по всем правилам резервные копии должны храниться отдельно от основных накопителей, а, следовательно, возникает проблема их транспортировки. Также стоит учитывать, что достоверно определить утечку можно лишь в случае потери или кражи, в то время как те же магнитные ленты можно незаметно подменить, и утечка обнаружится только когда потребуется восстановление данных именно с этой резервной копии, а это бывает крайне редко.
В итоге процедура резервного копирования оказывается одним из самых слабых звеньев в системе информационной безопасности. При этом вряд ли кто-то будет спорить, что резервирование наиболее критичных данных необходимо в рамках всё той же информационной безопасности — для защиты данных в случае повреждения носителей (пожар, потоп и т. д.) или ошибок персонала (случайное удаление или необратимое изменение важных данных). Получается, что отказаться от процедуры резервного копирования нельзя, и в то же время магнитные ленты и другие носители необходимо защищать на случай их попадания в руки злоумышленников.
Шифрование
На текущий момент фактически только шифрование (криптография) может обеспечить реальную безопасность данных при хранении. Суть системы шифрования заключается в переводе исходных данных в защищенный (зашифрованный) вид с помощью специальных алгоритмов и криптографических ключей. Если говорить простым языком, то алгоритм — это замок, а криптографический ключ — обычный дверной ключ, имеющий уникальную форму зубцов.
Большинство корпоративных продуктов для шифрования работает в «прозрачном» режиме, расшифровывая и зашифровавывая данные «на лету». Под «прозрачностью» понимается ситуация, когда ни пользователи, ни работающее с информацией ПО даже не будет подозревать о наличии какого-то промежуточного звена в виде системы шифрования. Это означает, что при «прозрачном» шифровании не требуется какой-либо перенастройки существующих систем (в том числе ПО для резервного копирования) и обучения пользователей.
Надежность системы шифрования в первую очередь зависит от используемых алгоритмов шифрования, на данный момент всё большее распространение получает алгоритм XTS-AES, рекомендованный для защиты данных в местах хранения (на серверах, магнитных лентах и т. д.). Как и в случае с обычным замком, алгоритм шифрования может иметь ограниченное число разных ключей, и чем ключей больше, тем в общем случае надежнее алгоритм. Не вдаваясь в технические подробности, можно сказать, что ключ длинной 128 бит практически исключает возможность получить доступ к исходным данным путем полного перебора (brute force).
Вторым важным критерием надежности криптографической системы является процесс создания, хранения и использования ключей шифрования. Очевидно, что если хранить ключ прямо в дверном замке, риски несанкционированного проникновения в помещение увеличиваются на порядок. Ситуация с криптографическими ключами аналогична — их нельзя хранить рядом с защищаемыми данными или в очевидных местах, например, на том же сервере или на рабочем столе администратора. Хорошей практикой считается хранение ключей шифрования на специальных носителях с защищенной памятью (токенах или смарт-картах), которые дополнительно защищаются паролем. Это позволяет практически полностью исключить возможность компрометации ключа шифрования и, соответственно, зашифрованных им данных.
Процедуру создания (генерации) ключей шифрования стоит обсудить более подробно. Часто в криптографических продуктах процедуре генерации ключей уделяют немного времени, ведь, казалось бы, куда важнее правильный выбор алгоритма и защищенное хранение. На самом деле это не так — не раз возникала ситуация, когда зашифрованные с помощью надежных криптографических алгоритмов данные оказывались декодированы из-за некачественных ключей. Суть проблемы заключается в том, любая автоматическая генерация ключа шифрования на самом деле работает по строго определенному алгоритму и не может создавать действительно случайные ключи.
В качестве примера можно привести распространённый вариант, когда диапазон создаваемых ключей привязывается ко времени их создания, то есть если знать примерную дату генерации, можно значительно сузить пространство вариантов ключей, что сделает полный их перебор вполне доступным. В процессе создания ключа администратору, сидящему перед компьютером, предлагается нажать на несколько случайных клавиш или некоторое время подвигать мышкой. Полученные в результате этого данные можно считать высококачественными случайными значениями, ведь воспроизвести такие действия человека невозможно.
Обзор основных возможностей Zbackup
Zbackup — система защиты резервных копий, хранящихся на CD, DVD и магнитных лентах. Zbackup работает по принципу «прозрачного шифрования» и совместима с любым ПО для резервного копирования и со всеми типами приводов магнитной ленты и оптических дисков. В Zbackup используются надежные (от 128 бит) алгоритмы RC5, AES, XTS-AES и реализована поддержка криптографических модулей КРИПТОН и КриптоПро, имеющих необходимые сертификаты и реализующих российский алгоритм шифрования ГОСТ 28147-89. Для генерации надежных ключей шифрования в Zbackup могут использоваться различные алгоритмы: движения мышью, шумы микрофона, генератор случайных чисел Quantis и т. д.
Ключи шифрования могут храниться на смарт-картах или USB-токенах, которые входят в комплект поставки системы. В Zbackup есть одна уникальная возможность — создание так называемого кворума ключей. При использовании кворума ключ шифрования делится на несколько частей, которые записываются на отдельные защищенные носители и раздаются разным сотрудникам. Для того чтобы в случае необходимости открыть доступ к зашифрованным данным резервного копирования, потребуется использование каждого из разделенных ключей, то есть привлечение всех ответственных сотрудников.
Специально для крупных организаций в Zbackup был разработан Zserver EKS (Enterprise Key Server) — серверный модуль, предназначенный для централизованного менеджмента ключей шифрования. Zserver EKS позволяет безопасно хранить ключи и автоматически загружать их на серверы под управлением Zbackup. Хранилище ключей шифрования Zserver EKS зашифровано мастер-ключом и может безопасно размещаться как в сети организации, так и в сторонних дата-центрах. Мастер-ключ генерируется администратором Zbackup самостоятельно заранее либо в процессе создания защищенного хранилища, и может быть записан на смарт-карту, электронный ключ или в защищенный файл как любой ключ шифрования. Мастер-ключ может быть разбит на несколько частей, которые можно записать на несколько разных носителей для использования схемы кворума ключей. Использование Zserver Enterprise Key Server позволяет максимально централизовать управление серверами, автоматизировать большинство задач по администрированию и снизить риски, связанные с необходимостью передачи ключей шифрования доверенным сотрудникам на местах.
Система Zbackup совместима со всеми популярными системами резервного копирования — Symantec Backup Exec, BrightStor ARCserve, и т. д. Zbackup поддерживает 32- и 64-разрядные версии Microsoft Windows 2000, XP, 2003, 2008.
Александр Ковалев, 24 ноября 2010
Источник: http://www.securit.ru/press/publications/?id=34