Почему важно защищать не только сеть, но и само устройство
Однако выбор правильного способа защиты самого устройства хранения данных остается не менее актуальной задачей.
Для обеспечения безопасности данных необходимо внимательно проанализировать все компоненты — системы, аппаратное оборудование, программное обеспечение и приложения, – чтобы определить возможности для улучшения существующей инфраструктуры. Более того, работа самых передовых средств защиты данных должна не только обеспечивать идеальные результаты, но и быть практически незаметной для конечных пользователей.
Возможности улучшения инфраструктуры хранения данных есть, и в этой статье мы рассмотрим четыре области, где уже существуют доказавшие свою эффективность концептуальные решения, позволяющие, как показывают свежие данные, добиться серьезных позитивных изменений.
1. Преимущества аппаратного шифрования
Шифрование — это важный компонент как для охраны конфиденциальности данных, так и для накопителя, на котором они хранятся. Надежное аппаратное шифрование может способствовать повышению уровня безопасности, не влияя при этом на скорость работы всей системы.
Поскольку пользователи уже привыкли выполнять аутентификацию через свои мобильные телефоны, многие из них практически никогда с ними не расстаются. Мы подключаем к нашим телефонам разные внешние устройства, например, наушники, и заходим в профили с помощью биометрических данных, в частности по отпечатку пальца или распознаванию лица. Такой подход кажется нам идеальным способом сделать нашу цифровую жизнь более безопасной, ведь мы воспринимаем их как нечто вполне естественное и интуитивно понятное.
Аппаратное шифрование отличается от шифрования программными средствами. Последнее работает следующим образом: хост-компьютер получает доступ к ключу шифрования диска, а это означает, что попавшая в хост вредоносная программа может этот ключ украсть. Тогда как во многих видах аппаратного шифрования ключ, используемый для шифрования данных на диске, остается в изолированном сегменте самого диска. Поэтому аппаратное шифрование является важной составляющей безопасного метода установления доверия и одновременно с этим позволяет устранить классические проблемы и слабые места процесса верификации.
.jpeg)
2. Обеспечение безопасности приложения с помощью песочницы
Если авторы приложения хотят распространять его через официальные магазины приложений, то в нем должен быть реализован ряд мер безопасности, в том числе возможность запуска в изолированной среде – так называемой песочнице (application sandboxing). Дополняя встроенные в операционную систему проверки, песочница ограничивает системные ресурсы, которые может использовать приложение, и разрешает выполнять только те функции, которые явно предусмотрел разработчик. Это позволяет бороться с получением доступа к лишним системным ресурсам с помощью встроенного в приложение вредоносного или некорректного кода.
Так, запущенное в песочнице приложение не может повредить другие файлы самого приложения или подделать команды безопасности, отправляемые и получаемые на уровне операционной системы. В противоположность этому приложение, содержащее драйвер уровня ядра, обладает полным контролем над вашей операционной системой, а также над приложениями и файлами на вашем компьютере. Любой дефект безопасности в таком драйвере может позволить вредоносной программе взять под контроль компьютер целиком.
Подготовленные для песочницы приложения содержат список разрешений (entitlement list), в котором указаны системные ресурсы, необходимые для работы приложения. Этот список проверяется оператором магазина приложений на предмет его соответствия функционалу приложения. Если приложение пытается получить доступ к ресурсу, на использование которого у него нет разрешения (например, к микрофону), песочница операционной системы не позволит ему продолжить работу.
Такой подход помогает предотвратить ситуацию, когда через приложение кто-то пытается получить доступ к ресурсам и данным на вашем диске. Когда речь идет о простоте использования, ключевым моментом будет использование внешних дисков с учетом самых передовых техник обеспечения безопасности мобильных устройств. Подключение к диску по зашифрованной беспроводной сети исключительно через приложение, установленное на совместимый смартфон пользователя, поможет повысить уровень безопасности и улучшить пользовательский опыт.
3. Протоколы передачи информации по Bluetooth и через USB-порты
Существует два «классических» способа получить доступ к вашему диску и авторизовать других пользователей: беспроводное подключение по Bluetooth™ и проводное, например через USB-порт. Впрочем, независимо от выбранного варианта, для обеспечения безопасности вашего соединения с устройством применяются одни и те же технологии.
Для соединения по Bluetooth на обоих устройствах необходимо ввести одинаковый код авторизации. Сейчас стандарты безопасности протокола Bluetooth поддерживают процесс подключения по принципу ‘point and pair’ («указать и создать пару»). Этот шаг не только упрощает процедуру создания пары, но и повышает уровень безопасности благодаря проверке аутентичности диска на этапе подключения к нему.
На корпусе диска может быть наклеен стикер с уникальным ключом, используемый для настройки и проверки безопасности соединения. Подключаясь по Bluetooth, вы можете просто отсканировать QR-код на стикере своим телефоном, и этого будет достаточно для поиска и соединения с диском, поскольку ключ вшит в код. При подсоединении через USB-порт используется другой, более короткий код, нанесенный рядом с QR-кодом. С его помощью вы можете убедиться, что подключаетесь к правильному диску, а кроме того, он помогает предупредить подключение к диску вредоносных приложений.
.jpeg)
4. Защита данных с помощью аппаратного шифрования
В настоящий момент в основе аппаратного шифрования лежит новый подход к управлению открытыми ключами, при котором защита данных реализуется с помощью аппаратной памяти ключей, расположенной на вашем смартфоне или компьютере.
Однако слабым звеном в периметре безопасности могут стать пароли, которые, кроме того, в некотором смысле негативно влияют на удобство и простоту использования устройства. Проще говоря, люди могут выбрать ненадежный пароль или попросту забыть его. Утрата пароля к самошифруемому диску может привести к невозможности получить доступ ко всей информации, которая на нем хранится.
Для решения этой проблемы был разработан новый подход: теперь в качестве ключа, разблокирующего ваш диск, можно использовать смартфон или компьютер. Эта функция реализуется как раз с помощью аппаратной памяти ключей на вашем устройстве. Аппаратная защита служит дополнительным средством обеспечения безопасности для получения доступа к личному ключу, наряду с паролем от мобильного устройства или входом по биометрическим данным.
Взгляд в будущее
Не стоит полагаться исключительно на защиту сетей, поскольку уже сейчас мы можем говорить об очевидных преимуществах использования аппаратного оборудования для обеспечения безопасности данных. Продукты, поддерживающие аппаратную защиту, способны раздвинуть границы передовых подходов к обеспечению безопасности. Такие решения разрабатываются с опорой на существующие и зарекомендовавшие себя концепции, которые в случае необходимости могут дорабатываться, позволяя создавать востребованные инновационные продукты. В перспективе совместное использование обоих подходов создаст предпосылки для появления архитектуры следующего поколения, которая внесет свой вклад в обеспечение безопасности сразу на нескольких технологических уровнях.
Опубликовано 22.10.2021
