• <Więcej na stronie intel.com
Masthead Light

Raport dotyczący ochrony przed
oprogramowaniem typu crimeware

Procesory Intel® Core™ vPro™

Tożsamość i dostęp

Kto jest kim?

Przedsiębiorstwa coraz częściej doświadczają ataków ukierunkowanych przeprowadzanych metodą kradzieży tożsamości. Aby się przed nimi zabezpieczyć, korzystają z bezpiecznych poświadczeń. Dostęp do nich wymaga uwierzytelnienia. Poświadczenia korzystające wyłącznie z oprogramowania są przechowywane w obszarze widocznym dla systemu operacyjnego i aplikacji, a zatem są narażone na kradzież i uszkodzenie przez niewidoczne, zaawansowane oprogramowanie typu crimeware. Wiele organizacji próbuje zmniejszyć to ryzyko za pomocą tokenów sprzętowych, kart inteligentnych i kluczy USB. Obsługa administracyjna, pomoc techniczna i zarządzanie tymi rozwiązaniami potrafią być jednak dość kosztowne.

Technologia Intel® Identity Protection1 (Intel® IPT) to pakiet produktów zapewniających wbudowane zabezpieczenia sprzętowe chroniące przed kradzieżą tożsamości bez konieczności stosowania osobnych tokenów lub kart inteligentnych. Technologia Intel Identity Protection zapewnia ochronę na poziomie tokenów sprzętowych, a przy tym łatwość obsługi i funkcje szybkiego reagowania na zagrożenia dostępne w rozwiązaniach programowych.

Technologia Intel® Identity Protection

Eksperci z branży zabezpieczeń zgodnie twierdzą, że uwierzytelnianie jednoetapowe (np. używanie hasła) to już za mało. Wiele przedsiębiorstw zdecydowało się na zabezpieczenie punktów dostępu, takich jak dane logowania do sieci VPN i portale internetowe, czy też szyfrowania poczty e-mail i dokumentów za pomocą silnego, dwuetapowego uwierzytelniania. Dwie najpopularniejsze metody to tokeny haseł jednorazowych (OTP) oraz certyfikaty infrastruktury klucza publicznego (PKI) stosowane często (odpowiednio) w tokenach sprzętowych i kartach inteligentnych.

Dzięki sprzętowej ochronie tożsamości można znacznie zmniejszyć lub całkowicie wyeliminować ryzyko oszustw oraz zapewnić dostęp do chronionych sieci i kont tylko uprawnionym osobom. Mimo to z praktyki w przedsiębiorstwach i z ostatnich wydarzeń wynika, że z tym rozwiązaniem wiążą się pewne wyzwania2:

  • Zgubione i zapomniane poświadczenia to stałe obciążenie działów pomocy technicznej.
  • Zarządzanie tokenami, kartami inteligentnymi i dodatkowym oprogramowaniem może być kosztowne.
  • Niedawne włamania do magazynów tokenów uzmysłowiły koszty, z jakimi się wiąże wymiana tokenów fizycznych oraz utrata produktywności użytkowników podczas oczekiwania na nowe tokeny. Wprawdzie wymiana kart inteligentnych nie stanowi aż tak dużego wyzwania, ale one także są podatne na ataki.


Aby obniżyć koszty obsługi sprzętowych rozwiązań zabezpieczających, tokeny i certyfikaty PKI są przechowywane czasami na komputerze. W razie konieczności można je łatwo odwołać i ponownie przydzielić. Jednak rozwiązania oparte na oprogramowaniu są zwykle przechowywane w obszarze widocznym dla systemu operacyjnego i aplikacji, gdzie są narażone na większe ryzyko ze strony ataków ukierunkowanych.

Skuteczność zabezpieczeń sprzętowych i wygoda rozwiązań bazujących na oprogramowaniu

Rozwiązanie Intel IPT przechowuje tokeny OTP i certyfikaty PKI w układzie krzemowym, poza widokiem i zasięgiem systemu operacyjnego oraz aplikacji. Mimo to technologia Intel IPT umożliwia łatwe odwoływanie, zmianę przydziałów i zarządzanie zabezpieczeniami. Nie trzeba się martwić o zgubione urządzenia. Klucze są wydawane tylko po odpowiednim uwierzytelnieniu za pomocą hasła lub kodu PIN.

Rozwiązanie Intel IPT stanowi połączenie skuteczności zabezpieczeń sprzętowych i elastyczności oraz ekonomiczności oprogramowania dzięki udostępnieniu możliwości takich jak:

  • Ochrona certyfikatów PKI lub poświadczeń OTP w układzie krzemowym — poza zasięgiem złośliwego oprogramowania, poniżej warstwy oprogramowania i systemu operacyjnego.
  • Dostęp do kluczy wyłącznie po odpowiednim uwierzytelnieniu rzeczywistego użytkownika.
  • Ukrycie danych wprowadzanych przez użytkownika przed systemem operacyjnym i aplikacjami takimi jak keyloggery i screen scrapery.


Ochrona danych wprowadzanych przez użytkownika

Niedawne ataki pokazały, że uwierzytelniające hasła i kody PIN mogą zostać przechwycone przez program typu keylogger w celu uzyskania dostępu do poufnych danych. Rozwiązanie Intel IPT z bezpiecznym wyświetlaniem stanu transakcji pomaga w ochronie przed kradzieżą tożsamości metodą rejestrowania naciśnięć klawiszy lub przechwytywania zawartości ekranu. Ochrona polega na przechwytywaniu i wyświetlaniu danych wprowadzanych przez użytkownika poza zasięgiem systemu operacyjnego i sterowników urządzeń. Kody programów typu keylogger i czytników ramki bufora „nie widzą” wówczas działań użytkownika.

Łatwe wdrażanie rozwiązania Intel IPT z hasłami jednorazowymi

Wiele przedsiębiorstw wdraża rozwiązania używające haseł jednorazowych, korzystając z usług popularnych dostawców usług uwierzytelniania. Technologia Intel IPT z hasłami jednorazowymi jest obsługiwana przez wielu takich dostawców. Korzystanie z rozwiązania Intel IPT z hasłami jednorazowymi wymaga jedynie niewielkich zmian istniejących implementacji, a zapewnia zabezpieczenia na poziomie sprzętowym i wygodę rozwiązań bazujących na oprogramowaniu. W miarę przechodzenia na komputery z procesorami Intel Core vPro firmy mogą korzystać z usług dotychczasowego dostawcy usług uwierzytelniania do obsługi sprzętowych poświadczeń z użyciem haseł jednorazowych na tych klientach biznesowych i stopniowo rezygnować z tokenów fizycznych.

Szybkie przejście na technologię Intel IPT z infrastrukturą klucza publicznego

Przedsiębiorstwa stosujące rozwiązania oparte na certyfikatach PKI mogą skorzystać z technologii Intel IPT z infrastrukturą klucza publicznego, ułatwiającej zarządzanie certyfikatami i zapewniającej zabezpieczenia sprzętowe. Rozwiązanie Intel IPT z infrastrukturą klucza publicznego jest zgodne z rozwiązaniem firmy Symantec do zarządzania infrastrukturą klucza publicznego.* Wymaga jedynie niewielkich zmian bieżącej implementacji. Zastępując bieżące komputery klientami z procesorem Intel Core vPro firmy mogą przydzielać tym urządzeniom sprzętowe certyfikaty PKI, korzystając z usług tego samego dostawcy usług uwierzytelniania i stopniowo wycofywać fizyczne karty inteligentne.


Informacje o produktach i wydajności

open

1. Żaden system nie może zapewnić całkowitego bezpieczeństwa w każdych warunkach. Wymaga systemu obsługującego technologię Intel® Identity Protection, w tym procesora Intel® Core™, zgodnego chipsetu, oprogramowania sprzętowego i aplikacji oraz odpowiedniej strony internetowej. Informacji udziela producent komputera. Firma Intel nie ponosi żadnej odpowiedzialności za zagubione lub ukradzione dane i/lub systemy lub za poniesione z tego powodu szkody. Aby uzyskać więcej informacji, zobacz http://ipt.intel.com.

2. „Atak chińskich hakerów na karty inteligentne w celu przejęcia danych dotyczących obrony USA”, Techspot. http://www.techspot.com/news/47053-chinese-hackers-target-smart-cards-to-grab-us-defense-data.html