ФСТЭК сертифицировал систему защиты персональных данных Secret Disk 4

ФСТЭК сертифицировал систему защиты персональных данных Secret Disk 4

Rомпания Aladdin объявляет о завершении сертификации системы защиты конфиденциальной информации и персональных данных Secret Disk 4 Федеральной службой по техническому и экспортному контролю (ФСТЭК России).

Secret Disk 4 – это революционный шаг интегрированной линейки продуктов Aladdin для защиты конфиденциальных данных, развитие которой берёт начало в 1998 году. В Secret Disk 4 впервые были реализованы технологии, значительно расширяющие функциональные возможности персональной версии, увеличивая её надежность и отказоустойчивость. Высокий уровень системы защиты конфиденциальной информации и персональных данных в Secret Disk 4 достигается шифрованием системного раздела, а также обязательной для всех продуктов Aladdin процедурой строгой аутентификации пользователя с помощью аппаратного USB-ключа eToken.

Выпуская Secret Disk 4, разработчики ставили своей целью доказать, что продукт, решающий задачи информационной безопасности, может быть легким и комфортным в использовании. Помимо технологических преимуществ Secret Disk 4 по-прежнему отличает простая логика интерфейса и понятная система настроек, что обеспечивает ему ведущие позиции на рынке защиты данных.

С получением сертификата ФСТЭК на Secret Disk 4 компания Aladdin становится единственным отечественным разработчиком систем защиты конфиденциальной информации, вся линейка которой прошла сертификацию во ФСТЭК. Таким образом, сегодня Aladdin имеет уникальную возможность для формирования комплексного продуктового предложения, ориентированного на применение технологий Secret Disk в информационных системах органов государственной власти для защиты конфиденциальной информации и персональных данных от несанкционированного доступа, копирования, повреждения, кражи или неправомерного изъятия.

Кроме того, сертифицированные решения Aladdin могут использовать предприятия, планирующие внедрение технологий защиты информации на базе инфраструктуры открытых ключей (PKI) с использованием цифровых сертификатов, а также организации, политика информационной безопасности которых требует применения исключительно сертифицированных российских СКЗИ. Secret Disk 4 работает с сертифицированными российскими СКЗИ (КриптоПро CSP, Infotecs CSP и Signal-COM CSP), реализующими шифрование данных по алгоритму ГОСТ 28147-89 с длиной ключа 256 бит. Продукт может быть использован и как самостоятельное решение, и в качестве составной части комплексной системы защиты корпоративной информации и персональных данных.

Сертификат ФСТЭК №1742 подтверждает, что Secret Disk 4, работающий под управлением Microsoft Windows 2000/XP/Vista является программно-аппаратным средством защиты информации, соответствует требованиям задания по безопасности 46538383.425000.002-043Б, имеет оценочный уровень доверия ОУД1 (усиленный) в соответствии с требованиями руководящего документа «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (Гостехкомиссия России, 2002) и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно.

«Политика сертификации, последовательно реализуемая компанией с 2000 года, позволяет сегодня с уверенностью говорить о том, что средства защиты конфиденциальной информации и персональных данных, разработанные Aladdin, дают возможность построить комплексную интегрированную систему информационной безопасности, включающую не только средства идентификации и аутентификации, но и решения для защиты информации на серверах, персональных компьютерах и ноутбуках - комментирует Константин Каманин, менеджер по продуктам компании Aladdin. – Что самое важное, такая система не только отвечает ключевым тенденциям рынка информационной безопасности, но и соответствует требованиям регуляторов».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

4,2 млн хостов открыты для атак из-за уязвимых протоколов туннелирования

Протоколы туннелирования IP in IP и GRE не предусматривают аутентификации и шифрования трафика и потому уязвимы к злоупотреблениям. Сканирование Сети выявило более 4,26 млн хостов, не использующих дополнительной защиты вроде IPSec.

Как выяснила команда Top10VPN, эти роутеры и серверы принимают сетевые пакеты без проверки отправителя. Это открывает возможность для спуфинга (подмены IP-адреса) с целью вброса вредоносного трафика в туннель.

data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" version="1.1" viewBox="0 0 68 48"><path fill="%23f00" fill-opacity="0.8" d="M66.52,7.74c-0.78-2.93-2.49-5.41-5.42-6.19C55.79,.13,34,0,34,0S12.21,.13,6.9,1.55 C3.97,2.33,2.27,4.81,1.48,7.74C0.06,13.05,0,24,0,24s0.06,10.95,1.48,16.26c0.78,2.93,2.49,5.41,5.42,6.19 C12.21,47.87,34,48,34,48s21.79-0.13,27.1-1.55c2.93-0.78,4.64-3.26,5.42-6.19C67.94,34.95,68,24,68,24S67.94,13.05,66.52,7.74z"></path><path d="M 45,24 27,14 27,34" fill="%23fff"></path></svg>

Выявленные схожие уязвимости получили следующие идентификаторы:

Эксплойт осуществляется отправкой инкапсулированного пакета с двумя IP-заголовками. По получении уязвимый хост автоматом перенаправит его указанному получателю; поскольку источник (IP-адрес) изменился и более не вызывает подозрений, вредоносное послание имеет все шансы обойти сетевые фильтры.

В интернете обнаружено свыше 4,26 млн уязвимых хостов, поддерживающих туннелирование. Это серверы VPN и CDN, домашние и магистральные роутеры, шлюзы мобильных сетей, которые в случае взлома можно использовать для проксирования вредоносного трафика, проведения DDoS-атак или получения доступа к приватным сетям.

 

Исследователи сообщили о своих находках в координационный центр CERT при университете Карнеги – Меллона (CERT/CC) с тем, чтобы запустить оповещение затронутых провайдеров и укрепление защиты хостов.

По словам Top10VPN, на уровне хоста ситуацию можно исправить, добавив IPSec либо WireGuard и запретив прием инкапсулированных пакетов из недоверенных источников. Защититься от эксплойта на сетевом уровне помогут фильтрация трафика (роутеры и промежуточные устройства), системы DPI, а также блокировка нешифрованных пакетов в туннелях.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru