Действительно, но, к сожалению, в обычных прикладных программах есть множество зависимостей по данным (конфликты информационной зависимости будут проявляться при параллелизме). В этой связи, удобнее всего работать с большими циклами, как во многих научно-технических задачах с большими сетками. Иногда вместо схемы предсказаний в таких случаях, используют схему насыщения для более точного предсказания перехода.
вы — сотрудник Checkpoint практически всем обликом :)
«Рядовому пользователю хватит и того, что данные хранятся в зашифрованном контейнере», в качестве рядового пользователя может оказать в том числе и клиент систем ДБО, который будет использовать это устройство «из коробки», как оно обычно и бывает. В таком случае ему тоже к службе ИБ обращаться? Да и более того, даже в корпоративном секторе, она не везде есть для реализации процедур ИБ.
Вообще тестирование проводилось на устройстве as is: то есть в штатной поставке и конфигурации политик по умолчанию, в которых уже запрещен запуск любых приложений, кроме разрешенных. Что касается не раскрытости всего функционала Абры, так это лишь потому, что статья носит не описательный характер функциональных возможностей, а отображает примеры брешей в «критических участках» защиты.
По поводу загрузочная флешка + виртуализация + VPN.
Это ведь предполагает определенное переконфигурирование настроек ПК (смена приоритета загрузки) и перезагрузку, а устройства класса ABRA рассчитаны на «встравил-и-работай», везде, хоть в Интернет-клубе, хоть на режимном объекте, где просто так копаться в настройках и менять что-то не будет возможности.
«Виртуальной машины под собой» — в средствах виртуализации тоже существуют уязвимости.
Кстати, формулировка «запуском хостовой OS в качестве виртуальной машины под собой» корректна?
Очевидно, что доверенной средой в недоверенном окружении может быть только отдельное мобильное или автономное устройство, но если использоваться «флешка» будет на машинах, где можно конфигурировать, что хочешь (например, на небольшом парке своего предприятия), то действительно хорошая идея использоваться флеш/предварительно подготовленные образы диска с заранее настроенной политикой безопасности + виртуализация + контроль подписей загрузчика.
Хотя практически и по быстроте развертывания это решение выливается скорее в установку отдельного рабочего места, чем на мобильную флешку «вставил-и-работай». Отсюда напрашивается вывод о выборе некой границы для удобства развертывания / простоты и предоставляемого уровня безопасности, который стоит выбирать, исходя из задач которые выполняются.
израильская армия использует подобные решения, сама Checkpoint имеет к ним очень тесное отношение, говорю с хорошей точки зрения, так как многие из их аппаратных решений используются в этом секторе.
Абсолютно с Вами согласен, вообще технологии подобных флэшек активно используются зарубежными государствами в других целях, идейно — человек ходит по разным местам со своей специальной флэшкой, работает с неё, после чего выкидывает, либо идет в другие места «по-работать». Естественно, разработчик заинтересован обосновать, что в таком формате — никаких рисков нет, данные хранятся безопасно и сам клиент в полной безопасности, где бы он не находился.
Совсем не уверен, что подобные решения имеет смысл выдавать в корпоративном секторе, это действительно бессмысленно. Касательно назначения и реального применения таких устройств — на мой взгляд, разработчики были сосредоточены немного на другом секторе потребителей, а именно — секторе обычных пользователей, для которых такая флэшка значит нечто больше, чем простой антивирус.
Не совсем так, речь идет о средствах защиты, которые направлены на обеспечение безопасности клиента в такой среде, в частности с использованием прогрузки с отделяемого носителя, изолирования приложений и данных.
«Рядовому пользователю хватит и того, что данные хранятся в зашифрованном контейнере», в качестве рядового пользователя может оказать в том числе и клиент систем ДБО, который будет использовать это устройство «из коробки», как оно обычно и бывает. В таком случае ему тоже к службе ИБ обращаться? Да и более того, даже в корпоративном секторе, она не везде есть для реализации процедур ИБ.
Это ведь предполагает определенное переконфигурирование настроек ПК (смена приоритета загрузки) и перезагрузку, а устройства класса ABRA рассчитаны на «встравил-и-работай», везде, хоть в Интернет-клубе, хоть на режимном объекте, где просто так копаться в настройках и менять что-то не будет возможности.
«Виртуальной машины под собой» — в средствах виртуализации тоже существуют уязвимости.
Кстати, формулировка «запуском хостовой OS в качестве виртуальной машины под собой» корректна?
Очевидно, что доверенной средой в недоверенном окружении может быть только отдельное мобильное или автономное устройство, но если использоваться «флешка» будет на машинах, где можно конфигурировать, что хочешь (например, на небольшом парке своего предприятия), то действительно хорошая идея использоваться флеш/предварительно подготовленные образы диска с заранее настроенной политикой безопасности + виртуализация + контроль подписей загрузчика.
Хотя практически и по быстроте развертывания это решение выливается скорее в установку отдельного рабочего места, чем на мобильную флешку «вставил-и-работай». Отсюда напрашивается вывод о выборе некой границы для удобства развертывания / простоты и предоставляемого уровня безопасности, который стоит выбирать, исходя из задач которые выполняются.
Совсем не уверен, что подобные решения имеет смысл выдавать в корпоративном секторе, это действительно бессмысленно. Касательно назначения и реального применения таких устройств — на мой взгляд, разработчики были сосредоточены немного на другом секторе потребителей, а именно — секторе обычных пользователей, для которых такая флэшка значит нечто больше, чем простой антивирус.
Со смартфонами — отдельная тема :)