Login »Nick: Pass:
Twitter
Facebook

CeedoWorkspace: Sicurezza End Point tramite Isolamento approfondimenti

Isolamento a più livelli delle applicazioni dall'ambiente operativo del PC host per la prevenzione dai malware e la protezione dei dati

Ceedo Technologies ha rilasciato una innovativa soluzione di endpoint security tramite isolamento che viene qui descritta nei suoi aspetti tecnici

1. I Concetti alla Base dell’Isolamento Ceedo

CeedoWorkspace, la nuova soluzione di sicurezza Ceedo per i desktop, utilizza un insieme di meccanismi di isolamento, di enforcement e di controllo degli accessi per la sicurezza nella navigazione in Internet e nell’accesso da remoto alle risorse aziendali. 
CeedoWorkspace crea nel desktop un "firewall" in modalità kernel, che consente di eseguire le applicazioni all’interno di un ambiente isolato (o sandbox) e di mantenere all’interno dello stesso sandbox tutto quanto realizzato attraverso le applicazioni medesime. 
L’ambiente operativo del PC è completamente isolato e non può essere in alcun modo raggiunto e danneggiato da eventuali malware dell’ambiente applicativo; specularmente il sandbox rende invisibili i dati a qualsiasi malware che potrebbe essere presente al di fuori di questo, nel caso la macchina host fosse compromessa, proteggendo così, a seconda degli scenari di utilizzo sia l’operatività dell'utente che la sicurezza dell’ambiente aziendale.

La tecnologia di isolamento di CeedoWorkspace fornisce una soluzione potente per la prevenzione dai malware e la protezione dei dati creando una barriera tra le operazioni eseguite dalle applicazioni e il sistema operativo; dati e applicazioni vengono mantenuti separati a livello logico dall’ambiente operativo senza modificare l'esperienza dell'utente, riuscendo così a mitigare i rischi per la sicurezza pur preservando intatta la produttività. 
Quando un'applicazione viene eseguita in modalità isolata dietro al Kernel Firewall, tutta la sue operazioni di lettura, scrittura e transazionali sono deviate in un drive virtuale nascosto; in questa maniera viene fornita una barriera protettiva invalicabile al sistema operativo in quanto tutti i potenziali attacchi vengono deviati, e al tempo stesso viene raggiunta la totale non visibilità dei dati sensibili della sessione, proteggendoli da occhi indiscreti. 
È anche possibile impostare la cancellazione totale della sessione alla sua chiusura per non lasciarne alcuna traccia.

2. Componenti e Definizioni

* Application Launcher
L'Application Launcher è l'interfaccia principale tra l’utente e il Kernel Firewall. Mette in relazione le operazioni dell'utente ai componenti (servizi, driver, eseguibili) a cominciare dalla più evidente di tutte, il lancio di applicazioni in modalità isolata.
L'Application Launcher utilizza i collegamenti inseriti in una finestra di lancio, o integrati nell'interfaccia dell’host. Può lanciare sia le applicazioni che sono native installate nelle macchine host (ad esempio C: Program Files ... App.exe), che le applicazioni che sono state catturate all'interno dello stesso Layer isolato Ceedo (ad es Layer Program Files ...). Grazie a Ceedo queste ultime possono essere predisposte da un amministratore, consentendo di fornire agli host degli ambienti completamente isolati, comprensivi di tutte le applicazioni necessarie ad operare. 

* Kernel Firewall
Al centro della soluzione di isolamento CeedoWorkspace si trova un componente denominato "Kernel Firewall." Il Kernel Firewall è costituito da un insieme di driver specializzati che si inseriscono tra le richieste delle applicazioni e le funzioni del kernel che le devono eseguire. Per esempio, quando una applicazione invia una richiesta di scrittura file al kernel del Sistema Operativo, prima che possa raggiungere il kernel la richiesta passa attraverso i driver che costituiscono il Ceedo Kernel Firewall e viene modificata per reindirizzarla a una destinazione diversa, separata dal sistema operativo sottostante.
Quando viene cliccato un collegamento nell’Application Launcher o quando in qualsiasi altra modalità viene avviata una applicazione che deve operare in isolamento dal Sistema Operativo, l'Application Launcher avvia il processo relativo all'applicazione e incorpora nelle sue richieste al kernel un flag di identificazione.
Una volta che una richiesta è stata intercettata e identificata, il Kernel Firewall determina, sulla base delle regole impostate, se e come dovrebbe modificare la richiesta. Rimanendo all'esempio di cui sopra di una richiesta di scrittura file, se un'applicazione, per esempio un browser, prova a scrivere un file all’indirizzo 'C: ... Download file.pdf', il Kernel Firewall intercetta la richiesta e può sostituire "C: " con qualche altro lettera di unità, ad esempio, "R: ", facendo sì che il kernel esegua una richiesta di scrittura in "R:. ... file.pdf". Dopo che la richiesta è stata eseguito, il Kernel Firewall trasforma nuovamente la richiesta alterata nella sua formulazione originale, rendendo l'intero sistema ignaro di qualsiasi cambiamento che abbia avuto luogo nel mezzo.
L'esempio precedente è specifico per oggetti del file system; una procedura analoga avviene quando una applicazione tenta di accedere al Windows Registry e anche quando un processo conduce al lancio di un altro processo; ad esempio se si procede all’apertura di un documento in PDF scaricato dal browser, l’avvio di Adobe Reader viene realizzato dal Kernel Firewall all’interno dello stesso ambiente isolato del processo “genitore” (il browser), garantendo la interoperabilità dei processi Windows e la normale esperienza utente, ma contemporaneamente sigillando tutto il necessario al di là del Kernel Firewall: processo-genitore, processi-figli, oggetti condivisi, dati, ecc.
Dal punto di vista della sicurezza se il file PDF scaricato fosse infettato con un malware volto a danneggiare il sistema sottostante, come ad esempio con del ransomware, non solo il file sarebbe isolato dal sistema, ma anche il processo che era stato avviato per aprirlo, e qualsiasi altra eventuale azione avesse provato a eseguire. 

* Drive VIrtualI
Una volta che il Kernel Firewall ha intercettato la chiamata a un processo o un task può decidere di reindirizzare la richiesta a un diverso volume e set di registri come spiegato in precedenza, o consentire il trasferimento all'host (di solito nel caso di richieste di lettura e di esecuzione). Nella maggior parte dei casi, se una richiesta di scrittura proviene da un processo isolato dall’host, viene deviata verso l'unità virtuale nascosta che contiene al suo interno il file system, anche criptato, a meno che il genere di richiesta non fosse stato già predefinito come vietato, nel qual caso viene bloccato dal processo autorizzativo (v. seguito).
Il Virtual Drive, di fatto un Layer di Isolamento, è un Virtual Hard Disk (VHD) montato come dispositivo nascosto, non associato a una lettera di identificazione dell’unità, che utilizza una interfaccia proprietaria non riconosciuta da Windows come disco rigido, né accessibile tramite qualsiasi procedura standard. Ciò significa che i processi che operano all'esterno del Virtual Drive non possono accedere al contenuto dell’unità, e nella maggior parte dei casi non saranno neanche in grado di rilevarne l'esistenza. Questo significa anche che tutti i dati sensibili presenti su tale unità sono completamente invisibili da tutto ciò che sia in esecuzione al di fuori della medesima. Inoltre, l'unità nascosta può essere di natura temporanea (non persistente), o anche solo risiedere esclusivamente nella RAM come RAM-disk (non persistente e volatile), in maniera tale che una volta smontata, nessuna informazione rimanga sul sistema. 
Se invece fosse necessario conservare i dati tra le sessioni, il VHD utilizzato può essere salvato all’interno di un container criptato, fornendo un ulteriore livello di protezione dei dati in aggiunta alla cifratura del file system presente nel volume.
I file che costituiscono i Layer di CeedoWorkspace, possono essere memorizzati sul web e scaricati dall’Application Launcher sul sistema, oppure possono risiedere su un'unità di rete con un disco-figlio locale o anche su una unità rimovibile.
Inoltre, il sistema di gestione di CeedoWorkspace consente all'amministratore di salvare le sessioni passate sia per il rollback in caso di infezione che per una analisi post-mortem dopo un attacco.

3. Processi Autorizzativi e di Enforcement

CeedoWorkspace dispone di alcuni meccanismi di protezione supplementari che forniscono capacità e funzionalità aggiuntive al Kernel Firewall, indirizzando le esigenze di conformità, il controllo degli accessi e molto altro ancora.

* Conformità del Sistema Host
Quando viene consentito l’accesso alle risorse IT aziendali da sistemi non gestiti dall’azienda, come nel caso di accesso da remoto di consulenti o agenti, prima di autorizzare l’accesso CeedoWorkspace verifica che l'ambiente operativo soddisfi i requisiti minimi che l'amministratore ha stabilito. Per esempio, se un antivirus è installato e funzionante, se il firewall è attivo, se gli aggiornamenti sono abilitati e quando è stata l'ultimo. 
Il test di conformità può anche installare e attivare componenti mancanti, quali un client VPN, una soluzione di Host Intrusion Prevention o altro, senza richiedere alcuna azione da parte dell'utente.

* Controllo degli Accessi
Ceedo utilizza le procedure standard di controllo dell’accesso degli utenti previste nel File System di Window (NTFS). Nello specifico Ceedo crea un account virtuale temporaneo, o utilizza un utente Active Directory dedicato, attivando le applicazioni con questo specifico account. Questa procedura assicura la completa separazione tra le applicazioni e il resto dell'ambiente del desktop sia a livello di sessione utente che di autorizzazioni NTFS.
L’esecuzione delle applicazioni da parte di un utente diverso consente di avere il livello di autorizzazione più adatto in lettura, scrittura, accesso alle risorse di rete, ecc. che può differire significativamente da quello dell'utente connesso. Per esempio, è possibile impedire alle applicazioni la lettura o scrittura su driver in rete, la stampa di documenti, o l’esecuzione di qualsiasi modifica non specificatamente autorizzata, semplicemente eseguendo le applicazioni con un account utente ad accesso e permessi limitati, anche se l’utente che ha effettuato il login utente ha i privilegi di amministratore.

* Enforcement di Processi
Il secondo meccanismo è un processo di verifica di firma e di enforcement che, sulla base delle regole impostate, può impedire l’attivazione di qualsiasi processo senza certificato, interrompere i processi con determinati certificati o con determinati nomi, con o senza verifica MD5.

* Test di Integrità
Il terzo ed ultimo meccanismo è un controllo di integrità sia per l’host che per i file interni di Ceedo. Il controllo include tutti i componenti di CeedoWorkspace, con la verifica che tutti i suoi DLL ed eseguibili siano firmati da Ceedo; viene quindi eseguito un check MD5 a tutti i Layer CeedoWorkspace. Questo processo consente di comprendere se un VHD sia stato manomesso, nel qual caso non verrà utilizzato e una nuova copia del VHD verrà scaricato dal server.

* Integrazione in Container Criptati
In aggiunta alla propria soluzione di Virtual Drive, CeedoWorkspace è integrato a VeraCrypt (VC) una applicazione di criptografia che permette ai file VHD di essere salvati all’interno un container cifrato VC. Dove previsto il container VC viene creato sulla macchina host durante l’esecuzione. Se l’amministratore ha preassegnato dei Layer specifici per l'utente, questi vengono scaricati direttamente nel volume crittografato. Inoltre, per assicurarsi che il container VC criptato non possa venire aperto da un utente diverso e/o su una macchina diversa, o direttamente attraverso VeraCrypt, le password che gli utenti adottano per il proprio container durante la creazione vengono correlate con altri parametri specifici dell’utente e del sistema, in modo tale che anche con la password corretta il container VC non possa essere aperto se non si accede direttamente dall'interfaccia di CeedoWorkspace sulla macchina specifica dove è stato installato e dall'utente specifico che lo ha installato

4. Principali Scenari di Utilizzo

* Browsing e Computing Sicuro
Ceedo fornisce la soluzione definitiva per la navigazione sicura in Internet, proteggendo il PC da contenuti dannosi che potrebbero essere intenzionalmente o inavvertitamente scaricati ed eseguiti dall'utente, e riuscendo in particolare a proteggere dai malware che riescono a bypassare un antivirus o i tipici programmi di rilevamento del malware. Per esempio, un hyperlink che introduce ransomware nel sistema, un botnet di dirottamento infiltratosi a seguito di un drive-by-download, codice malizioso nascosto in un documento o altro ancora, tutti gli attacchi vengono confinati all'interno dell’ambiente isolato e spazzati via alla fine della sessione quando il sistema viene spento.

* Protezione dei Dati su Sistemi Non Gestiti
In molti casi le aziende vogliono mantenere ben confinate alcune tipologie di accesso ai dati e alle applicazioni aziendali, per esempio quando offrono ad agenti che operano con il proprio laptop la possibilità di raccogliere le firme elettroniche e altri dati biometrici sensibili dei Clienti, o quando consulenti e dipendenti hanno bisogno di accedere alle risorse dell’azienda da macchine non gestite che potrebbero essere compromesse. 
In questi scenari gli amministratori possono decidere non solo di mantenere i dati sensibili al sicuro al di là del Kernel Firewall e nascosti all'interno di un disco invisibile e inaccessibile, ma anche di utilizzare le possibilità di enforcement dei processi, di controllo degli accessi, di verifica e adeguamento dell’host al fine di assicurarsi che qualsiasi sistema utilizzato sia compatibile con gli standard minimi della società. 

5. Conclusioni

L’isolamento è ormai identificato come la tecnologia più importante del prossimo decennio da adottare nella sicurezza informatica. 
L’innovativa tecnologia di isolamento di CeedoWorkspace elimina il conflitto tra la sicurezza e l'esperienza utente grazie alle sue capacità di protezione contro le minacce sconosciute.
L’introduzione di CeedoWorkspace non richiede un investimento in infrastrutture, né un sovraccarico di gestione, e consente di garantire agli utenti di continuare a operare nel modo in cui lavorano normalmente; al tempo stesso grazie all’isolamento e operando al livello più profondo possibile del sistema operativo CeedoWorkspace offre ai dati e alle applicazioni un livello di sicurezza senza precedenti.
Grazie a CeedoWorkspace, le aziende si assicurano che i propri PC siano protetti dalle minacce esterne sconosciute provenienti dall’operatività online e possono analogamente salvaguardare applicazioni e dati sensibili aziendali dai rischi che comporta l’accesso da macchine potenzialmente compromesse.

Ceedo Technologies (2005)

www.ceedo.com

info.italy@ceedo.com

Approfondimento: http://www.ceedo.com/workspace-isolation-and-protection/
Comunicato di Avatar di FDAFDA | Pubblicato Giovedì, 10-Nov-2016 | Categoria: Tecnologia
Tags: cybersecurity, antivirus, malware
Portale automobilistico
Elenco e offerte Terme

Reazioni:

Voto medio

-

0 VOTI

Iscriviti per poter votare questo comunicato o pubblicarne uno a tua volta.
 

Iscriviti

Iscriviti
Iscrivendoti potrai inserire nuovi comunicati, votare i comunicati altrui e gestire i tuoi post ed il tuo profilo senza limitazioni.
Clicca qui o sull'immagine per aggiungerti
Inserisci un nuovo comunicato
Versione desktop