Lenovo ThinkShield: мощный комплекс опций и услуг на страже безопасности корпоративных ПК

Безопасность всегда была ключевым приоритетом для компании Lenovo. За долгие годы работы на рынках настольных и портативных компьютеров мы реализовали много различных опций и услуг для защиты этих ПК. Также мы единственные на рынке, кто смог внедрить защиту в процессы производства и в систему поставок оборудования. Сегодня мы бы хотели поговорить как раз о безопасности. И подробно рассказать вам о нашем новом бренде Lenovo ThinkShield, который полностью сфокусирован именно на этом направлении. C недавних пор он объединяет в себе все разработки компании в области защиты компьютеров и хранящихся на них данных.

Почему мы вообще решили во всё это максимально основательно погрузиться? Потому что с развитием технологий количество угроз только увеличивается. По данным исследовательской компании Gemalto, публикующей индекс Breach Level Index (https://breachlevelindex.com/) в 2017 году было похищено 2,6 миллиарда учётных записей, а фишинговые схемы были успешно реализованы в 75% из тысяч исследованных компаний. Более четверти всех нарушений безопасности данных оказались связаны с хищением паролей или проблемой их ненадёжности, при этом выяснилось, что менее 10% людей способны отличить обычное электронное сообщение от потенциальной угрозы. Вместе с тем, 87% старших менеджеров признались в случайной утечке данных. Если брать общемировые цифры, то в среднем нарушения безопасности обходятся компаниям в 3,62 миллиона долларов. А на устранение последствий атак, выполненных с помощью программ-вымогателей, специалисты тратят порядка 23 дней в течение года.

Россия вполне вписывается в эти невесёлые общемировые тренды. В 2018 году средний ущерб от кибератаки составил 130 миллионов рублей, а общее количество атак выросло на 80%. За год их было совершено более 800 миллионов!

На этом фоне у нас, как у одного из ведущих производителей ПК в мире, возникает очень важная и непростая задача: создавать такие продукты, которые помогут пользователям и компаниям решить большинство из перечисленных проблем с безопасностью. Именно так появился ThinkShield – обширный пакет опций и услуг для обеспечения безопасности всех компонентов, а также защиты производства и системы поставок ноутбуков и десктопов ThinkPad, ThinkCentre и ThinkStation. Его составляющие защищают данные использующей компьютер компании и её клиентов на этапе разработки и производства устройства, а также во время всего дальнейшего цикла его использования и затрагивают все возможные аспекты безопасности.

Основу для названия полностью сфокусированного на безопасности нового бренда мы взяли из линейки корпоративных продуктов: Think. И добавили слово «щит» – Shield, символизирующее комплексную защиту от современных киберугроз. Впервые бренд был представлен осенью 2018 года, но до этого над разработкой комплекса услуг и их систематизацией в течение нескольких лет работала команда из более чем 70 специалистов.

Комплекс ThinkShield – как нетрудно понять из названия – используется только на линейке компьютеров Think-, и это очень важный момент. В подавляющем большинстве случаев покупателями этой техники являются различные компании: как огромные международные, так и средние по величине фирмы. Главные их требования сводятся к тому, чтобы устройства могли работать без сбоев в режиме 24/7 на протяжении 3-5 лет. Это на уровне самого продукта и «железа». Если говорить о безопасности, то здесь ключевой необходимостью для наших заказчиков является защита как на физическом (например, сертификация MilSTD) и программном уровнях, так и на уровне системы поставок компонентов и во время ремонта техники.

Почему с такими требованиями стоит обратить внимание именно на Lenovo и составляющие комплекса ThinkShield? Всё просто: для этого вновь обратимся к статистике. По данным National Vulnerability Database в 2018 году на устройствах Lenovo было обнаружено наименьшее количество уязвимостей среди всех ведущих мировых производителей ПК. Также NVD выставляет среднюю оценку уровню защиты по десятибалльной шкале: здесь у нас второе место с отставанием всего в 0,4 балла от компании, занявшей вершину пьедестала по этому параметру.

Lenovo ThinkShield: мощный комплекс опций и услуг на страже безопасности корпоративных ПК

Забавный факт: изначально предполагалось, что ThinkShield будет называться совсем по-другому: аббревиатурой DIOD. Это расшифровывалось как Data, Identity, Online, Device. Но по итогам внутренних обсуждений от такого варианта отказались как от чрезмерно технического. Но зато аббревиатура легла в основу систематизации всех составляющих ThinkShield в рамках четырёх различных направлений. По-русски это звучит как «Данные», «Пароли», «Сети» и «Устройство». Ниже вкратце пройдёмся по каждому из них.

Устройство

В этой части Lenovo ThinkShield собраны все разработки, касающиеся по большей части физических аспектов защиты устройства. Например, шторка ThinkShutter, позволяющая одним движением руки открывать и закрывать веб-камеру. Плюс встроенный фильтр ePrivacy и интеллектуальные механизмы защиты USB-портов. Безусловно, сюда же относится и непосредственная надёжность самих устройств серии Think-, многие из которых сертифицированы по стандартам MilSTD. Речь идёт о защите от ударов, падений, электрических разрядов, пыли, повышенной влажности, низких и высоких температур, пролитой жидкости и так далее. И это только вершина айсберга, ниже приводим неполный список самых интересных доступных для установки на заказываемые продукты опций:

• Дискретный модуль TPM 2.0 для хранения паролей
• Поддержка технологии безопасной загрузки Intel BootGuard
• No Backdoor Supervisor Password / NIST Compliant BIOS
• Соответствие стандартам безопасной цепочки поставок C-TPAT Logistics
• Драйверы устройств, поддерживающие HVCI
• Поддержка Kensington Lock
• Загрузка корпоративного образа ПО на заводе
• Модификация BIOS, добавление данных пользователя
• Поддержка технологии первой загрузки ITC First Boot Service
• Поддержка технологии Microsoft Autopilot

Пароли

ThinkShield обеспечивает возможность многофакторной аутентификации, и многие её способы основаны на технологии Intel Authenticate. Сюда относятся технология определения местоположения Intel AMT Location, защищённая бесконтактная аутентификация по Bluetooth, защищённая аутентификация по отпечаткам пальцев, распознавание лица и защищённый PIN-код.

Кроме того, Lenovo стала первой в отрасли компанией, интегрировавшей сертифицированные на соответствие стандартам FIDO средства аутентификации непосредственно на ПК с операционной системой Windows. Система FIDO проверяет идентификационные данные на таких сайтах как, например, PayPal, Google и Dropbox, используя технологию считывания отпечатков пальцев в качестве второго фактора аутентификации. Это весьма безопасный и конфиденциальный способ входа сотрудников в корпоративные сети и другие ресурсы в интернете. И это, кстати, совершенно бесплатная функция для всех компьютеров серии Think-.

Данные

Всё чаще злоумышленники обращают внимание на цепочки поставок компаний и внедряют уязвимости на этапе производства. Так что заказчики корпоративных продуктов имеют все основания для беспокойства по этому поводу. Наша задача – такие сомнения развеять, и вот что мы для этого делаем. Прежде всего, у нас есть собственная программа доверенных поставщиков. Мы весьма жёстко и пристально контролируем всех производителей интеллектуальных компонентов будущих ноутбуков и десктопов. Для того, чтобы получить статус доверенного поставщика, нужно выполнить ряд весьма серьёзных требований, а затем регулярно проходить проверки, которые проводят специалисты Lenovo. В целом вся работа с поставщиками организована таким образом, что все процессы для нас становятся максимально прозрачными. Если потенциальная опасность вдруг возникает, то мы увидим и нейтрализуем её до того, как она сможет кому-либо навредить.

По части прозрачности цепочки поставок мы особенно плотно сотрудничаем с компанией Intel – у неё есть собственный стандарт Transparent Supply Chain, все требования которого мы неукоснительно соблюдаем. Благодаря этому любой пользователь или заказчик может проверить аутентичность своего ПК с процессорами Intel Core с поддержкой технологии vPro прямо на сайте Intel. В ходе этой проверки будет видно какие именно компоненты были установлены в ПК на заводе и какие находятся внутри компьютера прямо сейчас.

Разумеется, технологии, реализованные в рамках Lenovo ThinkShield, защищают данные как в процессе эксплуатации, так во время обслуживания и даже после истечения срока службы. Самый простой пример первого – встроенный во многие устройства линейки Think- сканер отпечатков пальцев. В нём реализована технология Match-on-Chip от компании Synaptics благодаря которой процесс аутентификации на выходит за рамки самого сканера и его электронной «начинки» – операционной системе он попросту недоступен. В итоге учётные и идентификационные данные становятся весьма надёжно защищены от потенциальных атак.

USB-порты в компьютерах серии Think- на уровне BIOS можно настроить так, чтобы они реагировали только на клавиатуру и устройства ввода. Благодаря такой интеллектуальной защите интерфейсов IT-специалисты вашей компании могут заблокировать скачивание данных на незащищённые устройства. Плюс к этому, не забываем про возможность установки в компьютеры считывателей смарт-карт, которые обеспечат дополнительный уровень безопасности в офисах, где для аутентификации используются личные бейджи.

Отдельная интересная история – это встроенный экранный фильтр ThinkPad Privacy Guard. С помощью камеры компьютер обнаруживает чужие взгляды из-за спины пользователя и не только уведомляет его об этом, но ещё и позволяет ограничить угол обзора дисплея, чтобы посторонним было неповадно смотреть туда, куда смотреть не следует.

Что касается защиты данных во время обслуживания и в момент утилизации устройства, то здесь у нас тоже есть две специальных опции. Когда корпоративному ПК нужно отправиться в официальный сервис Lenovo на ремонт, то можно воспользоваться опцией Keep your drive: накопитель с важными данными остаётся внутри вашей компании, а в сервис компьютер едет без диска, и это становится проблемой наших специалистов по ремонту, а не проблемой заказчика. После возвращения IT-службе просто нужно будет вернуть накопитель обратно. Ну а перед тем, как отправить на переработку гаджет, жизненный цикл которого подошёл к концу, мы всегда уничтожаем данные со всех его накопителей.

Сети

В эпоху повсеместного Wi-Fi нельзя забывать о том, что уже само по себе подключение ко многим таким сетям является огромным риском. Функция Lenovo Wi-Fi Security ещё до момента подключения обнаруживает потенциальные угрозы и уведомляет об этом пользователя. Эту необходимую вещь мы внедрили в список базовых интегрированных средств безопасности всех ПК серии Think-.

Также у нас есть система управления конечными устройствами Lenovo Endpoint Management, построенная на базе технологии MobileIron. Это простой и достаточно надёжный способ защитить большое число различных гаджетов, объединив облачную безопасность и безопасность самих устройств в единую экосистему. Выигрывают все: компании безопасно обмениваются данными, а пользователи без проблем работают в любом удобном месте и в удобное время. Endpoint Management обеспечивает конфиденциальность личных данных создавая зону доверия вокруг облаков и устройств Lenovo и позволяет реализовывать программы использования личных устройств (BYOD) благодаря тому, что ИТ-специалисты могут удалять бизнес-данные, оставляя личные сведения неприкосновенными.

Отдельно пара слов про наш реализованный в рамках Lenovo ThinkShield эксклюзив – специальную виртуальную комнату BIOS Reading Room. Зайдя в нее, любой заказчик может убедиться в том, что в его компьютере нет никаких закладок, увидев исходный код BIOS. Мы намеренно ставим себя в такие условия, что у нас нет никаких способов обойти административный пароль в BIOS, в то время как другие поставщики такую возможность всё же оставляют. Удобство в некоторых ситуациях, на наш взгляд, не компенсирует опасность значительной компрометации данных пользователя.

Если попробовать посчитать все реализованные в рамках Lenovo ThinkShield услуги и опции, то пальцев на руках точно не хватит: на данный момент их более 70. В рамках одного материала подробно рассказать обо всём просто невозможно. Впрочем, суть от этого не меняется: мы прилагаем максимум усилий для того, чтобы наши ПК были самыми защищённым на рынке. Кстати, 20 из этих более чем 70 опций и услуг по умолчанию включены в продукцию линейки Think-. Усилить безопасность можно как на этапе заказа в конфигураторе, так и – в некоторых случаях – после покупки техники.

Безусловно, на достигнутом мы останавливаться не планируем. Уже действующие услуги и опции будут улучшаться, а сам пакет ThinkShield будет расширяться и дальше. Прямо сейчас наши разработчики занимаются созданием Buffer Zone – специальной среды для безопасной работы в опасном окружении: из такой «песочницы» внешние угрозы не смогут проникнуть внутрь компьютера. Также в постоянной доработке находится технология ThinkPad Privacy Guard, а в среднесрочной перспективе пользователям станут доступны такие сервисы как WinMagic, Intel Remote Secure Erase, Lenovo Asset Recovery Service и Lenovo IMAC.

Отдельно приводим список тех составляющих комплекса Lenovo ThinkShield, которые доступны заказчиком нашей продукции даже в самых базовых конфигурациях. Мы постарались сделать так, чтобы он был максимально обширным.

Базовые составляющие Lenovo ThinkShield

• Disk Wipe Tools
• Trusted Service
• BitLocker
• Self-Encrypted Drives
• Smart USB Protection
• HDD Password
• FIDO
• GEO-fencing security
• Match on Chip fingerprint
• Glance Presence & Gaze Detection
• Windows Hello
• Intel Online Connect
• Lenovo Wi-Fi Security
• Intel Software Guard Extensions
• Intel Authenticate Multifactor
• Trusted Supplier Program
• PSIRT & FIRST
• Packaging Security
• Spare Parts Handling
• Secure patch/update of drivers/firmware
• No backdoor Supervisor Password / NIST Compliant BIOS
• LVFS and Windows Update Firmware Updates
• BIOS Asset Information Area
• One switch Device Guard
• HVCI Compliant Drivers
• Intel Boot Guard
• ThinkShutter
• TPM 1.2/2.0

Так что фокус на безопасности в будущем по-прежнему будет оставаться ключевым приоритетом Lenovo. При этом наша цель не только в том, чтобы предложить максимально полный комплекс защиты от угроз, но и сделать так, чтобы каждым его компонентом было максимально комфортно и удобно пользоваться. Так что будем рады вашим мнениям в комментариях и личных сообщениях.

Если есть вопросы по поводу ThinkShield, то тоже не стесняйтесь их задавать. В том числе, кстати, и на этапе заказа устройств: наши торговые представители расскажут обо всём предметно применительно к конкретной выбранной вами технике. Спасибо за внимание!

 
Источник

Читайте также