Segurança para computadores voltados para o segmento corporativo com processadores da Intel

Segurança para computadores voltados para o

segmento corporativo com processadores da Intel®

Sumário executivo

técnica

Processadores da Intel® para computadores voltados para o segmento corporativo

Os computadores criados com processadores da Intel® oferecem segurança reforçada com

melhoria da produtividade para os usuários1. As tecnologias de segurança embarcadas nesses

processadores funcionam além do SO – no hardware e no firmware – para proteger os usuários

e a empresa contra novos ataques dissimulados que são difíceis de detectar com soluções de

software convencionais. Funcionando no hardware e firmware, elas melhoram a produtividade

do usuário, permitem melhor controle de ameaças, detectam e impedem melhor o roubo de

identidade, proporcionam criptografia mais aprofundada e segura, protegem contra roubos de

dados e dispositivos e, no caso de uma violação, ajudam a reduzir os custos de reparos.

Essas tecnologias de segurança integradas ajudam a proteger os computadores de empresas onde

as tecnologias atuais não podem alcançar. Esta documentação aborda essas tecnologias embarcadas

da Intel e o modo como elas podem ajudar a enfrentar os difíceis desafios de segurança da TI.

Sumário executivo 1 Equilibrando segurança, produtividade

e gerenciamento na empresa 3 Produtividade segura na empresa 3

Aprimore as experiências no ambiente virtual 3 Volte ao trabalho rapidamente 3 Tome decisões mais inteligentes mais rapidamente 3 Ganhe produtividade com dispositivos mais seguros 3

Segurança embarcada auxiliada por hardware 4

Desafios de segurança crescentes da TI 4 Estratégias de proteção – Segurança dentro e fora do SO 4 Computadores de empresas com segurança integrada 4

Redução de ameaças 5

A fonte de todos os males e outros malwares 5 Protegendo os domínios virtuais 5 Inicialização segura 5 Mantendo o código no seu lugar 5 Oferecendo proteção além do SO 5

Índice

Identidade e proteção de acesso 6

Quem é quem? 6

Tecnologia Intel® Identity Protection 6 Segurança baseada em hardware com

conveniência baseada em software 6 Proteção para entradas do usuário 6 Fácil implantação da Intel® IPT com OTP 6 Rápida migração para a Intel® IPT com PKI 6

Proteção de dados 7

Perdidos, mas não esquecidos 7 Permitindo criptografia onipresente 7 Números realmente aleatórios 7 Monitoramento e reparos seguros

com a Tecnologia Intel® vPro™ 8 Monitoramento de todo o sistema 8 Monitoramento e prevenção 8

Gerenciamento e automação 9

Simplifique e acelere a ativação 9 Permanecendo no lugar – Minimizando custos

através do aprimoramento do controle remoto 9

Equilibrando segurança, produtividade

e gerenciamento na empresa

Produtividade segura na empresa

As ameaças modernas aproveitam todas as interações que os seus usuários têm com os seus dados, dispositivos e aplicativos. Novas distribuições de serviços, incluindo desktops virtuais e serviços baseados em nuvem, implementados para aumentar a produtividade, aumentam os desafios para garantir que uma estrutura esteja protegida contra ameaças sofisticadas. Cada um dos canais de comunicações – aplicativos baseados na Web, identidades, acesso às redes empresariais, contas confidenciais e e-mail – apresenta vetores através dos quais as ameaças e as invasões são possíveis.

Para complicar ainda mais os problemas de segurança há a gama em expansão de dispositivos portáteis que devem ser mantidos dentro de um perímetro seguro. Além dos notebooks onipresentes, mais dispositivos portáteis estão se tornando populares, incluindo

smartphones e tablets. A TI precisa protegê-los e gerenciá-los todos – não apenas protegê-los contra ataques de malware, mas também minimizar e reparar os roubos tradicionais de "pegar e correr". Para ajudar a TI a alcançar os seus objetivos, as tecnologias embarca-das da Intel®1_{, juntamente com o software e as tecnologias da McAfee}

trabalham no hardware e além do SO para ajudar a proporcionar maior produtividade, segurança e gerenciamento.

Aprimore as experiências no ambiente virtual

À medida que a virtualização continua a evoluir com mais ambientes funcionando conjuntamente, novas implementações, como reprodu-ção de estrutura de controle de máquina virtual (VMCS) e virtualizareprodu-ção agrupada, ajudam a aprimorar essa tecnologia vital. Mas torna-se cada vez mais crítico assegurar a separação e a segurança desses ambien-tes e que as experiências do usuário não sejam impactadas por múltiplas VMMs funcionando no mesmo sistema.

A reprodução de estrutura de controle de máquina virtual da Intel® (Intel® VMCS Shadowing)2,3 _{ajuda a proporcionar uma experiência mais}

ágil e segura em desktops virtualizados. A Intel® VMCS Shadowing proporciona segurança avançada e flexibilidade de modelo de computação, permitindo maior controle e separação de partições de ambientes operacionais como áreas do usuário e gerenciadas pela TI.

Volte ao trabalho rapidamente

Esperar por um PC na empresa para estar pronto para o trabalho consome um tempo valioso. A Tecnologia Intel® Rapid Start4 _permite

que os usuários voltem ao trabalho rapidamente enquanto economiza energia permitindo ao dispositivo entrar no modo de standby, mas ser ativado instantaneamente. Os usuários do Ultrabook™ poderão trabalhar por mais tempo na energia da bateria, enquanto outros PCs, como os PCs All-in-One (AIOs)5 _{ajudam a reduzir o consumo de energia}

na empresa.

Tome decisões mais inteligentes mais rapidamente

O acesso instantâneo a informações importantes pode ajudar os tomadores de decisões a chegar a soluções mais inteligentes mais rapidamente. A Tecnologia Intel® Smart Connect6 _{mantém as}

informa-ções de rede e fontes da Internet seguras, acessíveis e atualizadas no PC enquanto os profissionais ocupados estão em trânsito, permitindo que seus dados estejam prontos quando eles estiverem.

Ganhe produtividade com dispositivos mais seguros

A 4ª. geração de processadores Intel® Core™ vPro™ suporta mais plataformas de empresas e formatos inovadores, incluindo PCs All-in-One (AIOs), Ultrabooks, notebooks, desktops, plataformas ultrapequenas e tablets para empresas, capacitando uma ampla gama de computadores de empresas que ajudam a manter os usuários produtivos onde quer que estiverem. À medida que as empresas continuam a adotar a consumerização e os departamentos de TI gerenciam uma variedade maior de dispositivos, as tecnologias da Intel® ajudam as empresas a permanecerem ágeis e competitivas sem sacrificar suas políticas críticas de TI.

Segurança embarcada

auxiliada por hardware

-Figura 1. Pilares de segurança da Intel®:

Abordagem holística para proteger a sua empresa.

Redução

de ameaças identidade / acessoProteção de

Proteção de dados / monitoramento de segurança / reparos Monitoramento de segurança / gerenciamento / relatórios

Figura 2. Segurança integrada em nível de hardware da Intel®.

Dispositivo de gerenciamento da Tecnologia Intel® vPro™

Software antivírus / de segurança

Processadores da Intel® para computadores de empresas

Sistema operacional

Agentes de segurança auxiliados por hardware

I/O Memória Disco Rede Display

Silício da Intel® Software de

segurança de terceiros

Outros softwares Hardware

Desafios de segurança crescentes da TI

Diferentes das ameaças de antigamente, os ataques atuais infiltram-se profundamente no sistema. Essas ameaças utilizam técnicas de dissimulação, permitindo que penetrem sob o sistema operacional (SO), tornando-se difíceis de detectar e mais difíceis de combater. Os códigos ficam à espera, fora da vista e do alcance dos agentes de software e do SO, até a hora de atacar e se reproduzir de uma maneira que os torna difíceis de encontrar. Eles frequentemente visam ativida-des específicas, como espionagem corporativa, minando as operações, expondo dados secretos, pirataria com fins políticos, roubo financeiro, etc. A patologia de malware da Stuxnet e a toolkit fornecida pela Zeus ilustram como essas ameaças se tornaram sofisticadas e com é fácil criar bugs ocultos e onerosos. Esses são os tipos de novas ameaças à segurança da TI. E, de acordo com os especialistas em segurança da McAfee, as empresas podem esperar que esses tipos de ataque ocorram mais frequentemente7_.

Estratégias de proteção –

Segurança sob e além do SO

A realidade das ameaças atuais é que um software muito inteligente pode encontrar vulnerabilidades e invadir onde é difícil para as ferramentas de detecção de vírus alcançá-los e removê-los. A superação desses códigos requer soluções baseadas em hardware que complementem – e até auxiliem – o software sofisticado de detecção de vírus e segurança que funciona sob e além do SO, detectando e detendo ameaças à medida que elas tentam aproveitar uma vulnerabilidade (Figura 1).

A proteção contra ataques requer uma estratégia sólida em todas as frentes contra o que vier. Ela inclui o seguinte:

Redução das ameaças – Não apenas identificando e detendo códigos insidiosos detectáveis com a utilização de software de detecção e remoção, mas protegendo as vulnerabilidades onde elas oferecem encontradas, especialmente sob e além dos sistemas operacionais. Identificação e proteção de acesso – Assegurando que os usuários são quem dizem ser e não um malware impostor utilizando uma identidade roubada.

Proteção de dados – Protegendo contra os danos causados por roubos de dados e dispositivos e oferecendo o mais alto nível de criptografia.

Monitoramento e reparos – Prevenindo e reduzindo as ameaças através do conhecimento e bloqueio de vulnerabilidades antes que um malware as encontre e reduzindo os custos e os desafios da prevenir e recuperar após um ataque.

Computadores para o mercado corporativo

com segurança integrada

Os PCs para o segmento corporativo baseados em processadores da Intel® possuem tecnologias de segurança integradas no silício do processador, no hardware da plataforma e no firmware – sob o sistema operacional (Figura 2). As tecnologias da Intel®, o software da McAfee* e as ferramentas integradas ajudam a detectar ameaças baseadas em software, desviar e prevenir roubos de identidade antes que aconte-çam, fortalecer uma forte criptografia e conter os custos do roubo físico – até ajudando a recuperar notebooks perdidos. Além de oferecer um alto nível de segurança, as tecnologias da Intel® também não constituem processos complicados que impactam a produtividade do usuário. Elas oferecem segurança com simplicidade.

Redução de ameaças

A fonte de todos os males e outros malwares

Os criminosos sofisticados atualmente utilizam rootkits, conhecimento de vulnerabilidades de dia zero e injeção de vírus na memória do aplicativo para ocultar seu código malicioso da visão e do alcance do antivírus. Como não é detectado, ele pode ser executado pelo SO, embarcado em um ambiente virtual ou ativado despercebidamente durante os processos de aplicativos normais.

As tecnologias de redução de ameaças da Intel® protegem contra esses ataques, com as seguintes capacidades embarcadas no silício:

• Proporcionando uma base segura de confiança para ambientes virtuais.

• Capacitando a segurança desde o início com suporte para inicialização segura do Windows 8*. • Protegendo contra malwares que utilizam ataques de escala de privilégios.

• Funcionando sob o SO com tecnologias e estratégias para ajudar a proteger contra invasões de malware utilizando a Tecnologia McAfee DeepSAFE*.

Protegendo os domínios virtuais

Novos modelos de distribuição de serviços, como a computação baseada em nuvem e desktops virtuais, apresentam novos desafios para as equipes de TI. Códigos não detectados que conseguem se infiltrar em uma máquina virtual (VM) assim que é ativada, comprome-tem todo o ambiente para os usuários que estão ligados a ele, seja um desktop virtual de um único usuário ou todo um serviço. As tecnolo-gias de segurança embarcadas da Intel, incluindo novos aplicativos para a Tecnologia Intel® Virtualization2 _{(Intel® VT), ajudam a proteger}

os ambientes físicos e virtuais, no nível de distribuição de serviços e para computadores individuais virtualizados.

A Tecnologia Intel® Trusted Execution8 _{(Intel® TXT) estabelece uma}

base de confiança em hardware para VMs que estão sendo ativadas em um host. A Intel® TXT examina um ambiente de hospedagem conhecido como bom e armazena suas condições e estados como uma base de confiança. Sempre que o sistema host inicializa, a Intel® TXT valida o comportamento dos principais componentes em relação aos exames que os classificaram como conhecidos como bons e inicializará as VMs somente se o ambiente for confiável. Depois de ativada, a Intel® TXT isola as partições de memórias atribuídas de outros softwares do sistema, mantendo ataques potenciais fora do host ou de outros ambientes de VM. Quando um aplicativo ou a VM é fechado, a Intel® TXT fecha o software sem expor os seus dados a outros aplicativos ou ao ambiente limpando o espaço da memória. Como a Intel® TXT é baseada em tecnologia habilitada por hardware, ela protege os ambientes físicos e virtuais contra malware e rootkits que tentam corromper o software do computador.

A Tecnologia Intel® Virtualization tem sido um recurso de confiança para várias gerações de processadores da Intel®, melhorando a robustez e o desempenho do ambiente virtual. A Intel® VT também proporciona proteção de segurança específica de dois aspectos da Intel® VT: Intel® VT-x e Intel® VT-d.

• A Intel® VT-x isola cada ambiente de execução de VM e monitora a memória, assim o malware existente ou que tente invadir um ambiente de VM não pode afetar outra VM no mesmo host. • A Intel® VT-d isola os dispositivos de memória, seus espaços de memória e os endereços virtuais. Os ataques utilizando acessos de DMA são impedidos porque a ameaça não tem acesso direto à memória do dispositivo.

Inicialização segura

O Windows 8* adiciona um novo nível de proteção da inicialização do computador à inicialização do SO e os processadores da Intel® para computadores de empresas suportam a inicialização segura para uma ampla gama de plataformas com múltiplas tecnologias.

• Os computadores de empresas baseados na 4ª. geração de processadores Intel® Core™ vPro™ implementam um módulo de plataforma confiável (TPM) que suporta a inicialização segura do Windows 8*.

• Os computadores de empresas baseados nos processadores Intel® Atom™ incluem a Tecnologia Intel® Platform Trust (Intel® PTT) que oferece uma tecnologia confiável baseada em firmware para a inicialização segura do Windows 8* e serviços sempre ativados e conectados (AOAC).

• Os computadores de empresas baseados na 4ª. geração de processadores Intel® Core™ sem UEFI pode utilizar a Tecnologia Intel® Platform Protection com Boot Guard1_{, uma tecnologia de}

inicialização segura sob a proteção do SO.

Mantendo o código no seu lugar

O bit de desativação de execução da Intel®, implementado há várias gerações de processadores da Intel®, ajudou a proteger milhares de computadores de empresas contra ataques de estouro de buffer, impedindo a execução de códigos mal-intencionados na memória de dados. Entretanto, as ameaças estão se inserindo no espaço de memória de aplicativos e sendo executadas sob um nível de privilégio assumido para o aplicativo.

O Intel® OS Guard9_{, a próxima geração do bit de desativação de}

execução da Intel®, protege contra esses ataques de escala de privilégios impedindo o código mal-intencionado de ser executado no espaço de memória do aplicativo e memória de dados. Essas proteção sob o SO protege contra vírus mais sofisticados e contra os danos que podem causar.

Oferecendo proteção além do SO

O malware frequentemente utiliza rootkits e outros dispositivos para bloquear o software de proteção no nível de sistema e os agentes de segurança. Essas ameaças então propagam seu código ou atacam áreas específicas permanecendo ocultas sob o SO. A Tecnologia McAfee DeepSAFE desenvolvida em conjunto com a Intel detecta, bloqueia e repara ataques oculto avançados desde a inicialização até a operação pelo usuário.

Identidade e proteção de acesso

Quem é quem?

As empresas têm visto um número crescente de ataques direciona-dos através de brechas na identidade. Para reduzir esses ataques, elas utilizam credenciais seguras que requerem autenticação para acessá-las. As credenciais apenas de software são armazenadas em função do SO e de aplicativos, onde são vulneráveis a roubos e corrupção por malwares dissimulados e sofisticados. Muitas organiza-ções implantaram códigos em hardware, smartcards ou chaves USB para reduzir esse risco. Mas o fornecimento, gerenciamento e suporte dessas soluções podem ser onerosos.

A Tecnologia Intel® Identity Protection10 _{(Intel® IPT) é um conjunto de}

produtos que oferecem segurança integrada em nível de hardware para proteger contra o roubo de identidade sem a necessidade de códigos discretos ou smartcards. A Tecnologia Intel® Identity Protection oferece a segurança de códigos discretos com a facilidade de manutenção e as capacidades de rápida resposta às brechas na segurança resultantes de soluções baseadas em software. Tecnologia Intel® Identity Protection

Os especialistas em segurança concordam - autenticação de único fator, como senha fixa, não é suficiente. Muitas empresas escolheram proteger os pontos de acesso, como logins de VPN e portais da Web ou e-mail seguro e criptografia de documentos, com forte autentica-ção de dois fatores. As duas formas mais comuns são códigos com senha de única utilização (OTP) e certificados de infraestrutura de chave pública (PKI), frequentemente implantados em códigos discretos ou smartcards, respectivamente.

Essa proteção de identidade baseada em hardware ajuda a reduzir significativamente ou eliminar a fraude e limita o acesso a redes e contas protegidas somente a usuários válidos. Entretanto, experi-ências das empresas e eventos passados destacaram os desafios dessa opção11_:

• As perdas ou esquecimentos das credenciais sobrecarregam os departamentos de help desk.

• Os códigos, smartcards e software de gerenciamento adicional podem ser onerosos.

• Recentes violações em lojas de códigos destacaram os custos de substituição física de códigos e a perda de produtividade enquanto os usuários esperam pela substituição de códigos. E, embora os smartcards não sejam tão difíceis de substituir, eles ainda são vulneráveis a ataques.

Para reduzir os custos associados com a manutenção da segurança em hardware, algumas soluções armazenam códigos e certificados de PKI no PC. Eles podem ser facilmente cancelados e substituídos quando necessário. Entretanto, as soluções baseadas em software são tipicamente armazenadas em função do SO e aplicativos, onde enfrentam riscos crescentes de ataques direcionados.

Segurança baseada em hardware com conveniência baseada em software

A Intel® IPT armazena códigos de OTP e chaves de certificados no silício, fora da vista e do acesso do SO e aplicativos. A Intel® IPT ainda permite fácil cancelamento, substituição e gerenciamento. Os problemas com a perda de dispositivos de hardware são eliminados. As chaves são fornecidas somente quando a autenticação apropriada é fornecida, como uma senha ou PIN.

A Intel® IPT combina a segurança das soluções baseadas em hardware com a flexibilidade e as economias de custos do software oferecendo as seguintes capacidades:

• Protege as chaves de certificados ou credenciais de OTP em silício fora do alcance de malware, sob o software e o sistema operacional. • Impede o acesso às chaves sem autenticação apropriada onde somente um usuário real pode entrar.

• Oculta a entrada de dados do usuário do SO e aplicativos, como registros de pressionamentos de teclas e capturas de telas.

Proteção para entradas do usuário

As senhas e PINs de autenticação podem ser capturados por um registro de pressionamentos de teclas para acessar dados vitais. A Intel® IPT com display de transação protegida ajuda a eliminar o roubo de identidade através de registros de pressionamentos de teclas e capturas de telas, capturando e exibindo as entradas do usuário fora da vista do SO e dos drivers de dispositivo. Os registros de pressiona-mentos de teclas e s códigos de leitura do buffer de quadros são blindados para a atividade do usuário.

Fácil implantação da Intel® IPT com OTP

Muitas empresas escolheram um dos populares fornecedores de autenticação para implementar suas soluções de OTP. A Intel® ITP com OTP é suportada por vários desses principais fornecedores. A utiliza-ção da Intel® ITP com OTP requer apenas mínimas mudanças nas implementações atuais, enquanto oferece segurança baseada em hardware com conveniência baseada em software. À medida que as empresas migram seus computadores de empresa para PCs baseados na 4ª. geração de processadores Intel® Core™ vPro™, elas podem utilizar o mesmo fornecedor de autenticação para fornecer credenciais de OTP baseadas em hardware para essas máquinas e desativar seus códigos físicos.

Rápida migração para a Intel® IPT com PKI

Para as empresas que implementam soluções baseadas em certificado de PKI, a Intel® IPT com PKI simplifica o gerenciamento de certificados enquanto oferece segurança baseada em hardware. A Intel IPT com PKI é compatível com a Symantec Managed PKI Solution*. Ela necessita apenas de mínimas mudanças na implementação atual da empresa. À medida que as empresas substituem seus PCs por computadores baseados na 4ª. geração de processadores Intel® Core™ vPro™, elas podem fornecer certificados de PKI baseados em hardware para essas máquinas utilizando o mesmo fornecedor de autenticação e desativando os smartcards físicos.

Proteção de dados

Perdidos, mas não esquecidos

Os dados em notebooks são frequentemente os mais críticos e difíceis de proteger, mesmo com as mais rígidas políticas de TI para utilização de portáteis. Os criminosos envolvidos em espionagem industrial e roubos de segredos comerciais conhecem a vulnerabilida-de apresentada pelos dispositivos portáteis.

Todos os dias centenas de notebooks são perdidos em aeroportos ao redor do mundo – muitos deles com dados altamente vitais. A Tecnologia Intel® Antirroubo12 _{(Intel® AT), embarcada na 4ª. geração}

de processadores Intel® Core™ vPro™, protege os dados e o notebook onde eles residem se ele for perdido. Ela pode até permitir que o computador perdido informe a sua localização. E a Intel® AT permite à TI restaurar remotamente um notebook quando o sistema é encontrado e devolvido.

Com a Intel® AT habilitada em um computador de empresas, o gerenciamento de segurança de TI pode definir uma ameaça para o dispositivo. A ameaça pode ser uma identidade de login incorreta inserida por um ladrão, uma identidade de login "falsa" inserida por um usuário sob coação, ou impedimento para o dispositivo se conectar a uma rede corporativa para o "check in" periódico. A ameaça faz com que o sistema de gerenciamento da TI envie uma "pílula de veneno" ao dispositivo para bloqueá-lo ou faça uma autodesativação sem uma conexão de rede.

Com a Intel® AT, o bloqueio do sistema inclui o seguinte, tornando o dispositivo e os dados inúteis:

• Essencialmente embaralha todas as chaves de segurança embarcadas no dispositivo para que não possam ser utilizadas no roubo de identidade; mas as chaves podem ser restauradas pela TI. • Impede o acesso ao drive de disco e a descriptografia de dados, incluindo drives de disco de autocriptografia, mesmo se o drive estiver instalado em outro dispositivo.

• Desabilita o acesso a quaisquer funções da plataforma depois de ligada, mesmo se um novo drive estiver instalado no computador. • Se o dispositivo incluir conectividade de rede 3G, ele pode enviar sua própria localização por GPS ao departamento de TI.

Se o sistema for finalmente recuperado, ele pode ser restaurado para a condição de trabalho – até remotamente pela TI – com o simples contato do usuário com a equipe de TI fornecendo a autenticação apropriada. Os técnicos podem restaurar as chaves de identidade e desbloquear o sistema, colocando-o em funcionamento novamente em minutos ao invés de em horas ou dias.

As tecnologias de segurança integradas baseadas em hardware da Intel protegem os dados e notebooks em trânsito onde quer que estejam localizados.

Permitindo criptografia onipresente

Os dados criptografados são os dados mais seguros. Sem uma criptografia sólida os ladrões podem facilmente acessar o ativo mais importante de uma empresa – o seu conhecimento coletivo. A criptografia permite a uma organização proteger as suas informações confidenciais utilizando criptografia completa de disco ou seletiva de arquivo/pasta. Tradicionalmente, entretanto, a criptografia e descrip-tografia dinâmicas impactariam o desempenho do computador e a produtividade dos funcionários. Assim, as empresas ficam relutantes em implantar a criptografia em toda a empresa.

Os algoritmos do padrão avançado de criptografia são amplamente utilizados nos processos de criptografia/descriptografia em sistemas operacionais e software de segurança. O Padrão avançado de criptografia da Intel® - Novas instruções13 _{(AES-NI) inclui sete novas}

instruções de processador que aceleram a criptografia e a descripto-grafia até quatro vezes mais rapidamente em aplicativos otimizados para o Intel® AES-NI como o McAfee Endpoint Encryption*. Quando um produto criptografado otimizado é empregado, os usuários evitam uma "sobrecarga de produtividade/desempenho" com o AES-NI, permitindo às empresas empregar criptografia onipresente na empresa nos computadores baseados na 4ª. geração de processadores Intel® Core™ vPro™.

Agora é possível simultaneamente tornar os dados mais seguros e manter os funcionários produtivos.

Números realmente aleatórios

A criptografia segura e protegida começa com um gerador de números aleatórios, tipicamente fornecido por um gerador de números

pseudoaleatórios no computador. Números de maior qualidade são menos previsíveis e proporcionam melhor segurança. E quanto mais protegido o número estiver durante a geração, mais segura é a criptografia. Os números armazenados na memória durante a geração estão eventualmente em risco por malware sofisticado.

A Intel® Secure Key14 _{com RdSeed 2.0 propicia uma fonte muito rápida}

e limpa de números aleatórios através da geração em hardware, fora da vista do malware. O gerador de números aleatórios digitais fechados reside no encapsulamento do processador tornando-o independente do chipset.

A Intel® Secure Key é:

• Compatível com padrões (NIST SP 800-90B e 800-90C) e NIST FIPS 140-2 nível 2 certificado.

• Facilmente acessível para todos os aplicativos e qualquer nível de privilégio utilizando uma nova instrução de processador.

• Um sistema fechado – o estado do sistema nunca é visto, nunca é colocado na memória e nunca é "armazenado em nenhum lugar".

Qualquer aplicativo pode se beneficiar da Intel® Secure Key, incluindo os seguintes:

• ISVs de segurança que emitem certificados

• Navegadores da Web seguros com links de segurança SSL • Fornecedores de criptografia de dados

• Sistemas operacionais

A Intel® Secure Key aprofunda a proteção de criptografia sem impactar o desempenho.

Monitoramento e reparos seguros

com a Tecnologia Intel® vPro™

Detectar uma ameaça, notificar o sistema de gerenciamento da TI sobre isso e restaurar os dados e a produtividade do usuário podem representar um processo oneroso que consome tempo. Quanto mais o tempo passa, maior o custo potencial da ameaça.

As tecnologias de segurança embarcadas da Intel® e a Tecnologia Intel® Active Management15 _{(Intel® AMT) podem ajudar a maximizar a}

conscientização, controle e resposta da TI, enquanto minimizam os custos de reparos e gerenciamento. Essas tecnologias fazem parte dos computadores de empresas baseados na 4ª. geração da família de processadores Intel® Core™ vPro™, permitindo as seguintes capacidades:

• Em notebooks, detecção e bloqueio automáticos de ameaças – algumas vezes mesmo antes de o usuário perceber – relatórios de ameaças e reparos remotos quando o dispositivo é recuperado. • Inventário remoto de hardware e software para assegurar que todos os softwares de segurança e bancos de dados estejam atualizados.

• Downloads automáticos para o computador e atualizações de software crítico, mesmo fora do horário normal de trabalho, esteja ou não ligado o sistema16.

• Detecção automática de agentes de segurança críticos funcionan-do e notificações quanfuncionan-do se encontrarem perdifuncionan-dos ou desativafuncionan-dos. • Filtragem automática de tráfego de rede e desconexão em resposta a uma ameaça.

• Acesos remoto aos computadores de empresa, com controle completo sobre o sistema como se o técnico estivesse sentado em frente a eles.

Monitoramento de todo o sistema

Para uma rápida resposta para detectar ameaças, os computadores de empresas baseados na 4ª. geração de processadores Intel® Core™ permitem monitoramento automático e reparos com a utilização de aplicativos de segurança para empresas da McAfee. A TI podem aproveitar as capacidades integradas e o software da McAfee para detectar e tratar uma ameaça rapidamente. As plataformas baseadas na 4ª. geração do processador Intel® Core™ vPro™ combinadas com o McAfee ePolicy Orchestrator*, McAfee Deep Command* e McAfee Risk Advisor* permitem à TI reduzir os custos de operações e permitem um gerenciamento abrangente de redes empresariais e segurança de terminais.

Monitoramento e prevenção

Todos os computadores de empresas baseados na 4ª. geração do processador Intel® Core™ vPro™ mantêm um alto nível de consciência situacional com proteção de BIOS, constante monitoramento da situação, inventários de hardware e software e respostas apropriadas a quaisquer irregularidades detectadas.

Proteção para o BIOS

Ameaças muito sofisticadas estão surgindo ao redor do globo e nos BIOS de PCs, corrompendo o núcleo do processo de inicialização. A Tecnologia Intel® Platform Protection com BIOS Guard1 _{ajuda a}

proteger os computadores de empresas contra corrupção do BIOS por mudanças no BIOS sem sinalização e autorização apropriada.

A prevenção é melhor do que o reparo

Detectar e evitar riscos potenciais é mais fácil e menos oneroso do que reparar um risco real. É por isso que os computadores de empresas com a 4ª. geração de processadores Intel® Core™ passam por inventários periódicos de hardware e software, monitoram sua própria situação e informam irregularidades.

Esses computadores de empresas mantêm registros na memória não volátil de todas as atividades e condições não monitoradas onde a equipe de TI – ou o console automatizado – pode recuperar as informações. Os inventários de software podem ser verificados quanto á atualização e risco e as atualizações automáticas são programadas de acordo – imediatamente para alto risco ou fora do horário de trabalho para aplicativos de menor risco. O firmware com risco conhecido pode ser remotamente atualizado e o hardware pode ser marcado para atualizações ou substituição quando necessário. A prevenção reduz os custos e o conhecimento dos recursos de todos os PCs permite à TI tomar decisões inteligentes eficientes e informadas sobre como gerenciar o seu conjunto de computadores de empresas.

Vigilância constante – Monitoramento automático e relatórios de presença de agentes críticos

Alguns sistemas de gerenciamento central de TI pesquisam computa-dores remotos na rede para verificar a presença de agentes de segurança críticos funcionando, como antivírus e software de criptografia. Tipicamente, os agentes estão presentes e ativos, significando que nenhuma ameaça foi detectada, mas a prospecção utiliza largura de banda de rede valiosa para um relatório positivo. Um monitoramento crítico é interrompido se uma conexão de rede estiver indisponível como quando um notebook está se movendo.

Os computadores de empresas com a Intel® AMT contém agentes de autopesquisa embarcados no sistema; esses agentes monitoram e registram a presença de software crítico. Os resultados de todas as pesquisas são armazenados no sistema em memória não volátil para acesso remoto a qualquer tempo pela TI.

Se o software necessário não relatar corretamente, a Intel® AMT pode contatar o console de gerenciamento para notificar a TI e responder de acordo com as políticas de TI. Fazendo o automonitora-mento ao invés de responde r às pesquisas de rede, o computador está continuamente protegido, independentemente do acesso à rede e não utiliza largura de banda quando o sistema está operando normalmente. O monitoramento automatizado sem a intervenção direta da TI resulta em melhor proteção com menor custo.

Contendo contágios – Monitoramento de rede e resposta automáticos

Os computadores de empresas baseados na 4ª. geração de processa-dores Intel® Core™ vPro™ protegem-se contra vários tipos de vetores de intrusão, incluindo monitoramento do tráfego de rede. Esse nível de monitoramento e proteção é realizado no hardware pelo adaptador de rede, não pelo software que está funcionando, o qual pode ser potencialmente corrompido.

A TI pode definir filtros de rede que disparam uma resposta de segurança para proteger os recursos do computador e corporativos na rede. A detecção de ameaças na rede inclui os seguintes métodos:

• O tipo de tráfego que passa pelo adaptador de rede para proteger contra ameaças embarcadas nos dados.

• A taxa de atividade (computadores desktop) para proteger contra ataques de negação de serviço distribuída (DDoS).

Quando o sistema detecta uma ameaça, ele imediatamente responde isolando-se da rede para prevenir a propagação de um contágio ou participação em um ataque de DDoS. A desconexão de rede é realizada pelo adaptador de rede, não pela estrutura de rede do sistema operacional, para assegurar que o isolamento esteja protegi-do em hardware, além protegi-do alcance de malware dissimulaprotegi-do potencial-mente invasor.

O canal de reparos fora de banda continua aberto para a TI gerenciar remotamente o sistema e restaurá-lo para serviço.

Gerenciamento e automação

Simplifique e acelere a ativação

Depois que os PCs são implantados, a ativação de quaisquer serviços de gerenciamento e segurança que não estão rodando podem ser ativados em minutos. A versão mais recente do Intel® Setup and Configuration Software permite à equipe de TI configurar rapidamen-te os serviços para que a empresa e os usuários obrapidamen-tenham benefícios totais imediatos da segurança embarcada, gerenciamento remoto e desempenho. Você pode encontrar mais informações sobre a configuração no site da Intel em www.intel.com/go/scs.

As tecnologias embarcadas nos computadores de empresas utilizando a 4ª. geração de processadores Intel® Core™ vPro™ proporcionam uma solução para todo o sistema que se estende em toda a infraestrutura de TI para permitir segurança, gerenciamento e economias de energia. A configuração e implantação da solução está além do escopo deste documento. Para obter mais informações sobre a implementação de serviços de gerenciamento e segurança, consulte

www.intel.com/go/vpro.

Permanecendo no lugar – Minimizando custos

através do aprimoramento do controle remoto

As chamadas locais e do centro de serviços podem absorver a maior parte do orçamento da TI. Quando uma visita é resultado de uma ameaça ativa, os custos já estão acumulados. O reparo remoto minimiza os custos relativos a visitas e ajuda a retornar um funcionário rapidamente à produtividade.

A Intel® AMT com controle remoto de KVM aprimorado17 _{coloca a}

equipe de TI no controle – literalmente – com total controle remoto de um computador de empresas para permitir as seguintes capacidades:

• Inicialização remota/redirecionada – inicialize para um estado limpo ou redirecione o dispositivo de inicialização para um local limpo ou imagem remota, um diagnóstico ou servidor de reparo, ou outro dispositivo.

• Redirecionamento de console de Serial sobre LAN (SOL) para controlar o teclado fora do SO para a realização de tarefas como edição de configurações do BIOS do centro de serviços – sem a participação do usuário.

• Acesse as informações de ativos a qualquer hora para identificar componentes de hardware perdidos ou falhos e verificar as informações de versão de software.

• Guie um PC através de uma sessão de identificação e solução de problemas sem a participação do usuário – mesmo para problemas complexos como problemas de BIOS, telas azuis, congelamentos, falhas de correção de software e outros problemas de software periférico.

• Veja como o BIOS, drivers e SO tentam carregar para identificar problemas com o processo de inicialização.

• Atualize as configurações do BIOS, identifique as versões do BIOS ou envie uma nova versão do BIOS para o PC para solucionar um problema particular.

• Envie o logo de evento contínuo da memória não volátil para identificar a sequência de eventos (como picos de temperatura ou download de software não autorizado) que ocorreram antes de o sistema falhar.

• Restaure um SO enviando novas cópias dos arquivos perdidos ou corrompidos como arquivos .DLL.

• Recrie ou atualize o SO ou recrie totalmente a imagem do disco rígido remotamente.

• Escolha o seu estilo de trabalho. O controle remoto KVM suporta até três monitores com resolução de até 2560x1600 e está disponível em 27 idiomas.

As tecnologias baseadas em hardware ajudam a automatizar e simplificar a proteção e os reparos, reduzindo os custos.

Para obter mais informações, consulte

www.intel.com/vpro

Conclusão

Embora as ameaças atuais utilizem novas técnicas de dissimulação para ataques direcionados em empresas e organizações, as platafor-mas de empresas baseadas em processadores da Intel® para computa-dores de empresas ajudam a bloquear essas ameaças com tecnologias de segurança integradas baseadas em hardware. Essas tecnologias da Intel® funcionam sob o SO e oferecem assistência em hardware para agentes de segurança avançados além do SO.

• O Intel® OS Guard, Intel® TXT e Intel® VT ajudam a TI a gerenciar ameaças impedindo a invasão do malware sob o SO.

• A Intel® PTT e a Tecnologia Intel® Platform Protection com Boot Guard suportam inicialização segura do Windows 8* para um ambiente seguro antes do carregamento do SO.

• A Intel IPT com PKI, Intel IPT com OPT e Intel IPT com display de transação protegida ajudam a prevenir o roubo de identidade com a utilização de segurança baseada em hardware com resposta baseada em software e para conveniência e reparos.

• O Intel® AES-NI e Intel® Secure Key permitem criptografias mais seguras e mais rápidas.

• A Intel® AT protege os dados quando o dispositivo está em trânsito.

• A Tecnologia Intel® vPro™ ajuda a reduzir os esforços e os custos de prevenção de ameaças e reparos.

Todas essas tecnologias integradas, disponíveis somente em sistemas baseados em processadores da Intel® para computadores de empre-sas, ajudam a manter as empresas e seus dados mais seguros protegendo os dados e as redes contra as avançadas e contínuas ameaças atuais e ataques direcionados.

Nenhum sistema de computação pode oferecer segurança absoluta sob todas as condições. Os recursos de segurança integrados disponíveis em processadores Intel® Core™ selecionados podem requerer software, hardware, serviços adicionais e/ou uma conexão à Internet. Os resultados podem variar dependendo da configuração. Consulte o seu fabricante de PC para obter mais detalhes. Para obter informações adicionais, visite www.intel.com/technology/security. A Tecnologia Intel® Virtualization requer um sistema de computação com um processador, BIOS e monitor de máquina virtual (VMM) habilitados. Os benefícios de funcionalidade, desempenho ou outros vão variar dependendo das configurações de hardware e software. Os aplicativos podem não ser compatíveis com todos os sistemas operacionais. Consulte o seu fabricante de PC. Para obter mais informações, visite http://www.intel.com/go/virtualization. A Tecnologia Intel® vPro™ é sofisticada e requer instalação e configuração. A disponibilidade de recursos e os resultados dependerão da instalação e configuração do seu hardware, software e ambiente de TI. Para saber mais, visite: http://www.intel.

com/technology/vpro/.

A Tecnologia Intel® Rapid Start requer um processador Intel® selecionado, atualização de software e BIOS da Intel® e Drive Intel® Solid-State (SSD). Dependendo da sua configuração de sistema, seus resultados podem variar. Contate o seu fabricante de sistemas para obter mais informações.

A Tecnologia Intel® Rapid Start faz a transição de um sistema que esteja na condição de hibernação ou standby, na condição de energia S3 que mantém a memória e outros componentes funcionando, para um estado de energia em hardware que não faz isso, um estado de energia S4. Consulte as especificações do fabricante para ver informações específicas sobre o sistema.

Requer a 3ª. ou 4ª. geração do processador Intel® Core™, software da Intel® e BIOS de OEM, adaptador de comunicações sem fios da Intel® e conectividade da Internet. Drive solid-state (SSD) ou equivalente pode ser requerido. Dependendo da configuração do sistema, os seus resultados podem variar. Contate o seu fabricante de sistemas para obter mais informações.

"2012 Threats Predictions", relatório da McAfee Labs; http://www.mcafee.com/us/resources/reports/rp-threat-predictions-2012.pdf

Nenhum sistema de computação pode oferecer segurança absoluta sob todas as condições. A Tecnologia Intel® Trusted Execution (Intel® TXT) requer um sistema de computação com a Tecnologia Intel® Virtualization, um processador habilitado para a Intel® TXT, chipset, BIOS, Módulos de Códigos Autenticados e um ambiente de inicialização medido (MLE) compatível com a Intel® TXT. A Intel® TXT também requer que o sistema contenha um TPM v1.s. Para obter mais informações, consulte http://www.intel.com/technology/security.

Nenhum sistema pode oferecer segurança absoluta. Requer um sistema habilitado para o Intel® OS Guard com a 4ª. geração do processador Intel® Core™ vPro™ e um sistema operacional habilitado. Consulte o seu fabricante de sistemas para obter mais informações.

Nenhum sistema pode oferecer segurança absoluta sob todas as condições. Requer um sistema habilitado para a Tecnologia Intel® Identity Protection, incluindo a 2ª., 3ª. ou 4ª. geração do processador Intel® Core™, chipset, firmware e software habilitados e site participante. Consulte o seu fabricante de sistemas. A Intel não assume nenhuma responsabilidade por dados e/ou sistemas perdidos ou roubados ou por quaisquer danos resultantes. Para obter mais informações, visite http://ipt.intel.com.

"Chinese hackers target smart cards to grab US defense data;", pela Techspot. http://www.techspot.com/news/47053-chinese-hackers-target-smart-cards-to-grab-us-defense-data.html.

Nenhum sistema pode oferecer segurança absoluta sob todas as condições. Requer um chipset, BIOS, firmware e software habilitados e uma assinatura junto a um fornecedor de serviços capaz. Consulte o seu fabricante de sistemas e fornecedor de serviços sobre disponibilidade e funcionalidade. A Intel não assume nenhuma responsabilidade por dados e/ou sistemas perdidos ou roubados ou por quaisquer outros danos resultantes. Para obter mais informações, visite http://www.intel.com/go/anti-theft.

O Padrão avançado de criptografia da Intel® - Novas instruções (AES-NI) requer um sistema de computação com um processador habilitado para o AES-NI e um software não produzido pela Intel para executar as instruções na sequência correta. O AES-NI está disponível em processadores Intel® Core™ selecionados. Para obter informações sobre disponibilidade, consulte o seu fabricante de sistemas. Para obter informações adicionais, consulte http:///software.intel.com/en-us/articles/intel-advanced-encryption-standard-instructions-aes-ni

Nenhum sistema pode oferecer segurança absoluta. Requer um PC habilitado para a Intel® Secure Key com a 4ª. geração do processador Intel® Core™ vPro™ e software otimizado para suportar a Intel® Secure Key. Consulte o seu fabricante de sistemas para obter mais informações.

Os recursos de segurança habilitados pela Tecnologia Intel® Active Management (AMT) requerem um chip habilitado, hardware e software de rede e uma conexão de rede corporativa. A Intel® AMT pode estar indisponível ou certas capacidades podem ser limitadas em uma VPN baseada em SO host, em conexão sem fios, em energia de bateria, em standby, em hibernação ou quando os equipamentos estão desligados. A instalação requer configuração e pode requerer scripting com o console de gerenciamento ou integração adicional nas estruturas de segurança existentes, e modificações ou implementações de novos processos na empresa. Para obter mais informações, consulte http://www.intel.com/technology/manage/iamt.

Sistemas que utilizam o Acesso remoto iniciado pelo computador (CIRA) requerem conectividade de LAN com ou sem fios e podem não estar disponíveis em hotspots públicos ou locais de "clicar para aceitar".

O controle remoto KVM (teclado, vídeo, mouse) está disponível somente em processadores Intel® Core™ i5 vPro™ e processadores Intel® Core™ i7 vPro™ com gráficos ativos do processador. Gráficos discretos não são suportados AS INFORMAÇÕES CONSTANTES DESTE DOCUMENTO SÃO FORNECIDAS EM CONEXÃO COM OS PRODUTOS DA INTEL®. NENHUMA LICENÇA, EXPRESSA OU IMPLÍCITA, POR FORÇA LEGAL OU DE OUTRA MANEIRA, PARA QUAISQUER DIREITOS DE PROPRIEDADE INTELECTUAL, É CONCEDIDA ATRAVÉS DESTE DOCUMENTO. EXCETO SE CONSTANTE DOS TERMOS E CONDIÇÕES DA INTEL® PARA VENDA DESSES PRODUTOS, A INTEL NÃO ASSUME NENHUMA RESPONSABILIDADE, QUALQUER QUE SEJA, E A INTEL NEGA QUALQUER GARANTIA EXPRESSA OU IMPLÍCITA RELATIVA À VENDA E/OU UTILIZAÇÃO DE PRODUTOS DA INTEL, INCLUINDO RESPONSABILIDADE OU GARANTIAS RELATIVAS À ADEQUAÇÃO PARA UM PROPÓSITO PARTICULAR, COMERCIALIZAÇÃO, OU VIOLAÇÃO DE QUALQUER PATENTE, DIREITOS AUTORAIS OU OUTROS DIREITOS DE PROPRIEDADE INTELECTUAL. A MENOS QUE TENHA A CONCORDÂNCIA POR ESCRITO DA INTEL® OS SEUS PRODUTOS NÃO SÃO PROJETADOS NEM SE DESTINAM A QUALQUER APLICAÇÃO ONDE A FALHA DO PRODUTO DA INTEL® PODE CRIAR UMA SITUAÇÃO EM QUE POSSA OCORRER DANOS PESSOAIS OU MORTE.

A Intel pode fazer mudanças nas especificações e descrições de produtos a qualquer tempo sem aviso prévio. Os projetistas não devem confiar na falta de características de quaisquer recursos ou instruções marcados como "reservado" ou "indefinido".

A Intel reserva estes para futura definição e não terá nenhuma responsabilidade, qualquer que seja, por conflitos ou incompatibilidades surgidas de futuras mudanças neles. As informações aqui constantes estão sujeitas a mudanças sem aviso prévio.

Não conclua um projeto com estas informações.

Os produtos descritos neste documento podem conter defeitos ou erros de design conhecidos como errata que podem fazer com que os produtos sejam diferentes das especificações publicadas. Erratas atuais caracterizadas estão disponíveis sob pedido. Contate o seu escritório local de vendas da Intel ou o seu distribuidor para obter as especificações mais recentes e antes de fazer o seu pedido de produto. Cópias de documentos que têm um número de pedido e são referenciados neste documento ou outras publicações da Intel podem ser obtidos ligando-se para 1-800-548-4725 ou acessando o site da Intel em www.intel.com.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17