El control de tota la informació que circula en una organització és una de les tasques principals en la implementació pràctica dels documents organitzatius i administratius (política de seguretat de la informació i altres documents interns de nivells inferiors) de l'organització.
Els sistemes de prevenció de fuites d'informació confidencial d'un sistema d'informació (Data Leak Prevention, DLP) són, en la seva major part, capaços de resoldre aquest problema.
Hi ha prou varietats d'aquests sistemes al mercat modern, per exemple: SearchInform DLP, Infowatch Traffic Monitor DLP, Zecurion DLP, Symantec DLP i altres. Però avui aquest article tractarà sobre el producte de SearchInform LLC.
SearchInform Information Security Circuit (CIB Searchinform) és un paquet de programari seriós i altament personalitzable que, amb la seva funcionalitat i les seves àmplies eines analítiques, crea una competència seriosa per a altres empreses d'aquest camp. Però com tots els productes, CIB Searchinform té un dels seus inconvenients, que es comentarà ara.
Figura 1 – Logotip de CIB Searchinform
A KIB Searchinform, una de les fonts de recopilació d'informació és un agent (Windows/Linux). Agent per al sistema operatiu Windows, pel que fa al sistema operatiu LinuxTé un sistema modular de recopilació de dades que es pot activar o desactivar segons calgui. Analitzarem el mòdul Dispositiu (control de dispositius externs, dispositius de xarxa, processos, etc.). Una versió de demostració d'aquest producte (amb totes les funcionalitats) està disponible oficialment al lloc web del desenvolupador. Es realitzaran altres accions amb la clau de llicència obtinguda: EndPointController versió 5.51.0.9 (agent versió 5.51.0.9).
El principal problema en el funcionament d'aquest mòdul és l'algorisme per xifrar la informació en dispositius externs extraïbles. Considerem el principi de funcionament de l'algorisme de xifratge a KIB Searchinform.
Instal·lem l'agent a l'estació de treball i configurem el control de treball dels dispositius externs (mòdul de dispositiu) a la secció "Veïnatge de xarxa" EndPointController 5.51.0.9
Figura 2 – Instal·lació i encendre el mòdul
Configurem el xifratge a la configuració del mòdul Dispositiu de la pestanya "Xifrat": genereu una clau i activeu el xifratge per a tots els mitjans (és possible habilitar el xifrat només per a determinats mitjans).
Figura 3 – Configuració d'una llista blanca
Figura 4 – Configuració de xifratge
Ara comencem a analitzar l'algoritme de xifratge de fitxers d'aquest producte. Copiem els fitxers "Install.exe" i "Fundamentals of Law.rtf" de l'estació de treball controlada "WINOC" al suport extern extraïble "Disc extraïble (E:)". Com es pot veure a la figura 5, els objectes "Install.exe" i "Fundamentals of Law.rtf" es van crear a la carpeta oculta "Informació de volum del sistema". Així, podem concloure que la carpeta "Informació del volum del sistema" conté una llista d'objectes xifrats en suports extraïbles.
Figura 5: carpeta "Informació del volum del sistema".
Figura 6 - Carpeta arrel dels mitjans d'emmagatzematge extraïbles
Com sabeu, hi ha tres aspectes sobre els quals es construeix la seguretat de la informació: integritat, disponibilitat i confidencialitat. Aquests aspectes es violen amb aquest enfocament de xifratge, ja que la informació del sistema sobre si un objecte està xifrat o no ha d'estar a la pròpia capçalera de l'objecte.
Amb la construcció actual de l'algoritme, hi ha opcions possibles per a la modificació/eliminació accidental d'objectes a la carpeta "Informació del volum del sistema" en suports extraïbles amb una pèrdua addicional dels objectes xifrats originals, així com la modificació dels mateixos objectes en estacions no controlades. (per exemple: canviar el nom de l'objecte "Install.exe" amb la ruta de xarxa "E" :Install.exe" en un ordinador sense agent, mentre que el fitxer d'informació del producte de programari KIB Searchinform a la carpeta "Informació de volum del sistema" " Install.exe" a la ruta de xarxa "E:System Volume InformationInstall.exe" es manté sense canvis, ja que no hi ha cap agent que canviï la informació del servei i obrir aquest fitxer es fa impossible).
Esperem que el desenvolupador prengui nota d'aquesta deficiència en el funcionament de la funció de xifratge per a mitjans d'emmagatzematge extraïbles al producte KIB Searchinform i canviï el seu algorisme.
Font: www.habr.com
