ProHoster > وبلاگ > اداره > سیستم DeviceLock 8.2 DLP - یک محافظ نشتی برای محافظت از ایمنی شما

سیستم DeviceLock 8.2 DLP - یک محافظ نشتی برای محافظت از ایمنی شما

در اکتبر 2017، من این فرصت را داشتم که در یک سمینار تبلیغاتی برای سیستم DeviceLock DLP شرکت کنم، که در آن، علاوه بر عملکرد اصلی محافظت در برابر نشت ها مانند بستن پورت های USB، تجزیه و تحلیل متنی نامه ها و کلیپ بورد، محافظت از مدیر انجام شد. تبلیغ کرد. مدل ساده و زیبا است - یک نصب کننده به یک شرکت کوچک می آید، مجموعه ای از برنامه ها را نصب می کند، یک رمز عبور بایوس تنظیم می کند، یک حساب مدیر DeviceLock ایجاد می کند، و فقط حقوق مدیریت ویندوز و بقیه نرم افزار را به محلی واگذار می کند. مدیر. حتی اگر قصد و نیت وجود داشته باشد، این ادمین نمی تواند چیزی را بدزدد. اما این همه تئوری است ...

زیرا بیش از 20 سال کار در زمینه توسعه ابزارهای امنیت اطلاعات، من به وضوح متقاعد شدم که یک مدیر می تواند هر کاری انجام دهد، به خصوص با دسترسی فیزیکی به رایانه، سپس محافظت اصلی در برابر آن فقط می تواند اقدامات سازمانی مانند گزارش دقیق و حفاظت فیزیکی از رایانه های حاوی اطلاعات مهم، سپس بلافاصله ایده برای آزمایش دوام محصول پیشنهادی مطرح شد.

تلاش برای انجام این کار بلافاصله پس از پایان سمینار ناموفق بود؛ محافظت در برابر حذف سرویس اصلی DlService.exe انجام شد و آنها حتی حقوق دسترسی و انتخاب آخرین پیکربندی موفق را فراموش نکردند، در نتیجه آنها آن را حذف کردند، مانند بسیاری از ویروس ها، دسترسی سیستم را برای خواندن و اجرا ممنوع کردند، کار نکرد.

نماینده توسعه دهنده Smart Line با اطمینان در مورد تمام سؤالات در مورد محافظت از درایورهایی که احتمالاً در محصول گنجانده شده است اظهار داشت که "همه چیز در یک سطح است."

یک روز بعد تصمیم گرفتم به تحقیقاتم ادامه دهم و نسخه آزمایشی را دانلود کردم. من بلافاصله از حجم توزیع، تقریبا 2 گیگابایت شگفت زده شدم! من به این واقعیت عادت کرده ام که نرم افزار سیستم، که معمولاً به عنوان ابزار امنیت اطلاعات (ISIS) طبقه بندی می شود، معمولاً اندازه بسیار فشرده تری دارد.

پس از نصب، برای دومین بار شگفت زده شدم - اندازه فایل اجرایی فوق الذکر نیز بسیار بزرگ است - 2 مگابایت. من بلافاصله فکر کردم که با چنین حجمی چیزی وجود دارد که بتوانم به آن چنگ بزنم. من سعی کردم با استفاده از ضبط تاخیری ماژول را جایگزین کنم - بسته شد. من کاتالوگ های برنامه را بررسی کردم و قبلاً 13 راننده وجود داشت! من به مجوزها اشاره کردم - آنها برای تغییرات بسته نیستند! خوب، همه ممنوع هستند، بیایید بیش از حد بارگذاری کنیم!

اثر به سادگی مسحور کننده است - همه عملکردها غیرفعال هستند، سرویس شروع نمی شود. چه نوع دفاع شخصی وجود دارد، هر چیزی را که می خواهید بردارید و کپی کنید، حتی روی درایوهای فلش، حتی از طریق شبکه. اولین اشکال جدی سیستم ظاهر شد - اتصال قطعات بسیار قوی بود. بله، سرویس باید با رانندگان ارتباط برقرار کند، اما اگر کسی پاسخ نمی‌دهد چرا تصادف می‌کند؟ در نتیجه، یک روش برای دور زدن حفاظت وجود دارد.

پس از اینکه متوجه شدم سرویس معجزه بسیار ملایم و حساس است، تصمیم گرفتم وابستگی های آن را به کتابخانه های شخص ثالث بررسی کنم. اینجا حتی ساده تر است، لیست بزرگ است، ما فقط کتابخانه WinSock_II را به صورت تصادفی پاک می کنیم و تصویر مشابهی را می بینیم - سرویس شروع نشده است، سیستم باز است.

در نتیجه، همان چیزی را داریم که سخنران در سمینار توصیف کرد، حصاری قدرتمند، اما به دلیل کمبود پول، کل محیط محافظت شده را در بر نمی گیرد و در ناحیه بدون پوشش به سادگی گل رز خاردار وجود دارد. در این مورد، با در نظر گرفتن معماری محصول نرم‌افزار، که به طور پیش‌فرض به محیط بسته دلالت نمی‌کند، بلکه شامل انواع شاخه‌ها، رهگیرها، تحلیل‌گرهای ترافیکی می‌شود، بیشتر یک حصار است که بسیاری از نوارها روی آن پیچ‌اند. بیرون با پیچ های خودکار و باز کردن آن بسیار آسان است. مشکل اکثر این راه‌حل‌ها این است که با چنین تعداد زیادی حفره بالقوه، همیشه احتمال فراموشی چیزی، از دست دادن یک رابطه یا تأثیرگذاری بر ثبات با اجرای ناموفق یکی از رهگیرها وجود دارد. با قضاوت بر اساس این واقعیت که آسیب پذیری های ارائه شده در این مقاله به سادگی در سطح هستند، محصول حاوی بسیاری دیگر است که جستجوی آنها چند ساعت بیشتر طول می کشد.

علاوه بر این، بازار مملو از نمونه هایی از اجرای شایسته محافظت از خاموش شدن است، به عنوان مثال، محصولات ضد ویروس داخلی، که در آنها نمی توان به سادگی از دفاع شخصی عبور کرد. تا آنجا که من می دانم، آنها برای دریافت گواهینامه FSTEC خیلی تنبل نبودند.

پس از انجام چندین مکالمه با کارمندان اسمارت لاین، چندین مکان مشابه پیدا شد که حتی نام آنها را نشنیده بودند. یک مثال مکانیسم AppInitDll است.

ممکن است عمیق‌ترین نباشد، اما در بسیاری از موارد به شما اجازه می‌دهد بدون وارد شدن به هسته سیستم‌عامل و تأثیری بر پایداری آن انجام دهید. درایورهای nVidia از این مکانیسم برای تنظیم آداپتور ویدیویی برای یک بازی خاص استفاده کامل می کنند.

فقدان کامل یک رویکرد یکپارچه برای ساخت یک سیستم خودکار مبتنی بر DL 8.2 سؤالاتی را ایجاد می کند. پیشنهاد می‌شود مزایای محصول را برای مشتری توصیف کنید، قدرت محاسباتی رایانه‌های شخصی و سرورهای موجود را بررسی کنید (تجزیه‌کننده‌های زمینه بسیار منابع فشرده هستند و رایانه‌های اداری همه‌کاره امروزی مد روز و نت‌تاپ‌های مبتنی بر اتم مناسب نیستند. در این مورد) و به سادگی محصول را در بالا پهن کنید. در عین حال، اصطلاحاتی مانند "کنترل دسترسی" و "محیط نرم افزار بسته" حتی در سمینار ذکر نشد. در مورد رمزگذاری گفته شد که علاوه بر پیچیدگی، سؤالاتی را از رگولاتورها ایجاد می کند، اگرچه در واقعیت هیچ مشکلی با آن وجود ندارد. سوالات مربوط به صدور گواهینامه، حتی در FSTEC، به دلیل پیچیدگی و طولانی بودن احتمالی آنها کنار گذاشته شده است. به عنوان یک متخصص امنیت اطلاعات که بارها در چنین رویه‌هایی شرکت کرده‌ام، می‌توانم بگویم که در فرآیند انجام آن‌ها، آسیب‌پذیری‌های زیادی مشابه آنچه در این مطالب توضیح داده شده است، آشکار می‌شود، زیرا متخصصان آزمایشگاه های صدور گواهینامه آموزش های تخصصی جدی دارند.

در نتیجه، سیستم DLP ارائه شده می‌تواند مجموعه بسیار کوچکی از عملکردها را انجام دهد که در واقع امنیت اطلاعات را تضمین می‌کند، در حالی که بار محاسباتی جدی ایجاد می‌کند و احساس امنیت برای داده‌های شرکتی در بین مدیریت شرکت که در مسائل امنیت اطلاعات بی‌تجربه هستند، ایجاد می‌کند.

این فقط می تواند واقعاً از داده های واقعاً بزرگ در برابر یک کاربر غیرمجاز محافظت کند، زیرا ... مدیر کاملاً قادر است حفاظت را به طور کامل غیرفعال کند، و برای اسرار بزرگ، حتی یک مدیر نظافت جوان می‌تواند با احتیاط از صفحه عکس بگیرد یا حتی آدرس یا شماره کارت اعتباری را با نگاه کردن به صفحه از روی صفحه همکار به خاطر بسپارد. شانه
علاوه بر این، همه اینها فقط در صورتی صادق است که دسترسی فیزیکی به داخل رایانه شخصی یا حداقل به BIOS برای فعال کردن بوت از رسانه خارجی برای کارمندان غیرممکن باشد. سپس حتی BitLocker، که بعید است در شرکت هایی که فقط به محافظت از اطلاعات فکر می کنند استفاده شود، ممکن است کمکی نکند.

نتیجه گیری، هرچند پیش پا افتاده به نظر می رسد، یک رویکرد یکپارچه برای امنیت اطلاعات است، که نه تنها راه حل های نرم افزاری/سخت افزاری، بلکه اقدامات سازمانی و فنی برای حذف عکس/فیلم برداری و جلوگیری از ورود «پسران با حافظه خارق العاده» غیرمجاز را شامل می شود. سایت. هرگز نباید به محصول معجزه آسا DL 8.2 اعتماد کنید که به عنوان راه حلی تک مرحله ای برای اکثر مشکلات امنیتی سازمانی تبلیغ می شود.

منبع: www.habr.com

اضافه کردن نظر