Yn oktober 2017 hie ik in kâns om in reklameseminar by te wenjen foar it DeviceLock DLP-systeem, wêrby't, neist de wichtichste funksjonaliteit fan lekbeskerming, lykas it sluten fan USB-poarten, kontekstuele analyze fan post en klamboerd, advertearre waard foar administratorbeskerming. It model is ienfâldich en moai - in ynstallearder komt nei in lyts bedriuw, ynstalleart in set programma's, in BIOS-wachtwurd, makket in DeviceLock-behearderakkount, en lit de lokale admin allinich de rjochten om Windows sels en de rest fan 'e software te behearjen. Sels yn gefal fan opset sil dizze admin neat kinne stelle. Mar dit is allegear teory ...
Omdat Foar 20+ jier wurk op it mêd fan it ûntwikkeljen fan ark foar ynformaasjefeiligens, haw ik dúdlik sjoen dat in behearder alles kin dwaan, benammen it hawwen fan fysike tagong ta in kompjûter, dan kin de wichtichste beskerming dêrfoar allinich organisatoaryske maatregels wêze lykas strikte rapportaazje en fysike beskerming fan kompjûters mei wichtige ynformaasje, doe ûntstie fuortendaliks it idee om de stabiliteit fan it foarstelde produkt te testen.
In besykjen om te dwaan it fuortendaliks nei de ein fan it seminar mislearre, yn 'e foarholle beskerming tsjin wiskjen fan' e wichtichste tsjinst DlService.exe waard dien, en se sels net ferjitte oer tagongsrjochten en it kiezen fan de lêste bekende goede konfiguraasje, as in resultaat wêrfan se sloegen it del, lykas de measte firussen, ferbean it systeem fan lêzen en útfiere , Hat net wurke út.
Op alle fragen oer de beskerming fan bestjoerders dy't wierskynlik opnommen binne yn it produkt, stelde in fertsjintwurdiger fan it ûntwikkelbedriuw Smart Line mei fertrouwen dat "alles op itselde nivo is."
In dei letter besleat ik myn ûndersyk troch te gean, in proefferzje downloade. Ik waard fuortendaliks ferrast troch de ferdieling grutte fan hast 2 GB! Ik bin wend oan it feit dat systeemsoftware, dy't faaks wurdt oantsjutten as ark foar ynformaasjefeiligens (IPS), meastentiids in folle kompakter grutte hat.
Nei ynstallaasje wie ik de 2e kear ferrast - de grutte fan it boppeneamde útfierbere is ek frij grut - 13Mb. Ik tocht fuortdaliks dat der mei sa'n bondel wat oan fêsthâlde is. Ik besocht te ferfangen de module mei help fan fertrage skriuwen - sluten. Ik groeven yn 'e mappen fan it programma, en d'r binne al 11 sjauffeurs allinich! Tastimmingen ynhelle - binne net sluten foar feroaring! No, al it ferbod, wy binne oerladen!
It effekt is gewoan betsjoenend - alle funksjes útskeakele, de tsjinst begon net. Wat foar selsferdigening is der, nim en kopiearje wat jo wolle, sels op flash-driven, sels oer it netwurk. It earste serieuze nadeel fan it systeem kaam út - de ferbining fan 'e komponinten is te sterk. Ja, de tsjinst mei de bestjoerders moat kommunisearje, mar wêrom falle as gjinien antwurdet? As gefolch is d'r ien manier om beskerming te omgean.
Nei't ik fûn dat de wûndertsjinst sa sêft en gefoelich is, besleat ik de ôfhinklikens fan biblioteken fan tredden te kontrolearjen. It is hjir noch ienfâldiger, de list is grut, wy wiskje gewoan de WinSock_II-bibleteek willekeurich en observearje in ferlykbere ôfbylding - de tsjinst begon net, it systeem is iepen.
As gefolch hawwe wy itselde ding dat de sprekker skildere op it seminar, in krêftige hek, mar net de hiele beskerme perimeter omsluten fanwege gebrek oan jild, mar yn in iepen gebiet is d'r gewoan in steklike hûnrose. Yn dit gefal, sjoen de arsjitektuer fan it softwareprodukt, dy't gjin standert sletten omjouwing ymplisearret, mar in ferskaat oan plugs, interceptors, ferkearsanalyzers, is dit mear as in pikethek, en in protte planken wurde opboud mei sels- oanboarjen screws fan bûten en it is hiel maklik om te lossen se. It probleem mei de measte fan dizze oplossingen is dat yn sa'n grut oantal potinsjele gatten, d'r altyd in kâns is om wat te ferjitten, in relaasje te missen, of stabiliteit te beynfloedzjen troch ien fan 'e interceptors sûnder súkses te ymplementearjen. Beoardielje troch it feit dat de kwetsberens neamd yn dit artikel gewoan op it oerflak lizze, befettet it produkt folle mear oaren, dy't in pear oeren langer duorje om te sykjen.
Boppedat, de merk is fol mei foarbylden fan foechhawwende ymplemintaasje fan beskerming tsjin shutdowns, bygelyks, ynlânske anty-firus ark, dêr't selsferdigening kin net gewoan omgean. Foar safier't ik wit, wiene se net te lui om FSTEC-sertifikaasje te krijen.
Nei ferskate petearen mei meiwurkers fan Smart Line waarden ferskate ferlykbere plakken fûn wêr't se net iens fan heard hienen. Ien foarbyld is it AppInitDll-meganisme.
Hoewol it net de djipste is, lit it jo yn in protte gefallen dwaan sûnder yn 'e kernel fan it OS te kommen en har stabiliteit net te beynfloedzjen. nVidia-bestjoerders meitsje folslein gebrûk fan dit meganisme om de fideoadapter oan te passen foar in spesifyk spultsje.
It folsleine gebrek oan in yntegreare oanpak foar it bouwen fan in automatisearre systeem basearre op DL 8.2 ropt fragen op. It wurdt foarsteld om de foardielen fan it produkt oan 'e klant te beskriuwen, de komputerkrêft fan besteande PC's en servers te kontrolearjen (kontekstanalyzers binne heul boarne-yntinsyf en Atom-basearre kantoarmonoblokken en nettops binne net geskikt yn dit gefal), en gewoan rôlje it produkt boppe. Tagelyk waarden sokke termen as "tagongskontrôle", "sletten software-omjouwing" net iens neamd op it seminar. Oer fersifering waard sein dat it, neist kompleksiteit, fragen fan tafersjochhâlders opropt, hoewol d'r yn werklikheid gjin problemen mei dit binne. Fragen oer sertifisearring, sels yn 'e FSTEC, wurde oan 'e kant veegd fanwegen har sabeare kompleksiteit en langstme. As spesjalist foar ynformaasjefeiligens dy't ferskate kearen meidien hat oan sokke prosedueres, kin ik sizze dat yn 'e rin fan' e ymplemintaasje in protte kwetsberens fergelykber binne mei dy beskreaun yn dit materiaal, om't spesjalisten fan sertifisearjende laboratoaren hawwe serieuze spesjalisearre training.
As resultaat kin it presinteare DLP-systeem in heul lytse set fan funksjes útfiere dy't feitlik ynformaasjefeiligens garandearje, wylst in serieuze komputearjende lading generearret en in gefoel fan bedriuwsgegevensfeiligens kreëarje ûnder it bedriuwsbehear, sûnder ûnderfining yn ynformaasjefeiligensproblemen.
It kin echt beskermje allinnich echt grutte gegevens út in unprivileged brûker, omdat. de behearder is frij yn steat om de beskerming folslein te deaktivearjen, en foar net-voluminous geheimen sil sels in junior skjinmakmanager riede om it skerm rêstich te fotografearjen, of sels it adres of kredytkaartnûmer te ûnthâlden, en sjocht nei it skerm oer it skouder fan in kollega.
Boppedat is dit alles wier allinich as it ûnmooglik is foar meiwurkers om fysike tagong te hawwen oan 'e binnenkant fan' e PC, of op syn minst ta de BIOS om boot fan eksterne media te aktivearjen. Dan kin sels BitLoker net helpe, wat amper brûkt wurdt yn bedriuwen dy't allinich tocht hawwe oer it beskermjen fan ynformaasje.
De konklúzje, hoe tritich it ek klinkt, is yn in yntegreare oanpak fan ynformaasjefeiligens, ynklusyf net allinich software / hardware-oplossingen, mar ek organisatoaryske en technyske maatregels om foto / fideo-sjitten út te sluten en om bûtensteanders "jonges mei in fenomenaal ûnthâld te foarkommen ” fan it ynfieren fan it objekt. Fertrouwe op it wûnderprodukt DL 8.2, advertearre as in ienstapsoplossing foar de measte bedriuwsfeiligensproblemen, is lang net mooglik.
Boarne: www.habr.com