בקרה על כל המידע שמסתובב בארגון היא אחת המשימות העיקריות ביישום מעשי של מסמכים ארגוניים ומנהליים (מדיניות אבטחת מידע ומסמכים פנימיים אחרים מדרגים נמוכים יותר) של הארגון.
מערכות למניעת דליפות מידע סודי ממערכת מידע (Data Leak Prevention, DLP) מסוגלות לרוב לפתור בעיה זו.
יש מספיק סוגים של מערכות אלו בשוק המודרני, למשל: SearchInform DLP, Infowatch Traffic Monitor DLP, Zecurion DLP, Symantec DLP ואחרים. אבל היום מאמר זה יעסוק במוצר של SearchInform LLC.
SearchInform Information Security Circuit (CIB Searchinform) היא חבילת תוכנה רצינית וניתנת להתאמה אישית, אשר בפונקציונליות שלה וכלים אנליטיים נרחבים, יוצרת תחרות רצינית לחברות אחרות בתחום זה. אבל כמו כל המוצרים, ל- CIB Searchinform יש את אחד החסרונות שלו, עליו נדון כעת.
איור 1 - לוגו של CIB Searchinform
ב-KIB Searchinform, אחד ממקורות איסוף המידע הוא סוכן (Windows/Linuxסוכן עבור מערכת הפעלה Windows, לגבי מערכת ההפעלה Linux, כולל מערכת איסוף נתונים מודולרית שניתן להפעיל או להשבית לפי הצורך. נבחן את מודול המכשיר (שליטה על התקנים חיצוניים, התקני רשת, תהליכים וכו'). גרסת הדגמה של מוצר זה (עם פונקציונליות מלאה) זמינה רשמית מאתר האינטרנט של המפתח. פעולות נוספות יבוצעו באמצעות מפתח הרישיון שהתקבל - EndPointController גרסה 5.51.0.9 (סוכן גרסה 5.51.0.9).
הבעיה העיקרית בתפעול של מודול זה היא האלגוריתם להצפנת מידע על התקנים נשלפים חיצוניים. הבה נשקול את עקרון הפעולה של אלגוריתם ההצפנה ב-KIB Searchinform.
אנו מתקינים את הסוכן בתחנת העבודה ומגדירים את בקרת העבודה של התקנים חיצוניים (מודול התקן) בסעיף "שכונת רשת" EndPointController 5.51.0.9
איור 2 - התקנה והפעלה של המודול
אנו מגדירים את ההצפנה בהגדרות של מודול ההתקן של לשונית "הצפנה": יוצרים מפתח ומאפשרים הצפנה עבור כל המדיה (אפשר להפעיל הצפנה רק עבור מדיה מסוימת).
איור 3 - הגדרת רשימה לבנה
איור 4 - תצורת הצפנה
כעת נתחיל לנתח את אלגוריתם הצפנת הקבצים עבור מוצר זה. הבה נעתיק את הקבצים "Install.exe" ו-"Fundamentals of Law.rtf" מתחנת העבודה המבוקרת "WINOC" למדיה הנשלפת החיצונית "Disk נשלף (E:)". כפי שניתן לראות באיור 5, האובייקטים "Install.exe" ו-"Fundamentals of Law.rtf" נוצרו בתיקייה הנסתרת "System Volume Information". לפיכך, אנו יכולים להסיק כי התיקיה "מידע על מערכת נפח" מכילה רשימה של אובייקטים מוצפנים על מדיה נשלפת.
איור 5 - תיקיית "מידע על מערכת נפח".
איור 6 - תיקיית שורש של אמצעי אחסון נשלפים
כידוע, ישנם שלושה היבטים שעליהם בנויה אבטחת מידע: שלמות, זמינות וסודיות. היבטים אלה מופרים באמצעות גישת הצפנה זו, שכן מידע מערכת לגבי האם אובייקט מוצפן או לא חייב להיות בכותרת האובייקט עצמו.
עם הבנייה הנוכחית של האלגוריתם, קיימות אפשרויות אפשריות לשינוי/מחיקה בשוגג של אובייקטים בתיקיית "System Volume Information" במדיה נשלפת עם אובדן נוסף של האובייקטים המוצפנים המקוריים, כמו גם שינוי של האובייקטים עצמם בתחנות לא מבוקרות (לדוגמה: שינוי שם האובייקט "Install.exe" עם נתיב הרשת "E" :Install.exe" במחשב ללא סוכן, בעוד קובץ המידע של מוצר התוכנה KIB Searchinform בתיקיית "System Volume Information" " Install.exe" בנתיב הרשת "E:System Volume InformationInstall.exe" נשאר ללא שינוי, מכיוון שאין סוכן שמשנה את פרטי השירות, ופתיחת קובץ זה הופכת לבלתי אפשרית).
נקווה שהמפתח ישים לב לחסרון זה בתפעול פונקציית ההצפנה עבור אמצעי אחסון נשלפים במוצר KIB Searchinform וישנה את האלגוריתם שלו.
מקור: www.habr.com
