DLP システム DeviceLock 8.2 - 安全を守る漏洩フェンス

2017年XNUMX月、私はDeviceLock DLPシステムのプロモーションセミナーに参加する機会がありました。そこでは、USBポートのクローズ、メールとクリップボードのコンテキスト分析などの漏洩に対する保護という主な機能に加えて、管理者からの保護が行われていました。宣伝した。 モデルはシンプルで美しい - インストーラーが小さな会社にやって来て、一連のプログラムをインストールし、BIOS パスワードを設定し、DeviceLock 管理者アカウントを作成し、Windows 自体と残りのソフトウェアを管理する権限だけをローカルの会社に残します。管理者。 たとえ意図があったとしても、この管理者は何も盗むことはできません。 しかし、これはすべて理論です...

なぜなら情報セキュリティ ツールの開発分野で 20 年以上働いてきた私は、管理者は特にコンピュータへの物理的なアクセスに関しては何でもできるとはっきりと確信していました。その場合、それに対する主な保護は、厳格な報告や管理などの組織的な対策のみであると考えていました。重要な情報を含むコンピュータを物理的に保護し、すぐに提案された製品の耐久性をテストするというアイデアが生まれました。

セミナー終了直後にこれを実行しようとしたが失敗に終わり、メイン サービス DlService.exe の削除に対する保護が行われ、アクセス権と最後に成功した構成の選択も忘れられませんでした。彼らは、ほとんどのウイルスと同様に、システムの読み取りと実行のアクセスを拒否してそれを破壊しましたが、うまくいきませんでした。

おそらく製品に含まれているドライバの保護に関するすべての質問に対して、Smart Line 開発者の代表者は、「すべてが同じレベルにある」と自信を持って述べました。

翌日、私は研究を続けることに決め、試用版をダウンロードしました。 私はすぐにディストリビューションのサイズ、ほぼ 2 GB に驚きました。 私は、通常、情報セキュリティ ツール (ISIS) として分類されるシステム ソフトウェアのサイズがはるかにコンパクトであるという事実に慣れています。

インストール後、二度目に驚きました。上記の実行可能ファイルのサイズも非常に大きく、2MB です。 これだけのボリュームがあると、何か掴みどころがあるとすぐに思いました。 遅延録画を使用してモジュールを交換しようとしましたが、閉じられていました。 プログラム カタログを調べてみると、すでに 13 名のドライバーが存在していました。 権限を調べてみました。変更は受け付けられていません。 さて、全員が禁止されているので、オーバーロードしましょう!

その効果は単に魅惑的です - すべての機能が無効になり、サービスは開始されません。 そこにどんな自己防衛があるだろうか、たとえフラッシュドライブ上であっても、ネットワーク上であっても、何でも好きなものを撮ってコピーすることだ。 このシステムの最初の重大な欠点は、コンポーネントの相互接続が強すぎることです。 はい、サービスはドライバーと通信する必要がありますが、誰も応答しない場合はなぜクラッシュするのでしょうか? その結果、保護を回避する方法が XNUMX つあります。

ミラクル サービスが非常に優しく繊細であることがわかったので、サードパーティ ライブラリへの依存関係を確認することにしました。 ここではさらに単純で、リストは大きく、WinSock_II ライブラリをランダムに消去すると、同様の画像が表示されます。サービスは開始されておらず、システムは開いています。

その結果、講演者がセミナーで説明したものと同じもの、つまり強力なフェンスができましたが、資金不足のために保護された境界全体を囲むことはできず、覆われていないエリアにはトゲのあるバラのヒップが残っているだけです。 この場合、ソフトウェア製品のアーキテクチャを考慮すると、デフォルトでは閉鎖環境を意味するのではなく、さまざまなプラグ、インターセプタ、トラフィック アナライザが含まれており、多くのストリップがねじ留めされたピケット フェンスと言えます。外側にはセルフタッピングネジが付いており、緩めるのは非常に簡単です。 これらのソリューションのほとんどの問題は、膨大な数の潜在的なホールがあるため、何かを忘れたり、関係を見逃したり、インターセプターの XNUMX つを実装できなかったことによって安定性に影響を与えたりする可能性が常に存在することです。 この記事で紹介されている脆弱性は表面上にあるだけであるという事実から判断すると、この製品には他にも多数の脆弱性が含まれており、検索にはさらに数時間かかることになります。

さらに、市場には、自己防衛を簡単に回避できない国内のウイルス対策製品など、シャットダウン保護を適切に実装した例がたくさんあります。 私の知る限り、彼らはFSTEC認証を受けるのにそれほど怠け者ではありませんでした。

スマートラインの従業員と何度か会話を行った結果、彼らが聞いたこともない同様の場所がいくつか見つかりました。 一例として、AppInitDll メカニズムがあります。

これは最も深いものではないかもしれませんが、多くの場合、OS カーネルに侵入することなく、その安定性に影響を与えることなく実行できます。 nVidia ドライバーは、このメカニズムを最大限に活用して、特定のゲームに合わせてビデオ アダプターを調整します。

DL 8.2 に基づく自動化システムを構築するための統合されたアプローチが完全に欠如しているため、疑問が生じます。 顧客に製品の利点を説明し、既存の PC とサーバーの計算能力を確認することを提案します (コンテキスト アナライザーは非常にリソースを大量に消費するため、現在流行のオフィス用オールインワン コンピューターや Atom ベースのネットトップは適していません)この場合）、製品を上に広げるだけです。 同時に、セミナーでは「アクセス制御」や「クローズドソフトウェア環境」といった用語も出てきませんでした。 暗号化については、実際には問題がないものの、複雑さに加えて規制当局からの疑問が生じる可能性があると言われている。 認証に関する質問は、FSTEC であっても、その複雑さと長さのため無視されます。 このような手順に繰り返し参加してきた情報セキュリティの専門家として言えますが、その手順を実行する過程で、この資料に記載されているものと同様の多くの脆弱性が明らかになります。 認証機関の専門家は本格的な専門トレーニングを受けています。

その結果、提示された DLP システムは、実際に情報セキュリティを確保する非常に少数の機能を実行できる一方で、重大なコンピューティング負荷を生成し、情報セキュリティ問題に不慣れな企業経営者に企業データに対する安心感をもたらします。

実際に大きなデータを保護できるのは、特権のないユーザーからのみです。 管理者は保護を完全に無効にすることができ、重大な機密の場合は、下級の清掃管理者であっても、慎重に画面の写真を撮ったり、同僚の画面を見ながら住所やクレジット カード番号を覚えたりすることさえできます。ショルダー。
さらに、これはすべて、従業員が PC の内部、または少なくとも外部メディアからのブートをアクティブ化する BIOS に物理的にアクセスすることが不可能な場合にのみ当てはまります。 そうなると、情報の保護だけを考えている企業ではあまり使われないBitLockerも役に立たないかもしれません。

ありきたりに聞こえるかもしれないが、その結論は、ソフトウェア/ハードウェア ソリューションだけでなく、写真/ビデオ撮影を排除し、許可されていない「驚異的な記憶力を持つ少年」の侵入を防ぐための組織的および技術的対策を含む、情報セキュリティへの統合的なアプローチである。サイト。 企業のセキュリティ問題のほとんどをワンステップで解決できると宣伝されている奇跡の製品 DL 8.2 に決して依存しないでください。

出所： habr.com