2017 жылдың қазан айында мен DeviceLock DLP жүйесіне арналған жарнамалық семинарға қатысу мүмкіндігіне ие болдым, онда USB порттарын жабу, пошта мен алмасу буферін мәтінмәндік талдау сияқты ағып кетуден қорғаудың негізгі функционалдығына қосымша әкімшіден қорғау болды. жарнамаланған. Модель қарапайым және әдемі - орнатушы шағын компанияға келеді, бағдарламалар жинағын орнатады, BIOS құпия сөзін орнатады, DeviceLock әкімші тіркелгісін жасайды және Windows-тың өзін және бағдарламалық қамтамасыз етудің қалған бөлігін басқару құқығын тек жергілікті пайдаланушыға қалдырады. админ. Тіпті ниет болса да, бұл әкімші ештеңе ұрлай алмайды. Бірақ мұның бәрі теория...
Өйткені Ақпаратты қорғау құралдарын әзірлеу саласында 20+ жылдан астам жұмыс істегенде, мен әкімші кез келген нәрсені істей алатынына, әсіресе компьютерге физикалық қол жетімділікпен қол жеткізе алатынына сенімді болдым, содан кейін одан негізгі қорғаныс тек қатаң есеп беру және ұйымдастырушылық шаралар болуы мүмкін. маңызды ақпаратты қамтитын компьютерлерді физикалық қорғау, содан кейін бірден ұсынылған өнімнің беріктігін тексеру идеясы пайда болды.
Попытка сделать сразу по завершении семинара не удалась, в лоб защиту от удаления основной службы DlService.exe сделали и даже про права доступа и выбор последней удачной конфигурации не забыли, в результате чего повалить ее, как большинство вирусов, запретив системе доступ на чтение и выполнение , болмады.
Өнімге енгізілген драйверлерді қорғау туралы барлық сұрақтарға Smart Line әзірлеушісінің өкілі «бәрі бір деңгейде» деп сенімді түрде айтты.
Бір күннен кейін мен зерттеуімді жалғастыруды шешіп, сынақ нұсқасын жүктеп алдым. Мен таратудың көлеміне бірден таң қалдым, шамамен 2 ГБ! Мен әдетте ақпараттық қауіпсіздік құралдары (ISIS) ретінде жіктелетін жүйелік бағдарламалық жасақтаманың өлшемі әлдеқайда ықшам болатынына үйрендім.
Орнатқаннан кейін мен екінші рет таң қалдым - жоғарыда аталған орындалатын файлдың өлшемі де айтарлықтай үлкен - 2 МБ. Мен бірден мұндай көлемді ұстанатын нәрсе бар деп ойладым. Мен модульді кешіктірілген жазу арқылы ауыстыруға тырыстым - ол жабылды. Мен бағдарлама каталогтарын қазып алдым, қазірдің өзінде 13 драйвер болды! Мен рұқсаттарды тексердім - олар өзгертулер үшін жабық емес! Жарайды, барлығына тыйым салынған, артық жүктеп алайық!
Әсер жай ғана сиқырлы - барлық функциялар өшірілген, қызмет басталмайды. Өзін-өзі қорғаудың қандай түрі бар, қалағаныңызды алыңыз және көшіріңіз, тіпті флэш-дискілерде, тіпті желі арқылы. Жүйенің бірінші елеулі кемшілігі пайда болды - компоненттердің өзара байланысы тым күшті болды. Иә, қызмет драйверлермен байланысуы керек, бірақ ешкім жауап бермесе, неге апатқа ұшырайды? Нәтижесінде қорғанысты айналып өтудің бір әдісі бар.
Ғажайып қызметтің соншалықты жұмсақ және сезімтал екенін біліп, мен оның үшінші тарап кітапханаларына тәуелділігін тексеруді шештім. Мұнда әлдеқайда қарапайым, тізім үлкен, біз WinSock_II кітапханасын кездейсоқ түрде өшіреміз және ұқсас суретті көреміз - қызмет іске қосылмаған, жүйе ашық.
Нәтижесінде, бізде семинарда спикер сипаттаған нәрсе бар, қуатты қоршау, бірақ ақшаның жоқтығынан бүкіл қорғалған периметрді қоршап алмаған және жабылмаған жерде жай ғана тікенді итмұрын бар. Бұл жағдайда бағдарламалық өнімнің архитектурасын ескере отырып, ол әдепкі бойынша жабық ортаны білдірмейді, бірақ әртүрлі штепсельдер, тосқауылдар, трафик анализаторлары, бұл көптеген жолақтар бұрандалы пикеттік қоршау болып табылады. сыртын өздігінен бұрап тұратын бұрандалармен және бұрап алу өте оңай. Осы шешімдердің көпшілігінің мәселесі мынада, әлеуетті саңылаулардың үлкен санымен әрқашан бір нәрсені ұмытып кету, қарым-қатынасты жоғалту немесе тосқауылдардың бірін сәтсіз енгізу арқылы тұрақтылыққа әсер ету мүмкіндігі бар. Осы мақалада келтірілген осалдықтардың жай ғана бетінде екеніне сүйенсек, өнімде іздеуге бірнеше сағат қажет болатын көптеген басқалар бар.
Сонымен қатар, нарық өшіруден қорғауды сауатты енгізу мысалдарына толы, мысалы, өзін-өзі қорғауды айналып өту мүмкін емес отандық антивирустық өнімдер. Менің білуімше, олар FSTEC сертификатынан өтуге жалқау болған жоқ.
Smart Line қызметкерлерімен бірнеше рет сөйлескеннен кейін олар естімеген бірнеше ұқсас орындар табылды. Бір мысал AppInitDll механизмі болып табылады.
Бұл ең терең болмауы мүмкін, бірақ көптеген жағдайларда ол ОЖ ядросына кірмей және оның тұрақтылығына әсер етпей жасауға мүмкіндік береді. nVidia драйверлері белгілі бір ойынға арналған бейне адаптерді реттеу үшін осы механизмді толық пайдаланады.
DL 8.2 негізіндегі автоматтандырылған жүйені құрудың кешенді тәсілінің толық болмауы сұрақтар тудырады. Тұтынушыға өнімнің артықшылықтарын сипаттау, бар компьютерлер мен серверлердің есептеу қуатын тексеру ұсынылады (контекстік анализаторлар өте көп ресурстарды қажет етеді және қазіргі заманғы сәнді кеңсе компьютерлері мен Atom негізіндегі неттоптар жарамайды. бұл жағдайда) және өнімді жай ғана үстіне жайыңыз. Сонымен бірге семинарда «қолжетімділікті басқару» және «жабық бағдарламалық орта» сияқты терминдер тіпті айтылмады. Шифрлау туралы, күрделіліктен басқа, реттеушілер тарапынан сұрақтар туындайтыны айтылды, бірақ іс жүзінде онымен ешқандай проблемалар жоқ. Сертификаттауға қатысты сұрақтар, тіпті FSTEC-те де, олардың болжамды күрделілігі мен ұзақтығына байланысты жойылады. Осындай процедураларға бірнеше рет қатысқан ақпараттық қауіпсіздік маманы ретінде айта аламын, оларды орындау барысында осы материалда сипатталғанға ұқсас көптеген осалдықтар анықталды, өйткені сертификаттау зертханаларының мамандары күрделі мамандандырылған дайындықтан өткен.
Нәтижесінде, ұсынылған DLP жүйесі ақпараттық қауіпсіздікті қамтамасыз ететін өте аз функциялар жиынтығын орындай алады, сонымен бірге маңызды есептеу жүктемесін тудырады және ақпараттық қауіпсіздік мәселелерінде тәжірибесі жоқ компания басшылығы арасында корпоративтік деректерге қауіпсіздік сезімін тудырады.
Ол шын мәнінде үлкен деректерді артықшылықсыз пайдаланушыдан ғана қорғай алады, өйткені... әкімші қорғанысты толығымен өшіре алады, ал үлкен құпиялар үшін тіпті кіші тазалау менеджері экранды мұқият суретке түсіре алады, тіпті әріптесінің экранына қарап мекенжайды немесе несие картасының нөмірін есте сақтай алады. иық.
Оның үстіне, мұның бәрі қызметкерлердің компьютердің ішкі бөліктеріне немесе сыртқы медиадан жүктеуді белсендіру үшін, кем дегенде, BIOS-қа физикалық қол жеткізуі мүмкін болмаған жағдайда ғана дұрыс. Сонда тіпті ақпаратты қорғауды ойлап жүрген компанияларда қолданылуы екіталай BitLocker да көмектеспеуі мүмкін.
Қорытынды, қаншалықты қарапайым болып көрінсе де, ақпараттық қауіпсіздікке кешенді көзқарас, оның ішінде бағдарламалық/аппараттық шешімдер ғана емес, сонымен қатар фото/бейне түсірілімдерді болдырмайтын және рұқсат етілмеген «феноменальды жады бар ұлдардың» кіруіне жол бермеу жөніндегі ұйымдастырушылық және техникалық шаралар. сайт. Кәсіпорынның қауіпсіздік мәселелерінің көпшілігіне бір қадамдық шешім ретінде жарнамаланатын DL 8.2 ғажайып өніміне ешқашан сенбеу керек.
Ақпарат көзі: www.habr.com