Kontroll vun all Informatioun zirkuléieren an enger Organisatioun ass eng vun den Haaptaufgaben an der praktescher Ëmsetzung vun organisatoreschen an administrativen Dokumenter (Informatiounssécherheetspolitik an aner intern Dokumenter vun nidderegen Niveauen) vun der Organisatioun.
Systemer fir Leckage vu vertraulecher Informatioun aus engem Informatiounssystem ze vermeiden (Data Leak Prevention, DLP) si gréisstendeels fäeg dëse Problem ze léisen.
Et gi genuch Varietéiten vun dëse Systemer um modernen Maart, zum Beispill: SearchInform DLP, Infowatch Traffic Monitor DLP, Zecurion DLP, Symantec DLP an anerer. Awer haut wäert dësen Artikel iwwer d'Produkt vum SearchInform LLC handelen.
SearchInform Information Security Circuit (CIB Searchinform) ass e seriöse an héich personaliséierbare Softwarepaket deen a senger Funktionalitéit an extensiv analyteschen Tools e seriöse Konkurrenz fir aner Firmen an dësem Beräich schaaft. Awer wéi all Produkter huet CIB Searchinform ee vu sengen Nodeeler, déi elo diskutéiert ginn.
Figur 1 - Logo vun CIB Searchinform
Am KIB Searchinform ass eng vun de Quelle vun der Informatiounssammlung en Agent (Windows/LinuxAgent fir Betribssystem Windows, wat d'OS ugeet LinuxEt huet e modulare Datensammlungssystem, deen no Bedarf aktivéiert oder deaktivéiert ka ginn. Mir kucken eis de Modul "Geräter" un (Kontroll vun externen Apparater, Netzwierkapparater, Prozesser, etc.). Eng Demo-Versioun vun dësem Produkt (mat voller Funktionalitéit) ass offiziell op der Websäit vum Entwéckler verfügbar. Weider Aktiounen ginn mat dem Lizenzschlëssel duerchgefouert, deen Dir kritt hutt - EndPointController Versioun 5.51.0.9 (Agent Versioun 5.51.0.9).
Den Haaptproblem an der Operatioun vun dësem Modul ass den Algorithmus fir d'Verschlësselung vun Informatioun op externen eraushuelbare Geräter. Loosst eis de Prinzip vun der Operatioun vum Verschlësselungsalgorithmus am KIB Searchinform betruechten.
Mir installéieren den Agent op der Workstation a setzen d'Aarbechtskontroll vun externen Apparater (Device Modul) an der Rubrik "Network Neighborhood" EndPointController 5.51.0.9
Figur 2 - Installatioun an Tour op de Modul
Mir konfiguréieren d'Verschlësselung an den Astellunge vum Apparat Modul vun der Tab "Verschlësselung": Generéiere e Schlëssel an aktivéiert Verschlësselung fir all Medien (et ass méiglech Verschlësselung nëmme fir verschidde Medien z'aktivéieren).
Figur 3 - Astelle eng wäiss Lëscht
Figur 4 - Verschlësselung Configuratioun
Loosst eis elo ufänken de Dateieverschlësselungsalgorithmus fir dëst Produkt ze analyséieren. Loosst eis d'Dateien "Install.exe" an "Fundamentals of Law.rtf" vun der kontrolléierter Aarbechtsstatioun "WINOC" op den externen eraushuelbare Medien "Removable Disk (E:)" kopéieren. Wéi an der Figur 5 gesi ka ginn, goufen d'Objeten "Install.exe" an "Fundamentals of Law.rtf" am verstoppte "System Volume Information" Dossier erstallt. Also kënne mir schléissen datt den Ordner "System Volume Information" eng Lëscht vun verschlësselten Objeten op eraushuelbare Medien enthält.
Figur 5 - "System Volume Informatioun" Dossier
Figur 6 - Root Dossier vun eraushuelbare Stockage Medien
Wéi Dir wësst, ginn et dräi Aspekter op deenen Informatiounssécherheet opgebaut ass: Integritéit, Disponibilitéit a Vertraulechkeet. Dës Aspekter gi mat dëser Verschlësselungs Approche verletzt, well Systeminformatioun iwwer ob en Objet verschlësselt ass oder net am Objektheader selwer muss sinn.
Mat der aktueller Konstruktioun vum Algorithmus ginn et méiglech Optiounen fir zoufälleg Ännerung / Läschen vun Objeten am Dossier "System Volume Information" op eraushuelbare Medien mat weiderem Verloscht vun den ursprénglechen verschlësselten Objeten, souwéi Ännerung vun den Objeten selwer op onkontrolléiert Statiounen (zum Beispill: den "Install.exe" Objet mam Netzwee "E" :Install.exe" ëmbenennen op engem Computer ouni Agent, während d'Informatiounsdatei vum KIB Searchinform Software Produkt am Dossier "System Volume Information" " Install.exe" am Netzwee "E:System Volume InformationInstall.exe" bleift onverännert, well et keen Agent gëtt deen d'Serviceinformatioun ännert, an dës Datei opzemaachen ass onméiglech).
Loosst eis hoffen, datt den Entwéckler dës Defizit an der Operatioun vun der Verschlësselungsfunktioun fir eraushuelbare Späichermedien am KIB Searchinform Produkt notéiert a säin Algorithmus ännert.
Source: will.com
