ProHoster > Blogs > Administrācija > DeviceLock 8.2 DLP sistēma - necaurlaidÄ«gs piketu aizsargs, lai aizsargātu jÅ«su droŔību

DeviceLock 8.2 DLP sistēma - necaurlaidÄ«gs piketu aizsargs, lai aizsargātu jÅ«su droŔību

2017. gada oktobrÄ« man bija iespēja apmeklēt DeviceLock DLP sistēmas reklāmas semināru, kurā papildus galvenajai aizsardzÄ«bas pret noplÅ«dēm funkcionalitātei, piemēram, USB portu aizvērÅ”anai, pasta un starpliktuves kontekstuālajai analÄ«zei, tika nodroÅ”ināta arÄ« administratora aizsardzÄ«ba. reklamēts. Modelis ir vienkārÅ”s un skaists ā€“ mazā uzņēmumā ierodas instalētājs, instalē programmu komplektu, iestata BIOS paroli, izveido DeviceLock administratora kontu un atstāj tikai tiesÄ«bas pārvaldÄ«t paÅ”u Windows un pārējo programmatÅ«ru vietējam. admin. Pat ja ir nolÅ«ks, Å”is admins neko nevarēs nozagt. Bet tā visa ir teorija...

Jo vairāk nekā 20+ gadus strādājot informācijas droŔības rīku izstrādes jomā, biju nepārprotami pārliecināts, ka administrators var darīt jebko, īpaŔi ar fizisku pieeju datoram, tad galvenā aizsardzība pret to var būt tikai organizatoriski pasākumi kā stingra atskaite un svarīgu informāciju saturoŔu datoru fiziska aizsardzība, tad uzreiz radās ideja pārbaudīt piedāvātās preces izturību.

Mēģinājums to izdarÄ«t uzreiz pēc semināra beigām bija nesekmÄ«gs, tika veikta aizsardzÄ«ba pret galvenā pakalpojuma DlService.exe dzÄ“Å”anu un pat netika aizmirsts par piekļuves tiesÄ«bām un pēdējās veiksmÄ«gās konfigurācijas izvēli, kā rezultātā viņi to nogāza, tāpat kā lielākā daļa vÄ«rusu, liedzot sistēmai piekļuvi lasÄ«Å”anai un izpildei, neizdevās.

Uz visiem jautājumiem par, iespējams, produktā iekļauto draiveru aizsardzÄ«bu, Smart Line izstrādātāja pārstāvis pārliecinoÅ”i norādÄ«ja, ka ā€œviss ir vienā lÄ«menÄ«ā€.

Dienu vēlāk es nolēmu turpināt pētÄ«jumu un lejupielādēju izmēģinājuma versiju. Mani uzreiz pārsteidza izplatÄ«Å”anas lielums, gandrÄ«z 2 GB! Esmu pieradis, ka sistēmas programmatÅ«ra, kas parasti tiek klasificēta kā informācijas droŔības rÄ«ki (ISIS), parasti ir daudz kompaktāka.

Pēc instalÄ“Å”anas biju pārsteigts jau otro reizi - arÄ« iepriekÅ” minētā izpildāmā faila izmērs ir diezgan liels - 2MB. Uzreiz nodomāju, ka ar tādu skaļumu ir uz ko Ä·erties. Es mēģināju nomainÄ«t moduli, izmantojot aizkavētu ierakstÄ«Å”anu - tas tika aizvērts. Iedziļinājos programmu katalogos, un tur jau bija 13 draiveri! Es pabāzu atļaujas - tās nav slēgtas izmaiņām! Labi, visi ir aizliegti, pārslogosim!

Efekts ir vienkārÅ”i burvÄ«gs - visas funkcijas ir atspējotas, pakalpojums netiek palaists. Kāda tur paÅ”aizsardzÄ«ba, ņem un kopē ko gribi, kaut vai zibatmiņās, pat pa tÄ«klu. ParādÄ«jās pirmais nopietnais sistēmas trÅ«kums - pārāk spēcÄ«ga komponentu savstarpējā saikne. Jā, dienestam bÅ«tu jāsazinās ar Å”oferiem, bet kāpēc jācÄ«nās, ja neviens nereaģē? Tā rezultātā ir viena metode, kā apiet aizsardzÄ«bu.

Uzzinājis, ka brÄ«numpakalpojums ir tik delikāts un jutÄ«gs, es nolēmu pārbaudÄ«t tā atkarÄ«bu no treÅ”o puÅ”u bibliotēkām. Å eit ir vēl vienkārŔāk, saraksts ir liels, mēs vienkārÅ”i nejauÅ”i izdzÄ“Å”am WinSock_II bibliotēku un redzam lÄ«dzÄ«gu attēlu - pakalpojums nav palaists, sistēma ir atvērta.

Rezultātā mums ir tas pats, ko runātājs aprakstÄ«ja seminārā, jaudÄ«gs žogs, bet naudas trÅ«kuma dēļ nenožogot visu aizsargājamo perimetru, un nesegtajā vietā ir vienkārÅ”i dzeloņrozes. Å ajā gadÄ«jumā, ņemot vērā programmatÅ«ras produkta arhitektÅ«ru, kas pēc noklusējuma nenozÄ«mē slēgtu vidi, bet dažādus spraudņus, pārtvērējus, satiksmes analizatorus, tas drÄ«zāk ir pikets, kurā daudzas lentes ir pieskrÅ«vētas. ārpuse ar paÅ”vÄ«tņojoŔām skrÅ«vēm un ļoti viegli atskrÅ«vējama. Problēma ar lielāko daļu Å”o risinājumu ir tāda, ka ar tik milzÄ«gu skaitu potenciālo caurumu vienmēr pastāv iespēja kaut ko aizmirst, palaist garām attiecÄ«bas vai ietekmēt stabilitāti, neveiksmÄ«gi ievieÅ”ot kādu no pārtvērējiem. Spriežot pēc tā, ka Å”ajā rakstā aprakstÄ«tās ievainojamÄ«bas ir tikai virspusējas, produkts satur daudzas citas, kuru meklÄ“Å”ana prasÄ«s pāris stundas ilgāk.

Turklāt tirgus ir pilns ar piemēriem kompetentai izslēgÅ”anas aizsardzÄ«bas ievieÅ”anai, piemēram, vietējiem pretvÄ«rusu produktiem, kur paÅ”aizsardzÄ«bu nevar vienkārÅ”i apiet. Cik man zināms, viņi nebija pārāk slinki, lai izietu FSTEC sertifikāciju.

Veicot vairākas sarunas ar Smart Line darbiniekiem, tika atrastas vairākas lÄ«dzÄ«gas vietas, par kurām viņi pat nebija dzirdējuÅ”i. Viens piemērs ir AppInitDll mehānisms.

Tas var nebÅ«t dziļākais, taču daudzos gadÄ«jumos tas ļauj iztikt, neiekļūstot OS kodolā un neietekmējot tā stabilitāti. nVidia draiveri pilnÄ«bā izmanto Å”o mehānismu, lai pielāgotu video adapteri konkrētai spēlei.

PilnÄ«gs integrētas pieejas trÅ«kums automatizētas sistēmas izveidei, kuras pamatā ir DL 8.2, rada jautājumus. Klientam tiek piedāvāts aprakstÄ«t produkta priekÅ”rocÄ«bas, pārbaudÄ«t esoÅ”o personālo datoru un serveru skaitļoÅ”anas jaudu (konteksta analizatori ir ļoti resursietilpÄ«gi un Å”obrÄ«d modÄ«gie biroja viss vienā datori un Atom bāzes nettopi nav piemēroti Å”ajā gadÄ«jumā) un vienkārÅ”i izrullējiet produktu virsÅ«. Tajā paŔā laikā tādi jēdzieni kā ā€œpiekļuves kontroleā€ un ā€œslēgta programmatÅ«ras videā€ seminārā pat netika pieminēti. Par Å”ifrÄ“Å”anu tika teikts, ka papildus sarežģītÄ«bai tas radÄ«s jautājumus no regulatoriem, lai gan patiesÄ«bā ar to nav nekādu problēmu. Jautājumi par sertifikāciju, pat FSTEC, tiek ignorēti to Ŕķietamās sarežģītÄ«bas un garuma dēļ. Kā informācijas droŔības speciālists, kurÅ” vairākkārt piedalÄ«jies Ŕādās procedÅ«rās, varu teikt, ka to veikÅ”anas procesā atklājas daudzas Å”ajā materiālā aprakstÄ«tajām ievainojamÄ«bas, jo sertifikācijas laboratoriju speciālistiem ir nopietna specializēta apmācÄ«ba.

Rezultātā prezentētā DLP sistēma spēj veikt ļoti nelielu funkciju kopumu, kas reāli nodroÅ”ina informācijas droŔību, vienlaikus radot nopietnu skaitļoÅ”anas slodzi un radot korporatÄ«vajiem datiem droŔības sajÅ«tu informācijas droŔības lietās nepieredzējuÅ”ajā uzņēmuma vadÄ«bā.

Tas patieŔām var aizsargāt patieŔām lielus datus tikai no nepievilcÄ«ga lietotāja, jo... administrators ir diezgan spējÄ«gs pilnÄ«bā deaktivizēt aizsardzÄ«bu, un par lieliem noslēpumiem pat jaunākais tÄ«rÄ«Å”anas vadÄ«tājs varēs diskrēti nofotografēt ekrānu vai pat atcerēties adresi vai kredÄ«tkartes numuru, skatoties uz ekrānu pār kolēģa plecu.
Turklāt tas viss ir taisnÄ«ba tikai tad, ja darbiniekiem nav iespējams fiziski piekļūt datora iekÅ”pusei vai vismaz BIOS, lai aktivizētu sāknÄ“Å”anu no ārējiem datu nesējiem. Tad var nepalÄ«dzēt pat BitLocker, ko diez vai izmantos uzņēmumos, kas tikai domā par informācijas aizsardzÄ«bu.

Secinājums, lai arÄ« cik banāls tas neizklausÄ«tos, ir integrēta pieeja informācijas droŔībai, kas ietver ne tikai programmatÅ«ras/aparatÅ«ras risinājumus, bet arÄ« organizatoriskus un tehniskus pasākumus, lai izslēgtu foto/video uzņemÅ”anu un nepieļautu nesankcionētu ā€œpuiÅ”u ar fenomenālu atmiņuā€ iekļūŔanu. vietne. Nekādā gadÄ«jumā nevajadzētu paļauties uz brÄ«numproduktu DL 8.2, kas tiek reklamēts kā viena posma risinājums lielākajai daļai uzņēmuma droŔības problēmu.

Avots: www.habr.com

Pievieno komentāru