2017. gada oktobrÄ« man bija iespÄja apmeklÄt DeviceLock DLP sistÄmas reklÄmas seminÄru, kurÄ papildus galvenajai aizsardzÄ«bas pret noplÅ«dÄm funkcionalitÄtei, piemÄram, USB portu aizvÄrÅ”anai, pasta un starpliktuves kontekstuÄlajai analÄ«zei, tika nodroÅ”inÄta arÄ« administratora aizsardzÄ«ba. reklamÄts. Modelis ir vienkÄrÅ”s un skaists ā mazÄ uzÅÄmumÄ ierodas instalÄtÄjs, instalÄ programmu komplektu, iestata BIOS paroli, izveido DeviceLock administratora kontu un atstÄj tikai tiesÄ«bas pÄrvaldÄ«t paÅ”u Windows un pÄrÄjo programmatÅ«ru vietÄjam. admin. Pat ja ir nolÅ«ks, Å”is admins neko nevarÄs nozagt. Bet tÄ visa ir teorija...
Jo vairÄk nekÄ 20+ gadus strÄdÄjot informÄcijas droŔības rÄ«ku izstrÄdes jomÄ, biju nepÄrprotami pÄrliecinÄts, ka administrators var darÄ«t jebko, Ä«paÅ”i ar fizisku pieeju datoram, tad galvenÄ aizsardzÄ«ba pret to var bÅ«t tikai organizatoriski pasÄkumi kÄ stingra atskaite un svarÄ«gu informÄciju saturoÅ”u datoru fiziska aizsardzÄ«ba, tad uzreiz radÄs ideja pÄrbaudÄ«t piedÄvÄtÄs preces izturÄ«bu.
MÄÄ£inÄjums to izdarÄ«t uzreiz pÄc seminÄra beigÄm bija nesekmÄ«gs, tika veikta aizsardzÄ«ba pret galvenÄ pakalpojuma DlService.exe dzÄÅ”anu un pat netika aizmirsts par piekļuves tiesÄ«bÄm un pÄdÄjÄs veiksmÄ«gÄs konfigurÄcijas izvÄli, kÄ rezultÄtÄ viÅi to nogÄza, tÄpat kÄ lielÄkÄ daļa vÄ«rusu, liedzot sistÄmai piekļuvi lasÄ«Å”anai un izpildei, neizdevÄs.
Uz visiem jautÄjumiem par, iespÄjams, produktÄ iekļauto draiveru aizsardzÄ«bu, Smart Line izstrÄdÄtÄja pÄrstÄvis pÄrliecinoÅ”i norÄdÄ«ja, ka āviss ir vienÄ lÄ«menÄ«ā.
Dienu vÄlÄk es nolÄmu turpinÄt pÄtÄ«jumu un lejupielÄdÄju izmÄÄ£inÄjuma versiju. Mani uzreiz pÄrsteidza izplatÄ«Å”anas lielums, gandrÄ«z 2 GB! Esmu pieradis, ka sistÄmas programmatÅ«ra, kas parasti tiek klasificÄta kÄ informÄcijas droŔības rÄ«ki (ISIS), parasti ir daudz kompaktÄka.
PÄc instalÄÅ”anas biju pÄrsteigts jau otro reizi - arÄ« iepriekÅ” minÄtÄ izpildÄmÄ faila izmÄrs ir diezgan liels - 2MB. Uzreiz nodomÄju, ka ar tÄdu skaļumu ir uz ko Ä·erties. Es mÄÄ£inÄju nomainÄ«t moduli, izmantojot aizkavÄtu ierakstÄ«Å”anu - tas tika aizvÄrts. IedziļinÄjos programmu katalogos, un tur jau bija 13 draiveri! Es pabÄzu atļaujas - tÄs nav slÄgtas izmaiÅÄm! Labi, visi ir aizliegti, pÄrslogosim!
Efekts ir vienkÄrÅ”i burvÄ«gs - visas funkcijas ir atspÄjotas, pakalpojums netiek palaists. KÄda tur paÅ”aizsardzÄ«ba, Åem un kopÄ ko gribi, kaut vai zibatmiÅÄs, pat pa tÄ«klu. ParÄdÄ«jÄs pirmais nopietnais sistÄmas trÅ«kums - pÄrÄk spÄcÄ«ga komponentu savstarpÄjÄ saikne. JÄ, dienestam bÅ«tu jÄsazinÄs ar Å”oferiem, bet kÄpÄc jÄcÄ«nÄs, ja neviens nereaÄ£Ä? TÄ rezultÄtÄ ir viena metode, kÄ apiet aizsardzÄ«bu.
UzzinÄjis, ka brÄ«numpakalpojums ir tik delikÄts un jutÄ«gs, es nolÄmu pÄrbaudÄ«t tÄ atkarÄ«bu no treÅ”o puÅ”u bibliotÄkÄm. Å eit ir vÄl vienkÄrÅ”Äk, saraksts ir liels, mÄs vienkÄrÅ”i nejauÅ”i izdzÄÅ”am WinSock_II bibliotÄku un redzam lÄ«dzÄ«gu attÄlu - pakalpojums nav palaists, sistÄma ir atvÄrta.
RezultÄtÄ mums ir tas pats, ko runÄtÄjs aprakstÄ«ja seminÄrÄ, jaudÄ«gs žogs, bet naudas trÅ«kuma dÄļ nenožogot visu aizsargÄjamo perimetru, un nesegtajÄ vietÄ ir vienkÄrÅ”i dzeloÅrozes. Å ajÄ gadÄ«jumÄ, Åemot vÄrÄ programmatÅ«ras produkta arhitektÅ«ru, kas pÄc noklusÄjuma nenozÄ«mÄ slÄgtu vidi, bet dažÄdus spraudÅus, pÄrtvÄrÄjus, satiksmes analizatorus, tas drÄ«zÄk ir pikets, kurÄ daudzas lentes ir pieskrÅ«vÄtas. Ärpuse ar paÅ”vÄ«tÅojoÅ”Äm skrÅ«vÄm un ļoti viegli atskrÅ«vÄjama. ProblÄma ar lielÄko daļu Å”o risinÄjumu ir tÄda, ka ar tik milzÄ«gu skaitu potenciÄlo caurumu vienmÄr pastÄv iespÄja kaut ko aizmirst, palaist garÄm attiecÄ«bas vai ietekmÄt stabilitÄti, neveiksmÄ«gi ievieÅ”ot kÄdu no pÄrtvÄrÄjiem. Spriežot pÄc tÄ, ka Å”ajÄ rakstÄ aprakstÄ«tÄs ievainojamÄ«bas ir tikai virspusÄjas, produkts satur daudzas citas, kuru meklÄÅ”ana prasÄ«s pÄris stundas ilgÄk.
TurklÄt tirgus ir pilns ar piemÄriem kompetentai izslÄgÅ”anas aizsardzÄ«bas ievieÅ”anai, piemÄram, vietÄjiem pretvÄ«rusu produktiem, kur paÅ”aizsardzÄ«bu nevar vienkÄrÅ”i apiet. Cik man zinÄms, viÅi nebija pÄrÄk slinki, lai izietu FSTEC sertifikÄciju.
Veicot vairÄkas sarunas ar Smart Line darbiniekiem, tika atrastas vairÄkas lÄ«dzÄ«gas vietas, par kurÄm viÅi pat nebija dzirdÄjuÅ”i. Viens piemÄrs ir AppInitDll mehÄnisms.
Tas var nebÅ«t dziļÄkais, taÄu daudzos gadÄ«jumos tas ļauj iztikt, neiekļūstot OS kodolÄ un neietekmÄjot tÄ stabilitÄti. nVidia draiveri pilnÄ«bÄ izmanto Å”o mehÄnismu, lai pielÄgotu video adapteri konkrÄtai spÄlei.
PilnÄ«gs integrÄtas pieejas trÅ«kums automatizÄtas sistÄmas izveidei, kuras pamatÄ ir DL 8.2, rada jautÄjumus. Klientam tiek piedÄvÄts aprakstÄ«t produkta priekÅ”rocÄ«bas, pÄrbaudÄ«t esoÅ”o personÄlo datoru un serveru skaitļoÅ”anas jaudu (konteksta analizatori ir ļoti resursietilpÄ«gi un Å”obrÄ«d modÄ«gie biroja viss vienÄ datori un Atom bÄzes nettopi nav piemÄroti Å”ajÄ gadÄ«jumÄ) un vienkÄrÅ”i izrullÄjiet produktu virsÅ«. TajÄ paÅ”Ä laikÄ tÄdi jÄdzieni kÄ āpiekļuves kontroleā un āslÄgta programmatÅ«ras videā seminÄrÄ pat netika pieminÄti. Par Å”ifrÄÅ”anu tika teikts, ka papildus sarežģītÄ«bai tas radÄ«s jautÄjumus no regulatoriem, lai gan patiesÄ«bÄ ar to nav nekÄdu problÄmu. JautÄjumi par sertifikÄciju, pat FSTEC, tiek ignorÄti to ŔķietamÄs sarežģītÄ«bas un garuma dÄļ. KÄ informÄcijas droŔības speciÄlists, kurÅ” vairÄkkÄrt piedalÄ«jies Å”ÄdÄs procedÅ«rÄs, varu teikt, ka to veikÅ”anas procesÄ atklÄjas daudzas Å”ajÄ materiÄlÄ aprakstÄ«tajÄm ievainojamÄ«bas, jo sertifikÄcijas laboratoriju speciÄlistiem ir nopietna specializÄta apmÄcÄ«ba.
RezultÄtÄ prezentÄtÄ DLP sistÄma spÄj veikt ļoti nelielu funkciju kopumu, kas reÄli nodroÅ”ina informÄcijas droŔību, vienlaikus radot nopietnu skaitļoÅ”anas slodzi un radot korporatÄ«vajiem datiem droŔības sajÅ«tu informÄcijas droŔības lietÄs nepieredzÄjuÅ”ajÄ uzÅÄmuma vadÄ«bÄ.
Tas patieÅ”Äm var aizsargÄt patieÅ”Äm lielus datus tikai no nepievilcÄ«ga lietotÄja, jo... administrators ir diezgan spÄjÄ«gs pilnÄ«bÄ deaktivizÄt aizsardzÄ«bu, un par lieliem noslÄpumiem pat jaunÄkais tÄ«rÄ«Å”anas vadÄ«tÄjs varÄs diskrÄti nofotografÄt ekrÄnu vai pat atcerÄties adresi vai kredÄ«tkartes numuru, skatoties uz ekrÄnu pÄr kolÄÄ£a plecu.
TurklÄt tas viss ir taisnÄ«ba tikai tad, ja darbiniekiem nav iespÄjams fiziski piekļūt datora iekÅ”pusei vai vismaz BIOS, lai aktivizÄtu sÄknÄÅ”anu no ÄrÄjiem datu nesÄjiem. Tad var nepalÄ«dzÄt pat BitLocker, ko diez vai izmantos uzÅÄmumos, kas tikai domÄ par informÄcijas aizsardzÄ«bu.
SecinÄjums, lai arÄ« cik banÄls tas neizklausÄ«tos, ir integrÄta pieeja informÄcijas droŔībai, kas ietver ne tikai programmatÅ«ras/aparatÅ«ras risinÄjumus, bet arÄ« organizatoriskus un tehniskus pasÄkumus, lai izslÄgtu foto/video uzÅemÅ”anu un nepieļautu nesankcionÄtu āpuiÅ”u ar fenomenÄlu atmiÅuā iekļūŔanu. vietne. NekÄdÄ gadÄ«jumÄ nevajadzÄtu paļauties uz brÄ«numproduktu DL 8.2, kas tiek reklamÄts kÄ viena posma risinÄjums lielÄkajai daļai uzÅÄmuma droŔības problÄmu.
Avots: www.habr.com