2017 оны XNUMX-р сард би DeviceLock DLP системийн сурталчилгааны семинарт оролцох завшаан тохиосон бөгөөд энд USB портуудыг хаах, шуудан болон санах ойд контекст дүн шинжилгээ хийх гэх мэт алдагдлаас хамгаалах үндсэн функцээс гадна администраторын хамгаалалт байсан. сурталчилсан. Загвар нь энгийн бөгөөд үзэсгэлэнтэй - суулгагч нь жижиг компанид ирж, олон тооны програм суулгаж, BIOS-ийн нууц үгийг тохируулж, DeviceLock администраторын бүртгэлийг үүсгэж, зөвхөн Windows болон бусад програм хангамжийг удирдах эрхийг дотоодод үлдээдэг. админ. Хэдийгээр санаатай байсан ч энэ админ юу ч хулгайлж чадахгүй. Гэхдээ энэ бүхэн онол юм ...
Учир нь Мэдээллийн аюулгүй байдлын хэрэгслийг хөгжүүлэх чиглэлээр 20 гаруй жил ажилласандаа администратор юу ч хийж чадна, ялангуяа компьютерт биечлэн хандах боломжтой гэдэгт би итгэлтэй байсан, тэгвэл үүнээс хамгаалах гол хамгаалалт нь зөвхөн хатуу тайлагнах, мэдээлэл өгөх зэрэг зохион байгуулалтын арга хэмжээ байх болно. чухал мэдээллийг агуулсан компьютерийн физик хамгаалалт, дараа нь тэр даруй санал болгож буй бүтээгдэхүүний бат бөх чанарыг шалгах санаа гарч ирэв.
Семинар дууссаны дараа үүнийг хийх оролдлого бүтэлгүйтсэн бөгөөд DlService.exe үндсэн үйлчилгээг устгахаас хамгаалсан бөгөөд үүний үр дүнд тэд нэвтрэх эрх, сүүлчийн амжилттай тохиргоог сонгох талаар мартсангүй. Тэд үүнийг ихэнх вирусын нэгэн адил устгаж, системд унших, ажиллуулах эрхийг хориглосон боловч бүтсэнгүй.
Бүтээгдэхүүнд багтсан жолооч нарын хамгаалалтын талаархи бүх асуултанд Smart Line хөгжүүлэгчийн төлөөлөгч "бүх зүйл ижил түвшинд байна" гэж итгэлтэйгээр мэдэгдэв.
Нэг өдрийн дараа би судалгаагаа үргэлжлүүлэхээр шийдэж, туршилтын хувилбарыг нь татаж авлаа. Би тэр даруй түгээлтийн хэмжээ, бараг 2 ГБ-т гайхсан! Мэдээллийн аюулгүй байдлын хэрэгсэл (ISIS) гэж ангилдаг системийн программ хангамж нь ихэвчлэн илүү авсаархан хэмжээтэй байдагт би дассан.
Суулгасны дараа би хоёр дахь удаагаа гайхсан - дээр дурдсан гүйцэтгэх файлын хэмжээ бас нэлээд том - 2MB. Ийм хэмжээний эзэлхүүнтэй байхад барьж авах зүйл байна гэж би шууд бодсон. Би модулийг хойшлуулсан бичлэг ашиглан солихыг оролдсон - энэ нь хаалттай байсан. Би програмын каталогийг ухаж үзээд аль хэдийн 13 жолооч байсан! Би зөвшөөрлүүдийг цохьсон - тэдгээрийг өөрчлөхөд хаагдаагүй! За, бүгд хориглогдсон, хэт ачаалцгаая!
Үр нөлөө нь зүгээр л сэтгэл татам юм - бүх функцууд идэвхгүй болсон, үйлчилгээ эхлэхгүй. Өөрийгөө хамгаалах ямар байдаг юм бэ, флаш диск дээр ч юм уу, сүлжээгээр ч хамаагүй хүссэн бүхнээ аваад хуулж аваарай. Системийн анхны ноцтой дутагдал гарч ирэв - бүрэлдэхүүн хэсгүүдийн харилцан холболт хэтэрхий хүчтэй байсан. Тиймээ, үйлчилгээ нь жолооч нартай харилцах ёстой, гэхдээ хэн ч хариу өгөхгүй бол яагаад осолдох вэ? Үүний үр дүнд хамгаалалтыг тойрч гарах нэг арга бий.
Гайхамшигт үйлчилгээ нь маш зөөлөн бөгөөд мэдрэмтгий болохыг олж мэдээд би түүний гуравдагч этгээдийн номын сангаас хамааралтай эсэхийг шалгахаар шийдсэн. Энд бүр ч хялбар, жагсаалт том байна, бид зүгээр л WinSock_II номын санг санамсаргүй байдлаар устгаад ижил төстэй зургийг харна уу - үйлчилгээ эхлээгүй, систем нээлттэй байна.
Үүний үр дүнд бид семинарт илтгэгчийн тайлбарласантай ижил зүйлтэй, хүчирхэг хашаатай, гэхдээ мөнгөгүйн улмаас хамгаалагдсан периметрийг бүхэлд нь хаадаггүй, таглаагүй газарт зүгээр л өргөст хонго байдаг. Энэ тохиолдолд програм хангамжийн бүтээгдэхүүний архитектурыг харгалзан үзэхэд энэ нь анхдагчаар хаалттай орчин биш, харин янз бүрийн залгуур, саатуулагч, хөдөлгөөний анализаторыг агуулдаг бөгөөд энэ нь олон туузыг шургалсан хашаа юм. гадна тал нь өөрөө түншдэг эрэг, тайлахад маш хялбар. Эдгээр шийдлүүдийн ихэнхийн асуудал нь ийм асар олон тооны боломжит цоорхойтой үед ямар нэг зүйлийг мартах, харилцаагаа алдах, эсвэл саад тотгоруудын аль нэгийг амжилттай хэрэгжүүлснээр тогтвортой байдалд нөлөөлөх магадлал үргэлж байдаг. Энэ нийтлэлд дурдсан эмзэг талууд нь зүгээр л гадаргуу дээр байгаа тул бүтээгдэхүүн нь хайхад хэдэн цаг шаардагдах бусад олон зүйлийг агуулдаг.
Түүгээр ч барахгүй зах зээл нь унтрах хамгаалалтыг чадварлаг хэрэгжүүлсэн жишээнүүдээр дүүрэн байдаг, жишээлбэл, өөрийгөө хамгаалахыг зүгээр л тойрч гарах боломжгүй дотоодын вирусын эсрэг бүтээгдэхүүн. Миний мэдэж байгаагаар тэд FSTEC гэрчилгээ авахаас залхуу биш байсан.
Ухаалаг шугамын ажилтнуудтай хэд хэдэн удаа ярилцсаны эцэст тэдний сонсоогүй ижил төстэй хэд хэдэн газар олдсон. Үүний нэг жишээ бол AppInitDll механизм юм.
Энэ нь хамгийн гүнзгий биш байж болох ч ихэнх тохиолдолд энэ нь үйлдлийн системийн цөмд орохгүйгээр, түүний тогтвортой байдалд нөлөөлөхгүйгээр хийх боломжийг олгодог. nVidia драйверууд нь тодорхой тоглоомд зориулж видео адаптерийг тохируулахын тулд энэ механизмыг бүрэн ашигладаг.
DL 8.2 дээр суурилсан автоматжуулсан системийг бий болгох нэгдсэн арга барил бүрэн байхгүй байгаа нь асуултуудыг бий болгож байна. Бүтээгдэхүүний давуу талуудыг хэрэглэгчдэд тайлбарлах, одоо байгаа компьютер, серверүүдийн тооцоолох чадварыг шалгахыг санал болгож байна (контекст анализаторууд нь маш их нөөц шаарддаг бөгөөд одоо загварлаг оффисын нэгдмэл компьютерууд болон Atom дээр суурилсан неттопууд тохиромжгүй байдаг. Энэ тохиолдолд) ба бүтээгдэхүүнийг зүгээр л дээрээс нь өнхрүүл. Үүний зэрэгцээ семинар дээр “хандах хяналт”, “програм хангамжийн хаалттай орчин” гэх мэт нэр томьёог огт дурдаагүй. Шифрлэлтийн талаар энэ нь нарийн төвөгтэй байдлаас гадна зохицуулагчдаас асуулт тавих болно гэж хэлсэн боловч бодит байдал дээр үүнтэй холбоотой асуудал байхгүй. FSTEC-д ч гэсэн гэрчилгээжүүлэхтэй холбоотой асуултууд нь нарийн төвөгтэй, урт хугацааны улмаас хойшлогддог. Ийм журамд удаа дараа оролцож байсан мэдээллийн аюулгүй байдлын мэргэжилтний хувьд тэдгээрийг хэрэгжүүлэх явцад энэ материалд дурдсантай ижил төстэй олон сул талууд илэрсэн гэж би хэлж чадна. баталгаажуулалтын лабораторийн мэргэжилтнүүд ноцтой нарийн мэргэжлийн сургалттай байдаг.
Үүний үр дүнд танилцуулсан DLP систем нь мэдээллийн аюулгүй байдлыг хангах маш бага хэмжээний функцийг гүйцэтгэхийн зэрэгцээ мэдээллийн аюулгүй байдлын талаар туршлагагүй компанийн удирдлагуудад тооцоолоход ноцтой ачааллыг бий болгож, корпорацийн мэдээллийн аюулгүй байдлын мэдрэмжийг бий болгож чадна.
Энэ нь зөвхөн эрх мэдэлгүй хэрэглэгчээс үнэхээр том өгөгдлийг хамгаалж чадна, учир нь... администратор хамгаалалтыг бүрэн идэвхгүй болгох чадвартай бөгөөд том нууцын хувьд бага цэвэрлэгээний менежер хүртэл дэлгэцийн зургийг нууцаар авах боломжтой, тэр ч байтугай хамт ажиллагсдынхаа дэлгэцийг хараад хаяг эсвэл зээлийн картын дугаарыг санах боломжтой болно. мөр.
Түүгээр ч зогсохгүй, ажилчид компьютерийн дотор талд эсвэл ядаж BIOS-д нэвтрэх боломжгүй тохиолдолд л энэ бүхэн үнэн болно. Тэгвэл зүгээр л мэдээлэл хамгаалах талаар бодож байгаа компаниудад хэрэглэгдэх магадлал багатай BitLocker ч тус болохгүй байх.
Дүгнэлт нь хэдийгээр хачирхалтай сонсогдож байгаа ч мэдээллийн аюулгүй байдлын нэгдсэн арга барил бөгөөд үүнд зөвхөн программ хангамж/техникийн шийдэл төдийгүй зураг/видео зураг авалтаас сэргийлэх, зөвшөөрөлгүй “гайхамшигт ой санамжтай хөвгүүдийг” оруулахгүй байх зохион байгуулалт, техникийн арга хэмжээнүүд багтсан болно. сайт. Аж ахуйн нэгжийн аюулгүй байдлын ихэнх асуудлыг нэг алхамаар шийдэх гэж сурталчилсан гайхамшигт DL 8.2 бүтээгдэхүүнд та хэзээ ч найдаж болохгүй.
Эх сурвалж: www.habr.com