ในเดือนตุลาคม 2017 ฉันมีโอกาสเข้าร่วมสัมมนาส่งเสริมการขายสำหรับระบบ DeviceLock DLP ซึ่งนอกเหนือจากฟังก์ชันหลักในการป้องกันการรั่วไหล เช่น การปิดพอร์ต USB การวิเคราะห์บริบทของเมลและคลิปบอร์ด การป้องกันจากผู้ดูแลระบบยัง โฆษณา โมเดลนี้เรียบง่ายและสวยงาม - ผู้ติดตั้งมาที่ บริษัท ขนาดเล็กติดตั้งชุดโปรแกรมตั้งรหัสผ่าน BIOS สร้างบัญชีผู้ดูแลระบบ DeviceLock และเหลือเพียงสิทธิ์ในการจัดการ Windows เองและซอฟต์แวร์ส่วนที่เหลือไว้ในเครื่อง ผู้ดูแลระบบ ถึงจะมีเจตนาแต่แอดมินคนนี้ก็ไม่สามารถขโมยอะไรได้ แต่ทั้งหมดนี้เป็นทฤษฎี...
เพราะ การทำงานมากกว่า 20 ปีในด้านการพัฒนาเครื่องมือรักษาความปลอดภัยข้อมูล ฉันเชื่อมั่นอย่างชัดเจนว่าผู้ดูแลระบบสามารถทำอะไรก็ได้ โดยเฉพาะอย่างยิ่งเมื่อมีการเข้าถึงคอมพิวเตอร์ทางกายภาพ ดังนั้นการป้องกันหลักต่อสิ่งนี้จึงเป็นเพียงมาตรการขององค์กรเท่านั้น เช่น การรายงานที่เข้มงวดและ การป้องกันทางกายภาพของคอมพิวเตอร์ที่มีข้อมูลสำคัญแล้วจึงเกิดแนวคิดขึ้นเพื่อทดสอบความทนทานของผลิตภัณฑ์ที่นำเสนอ
ความพยายามที่จะทำสิ่งนี้ทันทีหลังจากสิ้นสุดการสัมมนาไม่ประสบความสำเร็จ มีการป้องกันการลบบริการหลัก DlService.exe และพวกเขาก็ไม่ลืมเกี่ยวกับสิทธิ์การเข้าถึงและการเลือกการกำหนดค่าที่สำเร็จครั้งล่าสุดด้วยเหตุนี้ พวกเขาล้มมันลงเช่นเดียวกับไวรัสส่วนใหญ่ที่ปฏิเสธการเข้าถึงระบบเพื่ออ่านและดำเนินการ ไม่ได้ผล
สำหรับคำถามทั้งหมดเกี่ยวกับการปกป้องไดรเวอร์ที่อาจรวมอยู่ในผลิตภัณฑ์ ตัวแทนของผู้พัฒนา Smart Line ระบุอย่างมั่นใจว่า "ทุกอย่างอยู่ในระดับเดียวกัน"
วันต่อมา ฉันตัดสินใจค้นคว้าข้อมูลต่อและดาวน์โหลดเวอร์ชันทดลองใช้งาน ฉันรู้สึกประหลาดใจทันทีกับขนาดของการกระจายเกือบ 2 GB! ฉันคุ้นเคยกับความจริงที่ว่าซอฟต์แวร์ระบบซึ่งโดยปกติจัดอยู่ในประเภทเครื่องมือรักษาความปลอดภัยข้อมูล (ISIS) มักจะมีขนาดที่กะทัดรัดกว่ามาก
หลังการติดตั้งฉันรู้สึกประหลาดใจเป็นครั้งที่สอง - ขนาดของไฟล์ปฏิบัติการที่กล่าวมาข้างต้นนั้นค่อนข้างใหญ่เช่นกัน - 2MB ฉันคิดทันทีว่าด้วยระดับเสียงเช่นนี้จึงมีบางอย่างที่จะคว้าไว้ ฉันพยายามเปลี่ยนโมดูลโดยใช้การบันทึกล่าช้า - มันถูกปิด ฉันขุดเข้าไปในแค็ตตาล็อกโปรแกรมและมีไดรเวอร์ 13 ตัวแล้ว! ฉันกระตุ้นการอนุญาต - พวกเขาไม่ได้ปิดการเปลี่ยนแปลง! โอเค ทุกคนถูกแบน มาโอเวอร์โหลดกันเถอะ!
เอฟเฟกต์นั้นน่าหลงใหล - ฟังก์ชั่นทั้งหมดถูกปิดใช้งาน บริการไม่เริ่มทำงาน มีการป้องกันตัวเองแบบไหน คัดลอกและคัดลอกสิ่งที่คุณต้องการ แม้แต่ในแฟลชไดรฟ์ แม้แต่บนเครือข่าย ข้อเสียเปรียบร้ายแรงประการแรกของระบบเกิดขึ้น - การเชื่อมต่อระหว่างส่วนประกอบต่างๆ นั้นแข็งแกร่งเกินไป ใช่ บริการควรสื่อสารกับคนขับ แต่เหตุใดจึงเกิดปัญหาหากไม่มีใครตอบกลับ เป็นผลให้มีวิธีหนึ่งในการเลี่ยงการป้องกัน
เมื่อพบว่าบริการมหัศจรรย์นั้นละเอียดอ่อนและละเอียดอ่อนมาก ฉันจึงตัดสินใจตรวจสอบการพึ่งพาไลบรารีของบุคคลที่สาม ง่ายกว่านี้อีกรายการมีขนาดใหญ่เราเพิ่งลบไลบรารี WinSock_II แบบสุ่มและดูภาพที่คล้ายกัน - บริการยังไม่เริ่มระบบเปิดอยู่
เป็นผลให้เรามีสิ่งเดียวกับที่ผู้บรรยายบรรยายในการสัมมนาคือรั้วที่ทรงพลัง แต่ไม่ปิดล้อมการป้องกันทั้งหมดเนื่องจากขาดเงิน และในพื้นที่ที่ไม่มีหลังคาก็มีเพียงสะโพกกุหลาบที่เต็มไปด้วยหนาม ในกรณีนี้ โดยคำนึงถึงสถาปัตยกรรมของผลิตภัณฑ์ซอฟต์แวร์ซึ่งไม่ได้หมายความถึงสภาพแวดล้อมแบบปิดตามค่าเริ่มต้น แต่ปลั๊ก, ตัวดัก, เครื่องวิเคราะห์การรับส่งข้อมูลที่หลากหลายนั้นค่อนข้างจะเป็นรั้วล้อมรั้วซึ่งมีแถบหลายอันติดอยู่ ด้านนอกด้วยสกรูเกลียวปล่อยและคลายเกลียวได้ง่ายมาก ปัญหาของวิธีแก้ปัญหาเหล่านี้ส่วนใหญ่ก็คือ เนื่องจากมีช่องโหว่จำนวนมาก จึงมีความเป็นไปได้ที่จะลืมบางสิ่งบางอย่าง ขาดความสัมพันธ์ หรือส่งผลกระทบต่อความมั่นคงโดยการใช้ตัวดักจับตัวใดตัวหนึ่งไม่สำเร็จ เมื่อพิจารณาจากข้อเท็จจริงที่ว่าช่องโหว่ที่นำเสนอในบทความนี้มีอยู่เพียงผิวเผิน ผลิตภัณฑ์ดังกล่าวยังมีจุดอ่อนอื่นๆ อีกมากมายที่จะใช้เวลาค้นหานานกว่าสองสามชั่วโมง
นอกจากนี้ ตลาดยังเต็มไปด้วยตัวอย่างของการดำเนินการป้องกันการปิดเครื่องอย่างมีประสิทธิภาพ เช่น ผลิตภัณฑ์ป้องกันไวรัสในประเทศ ซึ่งการป้องกันตัวเองไม่สามารถข้ามไปได้ง่ายๆ เท่าที่ฉันรู้ พวกเขาไม่ขี้เกียจเกินไปที่จะผ่านการรับรอง FSTEC
หลังจากพูดคุยกับพนักงาน Smart Line หลายครั้ง ก็พบสถานที่ที่คล้ายกันหลายแห่งที่พวกเขาไม่เคยได้ยินด้วยซ้ำ ตัวอย่างหนึ่งคือกลไก AppInitDll
มันอาจจะไม่ได้ลึกที่สุด แต่ในหลายกรณีมันช่วยให้คุณทำได้โดยไม่ต้องเข้าไปในเคอร์เนลของระบบปฏิบัติการและไม่ส่งผลกระทบต่อความเสถียรของมัน ไดรเวอร์ nVidia ใช้กลไกนี้อย่างเต็มที่เพื่อปรับอะแดปเตอร์วิดีโอสำหรับเกมเฉพาะ
การขาดแนวทางบูรณาการโดยสิ้นเชิงในการสร้างระบบอัตโนมัติที่ใช้ DL 8.2 ทำให้เกิดคำถาม เสนอให้อธิบายให้ลูกค้าทราบถึงข้อดีของผลิตภัณฑ์ตรวจสอบพลังการประมวลผลของพีซีและเซิร์ฟเวอร์ที่มีอยู่ (ตัววิเคราะห์บริบทใช้ทรัพยากรจำนวนมากและคอมพิวเตอร์ออลอินวันในสำนักงานที่ทันสมัยในปัจจุบันและเน็ตท็อปที่ใช้ Atom ไม่เหมาะ ในกรณีนี้) และเพียงแผ่ผลิตภัณฑ์ออกไปด้านบน ในเวลาเดียวกัน คำว่า "การควบคุมการเข้าถึง" และ "สภาพแวดล้อมซอฟต์แวร์แบบปิด" ไม่ได้ถูกเอ่ยถึงในการสัมมนาด้วยซ้ำ มีการกล่าวเกี่ยวกับการเข้ารหัสว่า นอกเหนือจากความซับซ้อนแล้ว ยังทำให้เกิดคำถามจากหน่วยงานกำกับดูแล แม้ว่าในความเป็นจริงแล้วจะไม่มีปัญหาก็ตาม คำถามเกี่ยวกับการรับรอง แม้แต่ที่ FSTEC ก็ถูกมองข้ามไปเนื่องจากความซับซ้อนและความยาว ในฐานะผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลที่มีส่วนร่วมในขั้นตอนดังกล่าวซ้ำแล้วซ้ำเล่า ฉันสามารถพูดได้ว่าในกระบวนการดำเนินการดังกล่าว มีการเปิดเผยช่องโหว่จำนวนมากที่คล้ายกับที่อธิบายไว้ในเนื้อหานี้ เนื่องจาก ผู้เชี่ยวชาญของห้องปฏิบัติการรับรองมีการฝึกอบรมเฉพาะทางอย่างจริงจัง
ด้วยเหตุนี้ ระบบ DLP ที่นำเสนอจึงสามารถทำหน้าที่ชุดเล็กๆ ที่ให้ความมั่นใจในความปลอดภัยของข้อมูลได้จริง ในขณะเดียวกันก็สร้างภาระการประมวลผลที่ร้ายแรง และสร้างความรู้สึกปลอดภัยสำหรับข้อมูลองค์กรในหมู่ผู้บริหารบริษัทที่ไม่มีประสบการณ์ในเรื่องความปลอดภัยของข้อมูล
มันสามารถปกป้องข้อมูลขนาดใหญ่จริงๆ จากผู้ใช้ที่ไม่มีสิทธิพิเศษเท่านั้น เพราะ... ผู้ดูแลระบบค่อนข้างสามารถปิดการใช้งานการป้องกันได้อย่างสมบูรณ์ และสำหรับความลับที่ยิ่งใหญ่ แม้แต่ผู้จัดการทำความสะอาดรุ่นน้องก็สามารถถ่ายภาพหน้าจออย่างรอบคอบ หรือแม้กระทั่งจำที่อยู่หรือหมายเลขบัตรเครดิตโดยดูที่หน้าจอเหนือเพื่อนร่วมงาน ไหล่.
ยิ่งไปกว่านั้น ทั้งหมดนี้จะเกิดขึ้นได้ก็ต่อเมื่อพนักงานไม่สามารถเข้าถึงด้านในของพีซีได้ทางกายภาพ หรืออย่างน้อยก็เข้าถึง BIOS เพื่อเปิดใช้งานการบูทจากสื่อภายนอกได้ แม้แต่ BitLocker ซึ่งไม่น่าจะใช้ในบริษัทที่เพิ่งคิดจะปกป้องข้อมูลก็อาจไม่ช่วยอะไรได้
ข้อสรุปที่อาจฟังดูซ้ำซากคือแนวทางบูรณาการในการรักษาความปลอดภัยของข้อมูล รวมถึงไม่เพียงแต่โซลูชันซอฟต์แวร์/ฮาร์ดแวร์เท่านั้น แต่ยังรวมถึงมาตรการขององค์กรและทางเทคนิคเพื่อยกเว้นการถ่ายภาพ/วิดีโอ และป้องกันไม่ให้ "เด็กผู้ชายที่มีความทรงจำมหัศจรรย์" ที่ไม่ได้รับอนุญาตเข้ามา เว็บไซต์ คุณไม่ควรพึ่งพาผลิตภัณฑ์มหัศจรรย์ DL 8.2 ซึ่งได้รับการโฆษณาว่าเป็นโซลูชันขั้นตอนเดียวสำหรับปัญหาด้านความปลอดภัยขององค์กรส่วนใหญ่
ที่มา: will.com