2017 yil oktyabr oyida men DeviceLock DLP tizimining reklama seminarida qatnashish imkoniga ega bo'ldim, bu erda USB portlarini yopish, pochta va clipboardni kontekstual tahlil qilish kabi qochqinlardan himoya qilishning asosiy funksiyasiga qo'shimcha ravishda administratordan himoya qilish edi. e'lon qilingan. Model oddiy va chiroyli - o'rnatuvchi kichik kompaniyaga keladi, dasturlar to'plamini o'rnatadi, BIOS parolini o'rnatadi, DeviceLock administrator hisobini yaratadi va faqat Windows-ning o'zini va qolgan dasturiy ta'minotni boshqarish huquqlarini mahalliy kompaniyaga qoldiradi. admin. Niyat bo'lsa ham bu admin hech narsani o'g'irlay olmaydi. Ammo bularning barchasi nazariya ...
Chunki Axborot xavfsizligi vositalarini ishlab chiqish sohasida 20 yildan ortiq ishlaganimdan so'ng, men ma'mur hamma narsani qila olishiga aniq amin bo'ldim, ayniqsa kompyuterga jismoniy kirish bilan, undan keyin asosiy himoya faqat qat'iy hisobot berish kabi tashkiliy choralar bo'lishi mumkin. muhim ma'lumotlarni o'z ichiga olgan kompyuterlarni jismoniy himoya qilish, keyin darhol taklif qilingan mahsulotning chidamliligini sinab ko'rish g'oyasi paydo bo'ldi.
Seminar tugagandan so'ng darhol buni amalga oshirishga urinish muvaffaqiyatsiz tugadi; DlService.exe asosiy xizmatini o'chirishdan himoya qilindi va ular hatto kirish huquqlari va oxirgi muvaffaqiyatli konfiguratsiyani tanlashni ham unutishmadi, buning natijasida ular, ko'pgina viruslar singari, tizimni o'qish va bajarishga kirish huquqini rad etishdi.
Smart Line ishlab chiqaruvchisi vakili, ehtimol, mahsulotga kiritilgan drayverlarni himoya qilish bo'yicha barcha savollarga "hamma narsa bir xil darajada" deb ishonch bilan aytdi.
Bir kundan keyin men tadqiqotimni davom ettirishga qaror qildim va sinov versiyasini yuklab oldim. Men darhol tarqatish hajmidan hayratda qoldim, deyarli 2 GB! Men odatda axborot xavfsizligi vositalari (ISIS) sifatida tasniflanadigan tizim dasturiy ta'minoti odatda ancha ixchamroq hajmga ega ekanligiga o'rganib qolganman.
O'rnatishdan so'ng men ikkinchi marta hayratda qoldim - yuqorida aytib o'tilgan bajariladigan faylning hajmi ham juda katta - 2 MB. Men shu zahotiyoq bunday hajmda ushlab turadigan narsa bor deb o'yladim. Men modulni kechiktirilgan yozuv yordamida almashtirishga harakat qildim - u yopildi. Men dastur kataloglarini qazib oldim va allaqachon 13 ta haydovchi bor edi! Men ruxsatnomalarga qaradim - ular o'zgarishlar uchun yopiq emas! Yaxshi, hamma taqiqlangan, keling, haddan tashqari yuklaymiz!
Effekt shunchaki sehrli - barcha funktsiyalar o'chirilgan, xizmat boshlamaydi. Qanday turdagi o'zini himoya qilish bor, xohlagan narsani oling va nusxa oling, hatto flesh-disklarda ham, hatto tarmoq orqali ham. Tizimning birinchi jiddiy kamchiligi paydo bo'ldi - komponentlarning o'zaro bog'liqligi juda kuchli edi. Ha, xizmat haydovchilar bilan bog'lanishi kerak, lekin hech kim javob bermasa, nima uchun qulashi kerak? Natijada, himoyani chetlab o'tishning bitta usuli mavjud.
Mo''jizaviy xizmat juda nozik va sezgir ekanligini bilib, men uning uchinchi tomon kutubxonalariga bog'liqligini tekshirishga qaror qildim. Bu erda hamma narsa sodda, ro'yxat katta, biz shunchaki WinSock_II kutubxonasini tasodifiy o'chirib tashlaymiz va shunga o'xshash rasmni ko'ramiz - xizmat ishga tushmagan, tizim ochiq.
Natijada, biz ma'ruzachi seminarda tasvirlangan bir xil narsa bor, kuchli panjara, lekin pul etishmasligi tufayli butun himoyalangan perimetri o'rab emas, va ochilmagan sohada oddiygina tikanli ko'tarildi kestirib bor. Bunday holda, dasturiy mahsulotning arxitekturasini hisobga olgan holda, bu sukut bo'yicha yopiq muhitni anglatmaydi, lekin turli xil vilkalar, tutqichlar, trafik analizatorlari, bu ko'plab chiziqlar vidalanadigan piket panjarasi. tashqi tomondan o'z-o'zidan tejamkor vintlardek va burama qilish juda oson. Ushbu echimlarning aksariyati bilan bog'liq muammo shundaki, juda ko'p potentsial teshiklar bilan har doim biror narsani unutish, munosabatlarni o'tkazib yuborish yoki tutqichlardan birini muvaffaqiyatsiz amalga oshirish orqali barqarorlikka ta'sir qilish ehtimoli mavjud. Ushbu maqolada keltirilgan zaifliklar shunchaki yuzaki ekanligiga ko'ra, mahsulot boshqa ko'plab narsalarni o'z ichiga oladi, ularni qidirish uchun bir necha soat ko'proq vaqt ketadi.
Bundan tashqari, bozor o'chirishdan himoya qilishni malakali amalga oshirish misollariga to'la, masalan, mahalliy antivirus mahsulotlari, bu erda o'z-o'zini himoya qilishni shunchaki chetlab o'tib bo'lmaydi. Men bilishimcha, ular FSTEC sertifikatidan o'tish uchun juda dangasa emas edilar.
Smart Line xodimlari bilan bir nechta suhbatlar o'tkazgandan so'ng, ular hatto eshitmagan ham shunga o'xshash joylar topildi. Bir misol AppInitDll mexanizmi.
Bu eng chuqur bo'lmasligi mumkin, lekin ko'p hollarda OS yadrosiga kirmasdan va uning barqarorligiga ta'sir qilmasdan qilish imkonini beradi. nVidia drayverlari ma'lum bir o'yin uchun video adapterni sozlash uchun ushbu mexanizmdan to'liq foydalanadi.
DL 8.2 asosida avtomatlashtirilgan tizimni yaratishga kompleks yondashuvning to'liq yo'qligi savollar tug'diradi. Buyurtmachiga mahsulotning afzalliklarini tavsiflash, mavjud shaxsiy kompyuterlar va serverlarning hisoblash quvvatini tekshirish taklif etiladi (kontekst analizatorlari juda ko'p resurs talab qiladi va hozirda zamonaviy ofis kompyuterlari va Atomga asoslangan nettoplar mos kelmaydi. bu holda) va shunchaki mahsulotni tepaga yoyib chiqing. Shu bilan birga, seminarda βkirish nazoratiβ va βyopiq dasturiy muhitβ kabi atamalar hatto tilga olinmadi. Shifrlash haqida aytilishicha, bu murakkablikdan tashqari, regulyatorlar tomonidan ham savollar tug'diradi, garchi aslida u bilan hech qanday muammo yo'q. Sertifikatlash bo'yicha savollar, hatto FSTECda ham, taxmin qilingan murakkabligi va uzoqligi sababli chetga suriladi. Bunday protseduralarda bir necha bor ishtirok etgan axborot xavfsizligi bo'yicha mutaxassis sifatida shuni aytishim mumkinki, ularni amalga oshirish jarayonida ushbu materialda tasvirlanganlarga o'xshash ko'plab zaifliklar aniqlangan, chunki sertifikatlashtirish laboratoriyalari mutaxassislari jiddiy ixtisoslashtirilgan tayyorgarlikka ega.
Natijada, taqdim etilgan DLP tizimi axborot xavfsizligi masalalarida tajribasiz kompaniya rahbariyati o'rtasida jiddiy hisoblash yukini yaratish va korporativ ma'lumotlar uchun xavfsizlik hissi yaratish bilan birga, haqiqatda axborot xavfsizligini ta'minlaydigan juda kichik funktsiyalar to'plamini bajarishi mumkin.
U faqat haqiqiy katta ma'lumotlarni imtiyozsiz foydalanuvchidan himoya qilishi mumkin, chunki... ma'mur himoyani butunlay o'chirishga qodir va katta sirlar uchun hatto kichik tozalash menejeri ham ekranni ehtiyotkorlik bilan suratga olishi yoki hatto hamkasbining ekraniga qarab manzil yoki kredit karta raqamini eslab qolishi mumkin. elka.
Bundan tashqari, bularning barchasi, agar xodimlar tashqi muhitdan yuklashni faollashtirish uchun shaxsiy kompyuterning ichki qismiga yoki hech bo'lmaganda BIOS-ga jismoniy kirish imkoniga ega bo'lmasa, to'g'ri bo'ladi. Keyin ma'lumotni himoya qilish haqida o'ylayotgan kompaniyalarda qo'llanilishi dargumon BitLocker ham yordam bermasligi mumkin.
Xulosa, qanchalik oddiy ko'rinmasin, axborot xavfsizligiga kompleks yondashuv bo'lib, nafaqat dasturiy/apparat yechimlari, balki foto/video suratga olishni istisno qilish va ruxsatsiz βfenomenal xotiraga ega o'g'il bolalarβning kirishiga yo'l qo'ymaslik bo'yicha tashkiliy-texnik chora-tadbirlarni ham o'z ichiga oladi. sayt. Siz hech qachon DL 8.2 mo''jizaviy mahsulotiga tayanmasligingiz kerak, bu ko'pgina korporativ xavfsizlik muammolarini bir bosqichda hal qilish sifatida e'lon qilinadi.
Manba: www.habr.com