Контроль всей информации, обращающейся в организации, является одной из основных задач при практической реализации организационно-распорядительных документов (политики информационной безопасности и других внутренних документов более низких уровней) организации.
Системы предотвращения утечек конфиденциальной информации из информационной системы (Data Leak Prevention, DLP) в большинстве своем способны решить эту проблему.
Разновидностей этих систем на современном рынке достаточно, например: SearchInform DLP, Infowatch Traffic Monitor DLP, Zecurion DLP, Symantec DLP и другие.
Но сегодня эта статья будет о продукте ООО «СёрчИнформ».
Схема информационной безопасности «СёрчИнформ» (КИБ «Сёрчинформ») — это серьёзный и гибко настраиваемый программный комплекс, который по своему функционалу и обширным аналитическим инструментам создаёт серьёзную конкуренцию другим компаниям в этой сфере.
Но, как и у всех продуктов, у КИБ Сёрчинформ есть один недостаток, о котором сейчас и пойдет речь.
Рисунок 1 – Логотип ЦИБ «Сёрчинформ»
В КИБ «Сёрчинформ» одним из источников сбора информации является агент (Windows/Linux).
Агент для ОС Windows, как и для ОС Linux, имеет модульную систему сбора информации; при необходимости их можно включить или выключить.
Мы рассмотрим модуль «Устройство» (управление внешними устройствами, сетевыми устройствами, процессами и т. д.).
Демо-версию данного продукта можно получить официально через сайт разработчика (с полным функционалом).
Дальнейшие действия будут осуществляться с использованием полученного лицензионного ключа – программы EndPointController версии 5.51.0.9 (версия агента 5.51.0.9).
Основной проблемой в работе этого модуля является алгоритм шифрования информации на внешних съемных устройствах.
Рассмотрим принцип работы алгоритма шифрования в КИБ Поискинформ.
Устанавливаем агент на рабочую станцию и настраиваем контроль работы внешних устройств (Модуль устройств) в разделе «Сетевое окружение» EndPointController 5.51.0.9 
Рисунок 2 – Установка и включение модуля
Настраиваем шифрование в настройках модуля «Устройство» вкладки «Шифрование»: генерируем ключ и включаем шифрование для всех носителей (можно включить шифрование только для определенных носителей).
Рисунок 3 – Настройка белого списка 
Рисунок 4 – Конфигурация шифрования
Теперь приступим к анализу алгоритма шифрования файлов данного продукта.
Скопируем файлы «Install.exe» и «Основы права.
rtf» с управляемой рабочей станции «WINOC» на внешний съемный носитель «Съемный диск (E:)».
Как видно на рисунке 5, объекты «Install.exe» и «Основы права.
rtf» были созданы в скрытой папке «Информация о системном томе».
Таким образом, можно сделать вывод, что папка «Информация о системном томе» содержит список зашифрованных объектов на съемном носителе.
Рисунок 5 – Папка «Информация о системном томе» 
Рисунок 6 – Корневая папка съемного носителя
Как известно, существует три аспекта, на которых строится информационная безопасность: целостность, доступность и конфиденциальность.
Эти аспекты нарушаются при использовании такого подхода к шифрованию, поскольку системная информация о том, зашифрован объект или нет, должна находиться в самом заголовке объекта.
При текущем построении алгоритма возможны варианты случайного изменения/удаления объектов в папке «Информация о системном томе» на съемном носителе с дальнейшей потерей исходных зашифрованных объектов, а также изменение самих объектов на неконтролируемых станциях.
(например: переименование объекта «Install.exe» с сетевым путем «E» :\Install.exe» на компьютере без агента, при этом информационного файла программного продукта КИБ Сёрчинформ в папке «Информация о системном томе» «Install.exe» по сетевому пути «E:\System Volume Information\Install.exe» остается неизменным, поскольку нет агента, который будет изменять служебную информацию, и открытие этого файла становится невозможным).
Будем надеяться, что разработчик учтет этот недостаток в работе функции шифрования съемных носителей информации в продукте КИБ Сёрчинформ и изменит ее алгоритм.
Теги: #информационная безопасность #dlp #dlp #searchinform #программное исследование #программное исследование #ошибки #информационная безопасность #Исследования и прогнозы в ИТ
-
Все Дороги Ведут В Fullstack
19 Oct, 24 -
Прошивка Iphone/Ipod Touch 1.1.4
19 Oct, 24 -
Корпорация Goodness На Подъеме
19 Oct, 24 -
Рассказ О Курсовой Работе
19 Oct, 24 -
Продолжение На Любителя.
19 Oct, 24
