В октябре 2017 года мне довелось побывать на рекламном семинаре по DLP-системе DeviceLock, где помимо основного функционала защиты от утечек, такого как закрытие USB-портов, контекстный анализ почты и буфера обмена, была предусмотрена защита от администратора.
рекламируется.
Модель проста и красива — в небольшую компанию приезжает установщик, устанавливает набор программ, задает пароль на биос, создает учетную запись администратора DeviceLock, а локальному оставляет только права на управление самой Windows и остальным программным обеспечением.
админ.
Даже если есть умысел, этот админ не сможет ничего украсть.
Но это все теория.
Потому что за 20+ лет работы в сфере разработки средств защиты информации я четко убедился, что администратор может все, особенно при физическом доступе к компьютеру, то основной защитой от этого могут быть только организационные меры типа строгой отчетности.
и физической защиты компьютеров, содержащих важную информацию, то сразу же возникла идея проверить долговечность предлагаемого изделия.
Попытка сделать это сразу после окончания семинара не увенчалась успехом; сделали защиту от удаления основного сервиса DlService.exe и даже не забыли про права доступа и выбор последней удачной конфигурации, в результате чего валили его, как и большинство вирусов, запрещая системе доступ на чтение и выполнить, не получилось.
На все вопросы о защите водителей, вероятно, заложенных в продукте, представитель разработчика Smart Line уверенно заявил, что «все на одном уровне».
Через день я решил продолжить исследование и скачал пробную версию.
Меня сразу удивил размер дистрибутива, почти 2 Гб! Я привык, что системное программное обеспечение, которое обычно относят к средствам информационной безопасности (ИСИБ), обычно имеет гораздо более компактный размер.
После установки я второй раз удивился - размер вышеупомянутого экзешника тоже довольно большой - 13Мб.
Я сразу подумал, что при таком объёме есть за что ухватиться.
Пробовал заменить модуль с отложенной записью - закрылся.
Покопался в каталогах программ, а там уже 11 драйверов! Потыкал разрешения - они не закрыты на изменения! Ладно, всех забанили, давайте перегружаемся! Эффект просто феерический - все функции отключены, служба не запускается.
Какая там самозащита, берите и копируйте что хотите, хоть на флешки, хоть по сети.
Выявился первый серьезный недостаток системы – слишком прочная взаимосвязь компонентов.
Да, сервис должен общаться с драйверами, но зачем вылетать, если никто не отвечает? В итоге есть один способ обхода защиты.
Узнав, что чудо-сервис такой нежный и чуткий, я решил проверить его зависимости от сторонних библиотек.
Тут ещё проще, список большой, просто стираем наугад библиотеку WinSock_II и видим аналогичную картину — сервис не запустился, система открыта.
В итоге имеем то же самое, что описывал спикер на семинаре, мощный забор, но не огораживающий весь охраняемый периметр из-за нехватки денег, а на непокрытой территории просто колючий шиповник.
В данном случае, учитывая архитектуру программного продукта, которая по умолчанию подразумевает не закрытую среду, а множество различных затычек, перехватчиков, анализаторов трафика, это больше похоже на частокол, и многие из полосок прикручены снаружи саморезами и очень легко откручиваются.
Проблема большинства этих решений в том, что при таком огромном количестве потенциальных дыр всегда есть вероятность что-то забыть, упустить связь или повлиять на стабильность из-за неудачной реализации одного из перехватчиков.
Судя по тому, что представленные в этой статье уязвимости просто лежат на поверхности, продукт содержит множество других, на поиск которых уйдет на пару часов больше времени.
Более того, на рынке полно примеров грамотной реализации защиты от отключения, например, отечественных антивирусных продуктов, где самозащиту просто невозможно обойти.
Насколько я знаю, они не поленились пройти сертификацию ФСТЭК.
Проведя несколько бесед с сотрудниками Smart Line, было обнаружено несколько подобных мест, о которых они даже не слышали.
Одним из примеров является механизм AppInitDll. Возможно, он не самый глубокий, но во многих случаях позволяет обойтись, не залезая в ядро ОС и не влияя на ее стабильность.
Драйверы nVidia в полной мере используют этот механизм для настройки видеоадаптера под конкретную игру.
Вызывает вопросы полное отсутствие комплексного подхода к построению автоматизированной системы на базе DL 8.2. Предлагается описать заказчику преимущества продукта, проверить вычислительную мощность существующих ПК и серверов (контекстные анализаторы очень ресурсоемки и модные сейчас офисные моноблоки и неттопы на базе Atom не подходят).
в данном случае) и просто раскатываем изделие сверху.
При этом на семинаре даже не упоминались такие термины, как «контроль доступа» и «закрытая программная среда».
Про шифрование говорилось, что оно помимо сложности вызовет вопросы у регуляторов, хотя на самом деле проблем с ним нет. Вопросы сертификации даже в ФНСЭК отмахиваются из-за их предполагаемой сложности и длительности.
Как специалист по информационной безопасности, неоднократно принимавший участие в подобных процедурах, могу сказать, что в процессе их проведения выявляется множество уязвимостей, подобных описанным в этом материале, ведь специалисты сертификационных лабораторий имеют серьезную профильную подготовку.
В результате представленная DLP-система способна выполнять очень небольшой набор функций, реально обеспечивающих информационную безопасность, генерируя при этом серьезную вычислительную нагрузку и создавая ощущение защищенности корпоративных данных у неопытного в вопросах ИБ руководства компании.
Реально защитить действительно большие данные он может только от непривилегированного пользователя, потому что.
администратор вполне способен полностью отключить защиту, а по большим секретам даже младший клининговый менеджер сможет незаметно сфотографировать экран, или даже запомнить адрес или номер кредитной карты, глядя на экран через плечо коллеги.
При этом все это справедливо только в том случае, если у сотрудников невозможно иметь физический доступ к внутренностям ПК или хотя бы к BIOS для активации загрузки с внешнего носителя.
Тогда может не помочь даже BitLocker, который вряд ли будет использовать в компаниях, которые только задумываются о защите информации.
Вывод, как бы банально это ни звучало, - комплексный подход к обеспечению информационной безопасности, включающий не только программно-аппаратные решения, но и организационно-технические меры по исключению фото/видеосъемки и недопущению несанкционированного проникновения «мальчиков с феноменальной памятью».
сайт. Никогда не следует полагаться на чудо-продукт DL 8.2, который рекламируется как одноэтапное решение большинства проблем безопасности предприятия.
Теги: #информационная безопасность #уязвимость #ИТ-инфраструктура #защита информации #dlp #dlp
-
Apple Macbook Pro И «Секс…»
19 Oct, 24 -
Как Написать Грамотный Отзыв На Вакансию?
19 Oct, 24 -
Видеообзор Ipad 2 (Часть 3 И 4)
19 Oct, 24 -
О Новых Успехах Противостояния (Ср Увч!*)
19 Oct, 24
