Антивирусная защита реализацией разграничительной политики доступа к ресурсам для субъекта «Процесс»

[Сергей Ильин 1538]

Выношу на ваш суд предложенную мне для публикации статью д.т.н., проф. А.Ю.Щеглова.

ЗАО «НПП «Информационные технологии в бизнесе»

www.npp-itb.spb.ru

**********************************************

Антивирусная защита реализацией разграничительной политики доступа к ресурсам для субъекта «Процесс»

Краткое содержание:

- Так что же такое «вирус» в общем случае, что же несет в себе угрозу вирусной атаки?

- Защита от сторонних процессов.

- Защита от атак со стороны санкционированных процессов.

- Единые разграничения к системным ресурсам для процессов офисных приложений

- Комплексное решение задачи антивирусной защиты.

Введение

Большинство современных антивирусных средств защиты основано на реализации механизмов контроля (контроль сигнатур и поведенческие анализаторы). Вместе с тем, известно, что основу эффективной защиты информации составляет реализация разграничительной политики доступа к ресурсам, механизмы контроля (например, контроля целостности) здесь вторичны, как правило, используются в том случае, когда невозможно корректно решить задачу механизмами разграничения прав доступа к ресурсам. И это вполне объяснимо, механизмы контроля не только очень ресурсоемки, но и принципиально не могут эффективно решить задачу защиты, т.к. в общем случае могут обнаруживать лишь известные вирусы (вирусы, для которых разработчиками определена сигнатура) – о какой же защите при этом можно говорить. Современные условия практического использования подобных средств характеризуются тем, что базы сигнатур уже давно «перевалили» за сотню тысяч. Если контроль только системного диска может составлять несколько часов, может ли в принципе использоваться такое средство на практике - как часто мы будем использовать такое средство? Здесь уже нужно вести разговор не об эффективности, а о применимости. Что же мы имеем - нет никакой гарантии выявить вновь созданный вирус, да и к тому же, серьезные ограничения по практическому применению - как использовать – редко бессмысленно, часто невозможно. Наверное, давно назрела необходимость в использовании иных подходов к антивирусной защите.

.........

Статья большая (11 стр.), поэтому выкладывать ее текстом не буду. Кому интересно, могут скачать атач.

АЗащРД.doc

АЗащРД.doc

[Илья Рабинович 521]

И тут этот "профессор". Никак не может понять, чьто его продукт плохо покупается не потому, что мало саморекламы, а потому, что слишком сложен в использовании. Ну почему обычный пользователь должен знать, что есть такая штука- реестр, и что значит HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER, да ещё и настраивать самостоятельно эти параметры?

Плюс- защита от внедрения в процессы обходится стороной. В общем, недопесочница у человека получилась, да ещё и кривая в реализации.

[Mona Sax 50]

Щеглов шикарный теоретик. но "почитать для общего развития", не более.

[Олег777 85]

Ну-ну... защита... Интересно почитать, но имея определенные знания. А без них лезть в реестр - гробить компьютер.

Я вот столкнулся с проблемой очисти некоторых веток в HKEY_LOCAL_MACHINE и на собственном опыте могу сказать, что теории это хорошо, а на практике может и не пригодиться...

[А.Щеглов 6]

Вы вплотную подошли к серьезнейшей проблеме построения и использования средств защиты.

Простота или эффективность? Именно "ИЛИ"! Защита информации очень сложная задача, простейшими способами ее не решить.

Существуют две области применения средств защиты - при личном и корпоративном (на предприятии) использовании вычислительных средств. Разные задачи, разные требования к средству защиты.

Наверное, сложно потребовать от домохозяйки знания структуры реестра, ей нужна одна "большая кнопка" и хоть какая-то защита. Какой "ценой" это можно обеспечить - один путь, использование механизмов контроля, а вслучае реализации каких-либо разграничений потребуется "закрыть глаза" на некоторые критичные с точки зрения безопасности моменты (нельзя это задать "по умолчанию" - сразу столкнетесь с конфликтными ситуациями), а это "дыры", вопросы безопасности. Для Вас же любой антивирус - это "черный ящик", какие оставлены разработчиком "дыры", во им я простоты администрирования?

Корпоративные приложения - иное дело, если администратор боится "трогать реестр", его нужно "гнать в шею". В этих приложениях есть что защищать, и разговоры о сложности средства защиты неуместны. Здесь уже нужно говорить об эффективности защиты и о требуемой квалификации администратора.

На практике существует необходимость в обоих типах средств, но не нужно путать решаемые ими задачи и требования к средствам!

Технология, рассматривая в статье, ориентирована на корпоративные приложения. Здесь следует говорить об эффективности защиты, а уровень сложности настройки рассмотренного средства - это уровень лабораторной работы 5 курса профильной специальности. К тому же рассматриваемое средство защиты снабжено соответствующим механизмом инструментального аудита (поставьте на аудит все обращения какого-либо приложения к системному диску, не задавая разграничений доступа, за пару дней получите всю необходимую и нформацию).

P.S. Относительно же восстребованности наших средств и стабильности их функционирования, это другой вопрос, и не очень понятно, зачем обсуждать данный вопрос при рассмотрении технологии. Недоброжелателям - у нас все хорошо. В части модификации процессов, об этом сказано в статье.

[Илья Рабинович 521]

Простота или эффективность?

Разумный баланс между ними. Правильная архитектура, заложенная в фундамент средства защиты. И никаких "или".

Технология, рассматривая в статье, ориентирована на корпоративные приложения.

Гы, теоретически оно красиво, а вот на практике- не работает. У IT отделов и так куча работы, а вешать ещё и настройку whitelising-защиты для каждого компа в отдельности...

[А.Щеглов 6]

Вот она истинная причина. Но она не имеет никакого отношения к технике!

По нашему опыту внедрения стредств защиты, там, где задачи ЗИ, как дополнительные, возложены на ИТ подразделения, толка не будет.

Заканчивается все разговорами о том, что за ту же зарплату еще лишняя "головная боль", еще что-то настраивать, обучаться....., в итоге получаем то же желанием воспользоваться одной "большой кнопкой", но уже по и ной причине. Как следствие, "мечта" заняться безопасностью, ничего не предпринимая, не тратя времени... Более того, реализация эффективной защиты может буквально отрицательно повлиять и на решение основных задач, за которые платится заработная плата, задач, решаемых ИТ подразделениями на предприятии.

Если задача ЗИ выделена в самостоятельную задачу, для ее решения выделены средства, приняты на работу сотрудники - ситуация кардинально иная. Для этих сотрудников задача защиты основная, другое отношение, желание решать задачу профессионально. Однако, сразу же возникают конфликты между ИТ подразделением и подразделением ЗИ, и чем лучше решается задача ЗИ , тем более недовольны ИТ специалисты, для них это лишние проблемы за ту же зарплату.

Да и не их это личная информация, "зачем напрягаться"?

Вот основная прична. Такова жизнь.

Однако, давайте не будем, говоря о технологиях, путать их с конкретными организационными проблемами на конкретном предприятии.

[Илья Рабинович 521]

Вот она истинная причина. Но она не имеет никакого отношения к технике!

Да, она имеет отношение к бизнесу предприятия. Если продукт не нуждается в выделении отдельных людей для внедрения и поддержки- то продукт, который требует такого специального подхода, не выдерживает конкуренции и выдавливается с рынка. Логика проста как два пальца.

[А.Щеглов 6]

Да, она имеет отношение к бизнесу предприятия. Если продукт не нуждается в выделении отдельных людей для внедрения и поддержки- то продукт, который требует такого специального подхода, не выдерживает конкуренции и выдавливается с рынка. Логика проста как два пальца.

Вы путаете причину и следствие. Задача ЗИ, как таковая, а не какой-либо продукт, требующий "специального подхода"..., для успешного решения должна выделяться на предприятии в отдельную задачу с соответствующим финансированием. Без этого результата не будет (останется "простая как два пальца" логика и нежелание заниматься вопросами ЗИ, как следствие, позиция, которую вы озвучиваете, кстати говоря, вполне опревданная в этом случае).

А для решения этой задачи, при желании заниматься вопросами ЗИ, уже потребуется какой-либо инструментарий (продукт), а его выбор будет определяться квалификацией и мерой ответственности лиц, занимающихся вопросами ЗИ. Действительно, логика проста.

[Илья Рабинович 521]

Не везде есть необходимые ресурсы для выделения подразделения ЗИ в отдельную функциональную единицу. Да, когда оно есть + есть выделенный на эти задачи бюджет, то задача упрощается, я совершенно согласен.

[nremezov 5]

Эфективного применения не вижу в сложившихся реалиях.

Для гос.организаций - у Панциря 1Г, низкая квалификация ИТ\ИБ персонала.

Для коммерческих - слишком много ресурсов уйдёт на тестирование и поддержку. Думаю, что прикинув потери от срабатывания вируса (реальную утечку или уничтожение информации) против стоимости обслуживания такого комплекса в год - менеджмент покрутит пальцем у виска и купит стандартные антивирусы

[Илья Рабинович 521]

Угу, песочницы намного удобнее при внедрении и эксплуатации. А whitelisting слишком сложен.

[Сергей Ильин 1538]

Однако, давайте не будем, говоря о технологиях, путать их с конкретными организационными проблемами на конкретном предприятии.

При любой организации будет конфликты между отделами ИТ и информационной безопасности (ИБ), так как имеет место борьба за сферу влияния. Потом даже если конфликты и удалось волевым решение руководства прекратить, то это не снимает другую задачу - оптимизацию затраты ресурсов на оперативную деятельность ИБ.

Для коммерческих - слишком много ресурсов уйдёт на тестирование и поддержку. Думаю, что прикинув потери от срабатывания вируса (реальную утечку или уничтожение информации) против стоимости обслуживания такого комплекса в год - менеджмент покрутит пальцем у виска и купит стандартные антивирусы

Согласен. Для бизнеса важны такие вещи как TCO или ROI, т.е. стоимость владения и возврат инвестиций. Никакой здравомыслящий капиталист не будет стремиться построить у себя 100% защиту, не ориентируясь на стоимость вопроса. В итоге все сводится к простому соотношению: Риски/Стоимость. Кому-то подойдет вариант с большими рисками, но меньшие деньги, кому-то с деньгами наоборот. А вот ставить дорогие и сложные продукты под силу только гос. органам, там обычно ресурсы не считают

[А.Щеглов 6]

Коллеги, хочу внести некоторую ясность. Зачем я систематически печатаю статьи? Кто-то меня обвиняет в рекламе Панциря. Это не так, средства рекламируются иным способом (прежде всего там, где их потенциально могут купить). В частности, Илья высказал мнение, что Панцирь плохо продается, поэтому "я здесь". Опять не так. Вопрос вот в чем. У Панциря вполне определенный сегмент рынка, и здесь все хорошо. Панцирь - это не антивирусное средство - это сложное профессиональное решение: защита от инсайдерских атак, от сетевых атак и т.д. и т.п. Там одних драйверов около 20. Сложность, это вопрос, однако, Панцирь настраивают студенты при выполнении лабораторных работ, и в тех приложениях, где он используется, сложности это не вызывает. Однако, меня интересуют и иные сегмента рынка, где, как вы, единодушно, высказали мнение, Панцирь сложен (о стоимости речи нет, за сколько хотим, за столько и продаем). Вот я и хочу понять, как обеспечить компромисс эффективность/сложность, о котором сказал Илья. У нас есть ряд новых разработок (в частности, средство построения корпоративной VPN, здесь, мне кажется, подобный компромисс найден). Одна из которых требует наполнения функциональном (есть собственно костяк, необходимо определиться с тем, какие механизмы защиты следует внедрить для какого сегмента рынка). Вот это я для себя и пытаюсь понять, участвуя во всевозможных дискуссиях. Вот и по этой статье, мы опять начали обсуждать Панцирь - не это мне интересно, я рассмотрел технологию (Панцирь приведен лишь в качестве примеров реализации интерфейсов - это пресловутая простота администрирования, о чем мы также задумываемся).

Скажу честно, для меня это большой вопрос, как обеспечить компромисс. Проиллюстрирую на простом примере. Модным стало разграничивать права доступа к устройствам, сразу появились соответствующие средства защиты. Но в решении этой задачи есть одна кардинальная проблема, подавляющая часть устройств взаимодействует с пользователем через драйвер. В результате, перехватывая обращение к устройству, мы видим пользователя System, процесс System. Корректно решить задачу нельзя. Как определить имя пользователя, обратившегося к устройству? Можно "закрыть глаза" на подобные мелочи и взять имя зарегистрированного пользователя (где-то его взять надо), что получаем - при многопользовательском режиме (например, запуск приложения по runas) корректные разграничения невозможны - несколько пользователей зарегистрированы, какой обратился к ресурсу? Вот что делать разработчику - "гнать явную липу, т.к. пользователь всеравно мало, что поймет", при этом средство будет простым, или усложнять, но при этом средство потеряет свою "привлекательность" у потенциального потребителя. А усложнения, они, как снежный ком, чтобы корректно решить одну задачу, потребуется решить еще пяток сопутствующих.

Речь же не о каких-то там рисках (это совсем иной вопрос). Речь о том, что эффективное средство защиты (если разработчик не хочет позориться, и кроме коммерческого успеха заботится о своем "имени") не может быть простым, но не может быть оно и сложным в определенных сегментах рынка. Это объективно существующее противоречие, как быть, чем т в какой мере "жертвовать", достигая компромисса? Сегодня у меня нет ответа на этот вопрос, вот я его для себя и ищу.

[Werasy 0]

Работа по "белым спискам"?В открытой системе невозможна.

[А.Щеглов 6]

Можно, если не все, то очень многое, смотря, как к этому относиться. Вопрос же не о конкретной реализации, лишь пример проблемы. Иной пример. в Панцире есть механизм контроля сервисов олицетворения, эти возможности разграничиваются для процессов. Разрешите олицетворение процессу winlogon олицетворение Sestem - User1, и войти в систему станет возможным только под User1, какую бы учетную запись, где и как Вы бы не завели. Задайте соответствующие правила разрешенных олицетворений для процесса печати - разграничите доступ к локальным и сетевым принтерам и т.д. и т.п. Масса возможностей. Сложно? Используя аудит, за пару дней поймете, что происходит в системе с сервисами олицетворения. Да и атаки на расширение привилегий для Вас станут не столь критичны.

По поводу же антивирусной защиты. Если мы говорим о сигнатурном анализаторе, сам подобный принцип имеет право на жизнь (при попытке реализации эффективной защиты)? Что важно, результат или процесс? Разработчики, не унывая, пополняют "тонные" списки выявленных сигнатур, пользователи часами что-то проверяют, а результат один, заложенный в самом принципе механизма контроля - всегда присутствуют невыявленный на конкретный момент времени сигнатуры вирусов, т.е., де факто, антивирусная защита отсутствует. Но все при деле - обеспечивуают защиту.

Если речь о поведенческом анализаторе, то ответьте на вопрос, а кто определит (задаст) разрешенное поведение процесса. Задавать подобный вопрос пользователю? При личном использовании компьютера глупо (посмотрите, что с подобной опцией делает пользователь в Viste - отключает), для корпоративного пользователя - недопустимо - именно санкционированный пользователь несет в себе максимальную угрозу (инсайдер). Если данные функции "берет на себя" разработчик, неминуемы конфликтные ситуации, "по умолчанию все корректно не задать".

Нужны новые подходы? Конечно. Один из них рассмотрен в статье. Но в "шок" читателя повергла сложность администрирования - потратить пару дней на анализ и внести пяток строчек в интерфейс. Да, за то время, что антивирус ищет что-то по своей базе сигнатур, десять раз можно осуществить подобную настройку. А ведь антивирусная защита - это одна из наиболее простых в решении задач защиты информации в корпоративных приложениях, на мой взгляд. Тогда о какой безопасности мы говорим?!

[Werasy 0]

Ладно,неважно,по каким спискам.Для коммуникации защищаемой системы с внешними наверняка оказываются твёрдые внесённые правила недостаточными и избыточными.Это значит,что дыра и ограничение необходимых возможностей,которые должны не ограничиваться.Наверно,лучшим является для соприкосновения защищаемой с внешними виртуализация.Позволяет теоретически безпоследственный контакт с взаимодействием - коммуникацию и обработку.

При этом ещё не решён вопрос для корпоративных об уходе обрабатываемой информации виртуальной зоны.Списки для приложений с виртуальной зоной есть достаточны только для классического пользователя,где не домашние,а только инет является причиной.Насчёт людей этим никогда не решить.Всех поделить по спискам?Будет ли кто в белых?Это не как причина для вседозволенности.

Задайте соответствующие правила...

Примерно это (подробности знает Илья,к примеру) уже решено через предпосылку,что только приходящее извне в "систему" может содержать "вируса",всё же,что "Админ" осознанно поставил (пару кнопок надо нажать для этого при этом),должно соответственно работать,иначе бы не поставил.Можно для теории исходить из того,что "система" защищена и извне неизменяема,так как виртуальная зона перенимает эти изменения и ошибочные действия пользователя не приводят к "заражению",оставляя возможность чистки следов виртуальной зоны.Пока "система" остаётся некоррумпированной,можно доверять её обработке,и только внутри её.Угроза "системе" и через неё всему,над чем она стоит (обрабатываемые виртуальной зоны?равноправные системы,имеющие контакт напрямую,без виртуалки?...) - стоящее над ней.Так как изменения в системе неизбежны,решающе есть,что есть их инициатор и исполнитель.

[alexgr 556]

вся полемика мне стала напоминать полемику на тему "о безполезности информационной безопасности". Если сигнатурные и несигнатурные методы бесполезны, списки ничего не гарантируют - топ-менеджмент может быть "доверенным инсайдером", веб - контент ненадежен, живем в опасном окружении - может, не стоит всем этим заниматься? всегда появится новая технология проникновения или взлома, всегда будет человеческий фактор и кривые ручки админа, который студент - недоучка...... Застрелиться, что ли? )

[А.Щеглов 6]

вся полемика мне стала напоминать полемику на тему "о безполезности информационной безопасности". Если сигнатурные и несигнатурные методы бесполезны, списки ничего не гарантируют - топ-менеджмент может быть "доверенным инсайдером", веб - контент ненадежен, живем в опасном окружении - может, не стоит всем этим заниматься? всегда появится новая технология проникновения или взлома, всегда будет человеческий фактор и кривые ручки админа, который студент - недоучка...... Застрелиться, что ли? )

К сожалению, Вы абсолютно правы, и тема: "о бесполезности информационной безопасности" назрела уже давно. Однако, стреляться - это удел слабых.

Когда мне осточертели споры на тему "Какая ОС безопаснее", то я не поленился, и сделал простейшую математическую оценку уровня безопасности современных универсальных ОС, со всей их "кучей" бесполезных механизмов защиты. Идея подобного исследования весьма проста, как в теории надежности. Есть поток отказов, поток восстановления после отказов (проще, продолжительность ремонта, в течение которого система неработоспособна), можно расчитать вероятность того, что в любой момент времени система находится в работоспособном состоянии. В смысле безопасности, ничего не напоминает - есть поток обнаружения уязвимостей (для оценки его интенсивности информации навалом), есть среднее время исправления уязвимости (это интенсивность выхода патчей), можно рассчитать вероятность того, что в любой момент времени система находится в безопасном состоянии.

Если интересно, могу предложить Вам познакомиться с результатами исследований в моей статье "Исследование на тему: какая ОС безопаснее?" (в разделе статьи на сайте www.securitylab.ru). Посмотрите, схватитесь "за голову". Аналогичные исследования можно провести и для антивирусов, думаю, когда все это "переведете в цифры", тоже ужаснетесь!

Относительно того, стоит ли этим заниматься? А куда деваться? Вы немного следите за тем,что происходит в мире? Хорошо происходящее представлено, например, на сайте www.itsec.ru. Уже давно вопросы обороноспособности любой страны тесно связывают с вопросами информационной безопасности. А Вы о "кривых ручках", о недоучках.... Просто, у нас складывается весьма странная ситуация, все понимают, что вопросами безопасности необходимо заниматься и заниматься профессионально (иначе, как Вы отметили, нужно "стреляться", большинство же предпочитают оставаться "страусами", только страусы эти "стоят на асфальте"), но что для этого реально делается? Вот и на этом форуме, меня называют теоретиком, не более того, интересно почитать, но кто же этим всем будет заниматься? А результат - посмотрите, как пестрят новостные ленты информациями о хищениях, взломах и т.д. и т.д. А в это время, ни на что не смотря, многие серьезно обсуждают эффективность сигнатурных анализаторов различных производителей.......

[А.Щеглов 6]

При этом ещё не решён вопрос для корпоративных об уходе обрабатываемой информации виртуальной зоны.

И т.д.

У Вас масса вопросов, и это понятно. Невозможно в рамках одной статьи (кстати говоря, моя статья здесь так и не опубликована), а уж тем более, в форуме, ответить на все эти вопросы. Если Вас интересует мое мнение по многим из озвученных Вами вопросов, приглашаю посетить наш сайт www.npp-itb.spb.ru раздел "Публикации". Там размещено пару десятков статей, отражающих мое мнение по многим вопросам защиты информации.

[alexgr 556]

при прочих равных условиях считаю, что в данном случае мы имеем весьма философскую задачу снаряда и брони. Сам занимаюсь этим сравнительно давно, веду почасовку в ВУЗе, но полагаю, что решения должны начинаться в области научного поиска, даже хотя бы из вывода критерия эффективности - максимизации выбранного функционала защищенности - для своей информационной системы. И использовать процессную модель безопасности, а не статическую...

За возможность знакомиться с публикациями - спасибо за сслки, обязательно почитаю.

[ASMax 20]

Теоретизирование конечно весьма занимательное, но было бы куда полезнее дать общественности пощупать сие чудо, дабы проверить возможно ли невозможное.

[А.Щеглов 6]

при прочих равных условиях считаю, что в данном случае мы имеем весьма философскую задачу снаряда и брони. Сам занимаюсь этим сравнительно давно, веду почасовку в ВУЗе, но полагаю, что решения должны начинаться в области научного поиска, даже хотя бы из вывода критерия эффективности - максимизации выбранного функционала защищенности - для своей информационной системы. И использовать процессную модель безопасности, а не статическую...

За возможность знакомиться с публикациями - спасибо за сслки, обязательно почитаю.

Не могу возразить ни по одному пункту. Кстати, любопытно, как Вы оцените уровень выпускника ВУЗа за последние лет 5 (у меня стаж работы в ВУЗе более 15 лет и сложилось вполне определенное мнение на этот счет, на мой взгляд, имеет мето "процессная модель" в Вашей терминологии)?

[А.Щеглов 6]

Теоретизирование конечно весьма занимательное, но было бы куда полезнее дать общественности пощупать сие чудо, дабы проверить возможно ли невозможное.

Я стараюсь не опубликовывать чисто теоретические выкладки, как правило, о чем-либо пишу лишь после апробации теоретических посылов. Все эти решения реализованы в одном из наших средств защиты, на которое есть ссылка в статье, и которое уже внедряется более двух лет. Так что "пощупать сие чудо" многим уже удалось - на сегодняшний день более сотни внедрений в корпоративном секторе (некоторые внедрения на 500 и более компьютеров в сети). Не в порядке рекламы - я лишь отвечаю на Ваш вопрос. Мы работаем с корпоративным сектором и придерживаемся определенного правила предоставления демо-версии. Вся информация об этом есть на нашем сайте. Можете и Вы "пощупать".

В чем причина некоторых ограничений на предоставление демо-версии? Все очень просто. После ее скачивания неизбежны вопросы (и уверяю Вас, далеко не всегда эти вопросы адекватны). Когда в техподдержку поступает несколько десятков вопросов в день, многие из которых - почему не запускается интерфейс, на что следует ответить - у Вас не хватает прав, зайдите с правами администратора, то, как Вы сами понимаете, это временные затраты. Не отвечать же на подобные вопросы нельзя, в противном случае, может пострадать наша репутация и репутация средства.

[alexgr 556]

Не могу возразить ни по одному пункту. Кстати, любопытно, как Вы оцените уровень выпускника ВУЗа за последние лет 5 (у меня стаж работы в ВУЗе более 15 лет и сложилось вполне определенное мнение на этот счет, на мой взгляд, имеет мето "процессная модель" в Вашей терминологии)?

К сожалению, был в командировке. Не могу похвастать таким стажем, но в ИБ работаю давно. Убивает путаница между безопасностью ИТ и ИБ. Люди все больше проводят знак равенства.... Со студентами еще хуже - с трудом находишь в аудитории заинтересованные глаза - и это на профильных факультетах. Студент все знает, он одинаково хорошо разбирается в боксе, футболе и ИБ. Когда просишь представить матрицу рисков - делает страшные глаза и называет это ненужной теорией, а уж про мотивацию нарушителя промолчу...

Процессная модель - это расширение ролевого подхода к доступу, только в динамике - что нужно для обработки в этой роли, какие права и полномочия по доступу (классическая RBAC), куда передается, уровень защиты при передаче/выкладке, возможность коммпроментирования на каждом шагу обработки каждым участником процесса. Статика губит все, нужна динамика. ИМХО. Какие привелегии нужны контролерам за процессом и как эти привилегии ограничивать? Кто контролирует привелигированных? Вот это и есть процесс. То есть процесс подготовки например договора рассматривается как процесс - многоступенчатый, с возможностью утечек на каждом этапе.

Как по мне - без теории и функционала построить нормальную систему ИБ нельзя. То, что ставят - это называют интуитивным снижением рисков. Их же никто как правило не считал , соответственно, никаких оптимизаций и провести нельзя. То есть подход просто - берем и ставим, потому что нравится, модно или сосед сказал. А уровень блокировки угроз какой? Да хрен его знает, но продукт хороший Мрак!