Сокрытие документа в заведомо непроверяемых файлах

[priv8v 960]

Вернее можно, но только в науно-познавательных целях smile.gif

Именно в таких целях я и интересуюсь. Мне доставляет это удовольствие

Естественно, я понимаю, что защита подобного рода должна быть на всех уровнях, а не только внутри ОС. Если так не будет, то никто не помешает найти что нужно через волков_командер или livecd. Я просто интересовался технической реализацией SecrecyKeeperа

[andrey golubev 15]

Тогда можно не мучится, снять диск и утащить его в темный угол.

А у вас возможна такая ситуация? Как в политике безопасности учитывается такая возможность?

Корпуса ПК опломбированы. Целостность пломб периодически проверяется.

На всех ПК у пользователей отобраны права не только установки программ, но и запуска всех кроме необходимых(т.е. есть белые списки) и биос запоролен?

Совершенно так. Запуск контролируется штатными средствами винды (SRP), загрузка со съемных носителей запрещена.

Какая ситуация с ноутбуками?

На них тоже стоит SecrecyKeeper и запрет сохранения секретов на ноутбуке. Если точнее, то на всех ПК стоит запрет локального хранения секретов.

SecrecyKeeper позволяет устанавливать для ПК уровни безопасности по доступу и по хранению. Т.е. подключиться к серверу и работать можно, а сохранить секретные данные локально нельзя.

Удаленное (через интернет) подключение к серверам с секретами запрещено.

Какие права на доступ к секретным документам у сисадминов?

С рабочих станций - запрещено. Только физический доступ к серверам. В серверной видео-камеры, права доступа разграничены.

Если необходимо убрать секретность документа - то как это происходит?

Через консоль SecrecyKeeper офицером безопасности.

Какова реакция системы на нарушение правил - просто запрет операции или возможна блокировка ПК?

Просто запрет операции.

[dr_dizel 385]

...

А на мои вопросы вы специально не отвечаете?

[alexgr 556]

я когда-то написал, что это самопиар разработчика.... Все в теме пока это подтверждает.... Пока ответы убоги, заявляемые опции - обходимы

Корпуса ПК опломбированы. Целостность пломб периодически проверяется.

типа программой?

[Ashot 110]

заявляемые опции - обходимы

что обходимо и как?

вообще в DLP все обходимо, кроме криптографии (оставим в покое слабые шифрЫ и ошибки реализации)

И самое главное в чем смысл пиара _тут_, на этом форуме?

[priv8v 960]

Пока ответы убоги, заявляемые опции - обходимы

Имеете в виду то, что про то как работает буфер обмена и командный интерпретатор неточно выражаются?

А говорить про то, что какой-то продукт нельзя обойти, если дать все карты в руки (под картами подразумеваются права админа и возможность запускать любые программы на компьютере)....

В общем функционал, на мой взгляд, неплох. В сочетании с урезанными правами, грамотными политиками и жесткими ограничениями на набор разрешенных к запуску приложений выходит неплохая картина.

Возможно, что это и самопиар разработчика, но опускать его до уровня разработчика антивируса Калинина не нужно

[andrey golubev 15]

А на мои вопросы вы специально не отвечаете?

Извините, пропустил

Защищаются ли области памяти, где находятся секретные данные?

Помечается ли своп, если данные вытесняются из памяти?

Помечается ли дамп памяти, если сбой произошел во время работы с секретными данными?

Мы таких проверок не проводили, как я уже говорил, мы оставались в рамках принятой модели нарушителя.

Своп мы виндой обнуляем, дамп не делаем. Что касается чтения памяти, то как сказал не проверяли. У нас есть пользователи (программисты-прикладники), имеющие техническую возможность украсть таким образом информацию (исходники), но увеличивать стоимость защиты ради этих исходников в нашем случае не целесообразно.

[andrey golubev 15]

я когда-то написал, что это самопиар разработчика....

Написать можно что угодно. Подтвердить ни слова из написанного вы не смогли.

Все в теме пока это подтверждает....

Priv8v задающий вопросы позволяющие мне подробно описывать функционал и способы применения SecrecyKeeper, он конечно тоже мой сообщник, как и все кто задавал вопросы по существу. Все куплены.

Пока ответы убоги, заявляемые опции - обходимы

Вы пожалуйста ткните пальцем в убогий ответ и дайте правильный. Иначе те кто мне за эту ветку репутацию поднял могут подумать, что вы "трепло форумное обыкновенное".

Про обход опций я не спрашиваю, тут вы конечно промолчите, про ваш моральный кодекс "эксперта"-безопасника вы год назад уже рассказали.

Кстати, на желтых хакерских форумах (как вы их называли), посты типа "я знаю про дыру, но никому не расскажу", запрещены правилами, там за это банят. Чтобы флуда не было.

Корпуса ПК опломбированы. Целостность пломб периодически проверяется.

типа программой?

типа руководителями подразделений, администраторами и сотрудниками СБ

и типа не зависимо друг от друга

вообще в DLP все обходимо, кроме криптографии (оставим в покое слабые шифрЫ и ошибки реализации)

В длп и криптография обходима. Если на ПК информация расшифрована, значит где то на этом ПК есть ключ, значит его можно вытащить.

И самое главное в чем смысл пиара _тут_, на этом форуме?

Запугать нафиг всех конкурентов до икоты.

И пока они будут икать срубить бабла не мерянно.

[Андрей-001 1099]

ИМХО. Раз прозвучало слово "самопиар разработчика", но его на самом деле ещё не было, а были только ответы на вопросы интересующихся, то теперь, в ответ на это разработчик или его доверенное лицо, если захочет, имеет полное право создать на форуме отдельную тему для новостей своей компании, где будет освещать всевозможные нововведения и изменения в развитии продуктов и деятельности компании.

Примеров тому немало и никто не против. Любому станет видно, что люди работают, развивают и совершествуют своё детище и свой профессионализм.

[alexgr 556]

С рабочих станций - запрещено. Только физический доступ к серверам. В серверной видео-камеры, права доступа разграничены.

Видеокамера направлена на экран? И как контролировать работу под sudo? Этим комплексом или средствами серверной ОС?

типа руководителями подразделений, администраторами и сотрудниками СБ

и типа не зависимо друг от друга

Тут конкретно отвечает некто. Коллективной ответственности в ИБ не может быть.

Соответственно, мы перешли к обсуждению комплекса оргмер, которые сами по себе являются неким обязательным приложением к любым техническим комплексам.

Как быть в бездоменной структуре ИС?

Как реализована защита лог-файлов?

Пока не нащупал изюминки, которая показала мне существенные преимущества перед известными аналогами

P.S. Ответы на вопросы, которые я здесь читаю, более напоминают ответы вендора, а не юзера. Если ошибся - сорри

[alexgr 556]

В сочетании с урезанными правами, грамотными политиками и жесткими ограничениями на набор разрешенных к запуску приложений выходит неплохая картина.

А зачем тогда сам комплекс? Грамотные политики, полное логгирование, отключение ненужных функциональностей etc. , оргмеры, анализ критичных событий - ?

[priv8v 960]

А зачем тогда сам комплекс? Грамотные политики, полное логгирование, отключение ненужных функциональностей etc. , оргмеры, анализ критичных событий - ?

Скриншот снять это не помешает. Сохранить документ вордовский куда-нибудь тоже. etc

Сами ведь знаете про такие продукты раз можете говорить, что не видите в этом больших преимуществ. Я их тоже не вижу, но с этим продуктом не знаком, поэтому и интересуюсь чисто техническими особенностями...

А если к компам применить что вы предложили, то будет поставлено под угрозу не только существование подобных решений, но и существование антивирусов , поэтому подразумевается, что имеются некие из перечисленных вами мер и + комплекс.

Аналогично и МС - они вообще советуют сидеть под юзером. Разработчики антивирусов тоже, но затачивают свой продукт они для защиты глупого юзера, который сидит под админом. Поэтому и антивирусы и подобные решения (то, что мы обсуждаем) будут существовать и далее...

[alexgr 556]

Скриншоты можно закрыть другими методами, фото экрана - другое дело... Но и комплекс здесь не поможет...

Пришлось покрутить продукты из этой сферы и вышло так - в одном удалось отправить файл в онлайн проверку АВ лаборатории, у другом - отредактировать лог - файл....И в одном, и в другом случае дальнейшие тесты уже не нужны

АВ не использую, кроме как на корпоративном ноуте установлен Аваст! Про. Политиками интересуюсь очень давно, аудитом и мониторингом ИБ - не очень. Продукты - ИМХО - все имеют право на жизнь. Уровень выживаемости - другой вопрос, но это не ко мне

[andrey golubev 15]

Видеокамера направлена на экран? И как контролировать работу под sudo? Этим комплексом или средствами серверной ОС?

Видео-камера мониторит кто к какому серверу подходил и что с ним физически делал. Админы работают только с теми серверами за которые отвечают. Предупреждая следующий вопрос - с серверов выхода в интернет нет, поэтому отправить секрет во время проф работ не получится.

типа руководителями подразделений, администраторами и сотрудниками СБ

и типа не зависимо друг от друга

Тут конкретно отвечает некто. Коллективной ответственности в ИБ не может быть.

Соответственно, мы перешли к обсуждению комплекса оргмер, которые сами по себе являются неким обязательным приложением к любым техническим комплексам.

именно целостность пломб в начале рабочего дня проверяют руководители подразделений

админы (поддержка) проверяют если они что-то делают у сотрудника

СБ - периодический контроль, если пломба нарушена - руководителю подразделения втык

Как быть в бездоменной структуре ИС?

Как реализована защита лог-файлов?

У нас структура доменная, логи несколько раз в день выгружаются в БД СБ, но это уже не SecrecyKeeper

Пока не нащупал изюминки, которая показала мне существенные преимущества перед известными аналогами

Изюменка в удачно реализованной и реально работающей мандатной модели направленной именно на контроль перемещения информации за пределы ИС. Особенность в том, что SecrecyKeeper умеет ставить грифы на сетевые ресурсы, в других продуктах я такого не видел, возможно не там смотрел. И еще одно - это цена.

Это мое мнение и я его не навязываю, просто делюсь.

P.S. Ответы на вопросы, которые я здесь читаю, более напоминают ответы вендора, а не юзера. Если ошибся - сорри

Принято.

В сочетании с урезанными правами, грамотными политиками и жесткими ограничениями на набор разрешенных к запуску приложений выходит неплохая картина.

А зачем тогда сам комплекс? Грамотные политики, полное логгирование, отключение ненужных функциональностей etc. , оргмеры, анализ критичных событий - ?

То что вы перечисляете - это защита от НСД. А у инсайдера доступ уже есть, причем легальный. А штатные средства не позволяют контролировать что пользователь сделает с инфой после того как легально получит к ней доступ. Есть только одно исключение ПК не подключенный к сети и с заблокированными периферийными портами.

А для контроля именно перемещения информации и нужны решения типа SecrecyKeeper или чего-то в этом роде.

[Сергей Ильин 1538]

andrey golubev, с SecrecyKeeper принипиально все ясно. Тут отрабатывает агент на рабочей станции, на основе технологии цифровых меток. Отслеживаются дейсвия пользователя с конфиденциальными данными, а дальше уже можно это раскручивать как душе угодно, на что хватит программистских ресурсов вендора. Тоже самое делает McAfee Host DLP, который тоже расставляет метки.

Меня на самом деле больше сейчас волнует, как с этим справляются шлюзовые решения, которые оперируют только трафиком. Как верно заметил, Николай Зенин выше, большинство решения на рынке к таким выкрутасам не готовы. Или не парились или есть серьезные технологические проблемы, например, ресурсоемкость и как следствие удорожание решения или большие задержки траффика.

Отмазка типа "DLP предназначены для защиты от случайных утечек, а с умышленными ничего сделать нельзя" ИМХО не прокатывает. Решение должно стремиться максимально защищать клиента от любых утечек.

[andrey golubev 15]

Меня на самом деле больше сейчас волнует, как с этим справляются шлюзовые решения, которые оперируют только трафиком. Как верно заметил, Николай Зенин выше, большинство решения на рынке к таким выкрутасам не готовы. Или не парились или есть серьезные технологические проблемы, например, ресурсоемкость и как следствие удорожание решения или большие задержки траффика.

Кушать суп вилкой зело не удобно, ложкой как-то сподручнее.

Построить систему защиты от утечки используя только шлюзовые решения не возможно, т.к. есть еще съемные носители, требующие агентов на рабочих станциях. А раз агент все равно есть, то и пусть он кроме носителей еще и сеть контролирует.

[Ashot 110]

используя только шлюзовые решения не возможно, т.к. есть еще съемные носители,

на самом деле проблема шире. шлюз потенциально ловит только то, что через него проходит. а кто сказал, что в инет будут выходить через шлюз?GPRS/EDGE/UMTS, WiFi, WiMax, простой DialUp (примеры в истории есть) и все "привет шлюз" шлюзовое решение это скорее решени "от бедности" (ресурсов разного рода)...

[andrey golubev 15]

используя только шлюзовые решения не возможно, т.к. есть еще съемные носители,

на самом деле проблема шире. шлюз потенциально ловит только то, что через него проходит. а кто сказал, что в инет будут выходить через шлюз?GPRS/EDGE/UMTS, WiFi, WiMax, простой DialUp (примеры в истории есть) и все "привет шлюз" шлюзовое решение это скорее решени "от бедности" (ресурсов разного рода)...

совершенно верно, в моем посте надо "съемные носители" заменить на "подключаемые устройства", я просто пример привел, который показывает не состоятельность подхода. еще можно добавить, что далеко не все шлюзовые решения обеспечивают полное покрытие используемых протоколов.

а вот насчет "от бедности", это смотря какое шлюзовое решение, большинство из них бедные не потянут

[alexgr 556]

я думаю, что истина-как всегда - посередине.Технологии - любые - шлюзовые и не шлюзовые - дают инструменті, грамотное применение которых в сочетании с правильными политиками и прочими оргмерами только и может дать эффектитвный результат.

[Сергей Ильин 1538]

Естественно, только со шлюзовым решенияем защиту от утечек нельзя считать полноценной (вспоминаем по Gartner, что должна делать DLP). Защита должна быть комплексной, а это и контроль трафика, и контроль портов, и контроль дейсвий пользователя с инфорацией + шифрование для надежности.

Анализировать трафик на предмет утечек только на уровне конечных точек как-то мягко говоря не круто, этот вопрос обсуждается в соседней ветке. Тут много минусов.

Минусы есть у шлюзовых продуктов, только эти продукты ну ни как не "от бедности". В идеале надо строить многоуровневую защиту, как это делается с ативирусами. Вы же не ставите антивирус только на рабочие станции? Хорошо бы еще иметь антивирус на шлюзах и серверах.

Поэтому хорошо бы было такие трюки ловить и на уровне шлюза. Агент на рабочей станции может быть отключен, она может быть просто без контроля по какой-то причине. К тому же технология цифровых меток, которые мы обсуждаем ну никах не защищают новейшие конфиденциальные данные, которые только созданы и непомечены. А производить контентый анализ на рабочих станциях - получить второй антивирус только "мехом внутрь", не думаю, что это хорошая идея.

[alexgr 556]

возвращаясь к теме, где в примере была стеганография... Если на свежий файл метки не были выставлены - еще или по умыслу, потом сформирован контейнер - полагаю, что ни одна программа не раскроет, что находится в контейнере

[Сергей Ильин 1538]

Если на свежий файл метки не были выставлены - еще или по умыслу, потом сформирован контейнер - полагаю, что ни одна программа не раскроет, что находится в контейнере

Вот я про это и говорю. Метки как технология сильно реактивная, новые данные ей защищать не получится.

Простой пример: я просто открою 2 файла в ворде. Один новый, а другой конфиденцальный и буду конспектировать второй в первый (не копировать, а именно переписывать суть своими словами). Привет меткам, буду делать с файлом что захочу Цифровые отпечатки тоже пропустят утечку нового, созданного мной файла ибо технологии по своей сути похожи.

Поэтому важно научить ловить такие фокусы в потоке трафика. Если этого пока нет, то будем ждать, когда появится. Когда антивирусные технологии тоже были примитивными ... можно говорить, что с DLP мы в начале пути.

[priv8v 960]

Простой пример: я просто открою 2 файла в ворде. Один новый, а другой конфиденцальный и буду конспектировать второй в первый (не копировать, а именно переписывать суть своими словами). Привет меткам, буду делать с файлом что захочу

Попробую представить действия SecrecyKeeperа в данном случае, исходя из того, что сообщил нам andrey golubev (andrey golubev, поправьте меня если я ошибаюсь):

1). Сергей Ильин открывает секретный документ с помощью ворда (иными словами ворд открывает секретный файл, считывает оттуда данные, обрабатывает и выводит на экран нечто). От этого ворд становится секретным.

2). Затем открывает второй файл и делает там какие-то изменения с помощью секретного ворда. Следовательно этот файл тоже становится секретным.

Так?..

[alexgr 556]

гораздо проще - не надо делать Ворд секретным, откройте скажем Блокнот и конспектируйте туда, или в WordPad/ Или просто наберите суть в новом файле, а потом закройте в полученный файл с помощью , скажем, Steganos.... или, скажем, как злонамеренный, откорректирую лог?

[andrey golubev 15]

Попробую представить действия SecrecyKeeperа в данном случае, исходя из того, что сообщил нам andrey golubev (andrey golubev, поправьте меня если я ошибаюсь):

1). Сергей Ильин открывает секретный документ с помощью ворда (иными словами ворд открывает секретный файл, считывает оттуда данные, обрабатывает и выводит на экран нечто). От этого ворд становится секретным.

2). Затем открывает второй файл и делает там какие-то изменения с помощью секретного ворда. Следовательно этот файл тоже становится секретным.

Так?..

Если второй файл открывается новым экземпляром ворда, то нет

Ведь это новый процесс, который доступа к секретной инфе не получал

Но предложенный метод это из разряда фотографирования экрана, и вообще зачем набирать конспект в ворде ? пишите его сразу на лист бумаги, или надиктуйте на диктофон. От того, что можно вынести в голове надежно тех средства не защищают. А экселевскую таблицу на несколько десятков тысяч строк законспектировать не получится.

Что касается контекстного анализа и подобных методов, то по моему их для защиты от кражи применять нельзя. Потому что обходятся они элементарно, и разработка метода защиты от очередного трюка значительно сложнее, чем разработка самого трюка.

Уже написал и вспомнил. Агент SecrecyKeeperа может работать в двух режимах.

Режим 1 - стоит по умолчанию, доступ к секретной информации отслеживается относительно процесса. Мой комментарий выше как раз для него.

Режим 0 - параноидальный, доступ к секретной информации отслеживается относительно сессии пользователя, т.е. если один из процессов получил доступ к секретам, то любой сохраненный после этого любым процессом файл становится секретным. Для пользователя крайне не удобно, т.к. в одной сессии нельзя работать с документами разной степени секретности, надо перезагружаться. Но описанную ситуацию этот режим как раз закроет.