Контакты
Подписка
МЕНЮ
Контакты
Подписка

Сертифицированные СЗИ НСД для защиты от целевых атак - Форум по вопросам информационной безопасности

Сертифицированные СЗИ НСД для защиты от целевых атак - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 >

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84007 20.12.2017 08:45
Уточню. Говоря об "игрушечной" защите, имею ввиду применительно именно к рассматриваемой задаче (посмотрите, как называется презентация), т.е. о различных сканерах - анализаторах по заданным сигнатурам журналов аудита системы и приложений и т.д. Те же компании, которые Вы привели в пример, создают серьезные сложные продукты - СЗИ НСД, причем постоянно их развивают, но этими продуктами не решаются эти задачи защиты.
"Бумажная" в том смысле, что нельзя не замечать серьезных проблем безопасности. Мы далеко не единственные, кто пытается решать эти проблемы, у нас свой подход, который мы и изложили в материале, и попытались всесторонне обосновать.
Посмотрите материал, там практически нигде не упоминается субъект доступа "пользователь". Это иное решение, чем классические СЗИ НСД, не надо их сравнивать в части решения рассматриваемой задачи. Можем сравнить в части решения классических задач СЗИ НСД, но это иная тема.
Относительно кольчуги пример правильный, не спорю, может еще поговорить о танке, там также броня везде разная.
Но только где она кольчуга применительно к рассматриваемой задаче защиты? Сейчас тестируем механизм защиты BIOS UEFI (в нем много можно сломать из ОС с правами администратора), скоро пополню презентацию, на выходе доработка для защиты загрузчика ОС, которому передается управление из BIOS UEFI (его файл не мапится на букву диска) - это что, не элементы кольчуги?
Я вижу, что Вы не приемлете того, что мы делаем, ну что ж, это Ваше мнение. При этом заметьте, мы же не обсуждаем конкретные решения.
Ведь так или иначе рассматриваемые задачи защиты решать необходимо!

А относительно 10 лет, согласен, изменения очень весомые - это уже совсем иная система.

Автор: oko | 84035 20.12.2017 16:10
to А.Ю. Щеглов
Панцирь+ сертифицирован по СВТ, НДВ и МЭ. Dallas и SNS (из приведенных мною, ага) - тоже. Работают они все на уровне ОС, встраиваются в нее. Да и в вашей презентации Панцирь+ также называется СЗИ НСД. Так что сравнение более чем уместное, хотя речь шла не о функционале, а о конкретной проблеме - скорость и точность исправления уязвимостей в СЗИ по отношению к ОС. Свою позицию я привел, а вы как всегда предпочли уйти от темы...

Различные сканеры-анализаторы-рецепторы - это вообще не "средство защиты". Это средство анализа защищенности. Разумеется, ими не решаются указанные вами задачи - у них другое направление. Но сравнение с ними, конечно, весьма уместно (чтобы показать, что Панцирь+ круче, ага)...

<Посмотрите материал, там практически нигде не упоминается субъект доступа "пользователь"> - у меня, конечно, могут быть проблемы с глазами или семантическим анализом, но вот цитата из вашей же презентации: "Субъект доступа задается тремя сущностями – исходный идентификатор пользователя, эффективный идентификатор пользователя, полнопутевое имя исполнимого файла процесса"...

Еще раз повторюсь: вы расширили процессную модель доступа на уровне ОС. Это хорошо, но совсем не уникально (существующие отечественные аналоги уже приводил). И уж явно не претендует на звание "средство защиты от целевых атак"...

<Сейчас тестируем механизм защиты BIOS UEFI (в нем много можно сломать из ОС с правами администратора)> - с помощью UEFI можно многое сломать в ОС и в АС(ИС) в целом - это важнее, а не наоборот. Читайте материалы хак-конференций, там люди уже 5 лет к ряду показывают все новые и новые техники...

ЗЫ <Я вижу, что Вы не приемлете того, что мы делаем> - почему же? Раз пишу все это, значит, интересуюсь и кое-что даже разделяю. Просто ваши высказывания и презентации ничем как правило не подкрепляются, кроме возвышенных фраз аля "уникальное", "в корне отличающееся", "не бумажное" и проч. Проведите-таки контест (можно даже в рамках какой-нибудь ZeroNights, например). Это куда полезнее для продвижения продукта и доказательства его актуальности, чем препирательства на форуме, ага...

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84046 20.12.2017 17:49
Oko, спасибо, я максимально готов к диалогу, но не сегодня. Сейчас для меня сложное время - дис. советы, зачетная неделя в ВУЗе и т.д. (конец года).Завтра подброшу Вам интересную тему для обсуждения, связанную с существующими РД СВТ (на первый взгляд, "бумажная безопасность", но не так все просто, смотря, как читать этот документ). Извините, не сегодня, сил нет!

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84048 20.12.2017 18:18
Oko, еще. Я весьма заинтересован, чтобы Вы, как специалист ( в форуме я вижу, что Вы многие системы "трогали руками") реально посмотрели наши возможности. Давайте подумаем о том, если это Вам интересно, как мне Вам дать полнофункциональную дему (именно Вам, мне не нужны лишние вопросы от студентов, итак забот хватает). Если интересно, давайте как-нибудь свяжемся. Все наши координаты есть на нашем сайте.

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84063 21.12.2017 08:42
На самом деле, и существующие требования из РД СВТ предполагают решение рассматриваемых в нашей презентации задач защиты, все зависит от того, как их читать (конечно, в современных условиях их уже следовало бы расширить, но тем не менее).
Приведу примеры.
Требование «КСЗ должен требовать от пользователей идентифицировать себя при запросах на доступ, должен проверять подлинность идентификатора субъекта - осуществлять аутентификацию….». Мы его выполняем следующим образом. Пользователь, запросивший доступ к любому объекту идентифицируется из запроса доступа его эффективным идентификатором (SID). Аутентификация осуществляется следующим образом. При запуске процесса, запоминается, каким пользователем он был запущен – исходный идентификатор пользователя. При запросе доступа сравниваются эффективный и исходный идентификаторы – осуществляется аутентификация (подтверждение).
Второй пример. Требование «При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга. А это уже решаемая нами задача защиты от инжектирования кода (данных) одним процессом в другой, основанный на использовании общей памяти.
К чему я это я. Далее высказываю свою точку зрения. СЗИ НСД должны составлять основу защиты, в том числе, и защиты от целевых атак. Всевозможные сканеры должны быть вторичны, использоваться в дополнение к СЗИ НСД уже для идентификации и классификации реализованных атак, от которых осуществлена защита, и которые выявлены СЗИ НСД. Как видим, основы этого уже заложены в существующем РД, которое, как мне кажется, должно развиваться именно в этом направлении. Именно такую идеологию защиты мы реализуем в КСЗИ «Панцирь+».

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84065 21.12.2017 10:05
Не с того начал.
Рассмотрим требование «КСЗ должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.). Для каждой пары (субъект – объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту)».
Именно в рамках выполнения данного требования (обратите внимание в нем на и т.д.) мы и реализуем разграничительную политику доступа к критичным объектам – именованным каналам, альтернативным потокам, системным объектам, включая MFT таблицу, настройкам BIOS, к файлу загрузчика и т.д. Как видите, ничего «космического» мы не делаем – просто выполняем соответствующие требования, но не формально, а исходя из знаний архитектуры современных ОС и источников угроз атак на них, с целью реализации эффективной защиты. В том числе, в субъект доступа в разграничительной политике нами включена сущность «процесс», т.к. без этого эффективную защиту не построить.
Говоря же ранее о «бумажной» безопасности, я имел в виду не выполнение соответствующих требований, а их формальное выполнение, в том числе и из-за отсутствия необходимой квалификации, т.е. выполнение требований не ради построения эффективной защиты, а с целью выполнения требований.

Автор: oko | 84069 21.12.2017 11:47
to А.Ю. Щеглов
<Давайте подумаем о том, если это Вам интересно, как мне Вам дать полнофункциональную дему> - думается мне, не один такой на форуме сем *зачеркнуто* флудер */зачеркнуто*, кому интересно было бы поковыряться в полной версии. Выложите ее в общий доступ на сутки и дайте ссылку на ftp - все заинтересованные сумеют скачать, а позже в этой же ветке форума и обсудим результаты...
"Прямое" выполнение положений РД СВТ - это хорошо. Плохо, что любой РД можно трактовать двояко. Ну а в тему SID - комментарии излишне. Еще раз повторюсь, из-под "недоверенной ОС" ни одно СЗИ, работающее выше уровня ядра, не даст полной гарантии защищенности. И сомнения берут меня относительно Панциря на уровне ядра Win...
<т.е. выполнение требований не ради построения эффективной защиты, а с целью выполнения требований> - вы же сертифицировали Панцирь+ под КОНФИ, а не ГТ. А в КОНФИ идея проста - все, что мешает штатному функционированию АС (ИС) будет либо отключено (до прихода проверяющих), либо выполнено формально. И это, к сожалению, реалии бизнеса, которые, к слову, мне тоже противны, но никуда не денешься. Тогда зачем городить огород? Поиграв с доступной у вас демо-версией (где механизмы не активны, активен только интерфейс), могу сказать, что Панцирь+ крайне неудобен в тонкой настройке. Поэтому использовать его по прямому назначению в КОНФИ - 1-2 объекта с безопасниками-параноиками, навскидку...

ЗЫ И да, замените, пожалуйста, на сайте вот этот текст: "КСЗИ может применяться в государственных информационных системах до 1 класса защищенности включительно, для которых к актуальным отнесены угрозы 2-го и 3-го типа". А то весь налет серьезности теряется, поскольку в ГИС нет угроз 2 и 3 типов - это *зачеркнуто* бред */зачеркнуто* для ИСПДн...

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84075 21.12.2017 12:35
Относительно КОНФЫ. На самом деле, все это отвратительно, зачем тогда вообще городить огород с какой-либо безопасностью в целом, но не так трагично. Сдвиги есть. Относительно недавно Панцирь+ закупила весьма серьезная организация, под КОНФУ. Так вот, прежде они серьезно интересовались не формальными делами, а как мы можем защитить от шифровальщиков, фишинга и т.д. Думаю, что еще пару серьезных атак и заказчик плавно перейдет к пониманию необходимости эффективной защиты.
Можно Панцирь серьезно и не настраивать, используя лишь простейшие возможности. Но при этом будут и серьезные возможности защиты, к которым в случае чего, можно будет обратиться.
Ваш же пессимизм настораживает, из Вашего заключения можно сделать вывод - давайте и дальше жить, как живем, и ничего в безопасности не следует развивать!
Не могу сказать, что Панцирь+ не удобен в тонкой настройке, наоборот, очень удобен, мы все для этого сделали. После праздников проведем вебинар с использованием учебно-боевых настроек (выложены на сайте) для иллюстрации сказанного.
Угрозы 2 и 3 типов - это (прописано в сертификате) речь идет о закладках в ПО (1 типа - это закладки в ОС, 2 типа - в приложения).

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84081 21.12.2017 13:51
Кстати? натолкнули меня на дельную мысль, спасибо. Действительно, мы не учли, что у читателя может сложиться ложное впечатление о сложности администрировании КСЗИ "Панцирь+", хотя это совсем не так. Добавили в презентацию плакат на эту тему http://www.npp-itb.ru/images/docs/alldocs/slides.pdf

Автор: oko | 84088 21.12.2017 19:15
<...из Вашего заключения можно сделать вывод - давайте и дальше жить, как живем, и ничего в безопасности не следует развивать!> - не повторяйте, пожалуйста, слова автора Агасофии (он, помнится, ранее тоже меня в этом упрекал, а, как выяснилось, просто не умел читать). Потому что выше свою позицию уже явно указал: <И это, к сожалению, реалии бизнеса, которые, к слову, мне тоже противны...>

<...как мы можем защитить от шифровальщиков, фишинга и т.д...> - realy-target-attaks, ага...

<Угрозы 2 и 3 типов - это (прописано в сертификате) речь идет о закладках в ПО> - спасибо, я тоже читал ПП РФ 1119. Еще раз повторю - к ГИС (17 Приказ ФСТЭК) эти типы угроз не имеют де юре никакого отношения. Эти параметры актуальны для ИСПДн, а не ГИС (кроме случая обработки ПДн в ГИС, но у вас общий сертификат, а не частный). Поэтому исправьте-таки фразу на сайте, чтобы не вызывать когнитивный диссонанс у лиц в теме, пожалуйста...

Страницы: < 1 2 3 4 >

Просмотров темы: 12485

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*