СРАВНЕНИЕ ЭФФЕКТИВНОСТИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА - Форум по вопросам информационной безопасности

Наткнулся в сети на интересное исследование - сравниваются СЗИ от НСД DL и SN:
http://yarsec.ru/bitrix/Статья%20сравнение%20СЗИ.pdf
Особенно данное исследование интересно применительно к защите от целевых атак, подавляющая часть которых осуществляется на привилегированные учетные записи.

Пробежался по статье.

В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС - обычно они ко всему допущены, что им там ломать. Они из головы всю работу на листке бумаги накатают все секреты если захотят.

Допустим вербанули кого-то, зачем агента разоблачать ломая СЗИ - опасно, так никто не делает...

Вообще ГТ можно обеспечить лишь организационными мерами и порядком документа оборота - как электронного так и бумажного!

А так, сложилось ощущение по статье, что СЗИ - это выброс денег

добавлю - ПЭМИН, СП, ВП - вещь бесспорно нужная в ГТ

*в сторону*
Давайте возьмем бородатый РД и сравним по нему...
Давайте проведем все тесты от лица привилегированных уч.записей, предварительно настроив СЗИ от слова "никак"...
Давайте не будем париться с выявленными "недостатками" и их устранением за счет подстройки существующих механизмов защиты - и назовем это все "компенсирующими мерами"...
Давайте сварганим на сей базе "исследование", опубликуем его, съездим на конференцию, выложим ее на Youtube и... оставим без комментариев вопрос из зала в стиле "А чего вы ожидали от СЗИ, не настроив его полноценно (не по букве, а по духу, ага) и работая из-под администратора ОС?"...

<добавлю - ПЭМИН, СП, ВП - вещь бесспорно нужная в ГТ> - подавился бутербродом за обедом. Предупреждать надо, товарищ!

Два момента.
1. С ГТ все понятно, но сейчас сертифицированные СЗИ от НСД должны использоваться в ИС, крайней подверженных целевым хакерским атакам - медицина, финансовая сфера и т.д.
2. На мой взгляд, данный материал не должен остаться без внимания, т.к. либо авторы "открыли нам глаза" на реальную эффективность этих систем, либо опорочили их, проведя некорректное исследование, сделав на его основании некорректные и, замечу, очень жесткие выводы. Особенно меня покоробило "корыто":
Чем больше zero-day нашлось,
Тем меньше их осталось скрыто!
И если руки есть и мозг,
То можно залатать «корыто»

tо oko

вы придираетесь, подумаешь ЗПС парни забыли настроить для пользователей и не обеспечили доверенную загрузку ОС...

На самом деле, здесь есть серьезные проблемы, вопрос в том, насколько корректно проведен пентест для подобных выводов.
Основной вывод, как мне показалось, это необходимость совмещения обязанностей всех администраторов в одном лице - администратор безопасности. В корпоративных приложениях подобное невозможно.
А если системный администратор отдельное лицо, то что он будет делать при настройке администратором безопасности ЗПС? И сразу вопрос - как можно обойти ЗПС (например, с использованием штатно устанавливаемой утилиты М.Русиновича, на которую ссылаются авторы, - упрощенный телнет, можно обойти или нет, получив системные права?) К слову, ЗПС не спасает от инжектирования кода в запущенные (разрешенные к исполнению) процессы. Есть вопросы, однако авторы не формулируют проблему, а дают однозначную оценку на основании именно проведенных ими исследований.

to А.Ю. Щеглов.

Больше пользы - чем вреда, обратили внимание на то, как не надо настраивать. Сделали выводы из своей работы по правильной настройке СЗИ.

И выводы у них верные (пункт 2.6.) Хотя прочитав пункты, понимаешь, что это всё можно настроить с помощью представленных СЗИ.

Насчет теневых копий у SN надо пробовать, на полностью настроенном компе (ЗПС, СДЗ, контроль целостности.... и т.д.)

to Александр
Не придираюсь...
ЗПС, в частности, запретит юзерам использовать консоли терминалов, диспетчеры задач и проч., что не разрешено явно...
СДЗ мимо приведенной работы - они грузить стороннюю ОС не пытались. А про "Безопасный режим" - ха, года 4 назад с коллегой писали докладную по этому поводу, которая в итоге была сверху завернута и теперь лежит в чьем-то сейфе, не иначе...
Про изоляцию модулей и приложений и, главное, про изолированную среду DL забыли. ПроМодуль экстрасенсорики подсказывает, что и не пытались изучить. Да и концепцию 90х гг. по созданию изолированных операционных сред для оперирования ИОД явно не читали (а под нее оные РД ГТК от НСД и писались, ага)...
SN - дырявое корыто, тут соглашусь. Хотя и его настройку опустили ниже плинтуса...
И да, за теневые копии в ГТ ручки бы оторвать ("другой регулятор" неоднократно намекал, ага)...

to А.Ю. Щеглов
Проблема не в формулировках, а в том, что, не понимая концепции использования оных СЗИ НСД, направления и места, для которых они разрабатывались, ребята пытаются скрестить ужа и ежа. С одной стороны апеллируют к устаревшим РД; с другой используют векторы атак, которые в "правильных местах применения" оных СЗИ НСД в принципе не должны быть реализуемы; с третьей - не особо разбираются в настройках СЗИ НСД. Напоминает ситуацию, как я по юности доказывал ЛК косяки их продуктов на примере "настроек по умолчанию". Максимализм чистой воды, лишь бы завязать спор...

*в сторону*
Тов. malotavr, а можете нам ситуацию разъяснить? Позитивные же ребята сию работу писали, не так ли?
https://www.youtube.com/watch?v=0XrM40_DIDI
Единственный конструктив, imho, про базы аккаунтов и паролей. Хотя с шифрованием сложный вопрос...