"Завершена разработка КСЗИ "Панцирь+" для ОС Microsoft Windows" - Форум по вопросам информационной безопасности

Своевременный вопрос :)
А то уважаемые люди распинаются, рекламируя сей чудесный продукт.

Коллеги, во-первых, продукт совершенно новый, еще массово не используется (ПОКА!), ничего не имеет общего с предыдущей нашей системой (которую мы продолжаем поддерживать) КСЗИ "Панцирь-К". Это не развитие, это переход на новые технологии, как по функционалу, так и собственно по технической реализации основных механизмов защиты (по функционалу и КСЗИ "Панцирь-К" во многом превосходит многие иные продукты).
Во-вторых, зачем подобные сарказмы, как "распинаются"? Просто мы хотим донести до специалистов (именно до специалистов, другие просто всего этого не поймут, да и не надо) отличия в подходах, не локальные, а то, как на наш взгляд (уточняю, именно на наш взгляд), должны строиться современные СЗИ НСД, какие задачи защиты ими должны решаться и как. Для того, чтобы понять насколько Вы специалист, готов задать пару вопросов по архитектуре ОС Windows, например, что такое сервисы олицетворения - с какой целью реализована данная штатная возможность в современных ОС, и чем они опасны? Если сумеете ответить, сами задайте вопрос, почему в иных СЗИ НСД к ним не разграничиваются права доступа?
Сейчас наша задача не реклама нового продукта, она осуществляется опосредованно, наша задача - представить свое понимание задач и проблем защиты информации от НСД в современных условиях, поскольку, именно специалист, владеющий этими вопросами, сумеет оценить наши решения!
В какой иной системе Вы видели реализацию, например, ролевой и процессной моделей контроля доступа? А ведь, по средством реализации именно этих моделей, должны, на наш взгляд, строиться современные СЗИ НСД!
Сейчас мы готовим ряд документов по реализации данных моделей контроля доступа в КСЗИ "Панцирь+", к сожалению, сравнивать эти решения нам не с чем (отчасти, с большой натяжкой, для сравнения можно рассмотреть лишь SE Linux). По готовности, будем размещать эти документы на нашем сайте, сообщая об этом на форуме. Познакомьтесь с ними, увидите разницу.
К слову сказать, в ближайших планах опубликование моей монографии (страниц на 400), где рассмотрение всех этих вопросов будет системно изложено (монография в печати).
Резюме. Мы рекламируем не нашу систему, а наши ЗНАНИЯ и ПОДХОДЫ, а опосредованно, как следствие, и систему. Поэтому я всегда уточняю, что представляемые нами материалы могут быть полезны не только тем, кто стоит перед выбором СЗИ НСД, но и всем, кто работает (либо видит свою будущую работу) в этой области знаний!

Здрааствуйте! Сделайте форму на своем сайте где специалисты могли бы обмениваться опытом по настройке панциря, глядишь и в техподдержке будут доброжелательнее общаться.

Сайт за пару недель обновим - уберем все лишнее, по другому представим! Пора уже (всегда думали, что в этой области знаний достаточно "содержания", а не "формы", увы, это не так).
Относительно техподдержки. Опыт показывает, что эту услугу в отношении нашего ПО, какие компании только не предоставляют без нашего участия, причем без обучения специалистов этих компаний! Предоставляющие услугу компании подчас ничего не знают о нашем продукте! Это уже вопрос к заказчику, хочет ли он иметь профессиональные консультации? А те, кто берется за эти вопросы без соответствующих знаний (у нас есть услуга по обучению) - это их проблема, подобные организации (их специалистов) мы консультировать НЕ БУДЕМ (нет оснований)!

Коллеги, ранее, нами был подготовлен и размещен на сайте компании документ «КСЗИ «Панцирь+». Назначение и задачи, решаемые механизмами защиты», позволяющий оценить достоинства нашей СЗИ НСД..
Документ находится по следующей ссылке: http://www.npp-itb.spb.ru/files/NZP+.pdf
В продолжение этого, мы начали подготовку и размещение на сайте документов, иллюстрирующих применение (с примерами и с апробированными настройками) инновационных ( в подавляющей части, запатентованных) механизмов защиты из состава КСЗИ «Панцирь+».

Первый из этих документов - «КСЗИ «Панцирь+». Процессная модель контроля доступа. Реализация, методика настройки механизмов защиты» размещен по следующей ссылке: http://www.npp-itb.spb.ru/files/PM_P+.pdf
Берусь утверждать, что ни одна из возможностей защиты информации от актуальных атак, описанных в данном документе, не реализована в СЗИ НСД иных производителей.

Почитал, посмеялся, погрустил. Как и раньше ничего ультра-нового и стоящего таких высокопарных заявлений как "ПОЧУВСТВУЙТЕ РАЗНИЦУ" не заметил. Поэтому (предупреждаю заранее) дальше будет много яда и букв. Для простоты приведенный выше по ссылке pdf-файл будем называть "Документом". Поехали:

1. Аккорд-NT/2000 вер. 3.0. Разработка 2005-2006 гг. Т.е. намного раньше всех выложенных, заявленных и обсуждаемых тут патентов для "Панцирь+" в области "уникальности". Да, логика несколько иная. Но ролевая, сессионная и процессная модели доступа в наличии. И спектр задач решается аналогично. В особенности в части разрешения или запрета одному процессу запускать в памяти вредоносный файл/объект. ЗПС в просторечьи (от SecretNet повелось, ага) или по документам ФСТЭК (17 и 21 приказы), собственно, ОПС (не путать с охранно-пожарной сигнализацией!). И технология давняя. Стоит учитывать в дальнейших документах "Панцирь+", чтобы не вводить людей в заблуждения своими "инновациями".

2. Опусы вроде "При настройке функционального аудита, реализуемого в отношении объекта доступа, можно ограничить, отказы в доступе только от каких субъектов фиксировать, либо от каких не фиксировать, см. рис.10." оставляю без комментариев... Грусть-печаль в том, что их в Документе много. И это подтверждает витающее в воздухе мнение о... ладно, мы тут корректные люди, с пониманием относящиеся к самопиару...

3. Принципы использования масок файлов для разграничения - тоже старый как мир прием, который реализован в любом современном СЗИ НСД.

4. Подход "критичное приложение - уникальные настройки" никак не связан с новизной технологии защиты. Это решение сугубо административное и личное. А возможности такого плана, повторюсь, предоставляет любое современное СЗИ НСД тем или иным способом, но одинаково эффективно в правильных руках.

5. Перенаправление доступа к статичным файловым объектам на примере "\Users" понравилось (сама идея гибкости реализации для каждого детерминированного процесса). Только откуда "\Windows\Users"? Ни в одной из известных мне ОС MS Windows такого пути попросту нет. Видимо, это действительно "критичный системный объект", раз о нем известно только избранным... Но суть даже не в нем. Перенаправление каталогов и работы процессов в эти каталоги имеется также в Аккорде, SN, DL и т.д. И каждое СЗИ создает "теневые копии" данного каталога, с которыми в дальнейшем работают процессы. Правда, только в режиме мандатной политики процессов (он же контроль потоков). И жрет эта собака дискового пространства немерено, а также вообще сильно влияет на работоспособность и срок эксплуатации НЖМД. Если ко всему вышесказанному добавить технологию перенаправления каждого каталога для каждого процесса - ужас! Получим крах "винта" через 2-3 месяца эксплуатации. Особенно, если не в статическом режиме организации "теневых каталогов", а в динамическом (при каждом запуске процесса или начале сеанса работы пользователя).

6. Контроль реестра. Мама дорогая! Авторы Документа являются тайными авторами Windows (тех версий, что после 2000)? Они изучили каждую ветку, каждую ноду реестра и знают, к чему в реестре доступ штатно имеет любое приложение из миллионного спектра, разработанных для Win программ? Попахивает попыткой реализации выводов тов. Руссиновича (к этому еще вернемся). Только такой подход - это шаг в пропасть. И опция, соответственно, забавная, но не нужная. Очевидно, поэтому в Документе шаг про контроль реестра занимает меньше странички. Большая часть из которого - скриншот неясных настроек.

7. Сервисы олицетворения. Как я понял - ключевой элемент, та самая "инновация", которая, к тому же, наверняка "запатентована". Возвращаемся к Руссиновичу. Резонный вопрос: "ему часть патента перепала?" оставляем без ответа. Главное в другом. Он ничего явного не заявлял - он исследователь, не претендующий на полную и законченную однозначность результатов своих трудов. Ибо код Win закрыт. Ибо его переписывают, изменяют (*в сторону* вшивают функции шпионажа). Глупо говорить об олицетворении, как о главной беде, когда других бед в достатке... Особенно в свете другого риторического вопроса: "эффективно ли контролировать сервис, встроенный в ядро ОС, средствами иного сервиса/службы, реализованного в виде отдельного драйвера?"...

8. Очистка оперативной памяти, контроль буфера обмена. Старые задачи, старые ключевые звенья (в доказательстве своей значимости уже давно не нуждающиеся) и старые методы. Реализованные во всех СЗИ НСД. Разве что, другие интеграторы понимают, что очистку памяти не следует выполнять сразу по завершении процесса. И тем более имеется ряд процессов, не только и не столько порождаемых корневым процессом, которым очищаемая память нужна для своей штатной работы. Лавина потоков и подпроцессов. А авторы

Продолжение...

8. Очистка оперативной памяти, контроль буфера обмена. Старые задачи, старые ключевые звенья (в доказательстве своей значимости уже давно не нуждающиеся) и старые методы. Реализованные во всех СЗИ НСД. Разве что, другие интеграторы понимают, что очистку памяти не следует выполнять сразу по завершении процесса. И тем более имеется ряд процессов, не только и не столько порождаемых корневым процессом, которым очищаемая память нужна для своей штатной работы. Лавина потоков и подпроцессов. А авторы Документа предлагают резать память. Нехорошо. Вообще, данная задача решается классически за счет выделения статичных областей памяти, недоступных для других потоков, в неявном для пользователей виде. Т.е. не на уровне процессов, а на уровне thread. Аналогично и с буфером обмена. С той лишь разницей, что информация в буфере обмена часто нужна самим пользователям - владельцам защищаемой ПЭВМ - для передачи между "критичными приложениями". В конце концов, не IE единым сыт будет современный юзер...

9. Локальный сертифицированный МЭ. В сущности - обычный брандмауэр. Только, возможно (сам не щупал, ибо так и не смог получить демо-версию) с чуть более явной логикой и настройкой, чем встроенный в Windows XP, к примеру. Инноваций опять-таки нет.

Резюмирую:
Как и говорил раньше, "Панцирь+" - комбайн. Как и предполагалось - неповоротливый и крайне низкопроизводительный, если все настраивать "в соответствии с заложенной логикой". И сжирающий кучу времени как у администратора системы защиты, так и машинных тактов у самой защищаемой ПЭВМ. В конце концов, в Документе представлен процесс настройки только для IE. Это не "новый подход". Это старый как мир перевод треугольника "безопасность - эффективность - экономичность" в одну грань, а вернее в одну точку.
И последнее, "на правах сарказма". Почему при всем спектре возможностей и "инноваций" это "средство защиты информации" не сертифицировано как СОВ и АВЗ уровня хоста? Обнаружение и предотвращение вторжений имеется. Защита от исполнения вредоносного кода тоже. Т.е. другие средства защиты теперь вообще не нужны? Не смешите меня, пожалуйста. Реализованные методы - излишние и не впечатляющие как по факту (в связи с тяжеловесностью, обязательной взаимосвязью и долгим временем настройки), так и по законодательной основе, ибо СОВ и АВЗ отдельно нужны еще как.

Отдельно про настройку. Ранее в этой ветке форума уже были заявления о простоте настройки "Панцирь+". Где она, эта простота? Или имелось в виду, что каждый отдельный компонент настраивается просто? А совокупность, граничащая с бесконечностью при огромном числе "критичных" процессов в современной связке "желания_юзера - возможности_ОС - доступные_программы"? Или прикрываемся фразой, что "во имя безопасности любые методы хороши!"? Подход уважаю, сам использую. Но когда это критично и действительно важно. Следовательно, увольте, воспользуемся другими методами, не настолько отвлекающими и требующими столь "тонкой и взаимосвязной настройки".

И самое вкусное в конце. Позиция "от актуальных атак, описанных в данном документе". Где актуализация атак? Где доказательство их чрезвычайной важности в современном типовом тех.процессе типовой организации? Все, что описано в Документе, другие вендоры в области НСД, АВЗ и противодействия вторжений приписывают возможности нейтрализации своими средствами. Актуальность этих угроз оформилась при появлении мира информационных технологий в современном понимании этих слов. Вывод - ничего нового, все то же самое. И, поскольку мы живем не в вакууме, эти задачи решаются другими организациями тоже. А мнение, что кто-то из вендоров тупо режет бабло, а не пытается обеспечивать в своих продуктах функционал, достаточный для нейтрализации означенных угроз - также в пустоту. Лучше бы авторам Документа рассмотреть какой-нибудь 0-day, не закрытый пока сторонними продуктами, и доказать возможность его нейтрализации средствами "Панцирь+". Иначе получается классическая "пыль в глаза".

ЗЫ Все. Выдохнул. Извиняюсь, не сдержался. Но мне, честно говоря, уже надоело видеть на этом форуме постоянный пиар одного и того же стандартного (и, допускаю, хорошего, но стандартного) средства защиты информации без обсуждения конкретики, сравнительного анализа и явного указания недостатков аналогичных продуктов, на основе которого можно сделать вывод о преимуществах означенного СЗИ. В конце концов, мы не на базаре. А в месте обсуждения актуальных (и не очень) направлений в области ИБ/ЗИ + в месте обмена опытом специалистов и новичков из числа "бойцов информационного фронта".

Коллега, Вы очень много "выдохнули", я на столь глубокие "вздох и выход" не готов.
По существу:
1. Не согласен ни с одним из Ваших заключений. Но опровергать каждое из них не стану, т.к. это очень большой объем текста! Надеюсь, когда-нибудь пересечемся, возможно, на какой-нибудь выставке, будет интересно поговорить, поскольку, несомненно, Вы человек интересующийся и знающий.
2. Этот документ не обоснование чего-либо, у меня скоро будет опубликована монография, вот там будут все обоснования, это лишь краткое описание возможностей на простом примере. Именно на простом примере, не более того. Вот Вы утверждаете, что нечего защищать в реестре ОС. Смело! Про сервисы олицетворения. Достаточно быстро пишется программа, позволяющая получить системные права интерактивным пользователем. Вот Вы говорите мы не на "базаре". Но ведь в Ваших ответах обоснованные аргументы отсутствуют! Контроль прямого доступа к дискам процессов тоже не нужен (сейчас многие текстовые редакторы имеют плагины с подобной возможностью)? И т.д. Вы же сами пишете, в какой-то СЗИ реализовано что-то похожее. Конкретно, хотя бы по одному пункту - в какой и что реализовано, обсудим не все сразу, а что-то конкретно, увидите разницу! Только, прошу, без соответствующих наименований.
3. Опять Вы о патентах. Первые патенты, совершенно иная интерпретация которых реализуется в современной нашей системе, описаны мною еще в монографии, изданной в 2004 году: А..Ю. Щеглов. Защита компьютерной информации от несанкционированного доступа, изд. Наука и техника. Постепенно они стали реализовываться в иных системах. В одну компанию, продукт которой Вы здесь упомянули, я даже специально ездил с соответствующей презентацией, говорили о сотрудничестве, все рассказал, показал, закончилось все так, как закончилось.....
4. Я не буду сравнивать в открытой печати средства защиты, я их достаточно хорошо знаю, а мое владение материалом позволит "копнуть глубоко", что здесь по ряду причин не нужно. Простой пример, в двух словах. Вот в форуме много разговоров об идентификаторах устройств, каких их легко сменить т.д. . Есть идентификатор устройства, апаратно прошиваемый производителем этого устройства (самый низкий уровень идентификации), есть, создаваемый в соответствующем секторе устройстпва при его форматировании - переформатируете, он изменится, есть , создаваемый ОС для последующего подключения устройства к одной и той же букве диска, хранится в реестре ОС, известно где. Посмотрите, как идентифицируются устройства разными СЗИ НСД, к к каким "наворотам", а в некоторых случаях, уязвимостям, приводит неумение работать на самом низком уровне. Если говорить о конкретных недостатках СЗИ - то это уже раскрытие их уязвимостей в системах, сегодня применяемых на практике, это плохо, поэтому всегда сравниваю технологии.
При изложении же материала предполагается, что читатель сам в состоянии разобраться (либо уже разобрался) с иными СЗИ НСД и сам сравнит их возможности, мы лишь даем "подсказки".
5.По поводу актуальных угроз, математического моделирования и проектирования СЗИ НСД. Сейчас завершаю монографию на эту тему, обзорная глава наглядно иллюстрирует, как сейчас все "грустно" в этом вопросе в нашей области знаний.
6. Возможности защиты от актульных угроз с использованием реализованных технологий моделируются моими магистрантами при работе над диссертациями. Последнее, что рассматривалось, защита от атак на повышение привилегий с использование ошибок программирования в компонентах ОС, математически показано, что в среднем раз в три месяца в течение месяца подобная уязвимость присутствует в системе, причем статистика бралась в отношении тех устраненных уязвимостей, для которых в прошлом году были созданы эксплоиты (т.е. которые эксплуатировались). Вот задачи современных СЗИ, без их решения все впустую - "бумажная безопасность"!
Поймите, я не могу две свои последние монографии, где присутствуют соответствующие обоснования, разместить в ответах Вам на форуме! Ответ на любое Ваше высказывание требует изложения материала большого объема, это исключается возможностями данного форума.
7. Последнее. Вот Вы пишете, что Вам надоел "пиар" нашего продукта. Ну, если, надоел, так не читайте! Еще раз, представляемый материал предполагает, что читатель сам имеет необходимые знания и разберется в этих вопросах. Вот Вы посмотрели, высказали свое мнение, которое я уважаю, но с которым категорически не согласен по всем позициям. Вы беретесь решать за других читателей, нужен ли им этот материал, а если нужен, то в каком виде. Зачем? Пусть читатель сам разберется в этих вопросах!

К слову сказать, коллега, в отношении Вашей достаточно нелицеприятной фразы:

2. Опусы вроде "При настройке функционального аудита, реализуемого в отношении объекта доступа, можно ограничить, отказы в доступе только от каких субъектов фиксировать, либо от каких не фиксировать, см. рис.10." оставляю без комментариев... Грусть-печаль в том, что их в Документе много. И это подтверждает витающее в воздухе мнение о... ладно, мы тут корректные люди, с пониманием относящиеся к самопиару...

В этом вопросе, как и в подавляющей части иных, Вы, по каким-то причинам не разобрались.
Рис 10 иллюстрирует, что вести аудит доступа IE к файлу *.js не следует, запрещать необходимо, но это штатная возможность браузера, он создает такие файлы десятками, если не сотнями в каждой сессии, и что несет в себе информация об этом администратору, если это запрещаемая штатная возможность приложения.
Относительно самопиара. Я ни разу не высказал мысль о том, что КСЗИ "Панцирь+" лучше иных СЗИ НСД, я утверждаю, что она совершенно иная, с совершенно иными возможностями, а уж какому заказчику какая потребуется - это иной вопрос - "каждому свое".
А чтобы не увидеть этих принципиальных отличий, нужно быть либо "слепым", либо по каким-то причинах очень не хотеть их видеть, извините, они настолько очевидны! Вот она где грусть-печаль!