Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 81861

08.11.2017 11:27

Целевые атаки – это наиболее актуальная современная угроза для объектов защиты, в которых используются сертифицированные СЗИ НСД. Как следствие, именно угрозы таких атак должны составлять основу модели актуальных угроз атак для корпоративных информационных систем. Возникает вопрос, могут ли и каким образом использоваться сертифицированные СЗИ НСД для нейтрализации подобных наиболее актуальных угроз, и каковы при этом требования к их построению? Предлагаю обсудить этот вопрос на примере реализованной в КСЗИ «Панцирь+» технологии защиты. Презентация обсуждаемой технологии и реализующего ее средства защиты представлены по ссылке: http://www.npp-itb.ru/images/docs/alldocs/slides.pdf. Буду благодарен за высказанное Вами мнение.

Автор: oko | 81913

10.11.2017 01:14

Объявите вы уже конкурс на взлом Панциря. Небольшой такой, тысяч на 20-30 рублей (вполне себе сумма, чтобы в свободное время поковырять, а вам в наклад быть не должно). И выложите, наконец, полнофункциональную версию в общий доступ. Или сделайте тестовый стенд с доступом из Сети (только по честным правилам, без acl в стиле "any to any drop"). Вот тогда и поговорим, что там чему соответствует, от чего защищает и насколько эффективно. Заодно и БДУ пополнится...

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 83582	12.12.2017 14:46
Дополнили презентацию http://npp-itb.ru/images/docs/alldocs/slides.pdf материалами по реализации защиты систем виртуализации.

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 83958	19.12.2017 15:39
Дополнили презентацию http://npp-itb.ru/images/docs/alldocs/slides.pdf материалами об особенностях реализации защиты терминальных серверов.

Автор: ustav | 83959	19.12.2017 16:02
Ув. А.Ю. Щеглов, тов. malotavr, вроде, уже ответил Вам в профильной ветке на Банкире. Согласен с oko, объявляйте уж конкурс. А то слова "запатентовано", "сертифицировано", "инновационный продукт" - как-то пугают. ЗЫ: и вообще, винда - вражеская ОС. Как быть с импортозамещением? ;)

Автор: oko | 83965	19.12.2017 19:07
*в сторону* Даешь Панцирь-ОС!

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 83969

19.12.2017 19:52

Насчет импортозамещения. Для, так называемых, "Российских ОС" (лучше сказать русифицированных), все решаемые задачи КСЗИ "Панцирь+" на порядок актуальнее, чем для ОС Windows! Пока все мы с этим еще не столкнулись, но это очевидно. Сроки исправления уязвимостей (кто и как это будет делать? Программисту, как известно, написать свой код значительно проще, чем исправить чужой), с учетом влияния при этом на стабильность работы ОС, не могут быть маленькими. Но и в условиях исправления уязвимости ИС требуется защищать. Мы занимаемся разработкой эффективной (не "бумажной") защиты дистрибутивов, собранных на ядре Linux (нас интересует версия ядра, а не дистрибутив), макет первой версии системы защиты будет готов через пару месяцев. У нас есть опыт разработки систем защиты для ОС Linux, FreeBSD, HP-UX 11.x, ОС Solaris. Правда, лет десять уже этим не занимались, не было спроса. Как будет готов первый вариант, обязательно дам информацию.

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 83970	19.12.2017 19:55
Для oko. Никогда не понимал Вашего скепсиса. Давайте ни хрена не делать, использовать средства "игрушечной" безопасности и упиваться "своими победами"!

Автор: oko | 83973

19.12.2017 21:23

to А.Ю. Щеглов Primo, касательно конкурса - это не скепсис, а рацпредложение... Secundo, версии ядра Linux меняются как перчатки и не всегда отличаются стабильностью *вырезано* которую вы, очевидно, не анализируете, ведь программисту всегда проще написать свое, чем править чужое, ага */вырезано* - прошу, не повторяйте путь МСВС, устаревшей еще при рождении... Tertio, сроки исправления уязвимостей в ОС (Win, nix, Mac, без разницы), как показала практика, сравнимы с СЗИ, - не думаю, что штат программистов *вырезано* + народа, который решает, надо или нет, в какие сроки и бесплатно ли */вырезано*, у вас больше, чем у Конфидента или Кода Безопасности. А их опыт весьма показателен... Quarto, как показала историческая практика, кольчуга хуже защищает от стрел, чем латы - зато в ней сложнее утонуть - и я бы не рискнул называть такую защиту "бумажной"... ЗЫ Это РД редко меняются (и не отличаются полнотой, ага), а вот СЗИ нужно допиливать постоянно. Так что, можно смело утверждать, что 10 лет назад... никак не связаны с текущими реалиями...

Автор: Dfg | 84004	20.12.2017 06:34
Дайте мне под линукс централизированный! контроль целостности, сделанный по аналогии модуля контроля запуска ПО Касперского, (постоянно! обновляемые вендором базы хэшей для нескольких десятков тысяч версий легитимного популярного ПО).

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84007

20.12.2017 08:45

Уточню. Говоря об "игрушечной" защите, имею ввиду применительно именно к рассматриваемой задаче (посмотрите, как называется презентация), т.е. о различных сканерах - анализаторах по заданным сигнатурам журналов аудита системы и приложений и т.д. Те же компании, которые Вы привели в пример, создают серьезные сложные продукты - СЗИ НСД, причем постоянно их развивают, но этими продуктами не решаются эти задачи защиты. "Бумажная" в том смысле, что нельзя не замечать серьезных проблем безопасности. Мы далеко не единственные, кто пытается решать эти проблемы, у нас свой подход, который мы и изложили в материале, и попытались всесторонне обосновать. Посмотрите материал, там практически нигде не упоминается субъект доступа "пользователь". Это иное решение, чем классические СЗИ НСД, не надо их сравнивать в части решения рассматриваемой задачи. Можем сравнить в части решения классических задач СЗИ НСД, но это иная тема. Относительно кольчуги пример правильный, не спорю, может еще поговорить о танке, там также броня везде разная. Но только где она кольчуга применительно к рассматриваемой задаче защиты? Сейчас тестируем механизм защиты BIOS UEFI (в нем много можно сломать из ОС с правами администратора), скоро пополню презентацию, на выходе доработка для защиты загрузчика ОС, которому передается управление из BIOS UEFI (его файл не мапится на букву диска) - это что, не элементы кольчуги? Я вижу, что Вы не приемлете того, что мы делаем, ну что ж, это Ваше мнение. При этом заметьте, мы же не обсуждаем конкретные решения. Ведь так или иначе рассматриваемые задачи защиты решать необходимо! А относительно 10 лет, согласен, изменения очень весомые - это уже совсем иная система.

Автор: oko | 84035

20.12.2017 16:10

to А.Ю. Щеглов Панцирь+ сертифицирован по СВТ, НДВ и МЭ. Dallas и SNS (из приведенных мною, ага) - тоже. Работают они все на уровне ОС, встраиваются в нее. Да и в вашей презентации Панцирь+ также называется СЗИ НСД. Так что сравнение более чем уместное, хотя речь шла не о функционале, а о конкретной проблеме - скорость и точность исправления уязвимостей в СЗИ по отношению к ОС. Свою позицию я привел, а вы как всегда предпочли уйти от темы... Различные сканеры-анализаторы-рецепторы - это вообще не "средство защиты". Это средство анализа защищенности. Разумеется, ими не решаются указанные вами задачи - у них другое направление. Но сравнение с ними, конечно, весьма уместно (чтобы показать, что Панцирь+ круче, ага)... <Посмотрите материал, там практически нигде не упоминается субъект доступа "пользователь"> - у меня, конечно, могут быть проблемы с глазами или семантическим анализом, но вот цитата из вашей же презентации: "Субъект доступа задается тремя сущностями – исходный идентификатор пользователя, эффективный идентификатор пользователя, полнопутевое имя исполнимого файла процесса"... Еще раз повторюсь: вы расширили процессную модель доступа на уровне ОС. Это хорошо, но совсем не уникально (существующие отечественные аналоги уже приводил). И уж явно не претендует на звание "средство защиты от целевых атак"... <Сейчас тестируем механизм защиты BIOS UEFI (в нем много можно сломать из ОС с правами администратора)> - с помощью UEFI можно многое сломать в ОС и в АС(ИС) в целом - это важнее, а не наоборот. Читайте материалы хак-конференций, там люди уже 5 лет к ряду показывают все новые и новые техники... ЗЫ <Я вижу, что Вы не приемлете того, что мы делаем> - почему же? Раз пишу все это, значит, интересуюсь и кое-что даже разделяю. Просто ваши высказывания и презентации ничем как правило не подкрепляются, кроме возвышенных фраз аля "уникальное", "в корне отличающееся", "не бумажное" и проч. Проведите-таки контест (можно даже в рамках какой-нибудь ZeroNights, например). Это куда полезнее для продвижения продукта и доказательства его актуальности, чем препирательства на форуме, ага...

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84046	20.12.2017 17:49
Oko, спасибо, я максимально готов к диалогу, но не сегодня. Сейчас для меня сложное время - дис. советы, зачетная неделя в ВУЗе и т.д. (конец года).Завтра подброшу Вам интересную тему для обсуждения, связанную с существующими РД СВТ (на первый взгляд, "бумажная безопасность", но не так все просто, смотря, как читать этот документ). Извините, не сегодня, сил нет!

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84048

20.12.2017 18:18

Oko, еще. Я весьма заинтересован, чтобы Вы, как специалист ( в форуме я вижу, что Вы многие системы "трогали руками") реально посмотрели наши возможности. Давайте подумаем о том, если это Вам интересно, как мне Вам дать полнофункциональную дему (именно Вам, мне не нужны лишние вопросы от студентов, итак забот хватает). Если интересно, давайте как-нибудь свяжемся. Все наши координаты есть на нашем сайте.

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84063

21.12.2017 08:42

На самом деле, и существующие требования из РД СВТ предполагают решение рассматриваемых в нашей презентации задач защиты, все зависит от того, как их читать (конечно, в современных условиях их уже следовало бы расширить, но тем не менее). Приведу примеры. Требование «КСЗ должен требовать от пользователей идентифицировать себя при запросах на доступ, должен проверять подлинность идентификатора субъекта - осуществлять аутентификацию….». Мы его выполняем следующим образом. Пользователь, запросивший доступ к любому объекту идентифицируется из запроса доступа его эффективным идентификатором (SID). Аутентификация осуществляется следующим образом. При запуске процесса, запоминается, каким пользователем он был запущен – исходный идентификатор пользователя. При запросе доступа сравниваются эффективный и исходный идентификаторы – осуществляется аутентификация (подтверждение). Второй пример. Требование «При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга. А это уже решаемая нами задача защиты от инжектирования кода (данных) одним процессом в другой, основанный на использовании общей памяти. К чему я это я. Далее высказываю свою точку зрения. СЗИ НСД должны составлять основу защиты, в том числе, и защиты от целевых атак. Всевозможные сканеры должны быть вторичны, использоваться в дополнение к СЗИ НСД уже для идентификации и классификации реализованных атак, от которых осуществлена защита, и которые выявлены СЗИ НСД. Как видим, основы этого уже заложены в существующем РД, которое, как мне кажется, должно развиваться именно в этом направлении. Именно такую идеологию защиты мы реализуем в КСЗИ «Панцирь+».

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84065

21.12.2017 10:05

Не с того начал. Рассмотрим требование «КСЗ должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.). Для каждой пары (субъект – объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту)». Именно в рамках выполнения данного требования (обратите внимание в нем на и т.д.) мы и реализуем разграничительную политику доступа к критичным объектам – именованным каналам, альтернативным потокам, системным объектам, включая MFT таблицу, настройкам BIOS, к файлу загрузчика и т.д. Как видите, ничего «космического» мы не делаем – просто выполняем соответствующие требования, но не формально, а исходя из знаний архитектуры современных ОС и источников угроз атак на них, с целью реализации эффективной защиты. В том числе, в субъект доступа в разграничительной политике нами включена сущность «процесс», т.к. без этого эффективную защиту не построить. Говоря же ранее о «бумажной» безопасности, я имел в виду не выполнение соответствующих требований, а их формальное выполнение, в том числе и из-за отсутствия необходимой квалификации, т.е. выполнение требований не ради построения эффективной защиты, а с целью выполнения требований.

Автор: oko | 84069

21.12.2017 11:47

to А.Ю. Щеглов <Давайте подумаем о том, если это Вам интересно, как мне Вам дать полнофункциональную дему> - думается мне, не один такой на форуме сем *зачеркнуто* флудер */зачеркнуто*, кому интересно было бы поковыряться в полной версии. Выложите ее в общий доступ на сутки и дайте ссылку на ftp - все заинтересованные сумеют скачать, а позже в этой же ветке форума и обсудим результаты... "Прямое" выполнение положений РД СВТ - это хорошо. Плохо, что любой РД можно трактовать двояко. Ну а в тему SID - комментарии излишне. Еще раз повторюсь, из-под "недоверенной ОС" ни одно СЗИ, работающее выше уровня ядра, не даст полной гарантии защищенности. И сомнения берут меня относительно Панциря на уровне ядра Win... <т.е. выполнение требований не ради построения эффективной защиты, а с целью выполнения требований> - вы же сертифицировали Панцирь+ под КОНФИ, а не ГТ. А в КОНФИ идея проста - все, что мешает штатному функционированию АС (ИС) будет либо отключено (до прихода проверяющих), либо выполнено формально. И это, к сожалению, реалии бизнеса, которые, к слову, мне тоже противны, но никуда не денешься. Тогда зачем городить огород? Поиграв с доступной у вас демо-версией (где механизмы не активны, активен только интерфейс), могу сказать, что Панцирь+ крайне неудобен в тонкой настройке. Поэтому использовать его по прямому назначению в КОНФИ - 1-2 объекта с безопасниками-параноиками, навскидку... ЗЫ И да, замените, пожалуйста, на сайте вот этот текст: "КСЗИ может применяться в государственных информационных системах до 1 класса защищенности включительно, для которых к актуальным отнесены угрозы 2-го и 3-го типа". А то весь налет серьезности теряется, поскольку в ГИС нет угроз 2 и 3 типов - это *зачеркнуто* бред */зачеркнуто* для ИСПДн...

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84075

21.12.2017 12:35

Относительно КОНФЫ. На самом деле, все это отвратительно, зачем тогда вообще городить огород с какой-либо безопасностью в целом, но не так трагично. Сдвиги есть. Относительно недавно Панцирь+ закупила весьма серьезная организация, под КОНФУ. Так вот, прежде они серьезно интересовались не формальными делами, а как мы можем защитить от шифровальщиков, фишинга и т.д. Думаю, что еще пару серьезных атак и заказчик плавно перейдет к пониманию необходимости эффективной защиты. Можно Панцирь серьезно и не настраивать, используя лишь простейшие возможности. Но при этом будут и серьезные возможности защиты, к которым в случае чего, можно будет обратиться. Ваш же пессимизм настораживает, из Вашего заключения можно сделать вывод - давайте и дальше жить, как живем, и ничего в безопасности не следует развивать! Не могу сказать, что Панцирь+ не удобен в тонкой настройке, наоборот, очень удобен, мы все для этого сделали. После праздников проведем вебинар с использованием учебно-боевых настроек (выложены на сайте) для иллюстрации сказанного. Угрозы 2 и 3 типов - это (прописано в сертификате) речь идет о закладках в ПО (1 типа - это закладки в ОС, 2 типа - в приложения).

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84081	21.12.2017 13:51
Кстати? натолкнули меня на дельную мысль, спасибо. Действительно, мы не учли, что у читателя может сложиться ложное впечатление о сложности администрировании КСЗИ "Панцирь+", хотя это совсем не так. Добавили в презентацию плакат на эту тему http://www.npp-itb.ru/images/docs/alldocs/slides.pdf

Автор: oko | 84088

21.12.2017 19:15

<...из Вашего заключения можно сделать вывод - давайте и дальше жить, как живем, и ничего в безопасности не следует развивать!> - не повторяйте, пожалуйста, слова автора Агасофии (он, помнится, ранее тоже меня в этом упрекал, а, как выяснилось, просто не умел читать). Потому что выше свою позицию уже явно указал: <И это, к сожалению, реалии бизнеса, которые, к слову, мне тоже противны...> <...как мы можем защитить от шифровальщиков, фишинга и т.д...> - realy-target-attaks, ага... <Угрозы 2 и 3 типов - это (прописано в сертификате) речь идет о закладках в ПО> - спасибо, я тоже читал ПП РФ 1119. Еще раз повторю - к ГИС (17 Приказ ФСТЭК) эти типы угроз не имеют де юре никакого отношения. Эти параметры актуальны для ИСПДн, а не ГИС (кроме случая обработки ПДн в ГИС, но у вас общий сертификат, а не частный). Поэтому исправьте-таки фразу на сайте, чтобы не вызывать когнитивный диссонанс у лиц в теме, пожалуйста...

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84107

22.12.2017 11:37

В результате нашего обмена мнениями пришел к понимаю следующего противоречия. Я о пресловутом "и т.д." в требовании, рассмотренном выше "КСЗ должен контролировать доступ...". У нас под это требование подпадает процентов 70 механизмов защиты. Что получается - именно наполняемостью этого самого "и т.д." во многом и характеризуется эффективность СЗИ НСД! При этом простейшая СЗИ и реально эффективная будут иметь один и тот же класс защиты, т.к. ими будет выполняться одно и то же требование! С этим что-то надо делать, по крайней мере, нужно по этому поводу проконсультироваться с регулятором.

Автор: WORM, MK | 84109	22.12.2017 14:06
to А.Ю. Щеглов Ваша проблема в другом: когда человек читает про угрозы 1-го типа в ГИС первого класса, он понимает, что текст писал человек, о-очень далекий от предмета. И читать текст дальше желание пропадает. Описанием продукта должен заниматься технарь, а не маркетолог. Вам тов. oko намекнул, но вы, кажется, даже не поняли, о чем речь.

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 84110

22.12.2017 14:31

Теперь понял о чем речь. Просто посмотрел после общения с Oko формуляр, там все верно - КСЗИ может применяться в государственных информационных системах до 1 класса защищенности включительно. КСЗИ может применяться для защиты информационных систем персональных данных до 1 уровня защищенности включительно, для которых к актуальным отнесены угрозы 2-го и 3-го типа. А речь оказывается идет о неверном изложении этого на странице продукта, согласен, поправим, спасибо. Не досмотрел. И "спасибо" о столь высоком мнении обо мне!

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 85417	22.01.2018 16:20
Тем, кого заинтересовали наши решения в области реализации эффективной защиты от целевых (правильнее, целенаправленных) атак сообщаю, что презентация нашего продукта КСЗИ "Панцирь+" http://www.npp-itb.ru/images/docs/alldocs/slides.pdf существенно расширена описанием некоторых важнейших возможностей защиты информации.

Автор: all good | 85471	24.01.2018 06:18
Вы уж простите, но в чем ошибка, разве в ГИС к актуальным нельзя отнести угрозы связанные с НДВ в прикладном ПО?А про тип мы все понимаем откуда понятие пришло, так удобнее...

Автор: oko | 85747	28.01.2018 16:03
to all good Можно, но не официально. "В лоб" по 17 Приказу такого понятия не существует, есть неведомый "потенциал нарушителя", от которого стоит плясать (подозреваю, что роза пахнет розой, но ФСТЭК не пояснил, ага). И только в случае ГИС+ПДн нужно обязательно рассуждать об угрозах НДВ. Но это уже совсем иная песня...

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 86787	08.02.2018 08:15
Коллеги, тем, кого заинтересовали наши подходы к защите, сообщаю, что для удобства восприятия материала сделана краткое описание реализованной технологии защиты http://www.npp-itb.ru/images/docs/alldocs/TECHZ.pdf и с учетом этого поправлена презентация продукта, теперь по ссылке http://www.npp-itb.ru/images/docs/alldocs/present.pdf

Автор: А. Щеглов, НПП "Информационные технологии в бизнесе" | 95308

21.06.2018 12:05

Вебинар: «Построение эшелонированной защиты от целевых атак» Время проведения – 28.06.18 в 11.00 (мск.), продолжительность 1 час. Ведущий проф. А.Ю. Щеглов На вебинаре мы осудим следующие вопросы: 1. В чем принципиальное отличие защиты корпоративных информационных систем от целевых атак, и как это должно учитываться при реализации защиты. Какие сегодня реализуются подходы к защите от целевых атак, их возможности и недостатки. 2. Как реализовать эффективную защиту от целевых атак, в предположении о том, что используется уязвимость нулевого дня, не детектируемый вирус, а атака направлена на привилегированную учетную запись. 3. Место и задачи антивирусных решений при защите от целевых атак. 4. В чем особенности защиты от хакерских и инсайдерских целевых атак, возможности контроля действий и усечения прав привилегированных пользователей, включая администратора безопасности. 5. В чем состоит реализация эшелонированной защиты от целевых атак, как она должна строиться, какие уровни иерархии защиты обеспечивать. 6. Иллюстрация возможностей системы защиты от целевых атак КСЗИ «Панцирь+». 7. Защита АСУ ТП. Реализация защиты IoT устройств, в том числе, банкоматов, POS-систем и т.д., реализованных на платформе Windows (включая Windows IoT). Приглашаем к участию! Предварительно с некоторыми обсуждаемыми на вебинаре вопросами можно познакомиться в презентации, представленной по ссылке: http://npp-itb.ru/images/docs/alldocs/zach_pp.pdf Излагаемый подход к защите от наиболее сегодня актуальных вирусных и фишинговых целевых атак достаточно подробно рассмотрен в презентации: http://npp-itb.ru/images/docs/alldocs/new_szd.pdf. Записать на вебинар можно, оправив заявку на участие по адресу: info@npp-itb.spb.ru, указав в теме письма «На вебинар».

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 95863	28.06.2018 16:19
Коллеги, запись проведенного вебинара размещена по ссылке: http://www.npp-itb.ru/news

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 95944	30.06.2018 10:00
Приглашаем к сотрудничеству компании, оказывающие услуги в области ИБ, нацеленные на построение эффективных комплексных систем защиты конфиденциальной информации. Контакт для связи: info@npp-itb.spb.ru

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 96275

05.07.2018 08:14

Вебинар: «Технология настройки механизмов защиты КСЗИ «Панцирь+» от актуальных угроз атак. Предоставляемые услуги» Время проведения – 17.07.18 в 12.00 (мск.). Ведущий – проф. А.Ю. Щеглов В рамках проводимого вебинара предполагается рассмотрение следующих ключевых вопросов: 1. Осуществление  настроек системы защиты от наиболее актуальных сегодня угроз атак, в том числе, целевых. Подобная настройка осуществляется в три этапа: - реализация настроек на тестовом компьютере; - корректировка настроек в режиме опытной эксплуатации; - формирование настроек для эксплуатации защищенной информационной системы. 2. Предоставляемые нашей компанией услуги. - Участие в настройках системы защиты. Цель – обучение специалистов, эксплуатирующих систему защиты, решаемым задачам, возможностям защиты  и принципам настройки системы. В результате предоставления данной услуги администратор безопасности информационной системы должен понимать не только то, как настроить систему защиты, но и то, с какой целью он настраивает соответствующие механизмы, какие задачи защиты он при этом решает. Без необходимой квалификации администратора безопасности какие-либо затраты на безопасность не имеют смысла! Эта услуга направлена, в первую очередь, на повышение уровня квалификации администраторов безопасности! - Участие в анализе инцидентов (отказов в доступе). Состоит в анализе по зафиксированным данным аудита причин отказов доступе, что предполагает соответствующее моделирование критичных событий на нашем стенде, с формированием экспертного решения специалистов по каждому конкретному событию отказа в доступе.   Приглашаем к участию! Записаться на вебинар можно, отправив заявку на участие по адресу: ots@npp-itb.spb.ru, указав в теме письма «На вебинар».

Автор: Щеглов А.Ю., НПП "Информационные технологии в бизнесе" | 96367

06.07.2018 12:03

Вебинар: «Технология настройки механизмов защиты КСЗИ «Панцирь+» от актуальных угроз атак. Предоставляемые услуги» Время проведения – 17.07.18 в 12.00 (мск.). Ведущий – проф. А.Ю. Щеглов В рамках проводимого вебинара предполагается рассмотрение следующих ключевых вопросов: 1. Осуществление настроек системы защиты от наиболее актуальных сегодня угроз атак, в том числе, целевых. Подобная настройка осуществляется в три этапа: - реализация настроек на тестовом компьютере; - корректировка настроек в режиме опытной эксплуатации; - формирование настроек для эксплуатации защищенной информационной системы. 2. Предоставляемые нашей компанией услуги. - Участие в настройках системы защиты. Цель – обучение специалистов, эксплуатирующих систему защиты, решаемым задачам, возможностям защиты и принципам настройки системы. В результате предоставления данной услуги администратор безопасности информационной системы должен понимать не только то, как настроить систему защиты, но и то, с какой целью он настраивает соответствующие механизмы, какие задачи защиты он при этом решает. Без необходимой квалификации администратора безопасности какие-либо затраты на безопасность не имеют смысла! Эта услуга направлена, в первую очередь, на повышение уровня квалификации администраторов безопасности! - Участие в анализе инцидентов (отказов в доступе). Состоит в анализе по зафиксированным данным аудита причин отказов доступе, что предполагает соответствующее моделирование критичных событий на нашем стенде, с формированием экспертного решения специалистов по каждому конкретному событию отказа в доступе. Приглашаем к участию! Записаться на вебинар можно, отправив заявку на участие по адресу: ots@npp-itb.spb.ru, указав в теме письма «На вебинар».

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 97754	26.07.2018 12:07
Выложили на сайте презентацию, иллюстрирующую отличия КСЗИ "Панцирь+" от иных сертифицированных СЗИ от НСД: http://www.npp-itb.ru/images/docs/alldocs/otlich.pdf

Автор: mikolart | 98840

08.08.2018 10:50

Несколько вопросов по презентации. 1. Что есть автоматическая разметка создаваемых файлов? Атрибуты безопасности устанавливаемые по умолчанию? 2. А что, процессы у нас сами по себе существуют? На сколько я помню любой процесс в ОС запускается от имени пользователя (за исключением системных). Не пойму в чем ноу-хау? 3. Каким способом разделительная политика доступа определяет к какому объекту субъект может получить доступ, а к какому нет? 4. Насколько мне известно все существующие СЗИ НСД (сертифицированные ФСТЭК) обеспечивают самозащиту. Так чем же конкретно КСЗИ "Панцирь+" лучше того же DL или SNS?

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 98866

08.08.2018 12:54

1. Нет. Каждый файл при его создании размечается - в его альтернативный поток записывается каким субъектом (пользователем, процессом) создан этот файл (либо пользователем с какой меткой безопасности при мандатном контроле доступа). 2. Субъект доступа ко всем объектам задается парой сущностей пользователь, процесс. Одному и тому же пользователю для различных процессом могут назначаться различные права доступа к одним и тем же объектам. 3. Разделительная, а не разграничительная. Разграничивается доступ не к конкретным объектам, а между объектами. Например системным процессам и службам одним правилом запрещается доступ ко всем файлам созданным интерактивными пользователями, аналогично для системного администратора, то же для процессов, например, браузеру запрещается доступ ко всем файлам, созданным иными приложениями и т.д. Для этого и реализуется автоматическая разметка создаваемых файлов. 4. Эта тема недавно обсуждалась в ветке "СРАВНЕНИЕ ЭФФЕКТИВНОСТИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА". Там развернутый материал с примерами. КСЗИ "Панцирь+" предполагает и возможность защиты от атак на системные процессы и службы, в том числе, с использованием в них уязвимостей нулевого дня. Решение этой задачи предполагает реализацию самозащиты, не позволяющей воздействовать на защиту системным процессам и службам, что и реализовано в КСЗИ "Панцирь+". Детали можете посмотреть на странице продукта http://www.npp-itb.ru/products/armourp там много развернутых презентаций по отдельным решаемым задачам защиты и результаты пентеста.

Автор: oko | 100257

17.08.2018 14:45

*в сторону* Хотел выложить еще вчера ночью, да форум, походу, испытал переполнение буфера в базе (SQL-запросы базы явно на веб-форме отображались). Поэтому отсылка будет к бессоннице и проч. побуждениям в 3 часа ночи по Мск... В эту безлунную ночь в эфире программа "Не спалось..." Сразу признаюсь, что ламер в анализе сетевого трафика и использовании wireshark, но тем не менее, считаю, что терпение и труд всех отъ*бут... Тест проводился для Демо-версии Панцирь+ x64 и х32, загруженной с сайта http://www.npp-itb.ru/products/armourp. Серверная часть - VirtualBox 5.2.16, Windows Server 2008 R2 x64, роль DC отсутствует, иные роли тоже. Клиентская часть - VirtualBox 5.2.16, Windows 7 Professional x64 без лишних сервисов и сетевых приложений. В качестве промежуточного звена сервер-шлюза используется VirtualBox 5.2.16, Debian 8.11.0 Jessie, wireshark 1.12.1. Клиентская ОС подключена через виртуальный интерфейс типа "внутренняя сеть", ОС сервер-шлюза - два интерфеса ("внутренняя сеть" и "сетевой мост"), Серверная ОС - интерфейс типа "сетевой мост". Сервер-шлюз производит NAT-трансляцию (masquerading) всех запросов от клиента вовне. Фильтрация трафика не используется (все запросы транслируются на внешний интерфейс и далее). Предполагается, что нарушитель действует на сервер-шлюзе или в одном сегменте сети с клиентом (не принципиально). Правило для wireshark банальное до безобразия: host ip-адрес-сервера and port 43981 (по документации Панцирь+ - порт сетевых соединений с Сервером управления от Клиентов).

Автор: oko | 100258

17.08.2018 14:46

1. Сервер. Замечания и вопросы. - Служба "сервер-аудит" имеется, а вот службы непосредственно сервера управления КСЗИ отсутствует. Т.е. запуск производится вручную (или автоматически через автозагрузку ОС) при входе определенного пользователя в систему + ввода первично заданного пароля для вызова оснастки сервера управления. Так и задумано? Или это ограничения демо-версии? - при работе через NAT клиент определяется по внешнему ip-адресу сервер-шлюза. Т.е., чтобы избежать дублирования клиентов (если их более 1, ага), необходимо добавлять клиентов по netbios-именам хостов. Так и задумано? Не похоже на ограничение демо-версии. Суть в том, что использовать в качестве идентификаторов ip-адрес или netbios-имя на текущий момент моветон. Правильнее было бы использовать некий устойчивый ID клиента, назначаемый ему при установке Клиентской части Панцирь+. - NMAP показывает кучу открытых tcp-портов на сервере при активном Сервере управления кроме штатных 43981/tcp и 3050/tcp. Так и задумано? Discovered open port 47001/tcp on 192.168.0.120 Discovered open port 49155/tcp on 192.168.0.120 Discovered open port 49152/tcp on 192.168.0.120 Discovered open port 43981/tcp on 192.168.0.120 Discovered open port 49161/tcp on 192.168.0.120 Discovered open port 49157/tcp on 192.168.0.120 Discovered open port 49153/tcp on 192.168.0.120 Discovered open port 49154/tcp on 192.168.0.120 Discovered open port 49159/tcp on 192.168.0.120 Discovered open port 3050/tcp on 192.168.0.120 2. Клиент. Замечания и вопросы. - после установки отсутствуют какие-либо ярлыки консоли управления установленной КСЗИ (трей, рабочий стол, start-menu). Так и задумано? Или это ограничения демо-версии?

Автор: oko | 100259

17.08.2018 14:47

3. Результаты поверхностного анализа пакетов с применением wireshark и моих кривых рук. Пока анализировалась связь между клиентом и сервером в idle-режиме (ОС клиента загрузилась, вход в систему произведен не был) и пакеты только со стороны клиента. Могу ошибаться, но все же: - наблюдается весьма разнородный timestamp, хотя в настройках (по умолчанию) выставлен период опроса клиент-сервер и сервер-клиент в 10 секунд. Разброс периодически достигает от 7 до 25 секунд. Положим, всему виной потери пакетов при их обработке виртуальными интерфейсами кучи запущенных VirtualBox через хост-ядро гипервизора (Linux Mint 17)... - пересылаемые данные о состоянии клиентов пересылаются, конечно, не в открытом виде, но маска их передачи всегда одна и та же, что дает возможность предположить: для связи сервера со всеми клиентами используется один и тот же криптоключ (алгоритм шифрования пока не ясен), очевидно, захардкоженный. Потому что он не меняется ни после перезагрузки клиента, ни после перезагрузки сервера. - idle-данные передаются пакетом длиной 76 байт из которых поле нагрузочных данных - 22 байта. При этом в поле данных пакета не удалось обнаружить следов уникального ID-клиента (того же ip-адреса, netbios-имени и т.д.). Т.е. клиент передает однородные данные, аналогичные любому другому клиенту "в режиме ожидания". Очевидно, это следствие желания снизить нагрузку на сервер управления. И, очевидно, Сервер управления оперирует ip-адресом или иной информацией об активной tcp-сессии, не удостоверяя пакеты от клиентов по информации внутри поля нагрузочных данных. - более того, в idle-режиме каждый клиент отсылает на сервер всего 2 пакета, различающихся полем данных: очевидно "флаг" своего состояния и "флаг" ожидания нового сеанса связи (нечто похожее). При этом сервер аналогично отвечает всегда одним и тем же полем данных на оба запроса (длина ответного пакета - 314 байт, длина поля данных - 260 байт). Все вышесказанное нас к мысли, что нарушитель, имея возможность перехвата и анализа сетевого трафика на участке "клиент-сервер" (тем более, что заявлена поддержка NAT - т.е. не только в пределах одного адресного пространства сети) может выдать себя за клиента и, как минимум, дезинформировать Сервер управления о реальном статусе клиента (вплоть до маскировки отказа системы защиты). При этом ему достаточно перехватить всего два типа пакетов. Еще веселее, что за счет перенаправления трафика (или подмены DNS, если сервер задан в настройках клиента по DNS-имени) возможно "убедить" клиента в работоспособности сервера в idle-режиме. Т.е. фальсифицировать ответы сервера на запросы клиента. Что тоже делается элементарно за счет первичного перехвата типовых ответов сервера к конкретному клиенту. Для этого даже нет необходимости вскрывать ключ шифрования... Пока, навскидку, во всем этом деле явно не хватает дополнительных "маркеров" в каждом запросе-ответе клиента и сервера, как то: timestamp, ID и какая-нибудь "соль", чтобы нарушителю жизнь медом не казалась... На очереди активный тест: попытка "убедить" сервер в доступности клиента в idle-режиме при фактически отключенном клиенте. Заодно прокачаю собственный скилл IP-spoofing и подмены TCP-пакетов. Чувствую, правда, что займусь не скоро, - бессонница вещь переходящая (и хорошо, ага)...

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 100305

18.08.2018 09:56

1. Вы смотрите версию, в которой все механизмы отключены, выложена исключительно для иллюстрации интерфейсов и настройки. 2. Естественно, что просто так удаленно с сервера через NAT Вы не пробьетесь - для того он и создан. Можно фиксировать только обрыв соединения любого клиента с сервером. Для более точной идентификации состояний можно воспользоваться трансляцией портов. 3. Относительно удаленного администрирования, например, из облака. Речь об архитектурных особенностях Панциря. Естественно, что этот канал должен защищаться сертифицированной СКЗИ, это иная задача, подобных средств сегодня достаточно и они в обязательном порядке используются в защищенных облаках (задача решена до нас). А вообще речь о принципиальных возможностях. Если рынок это примет, то здесь есть над чем подумать и куда "идти". 4. Относительно ярлыков - нас то просят их оставить, то убрать. Для работы они не нужны - для администрирования есть сервер, а для тестирования они делаются за одну минуту.

Автор: oko | 100329

18.08.2018 18:29

to А.Ю. Щеглов А по существу вопросов вы можете что-нибудь сказать? Про отсутствие защитных механизмов в демо-версии в курсе - только тогда зачем в ней шифрование связи между Клиентом и Сервером, причем столь убогое? Или в оф.релизе оно другое? Технологию NAT тоже знаю, спасибо. Речь шла не о пробросе трафика от Сервера к Клиенту "в обратный NAT" и уж тем более не про PAT, а про то, что Сервер идентифицирует Клиентов либо по IP, либо по NetBios-name. Что в первом случае через NAT не имеет смысла, а во втором - принцип из разряда "чтобы было", а не реальный механизм идентификации клиент-серверных подключений в Сертифицированном и Распределенном Средстве Защиты Информации... Опус про архитектурные особенности и СКЗИ ни к селу, ни к городу. Если механизм "запрос-ответ" между Клиентом и Сервером в демо-версии не отличается от оф.релиза, то у вас большие проблемы на уровне локальной сети, а не только при наличии удаленных площадок и сторонних ИТКС. Тем более, что вы заявляете в Панцире возможность защиты от действий сист.администраторов. Которые, как известно, в своем сегменте локальной сети могут любой трафик в любой момент подменить или перенаправить. Да и не только они (сисадмины), а любой достаточно грамотный инсайдер. И с этой проблемой рассмотренные выше механизмы взаимодействия Клиента и Сервера Панцирь+ явно не справляются. Либо тогда уж в ТУ пишите обязаловку СКС, СКЗИ внутри сети, контроля и мониторинга трафика и т.п. перед внедрением сетевой версии Панцирь+, ага... С ярлыками вообще чушь собачья (цитирую: <просят их оставить, то убрать>). Клиентская версия Панцирь+ одна и для сетевого режима, и для автономной работы. И, если в случае с наличием в сети Сервера управления отсутствие ярлыков после установки Клиента на рабочей станции я еще могу понять, то в случае развертывания Клиента на автономной машине отсутствие ярлыков Консоли управления вызывает, мягко говоря, недопонимание. Причем ни в стартовом меню, ни на рабочем столе, нигде. Будь добр, сам лезь в C:\Program Files\SPC ITB\Armour\bin и ищи там ctrliface.exe. User frieandly interface, ага... ЗЫ Над повсеместным упоминанием слова "облако" вне контекста децентрализованных сервисов уже давно (года два-три, как бум прошел) смеется добрая половина безопасников-практиков и безопасников-теоретиков (учителей) в стране. Так что "не советую, съедят" (с)

Просмотров темы: 12556

Copyright © 2004-2019, ООО "ГРОТЕК"