Очень хитрое шифрование данных. Как? - Форум по вопросам информационной безопасности

Адрес документа: http://lib.itsec.ru/forum.php?sub=16117&from=0

К списку тем | Добавить сообщение


Автор: эсбэшник | 82281 14.11.2017 16:36
Дано:

Ноутбук на Windows 8/10
Пользователь с правами локального администратора (увы, но пока так)
Конфиденциальные данные, с которыми работает пользователь внутри сети и за ее пределами в силу специфики работ, не ПДН.

Цель - обеспечить защиту данных от несанкционированного копирования или изменения,целиком или частично. Т.е. работать на ноутбуке он может хоть до посинения. Распечатывать - пожалуйста. Но любая попытка скопировать данные в файловом виде на недоверенный носитель или отправка файла вовне (почта, фтп, drag&drop и пр.) - позволит лишь скопировать файл в зашифрованном виде.
Т.е. есть доверенной средой можно считать сам ноутбук с загруженной конкретной ОС и работу в ней с любым ПО, белый список usb устройств и содержимым, тем или иным способом появляющимся на нем.

Пользователь может быть нелоялен организации

Главный вопрос: как защитить данные, не мешая работе пользователя и не давая ему работать на стороне?

Всю голову сломал.

Автор: ustav | 82282 14.11.2017 16:57
DLP + RDP.

Автор: эсбэшник | 82283 14.11.2017 17:02
Работа связана с тяжелыми (порой) прогами, т.е. работать надо непосредственно на компе. А пользователь может в любой момент переустановить систему. Плюс не всегда есть доступ в инет на объектах.
Этот вариант был среди первых неработоспособных в моей ситуации.

Автор: Zzzz | 82284 14.11.2017 17:22
"Пользователь с правами локального администратора"
"пользователь может в любой момент переустановить систему"
"Пользователь может быть нелоялен организации"

Премию тому, кто придумает "как защитить данные?".

Автор: oko | 82287 14.11.2017 21:24
*в сторону* Мандатка СЗИ НСД уровня приложений (не сессии) + доверенная загрузка уровня ФС + правильная последующая обработка напильником = спасут отца русской демократии...

Автор: эсбэшник | 82309 15.11.2017 12:26
oko
Я пытался копать в сторону шифрования диска одним решением (трукрипт, например) - решается проблема нсд в случае сторонней, "неверифицированной" ос - она данные не увидит. и доп.шифрованием внешних носителей другим с белым списком разрешенных к подключению. каким-нибудь девайслоком.
Вроде целостно, но сомнения гложут.

Автор: Alex | 82310 15.11.2017 12:43
R(ight) M(anagement) S(ystem)?

Автор: nekto | 82323 15.11.2017 13:06
"Пользователь с правами локального администратора"
"Пользователь может быть не лоялен организации"

Если есть физический доступ к жёсткому диску, то данные должны быть всегда зашифрованы...

Возможны два варианта:
1. Контейнер со специальной виртуальной машиной или клиент удалённого рабочего места (данных на ноутбуке просто нет) без возможности переноса данных на целевую машину...
2. Доверенное средство работы с данными, т.е. файлы всегда зашифрованы и есть защищенный редактор который открывает зашифрованные файлы, и сохраняет всегда в зашифрованном виде (т.е. шифрование встроено в прикладное приложение)...

Если пользователю разрешено отправлять данные на печать (в открытом виде), то вместо принтера может оказаться программа пересохраняющая данные...



Автор: эсбэшник | 82332 15.11.2017 16:32
Alex
Интересно, но подразумевает ряд действий/участие со стороны нелояльного пользователя.
На текущий момент это курица, несущая золотые яйца, явное вмешательство в дела которой чревато вмешивающемуся. Если б можно было формализовать ряд бизнес-процессов до состояния прозрачности - вопроса бы и не было, но пока курица диктует свои условия :)
по мне так пассивное шифрование, привязанное к конкретному железу было б идеальным. Но такого решения я не нашел.

nekto
1. там спец ПО, подключающееся к контроллерам серьезных установок и регулярно слетающее (еще выясню, по чьей вине - не дошли руки), поэтому если шифрованная виртуалка без возможности администрирования конечным пользователем решит проблему проектирования и хранения данных, останется открытым вопрос взаимодействия с контроллерами. Но идея, да. Я ее отмел, боясь потерять производительность и без того не шибко шустрых ноутов.
2. Не представляю, что за решение должно быть, чтобы интегрировалось в специализированный приклад. Спасибо за советы.

Автор: Влад | 82344 16.11.2017 09:05
Как я понял из описания:

Исходные данные:
- есть конфиденциальная информация (КИ);
- есть ноутбук - место хранения и обработки КИ;
- есть пользователь, имеющий права админа на ноутбуке и потенциально являющийся "вражиной" (нелояльным компании);
- для КИ разрешено покидать ноутбук только через принтер, посредством вывода на бумажный носитель.

Задача:
- разработать решение, не позволяющее допустить покидания КИ в открытом (незашифрованном) виде за пределы ноутбука, кроме как вывода на печать принтера.
___________________________________________________________________

Задача не выполнима, хотя бы по той причине, что пользователь локальный админ.

Из описания непонятно, может ли информация не-КИ, беспрепятственно покидать пределы ноутбука? Что делает пользователь на ноутбуке и в какой степени, при этом задействована КИ? Как обстоит дело с Wi-Fi, с возможностью подключения Bluetooth, IR и прочих интерфейсов беспроводной передачи данных? Что вообще пользователю разрешено подключать к ноутбуку?

Автор: oko | 82361 16.11.2017 12:27
to Влад
Специально для таких заявлений в стиле <по той причине, что пользователь локальный админ> любое уважающее себя СЗИ НСД имеет встроенную ролевую модель доступа. При которой на уровне ОС права админа ликвидны, но с настройками и функционалом СЗИ он все равно мало что может сделать...
Если же интересует возможность выгрузки драйверов СЗИ, обладая админскими правами в ОС, либо беспрепятственный поиск и эксплуатация уязвимостей (с админскими правами-то проще, не спорю), то тут принципиальный вопрос в другом - какова компетентность лица, проводящего атаку? Сиречь, штатного юзера системы? А уже для этих целей как раз введено понятие "Актуальная модель нарушителя" и "Актуальная модель угроз"...

Автор: Влад | 82364 16.11.2017 13:04
< oko >, по поводу компетентности согласен, да и то отчасти, т.к. не нужно особых навыков, чтобы зайти на google.ru, набрать что-нибудь из разряда "как отключить ... через реестр Windows" и получить ответ, а потом воспользоваться этой информацией в корыстных целях.

Что касаемо "Модели угроз". Так этот документ нужен, в основном, "для галочки", практической пользы, в части защиты информации, от него почти нет. Например, в компаниях, в которых по факту актуальна защита коммерческой тайны, "Модель угроз" и вовсе бесполезный документ.

Автор: oko | 82369 16.11.2017 14:16
to Влад
Это когда защита для галочки, тогда и бумажки для галочки...
А если делать по-феншую, то первый шаг безопасности - структурирование. Разработка ЧМУ структурирует логический, физический, информационный и кучу других уровней. Позволяет наглядно показать, что есть наша ИС. И понять, где у нас все хорошо, а где утычки. Согласен с одним - ЧМУ не нужна, когда инфобезом в конторе занимается 1 человек с мегамозгами и памятью или минимальным составом компонент ИС. При этом сидящий на своем месте последние лет дцать, изучивший техпроцесс от и до и не собирающийся уходить (читай, бессмертный). В первом случае он все держит в голове и контролирует и анализирует на лету. Во втором... Скажем так, ему это нахрен не надо...
Только оба описанных случая либо исключение, либо глупость и недальновидность руководства организации. Весьма маленькой и глупой организации в наши неспокойные и небезопасные дни...

ЗЫ сложно в гугле добыть готовые кейсы для современных отечественных СЗИ. Ситуацию с непатченным SN, например, не предлагать. За такие кейсы мало кто берется по разным причинам. Следовательно, их цена на порядок выше типовых профитов, которые инсайдер может вытащить из атакуемой ИС. Хотя бывает всякое, объект объекту люпус эст. Вот и еще один повод для ЧМУ, ага...

Автор: Alex | 82380 16.11.2017 18:15
>проблему проектирования и хранения данных, останется открытым вопрос взаимодействия с контроллерами

сдаётся мне, ТС в требованиях к системе написал больше, чем нужно. это мне напоминает АСТУ/АСУ ТП. ergo используйте замкнутую сеть без выхода в интернет/КСПД (использовать fw не предлагаю). отключайте физически всё лишнее, опечатывайте, пломбируйте, скрепляйте печатью и нумеруйте всё остальное и пусть резвятся. защищаться от сервисных инженеров/РЗАшников проблематично, но увлекательно

Автор: Du10 | 82456 18.11.2017 20:08
nekto
"Если пользователю разрешено отправлять данные на печать (в открытом виде), то вместо принтера может оказаться программа пересохраняющая данные.."

Отбираем права админа, и возможность ставить принтеры. + ставим софт по сохранению скринов всего распечатанного и сажаем человека каждый день контролировать что печаталось

Автор: Du10 | 82457 18.11.2017 20:51
По теме: я б этой курице с золотыми яйцами пояснил, что если курица не хочет что бы её яйца украл злой дядя-конкурент, то надо работать на оборудовании подготовленном нами. + можно продать одно яйцо и купить топовое железо.

Дано: мобильный сотрудник, который работает на ноутбуке в офисе, и за его пределами. Сотруднику нужен доступ до сетевой шары с файлами + защищено хранить собственные файлы, что бы даже по пьяне не скинуть их куда не надо. Так-же сотрудник хочет пользоваться любимыми мессенджерами, почтой, и браузером.

Покупаем ноут с хорошей матерью и процем (не АМД). Ставим туда шустрый и ёмкий SSD и меняем родную ОЗУ ноутбука на много-много быстрой памяти.
Быстродействие позволит переманить сотрудника пользоваться железом выданным компанией, а не собственным.

Шифруем диск ТруКриптом и сообщаем пароль сотруднику. Это позволит защититься от оффлайн копирования и изменения данных и программ без ведома сотрудника.

А дальше делаем выбор:
1. у сотрудника везде есть хороший интернет - тогда используем RDP
2. у сотрудника где-то нет интернета, но работать с файлами надо - используем виртуалку.

Виртуалку так-же шифруем TrueCrypt-ом, и настраиваем. Ставим туда нужный софт для редактирования файлов, настраиваем VPN подключение к шаре с файлами. НО режем обмен файлами между хостовой ОС и гостевой (виртуальной) ОС. То есть, смотреть можно, но в хостовую ОС копировать нельзя.

Дополнительно, ставим шпионское ПО, которое снимает скриншоты разв N секунд, и пишет все нажатия клавишь, и хранит это всё в шифрованном контейнере.

Автор: oko | 82461 18.11.2017 22:44
to Du10
Гениально... (с)
Решение в стиле "будем считать, что теперь защищено". На практике безопасность не повысит + внесет кучу доп.проблем для "контроллеров" (даже с учетом средств автоматизации разбирать логи потенциального инсайдера по скринам, кейлогам и журналам Win каждые N секунд - верный путь к суициду)...
И да, не подменяйте, товарищ, условия задачи. Дано было "юзер с правами local admin". И в этом аспекте ни TrueCrypt, ни виртуализация рабочей ОС, ни тем более терминал по RDP не будут являться гарантом...
Про AMD особо порадовало, кстати...

ЗЫ Лучше купить "мощный ноутбук" не только сотруднику, но и всем его родственникам (до пятого колена, ага). Правильная мотивация работника - наиболее действенный способ защиты от внутренних утечек ИОД...

Автор: Du10 | 82523 19.11.2017 13:08
to oko

Мой жизненный опыт показывает, что если у пользователя отобрать права админа, и настроить систему так, что бы ему эти права были не нужны - то он и не заметит разницы. Скорей всего, права админа были т.к. сотрудник просто привык так работать.

И да, если права админа есть, то RDP таки может быть гарантом, если порезать права на стороне сервера. Или не RDP, а любой другой инструмент удаленного доступа, через который можно только смотреть, да кнопки нажимать. Без возможности передачи файлов.

Автор: Бутч | 82524 19.11.2017 14:13
Иногда права админа нужны пользователю в обязательном порядке, т.к. запуск некоторых программ требует именно таких привелигированных прав.

Автор: oko | 82527 19.11.2017 15:55
*в сторону* вспомнился анекдот про богатый жизненный опыт. Тот самый с риторическим вопросом "А вы когда-нибудь видели, чтобы туалетная бумага по перфорации рвалась?"

to Du10
Про права админа не ко мне - это условия топикстартера. И подменять их, думаю, не следует. Ибо ТС сам сокрушался, что пока менять сложившийся порядок не вариант...
А про терминальный доступ (RDP, VNC, Spice и проч.). Редко вам, походу, приходилось работать с юзерами, которым в поезде/самолете/под водой/в жерле вулкана/добавить по вкусу приходилось лепить "очень важный отчет срочно и за 15 минут"...
Да и не панацея тот же RDP во всяком случае в стиле "ограничим права до минимума на стороне сервера"...

Автор: Du10 | 82567 19.11.2017 17:23
to Бутч
Отключаете UAC, и даете права на определенные каталоги/ветки реестра/службы. Профит.
Ну или, если ПО совсем глубоко в ОС долбится, то можно сделать готовый ярлык/прогу для запуск от имени админа определенного софта. И если "внезапно" у пользователя появляются права админа - можно спросить зачем он тут нажимал.


to oko
"в поезде/самолете/под водой/в жерле вулкана"
Именно поэтому, выше, я и написал 2 варианта. С интернетом и без интернета.

Автор: oko | 82591 20.11.2017 09:22
to Du10
И получим среду виртуализации на машине, где у юзера админские права. Т.е. дополнительно снизим защищенность по причине возможности сокрытия нарушителем своих действий на уровне ОС (обработка информации-то ведется в виртуальном контейнере, который вскрыть с правами админа - вообще не проблема). А без админских прав остается потенциальная утычка в эскалации привилегий и далее по тому же шаблону - взлом виртуалки, ввод/вывод ИОД, сокрытие своих действий. Защищенность системы за счет виртуализации оконечного пользовательского пространства повышается только в случае удаленного терминала (т.е. аналог предложенного RDP). В противном случае, это лишь новый камень преткновения...

Автор: nekto | 82786 22.11.2017 13:25
Из исходной задачи имеем:
- защищаемый файл, посредством "системы ввода/вывода", обрабатывается "Какой-то" программой. И это всё в среде где используются не доверенные приложения (например почтовый клиент).

Наиболее качественное решение по защите в этой ситуации:
Заменить "Какую-то" программу обработки - доверенной, в идеале разработчики программы должны бы заменить операции ввода/вывода на шифрование/дешифровку.... данные в открытом виде отсутствуют...

Можно встроить СЗИ в "систему ввода/вывода". Неэфективно, появляется угроза использования открытых данных другими программами и их слив.

Можно встроить СЗИ в ОС, зашифровать файловую систему и пытаться ограничивать и контролировать пользователя. Вопрос только - насколько качественно настроены СЗИ и как пострадает производительность...

to OKO, а виртуализацию предлагали как расширение первого варианта (локальный вариант RDP), т.е. "Какая-то" программа помещается в некоторый доверенный контейнер, который обладает свойством - вне контейнера отсутствуют данные в открытом виде и нет способов вывода данных из него...
...Пришла попутно мысль, а не выдать пользователю второй ноутбук, без интернета, почты и других каналов утечки - физический ноутбук лучше виртуального, раз к виртуализации такой негатив...

Автор: oko | 82792 22.11.2017 17:25
to nekto
Да идею-то я понял. Только проблема с первичными условиями: СЗИ как таковых (кроме встроенных) нет, админские права есть, обработка ИОД "недоверенными" программами, должно работать и при наличии и в отсутствие внутренней сети. Как защищаться? Ответ в стиле "виртуализируйте все" не катит, потому что без использования доп. средств защиты сами по себе виртуальные машины с гипервизором на уровне ОС MS Windows вскрываются и перекраиваются на раз (с админскими-то правами и школьник справится, ага). А те, что не перекраиваются, требуют какого-никакого канала связи до Центра выдачи виртуальных образов. Чего у нас по задаче не всегда есть (в силу выездного юзера и возможности отсутствия связи с Интернет и, как следствие, с серверами внутренней сети даже при условии наличия защищенного канала связи между ними)...
Теперь comprendo? :)

ЗЫ "Доверенные программы" тогда должны работать на уровне драйвера, завязанного на общий функционал ОС. Т.е. хочет злоумышленник-админ отключить защиту - падает ОС. И такие программы обязаны поддерживать ролевую систему доступа внутри своего функционала. Чтобы админ в ОС != админу в программе. А такого софта мало, пишется он как правило на заказ и стоит дорого...
Более распространенный выход из ситуации я уже подсказал ранее - мандатные метки решают все (хоть и режут функциональность и удобство работы, но без этого никак)...

Просмотров темы: 5273


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100