Le suivi de toutes les informations circulant dans l'organisation est l'une des tâches principales de la mise en œuvre pratique des documents organisationnels et administratifs (politique de sécurité de l'information et autres documents internes des niveaux inférieurs) de l'organisation.
Les systèmes de prévention des fuites d'informations confidentielles d'un système d'information (Data Leak Prevention, DLP) sont pour la plupart capables de résoudre ce problème.
Sur le marché actuel, il existe suffisamment de variétés de ces systèmes, telles que: SearchInform DLP, Infowatch Traffic Monitor DLP, Zecurion DLP, Symantec DLP et autres. Mais aujourd'hui, cet article portera sur le produit de la société SearchInform.
SearchInform Information Security Circuit (CIB Searchinform) est un progiciel sérieux et hautement personnalisable qui, par ses fonctionnalités et ses outils analytiques étendus, crée une concurrence sérieuse à d'autres sociétés dans ce domaine. Mais comme tous les produits, CIB Searchinform présente l'un des inconvénients, dont nous allons discuter maintenant.
Figure 1 - Logo CIB SearchinformDans CIB Searchinform, l'une des sources de collecte d'informations est un agent (Windows / Linux). Agent pour Windows, ainsi que pour Linux, dispose d'un système modulaire pour collecter les informations, si nécessaire, elles sont activées ou désactivées. Nous considérerons le module Périphérique (contrôle des périphériques externes, périphériques réseau, processus, etc.). Une version de démonstration de ce produit peut être obtenue officiellement sur le site Web du développeur (avec toutes les fonctionnalités). D'autres actions seront mises en œuvre à l'aide de la clé de licence obtenue - EndPointController version 5.51.0.9 (agent version 5.51.0.9).
Le principal problème dans le fonctionnement de ce module est l'algorithme de cryptage des informations sur les périphériques amovibles externes. Considérez le principe de fonctionnement de l'algorithme de chiffrement dans CIB Searchinform.
Nous installons l'agent sur le poste de travail et définissons les périphériques externes (module Périphérique) pour la surveillance de travail dans la section Environnement réseau d'EndPointController 5.51.0.9
Figure 2 - Installation et inclusion du moduleNous configurons le cryptage dans les paramètres du module Périphérique de l'onglet Cryptage: générez une clé et activez le cryptage pour tous les supports (le cryptage ne peut être activé que pour certains supports de stockage).
Figure 3 - Paramètres de la liste blanche
Figure 4 - Configuration de chiffrementNous commençons maintenant à analyser l'algorithme de cryptage de fichiers pour ce produit. Copiez les fichiers «Install.exe» et «Fundamentals of Rights.rtf» du poste de travail contrôlé «WINOC» sur le support amovible externe «Disque amovible (E :)». Comme vous pouvez le voir sur la figure 5, les objets «Install.exe» et «Fundamentals of Rights.rtf» ont été créés dans le dossier caché «System Volume Information». Ainsi, nous pouvons conclure que le dossier «System Volume Information» contient une liste d'objets chiffrés sur des supports amovibles.
Figure 5 - Dossier «System Volume Information»
Figure 6 - Le dossier racine du support de stockage amovibleComme vous le savez, la sécurité de l'information repose sur trois aspects: l'intégrité, l'accessibilité et la confidentialité. Ces aspects sont violés à l'aide de cette approche de chiffrement, car les informations système sur le fait de savoir si l'objet est chiffré ou non doivent se trouver dans l'en-tête de l'objet lui-même.
Dans la construction actuelle de l'algorithme, des variantes de modification / suppression aléatoires d'objets du dossier «System Volume Information» sur un support amovible avec une perte supplémentaire des objets chiffrés d'origine, ainsi que la modification des objets eux-mêmes sur des stations non contrôlées (par exemple, renommer l'objet «Install.exe» avec le chemin réseau «E : \ Install.exe "sur un ordinateur sans agent, tandis que le fichier d'informations pour le produit logiciel CIB Searchinform dans le dossier" System Volume Information "" Install.exe "par le chemin d'accès réseau" E: \ System Volume Information \ Install.exe "reste inchangé, car agent manquant qui ENITA informations de service, et l'ouverture du fichier est devenu impossible).
Espérons que le développeur prendra en compte cette lacune dans la fonction de chiffrement des supports de stockage amovibles dans le produit de CIB Searchinform et changera son algorithme.