В блоге содержатся аналитические статьи автора на различные темы информационной безопасности, новости ИБ на Кубани.
Общее. Не все поглощения полезны или инфо с вебинара по Secret Net Studio
- Получить ссылку
- Электронная почта
- Другие приложения
Не так давно, а именно в конце ноября 2015г. я писал об информации с пресс-релиза Кода Безопасности, на которой был представлено в том числе решение Secret Net Studio .
В декабре 2015 вышла новость о том, что Яндекс приобретает компанию Agnitum . А в середине января 2016 Agnitum вывесил на официальном сайте информацию о том, что прекращает поставку решений своим заказчикам и партнерам.
А ведь продукт А gnitum составлял ядро Security Studio Endpoint Protection (модули антивирусной защиты, обнаружения вторжений и межсетевого экранирования) и занимал значимое место в Secret Net Studio (один из двух модулей антивирусной защиты и модуль обнаружения вторжений).
Обучение Secret Net Studio
Несколько дней назад состоялся вебинар КБ по Secret Net Studio (SNS), на котором в том числе упоминалась озвученная проблема.
Из двух модулей антивирусной защиты остался один вариант — ядро Nod 32 от ESET . Причем модуль антивирусной защиты с Nod 32 не планируется сертифицировать в ФСБ, а также по высоким классам ФСТЭК. Соответственно с этим модулем не удастся заходить в защиту Гостайны, а также использовать SNS на узлах, в которых применяется криптография (я уже неоднократно писал об этом, см. документацию на криптопро)
HIPS был полностью потерян – сейчас реализуют своими силами, планируется включить в следующей версии SNS в начале зимы.
Пока не ясно, принесет ли какую-то пользу Яндексу поглощение Agnitum , но это уже явно принесло определенный вред пользователями сертифицированных СЗИ.
Ещё интересная информация с вебинара:
· Через 2-3 недели – начинают отгрузку для продажи Secret Net Studio (несертифицированную версию)
· Ориентировочный срок получения сертификатов (модуля защиты от НСД) ФСТЭК – сентябрь 2016 года (сертификат на антивирус и СОВ позже). Напомню, что ранее озвучивалась дата – начало 2016 г., но видимо сдвинулось из-за истории с Agnitum
· Понравилась официальная информация о замедлении быстродействия. Многие другие производители СЗИ не занимаются такими расчетами либо не публикуют. Кстати в части работы антивирусного ядра обещают замедление меньше чем у самого антивируса Nod 32
· Опять отмечаю, что не поддерживается ОС Windows XP и 2003. А между тем некоторые наши вендоры всё ещё не поддерживают Windows 8. Пользователи меж двух огней.
Secret Net Studio автономный
· Интересное по лицензированию: бесплатный переход с других продуктов КБ на соответствующие модули SNS при действующей тех. поддержке. У многих других российских вендоров за такой переход приходится дополнительно доплачивать, либо покупать расширенную тех. поддержку, которая в разы дороже.
· Интересное по лицензированию: SNS – это, наверное, первый случай, когда сертифицированное СЗИ от НСД будет возможно приобрести не только бессрочно, но и на год. Это, наверное, будет самый дешевый вариант, если вам необходимо сертифицированное СЗИ от НСД прямо здесь и сейчас.
- Получить ссылку
- Электронная почта
- Другие приложения
Модель угроз безопасности клиента финансовой организации
Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике. К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Сравнение техник и тактик нарушителей из методики ФСТЭК и матриц MITRE ATT CK и сопутствующие ей матрицы хакерских группировок, способов обнаружения и возможных мер защиты. Как применить MITRE ATT https://sborisov.blogspot.com/2016/03/secret-net-studio.html» target=»_blank»]sborisov.blogspot.com[/mask_link]
Компьютерная программа Secret net 7 — отзыв
Если бы можно было поставить отрицательный рейтинг
Опыт использования:
месяц или более
Здравствуйте, дорогие читатели!
Не так давно у нас на работе все компьютеры стали оборудованы системой защиты secret net 7. Если вы про нее ничего не слышали — вы счастливчик. Значит, вы не имели с ней дел.
У нас достаточно большое заведение, где штат больше полуторы тысячи человек. И мой отдел стал в числе первых, кто вкусил это ноу-хау.
Во-первых, у каждого есть своя учетная запись со своим паролем. Пароль пришлось менять. И сделать его надо, чтобы было не меньше 8 знаков, пароль должен содержать маленькие и заглавные буквы и цифры. Не забываем, что важное также, какой язык стоит.
Во-вторых, компьютер теперь не просто засыпает, как раньше, он блокируется через 5 минут после неактивности мышки. То есть сидишь, копируешь папку размеров 20 Гигабайт, а он блокируется. И после каждой блокировки нужно вводить тот самый пароль.
В-третьих, эта система защиты постоянно меняет язык на английский. Вводишь ли ты пароль, печатаешь текст в ворде, ищешь что-то в поисковике или даешь имя папке — без разницы. Ну мы же в России.
В-четвертых, она блокирует процесс скидывания файлов на сервер. Процесс начался, но в конечном итоге зависает и помогает только ctrl+alt+delete и полный restart системы (чаще всего уже кнопкой включения компьтера).
В-пятых, происходит блокировка принтеров и многих нужных программ.
В-шестых, мощный новый компьютер превращается в овоща. Процесс включения от пусковой кнопки до ввода пароля и входа в учетную запись с загрузкой всего для работы занимает минут 10.
И в-седьмых, он мешает работать. Он блокирует сохранение файлов в программах. Сидишь, спокойненько и размеренно создаешь электронный документ, нажимаешь сохранить, и программа зависает на 0% процесса! И никаких сохранялочек в процессе работы! Всё надо начинать с нуля!
Люди, которые пытаются адаптировать эту систему под наши компьютеры, приходят и с умным видом пожимают плечами, потому что сами не знают, как устранить недостатки.
Источник: irecommend.ru
Средства защиты информации и где дёготь
Приветствую уважаемых хабравчан.
На Хабрахабре достаточно редки упоминания средств защиты информации (СЗИ) от несанкционированного доступа (НСД), если верить поиску. Например, по запросу Dallas я получил 26 топиков и 2 вопроса, из всего этого только один топик упоминал именно СЗИ от НСД Dallas Lock питерской фирмы ООО «КОНФИДЕНТ». По другим средствам картина похожая. В данном посте я бы хотел поделиться опытом применения таких средств и наиболее частым ошибкам/непониманиям при работе с ними.
Основные инструменты
- Secret Net от компании «Код безопасности»
- Страж NT от НПЦ «Модуль»
- Ранее упомянутый Dallas Lock
Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма — Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но не работало было проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock — вся реализация доверенной загрузки полностью программна.
Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».
Применение
Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко получается пощупать используются.
В автономных же версиях все просто — фаворитом является Secret Net, за весьма удобную, простую и понятную настройку — полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT — настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится — не в последнюю очередь из-за ценовой политики.
В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net’а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна.
С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.
Проблемы
Многие ошибки возникают просто из-за невнимательности или непонимания принципов работы конкретного СЗИ. Понятно, что справка/руководство спасет отца русской демократии поможет в разрешении ситуации, однако зачастую проще вызвать интегратора системы защиты. Естественно, проблема будет устранена — но потеряно время. Как заказчика, так и интегратора. Я хочу поделиться личным опытом, который возможно поможет в разрешении наиболее типичных жалоб пользователя.
Secret Net
Фаворит — он везде фаворит
Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ — все папки создаются в файловой системе всегда несекретными, а файлы — с текущим уровнем секретности сессии, который можно проверить во всплывающем окошке:
Часто возникает проблема неработоспособности офисного пакета (Word, Excel). К слову, не стоит забывать что с OpenOffice.org СЗИ не работает. Ошибки могут быть самыми разными, но причина у всех одна — не были корректно настроены папки, необходимые для проведения служебных операций, по мандатному разграничению доступа.
Полный список папок приведен в документации, а конкретные проблемы всегда можно диагностировать через журнал Secret Net — в журнале появляется информация о любых действиях программы. При назначении мандатных меток файлам и папкам, следует помнить что гриф папки должен быть максимально допустимый для конкретного АРМ, так как Secret Net позволяет хранить в папках любые файлы грифом не выше грифа папки. Соответственно, если запущен Microsoft Word в секретной сессии — для записи файлов автосохранения ему нужен гриф «секретно» на определенной папке.
Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало:
В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое — вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется — за это отвечают выделенные два параметра, выставленные в «жесткий»:
Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию — часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут:
И напоследок — небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLMSystemCurrentControlSetServicesSNMC5xxParams (для 5.х версий), где можно найти два строковых параметра — MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.
Страж NT
Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты.
Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.
Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа — это нормально. Следует открыть файл повторно, используя уже само офисное приложение.
Dallas Lock
Как и в случае Стража, ошибок крайне мало — не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.
Первая ошибка связана с возможным использованием двух паролей — для Dallas Lock’а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».
Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом — а потом жалуются, что не могут попасть даже в папки с грифом ДСП.
Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.
Источник: habr.com