情報システムからの機密情報の漏洩を防ぐシステム(データ漏洩防止、DLP)は、ほとんどこの問題を解決できます。
今日の市場では、たとえば、SearchInform DLP、Infowatch Traffic Monitor DLP、Zecurion DLP、Symantec DLPなど、これらのシステムには十分な種類があります。 しかし今日、この記事はSurchinform LLCの製品についてのものになります。
SearchInform情報セキュリティ回路(CIB Searchinform)は、その機能と広範な分析ツールにより、この分野の他の企業との深刻な競争を生み出す、真剣かつ柔軟にカスタマイズ可能なソフトウェアパッケージです。 しかし、すべての製品と同様に、CIB Searchinformには欠点の1つがあります。これについては次に説明します。
図1-CIB SearchInformロゴ
CIB Searchinformでは、情報収集のソースの1つはエージェント(Windows / Linux)です。 Agent for WindowsおよびLinuxには、情報を収集するためのモジュラーシステムがあり、必要に応じてオンまたはオフになります。 デバイスモジュール(外部デバイス、ネットワークデバイス、プロセスなどの制御)を検討します。 この製品のデモ版は、開発者のWebサイト(完全な機能を備えた)から公式に入手できます。 取得したライセンスキー-EndPointControllerバージョン5.51.0.9(エージェントバージョン5.51.0.9)を使用して、さらにアクションが実装されます。
このモジュールの動作における主な問題は、外部リムーバブルデバイスの情報暗号化アルゴリズムです。 CIB Searchinformの暗号化アルゴリズムの動作原理を考慮してください。
ワークステーションにエージェントをインストールし、EndPointController 5.51.0.9の「Network Places」セクションで作業制御用の外部デバイス(デバイスモジュール)を設定します。
図2-モジュールのインストールと組み込み
[暗号化]タブの[デバイス]モジュール設定で暗号化を構成します。キーを生成し、すべてのメディアの暗号化を有効にします(特定のストレージメディアでのみ暗号化を有効にできます)。
図3-ホワイトリストの設定
図4-暗号化構成
次に、この製品のファイル暗号化アルゴリズムの分析を開始します。 ファイル「Install.exe」および「Fundamentals of Rights.rtf」を制御対象ワークステーション「WINOC」から外部リムーバブルメディア「Removable Disk(E :)」にコピーします。 図5からわかるように、「Install.exe」および「Fundamentals of Rights.rtf」オブジェクトは、隠しフォルダー「System Volume Information」に作成されています。 したがって、「システムボリューム情報」フォルダーには、リムーバブルメディア上の暗号化されたオブジェクトのリストが含まれていると結論付けることができます。
図5-「システムボリューム情報」フォルダー
図6-リムーバブルストレージメディアのルートフォルダー
ご存知のように、情報セキュリティの構築には3つの側面があります。これらは、整合性、アクセシビリティ、および機密性です。 オブジェクトが暗号化されているかどうかに関するシステム情報はオブジェクトヘッダー自体にある必要があるため、この暗号化アプローチを使用するとこれらの側面に違反します。
アルゴリズムの現在の構築では、リムーバブルメディア上の「システムボリューム情報」フォルダーのオブジェクトをランダムに変更/削除し、元の暗号化されたオブジェクトをさらに失います。また、制御されていないステーション上のオブジェクト自体を変更します:\ Install.exe "エージェントなしのコンピューターで、"システムボリューム情報 "" Install.exe "ネットワークパスによるフォルダー"内のCIB Searchinformソフトウェア製品の情報ファイルE:\システムボリューム情報\ Install.exe "は変更されないため、行方不明のエージェント ENITAサービス情報、およびファイルを開くには)不可能になっています。
開発者が、CIB Searchinformの製品のリムーバブルストレージメディアの暗号化機能のこの欠点を考慮し、アルゴリズムを変更することを期待しましょう。