17 Июня, 2014

СОИБ. Внедрение. Новые возможности СЗИ от НСД Secret Net 7.2 под прицелом

Сергей Борисов
Недавно Илья Борисов в своем блоге призвал отказаться от продвижения security-by-marketingв сторону realsecurity.

Чтобы поддержать эту инициативу хочу поделится некоторыми моментами из опыта внедрения  Secret Net 7.2 и анализу некоторых маркетинговых функций этого СЗИ от НСД

·        Собственные механизмы управления и система управления.
Напомню что во всех предыдущих версиях Secret Net, требовало внесения изменений в схему AD, управления системой осуществлялось через надстройки групповых политик AD, частично хранило настройки в ADи требовало для установки и работы учетную запись с максимальными привилегиями в AD.
Собственная система управления, не требующая внесения изменений в ADи больших привилегий в AD, я рассматриваю как технологический прорыв, выводящий SNна один уровень с другими современными СЗИ на Российском рынке.

·        Упрощение системы автоматической установки на множество АРМ

Посмотрим, какие неприятные моменты были обнаружены при реализации проекта (внедрение SecretNetдля защиты ИСПДн, которая составляет 10% от общего кол-ва узлов):
1.      Документация в версии 7.2 обновилась, но реально в ней документированы не все новые возможности.
Например, отсутствует описание варианта установки без модификации схемы AD.
2.      В целом техническая поддержка вендора Код Безопасности оказалась не готова к любым к вопросам по установке или настройке SecretNetверсии 7.2
На любой вопрос, даже по документации, спрашивали свой любимый набор данных



Далее пропадали со словами, что им необходимо смоделировать подобную ситуацию.
3.      В итоге от ТП вендора было получены следующие требования к правам учетной записи, необходимой для установки сервера безопасности и клиентов:

 Похоже, что производитель даже не задумывался об определении реально необходимых полномочий для установки своего ПО и сразу попросил максимально возможные.
Дальнейший опыт установки показал что чуть меньших прав тоже достаточно (локальный админ, доменный пользователь, администратор схемы SecretNet)
4.      Так-же перед установкой сервера безопасности SecretNetнеобходимо включить режим “Доверять компьютеру делегирование”. Но на вопрос к ТП указать для каких служб и объектов необходимо включить делегирование, получил ответ, что они пока не в курсе и просят установить делегирование для любых сервисов и объектов. Что в будущем, может привести к печальным последствиям, предполагая, что в домене есть узлы более ценных ИС, кроме ИСПДн и что в третьем пункте мы назначили права доменного админа.



5.      При автоматической установке клиентов обнаружился ещё пара моментов
a.      установка клиентов из системы управления невозможна, опять придется действовать через групповые политики
b.      нужно подготовить файл настройки, файл настройки и дистрибутивы выложить на папку в общем доступе, а в файле настройки  -  логин и пароль учетки от имени которой будет установка и подключение клиента к серверу (смотри пункт 3). Отличный подарок для внутреннего злоумышленника (от которых мы и планировали защищаться)


6.      Оказалось что централизованная система управления не до конца централизованная.  Управлять контролем целостности через неё не получится. Приходится устанавливать и запускать отдельную утилиту на АРМ администратора.  Неужели так трудно включить все функции управления в одну консоль?




7.      И последняя печаль – последняя версия клиента Secret Net блокирует удаленную установку клиента Kaspersky endpoint security 10. Даже если установка инициируется с правами из пункта 3, даже если отключены все подсистемы Secret Net. Помогает только остановка всех служб Secret Net на АРМ.
Явно недостаток тестирования со стороны вендора совместимости с другими СЗИ.