ارزیابی Zecurion از نتایج آزمون‌های شرکت رجـاء

آزمایشگاه ارزیابی امنیتی شرکت فناوری اطلاعات رجـاء به تازگی گزارشی را در افتانا منتشر کرد که در آن به برخی از آسیب‌پذیری‌های محصول Zecurion DLP اشاره شده بود. این گزارش در چندین بخش به مشکلاتی که این محصول داشت، پرداخته بود. انتشار این گزارش واکنش‌هایی را در پی داشت و از جمله شرکت روسی Zecurion پاسخی را به افتانا ارسال کرد.

پاسخ Zecurion بیان می‌کند که نتایج اعلام‌شده توسط شرکت رجـاء عمدتاً به‌دلیل انجام آزمون‌ها تحت حساب کاربری دارای دسترسی ادمین، با شرایط واقعی استقرار DLP همخوانی ندارد. ضمن انکه سازوکار رمزگذاری Zecurion در سطح کرنل عمل کرده و امکان دور زدن در سطح کاربر وجود ندارد. در موضوع ناپایداری واترمارکینگ نیز مرتبط با تفاوت رفتار برنامه‌هاست و این قابلیت در زکوریون برای نرم‌افزارهای مختلف قابل پشتیبانی است و محدودیت‌ ادعایی در محیط Workgroup به نبود ساختار متمرکز مانند اکتیو دایرکتوری بازمی‌گردد و ضعف محصول محسوب نمی‌شود.
در ادامه پاسخ رسمی زکوریون را بخوانید.

پاسخ شرکت روسی زکوریون به گزارش آزمون شرکت فناوری اطلاعات رجـاء

1. ضعف‌های موجود در سازوکار رمزگذاری
رمزگذاری فایل در Zecurion در سطح کرنل و با استفاده از فناوری Microsoft File System Minifilter انجام می‌شود. هیچ برنامه‌ای در سطح کاربر نمی‌تواند عملیات ایجاد/خواندن/نوشتنِ فیلترشده را دور بزند. هر برنامه‌ای که با فایل‌سیستم تعامل دارد، از طریق درایور مینی‌فیلتر زکوریون عبور می‌کند. برای ایجاد محیط رمزنگاری از هیچ قلاب (Hook) در سطح کاربر استفاده نمی‌شود. افزون بر این، این قابلیت بر مبنای این فرض عمل می‌کند که کاربر دارای دسترسی مدیر سیستم (Local Admin) نیست. به نظر می‌رسد آزمون شرکت رجـاء با حساب کاربری دارای دسترسی مدیر سیستم انجام شده است؛ بنابراین بسیاری از نتایج به محیط‌های واقعی استقرار DLP ارتباطی ندارند.

2- نقص در سازوکار Application Control
راهکار زکوریون در هنگام ایجاد سیاست‌های کنترل برنامه، از پارامترChecksum فایل‌های اجرایی پشتیبانی می‌کند. بنابراین می‌توان یک سیاست فهرست سفید مبتنی بر چک‌سام ایجاد کرد. هرگونه تغییر در فایل EXE شناسایی شده و برنامه مربوطه مسدود خواهد شد. البته می‌توان سیاستی را بدون کنترل چک‌سام و صرفاً بر اساس نام فایل و مسیر آن ایجاد کرد. این روش گاهی برای سازمان‌هایی مناسب است که تغییر فایل‌های اجرایی را با ابزارهای دیگر مسدود می‌کنند و این انعطاف‌پذیری بیشتری به مشتریان ما می‌دهد

3- ناپایداری در واترمارکینگ (Watermarking)
فناوری واترمارکینگ Zecurion به‌گونه‌ای طراحی شده است که از هر نوع برنامه‌ای پشتیبانی کند، نه فقط مجموعه مایکروسافت آفیس. قابلیت واترمارکِ تعبیه‌شده در داخل فایل، تنها محدود به اسناد آفیس و احتمالاً فایل‌های PDF است؛ در حالی‌که زکوریون می‌تواند در برنامه‌های ویرایش تصویر، نرم‌افزارهای CAD، نرم‌افزارهای حسابداری، سامانه‌های مدیریت اسناد الکترونیک (eDMS) و موارد مشابه نیز واترمارک اعمال کند. با این حال، فناوری واترمارکینگ به‌شدت به رفتار برنامه مقصد وابسته است. ارائه نمونه‌های خاص از برنامه‌ها از سوی مشتریان بسیار مطلوب است. Zecurion قادر است پشتیبانی از هر برنامه ویندوزی را به‌سرعت و بدون نیاز به تلاش‌های تحقیق‌وتوسعه جدی اضافه کند. به هر صورت، واترمارکینگ یک ویژگی کلیدی DLP نیست و باید پیش از استفاده، روی برنامه واقعی آزمایش شود.

4- محدودیت در اعمال سیاست‌های کاربرمحور در محیط Workgroup
این مورد ضعف محسوب نمی‌شود. استفاده از کنترل دسترسی مبتنی بر نقش (RBAC) در محیط‌های غیر دامینی اصولاً منطقی نیست. سرور DLP نمی‌تواند اطلاعات تمام کاربران محلی را از هر رایانه در Workgroup به‌صورت راه‌دور جمع‌آوری کند؛ کاربران باید در یک مخزن متمرکز مانند LDAP/AD ذخیره شوند. بیشتر مشتریان سازمانی از اکتیو دایرکتوری یا زیرساخت‌های مشابه استفاده می‌کنند، بنابراین این موضوع برای آنها مصداق ندارد.

5- نقص در کنترل Clipboard و مکانیزم Content Policy
عملیات Drag & Drop یا دستورهای Copy ارتباط مستقیمی با Clipboard ندارند. روش‌های بسیاری برای انتقال داده وجود دارد و Zecurion DLP به‌طور کامل عملیات نوشتن روی حافظه‌های USB و خواندن از آنها را کنترل می‌کند. چگونگی کپی شدن فایل‌ها به/از رسانه‌های کنترل‌شده اهمیتی ندارد، زیرا Zecurion DLP در سطح فایل و به‌واسطه درایور کرنل عمل می‌کند، نه از قلاب‌های سطح کاربر برای عملیات نوشتن روی رسانه‌های خارجی.

همچنین، انتقال فایل‌ها در داخل یک رایانه توسط DLP کنترل نمی‌شود، زیرا این موضوع به‌عنوان نشتی احتمالی داده در نظر گرفته نمی‌شود. محصول Zecurion DCAP وظیفه کنترل و ممیزی عملیات فایل در سطح محلی و شبکه را در هر دو سمت ایستگاه‌کاری و سرور بر عهده دارد.