做為一個資訊安全開發原廠,我們必須從不同的角度,全面去檢視,資訊安全設備中同一個控管點的不同設計方案,或者是協防控管點的輔助方案,這樣才能完整的控管DLP。這樣說有點抽象,舉一個例子來說明,如果我們希望在一個資訊安全設備中,建立一個控管點,讓使用者無法使用檔案總管(Explorer)將重要的檔案,拖拉到外接式儲存設備(例如:USB 隨身碟)。
方案一:由 Windows 提供的原生 API 來處理
Windows Explorer 在檔案發生變動時,可以發出Notification通知事先向Windows註冊的程式。
在研發上面,可以實現的例子很多,例如:可以去註冊 Windows shell提供的 COM 界面API,(Windows shell是Microsoft Windows作業系統的圖形使用者介面。包括桌面、任務欄、開始選單、任務切換器和自動播放等)。
或是註冊如 FindFirstChangeNotification 等 API,當在指定的目錄或子目錄中,有檔案變更,符合我們設定的篩選準則,就會通知註冊的應用程式,檔案發生何種變動。
方案二:使用高階 API Hook 攔截 Explorer
Windows 提供的多種內建 API方案,其實都有不同的缺點,例如:檔案數太多時,可能會漏掉一些訊息 (因為通知的數目有限制),或是只能預先鎖定在某些特定的目錄上進行監督,因此,在API的應用上,不具有廣泛性,當然最大的問題,是僅能對檔案的變動(拷貝、刪除…)進行通知,而無法即時地對這些使用者的操作行為進行阻擋。
針對這些問題,可以說Windows原生的 API不敷使用,只能用於輔助方案,所以像 X-FORT 這樣的資訊安全系統,是無法只使用Windows原生的 API,因為可能會導致防護上的漏洞。
X-FORT的解決方案,是另外開闢一個控管點:使用 API Hook 去攔截 Explorer,這樣才能在使用者操作Explorer時,可以即時地進行記錄及阻擋,彌補Windows 原生 API 的不足。
方案三:使用低階API 攔截檔案系統
絕大部份的人都是使用檔案總管,所以使用API Hook其實滿足大部份人,對檔案進行操作的控管,但如果使用DOS Command、Power Shell、或是其他的應用程式,將資料寫入外接式儲存設備,這類的操作就無法達成控管。
針對這樣的應用,高階 API Hook 攔截 Explorer明顯也不符合須求,就像我們佈署重兵在前門,但小偷是由後門溜走,針對一些不同的操作,就需要有其他的控管。
X-FORT的解決方案,是再增加一個控管點:使用Driver去攔截檔案系統,這樣就可以針對所有的檔案操作行為進行監督,可以在有危險行為時,由 Driver 進行記錄及阻擋。
方案四:輔助方案:使用者行為記錄
前述的Driver攔截檔案系統方案,看來萬無一失,因為連檔案系統都被攔截進行監督,應該沒什麼漏洞了吧?以現階段的情況來說,這個結論,大致是正確的。
如果要挑毛病,可以說是未來的新技術是否可以繞開檔案系統,或是不再將資料儲存在本地設備,而改存到雲端?這些可以算是另一個控管的故事,在X-FORT中有其他的對應方案,這個議題也很大,但不會在本章中討論。
針對這些未知可能的問題,我們可以由其他的角度重新審視這個問題,X-FORT提出的方案,是可以全面針對使用者行為,進行記錄。
由不同的技術方案,重新詮釋這個控管點,但這個方案,僅能全面記錄使用者的操作行為,而無法即時阻止危險行為,所以可做為控管之外的輔助備援方案。
身為 IT 人員,如果沒有資訊安全控管系統,能做什麼事?
方案五:拔除 Mass Storage Driver
最簡單地方案,是在 PC BIOS 中,禁用 USB port,這樣可以防止使用 USB 隨身碟。
然而,這樣做,也完全關閉了使用 USB 的鍵盤、滑鼠、網路攝影機、印表機、掃描機、智慧型手機等的能力,所以最好不要由BIOS中關閉USB。
因為USB 隨身碟,通常會使用一種名為Mass Storage的驅動方案,所以可延伸出禁用Mass Storage驅動程式的解決方法。使用以下註冊表,來阻止 USB存儲媒體啟動。
使用Regedit 編輯 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor,將Start的值改為3(手動啟動),這樣就不是禁用USB port,而是禁用Mass Storage,所有依賴Mass Storage工作的設備(例如: USB 隨身碟)就無法使用。
方案六:在 USB 接口貼上易碎標籤
這方案的創意100分,也很容易實施,其效果和在PC BIOS 中,禁用 USB 接口相同
方案七:宣導並明令在公司不可使用 USB 隨身碟
明令規定與宣導是在控管前必須要的,也可避免後續因監控所造成的不必要爭議。規範的方式對大部份的員工來說,是有效的,但對於少部份蓄意將資料帶走的人來說,效果只能說:嘿!嘿!嘿!
結合不同層次控管
設立一個資安安全設備的控管點,讓使用者無法使用檔案總管(Explorer)將重要的檔案,拖拉到外接式儲存設備(例如:USB 隨身碟),根據之前的說明,將不同層次的控管流程,整理如下:
上圖僅是針對原本命題的基本控管,在真實的使用者應用中,要複雜很多,例如:可能要在使用者,想要寫出檔案到外接式媒體時,向主管申請主管審核、或是要求寫出檔案必須強制加密等…,詳細的應用方案,可以參考X-FORT 型錄或洽精品技術人員。
一個良好的資訊安全設備控管點,在規格上,必須包含由各種角度審視的多層次防護方案、意外發生時的輔助備援方案。
由技術角度來說,可以像雞尾酒般,結合不同的技術,例如: Windows 原生 API應用、高階 API HOOK技術及低階 Driver 技術…等,共同營造出一個完整的防護鏈,增加控制點的縱深,才無法輕易的被破解。