ViPNet IDS HS: Возможность скрывать чувствительные данные от операторов

[i.a.zhilin]

Здравствуйте. Пожелание. По возможности прошу реализовать возможность администраторам IDS HS скрывать в пришедших логах и в базе пароли и иную чувствительную информацию. К примеру, событие "Монтирование сетевого ресурса" в "Параметры командной строки" содержит пароль, который оператору СОВ знать незачем, да и администратору тоже.

 net use "\\myhost\myshare" SECRETPASSWORD /user:domain\username

Такая ситуация с немалым числом программ - pscp, putty и др. 

Опять же в случае компрометации сервера IDS и кражи его базы, пароли от смежных систем не уйдут. Такая же ситуация и с персональными данными, которые могут фигурировать в логах.

Хотелось бы чтобы администратору можно было бы настроить регулярными выражениями замену полей на HIDDEN. И чтобы их даже в базе не было.

 

[zero]

 

В 21.01.2019 в 17:34, i.a.zhilin сказал:

Такая же ситуация и с персональными данными, которые могут фигурировать в логах

Какие именно перс. данные Вы имеете ввиду?

По паролям вопрос передан экспертам.

[i.a.zhilin]

В 25.01.2019 в 15:32, zero сказал:

 

Какие именно перс. данные Вы имеете ввиду?

По паролям вопрос передан экспертам.

Любые: ПДн или другие данные, которые могут появляться в логах и как результат в IDS. Например, есть какой-нибудь

insert-into-db.exe -fio "Иванов Иван Иванович" -id "Паспорт серия номер"

И это все появляется в алерте "Создание процесса". В тех же аргументах командной строки.

По сути, что для паролей, что для ПДн механизм замены одинаковый.

 

 

[zero]

57 минут назад, i.a.zhilin сказал:

insert-into-db.exe -fio "Иванов Иван Иванович" -id "Паспорт серия номер"

У Вас ПД хранятся в открытом виде в журнале ОС?

Стороннее ПО не сможет идентифицировать в таком потоке информации ПД. И в логах ОС ПД появляться не могут и не должны, так как их расположение - ИСПДн с ограниченным уровнем доступа.

 

[i.a.zhilin]

15 минут назад, zero сказал:

У Вас ПД хранятся в открытом виде в журнале ОС?

Нет, я для примера написал. Нам на данный момент актуален только момент с паролями  в логах. Но т.к. они могут быть в разном месте командной строки и формат их передачи в командную строку разный (случайные примеры - за точность наименования аргументов не ручаюсь), хотелось бы иметь по возможности какой-то инструмент предфильтрации по регуляркам:

pscp -host ip -pw PASSWORD -u aaa
pscp -pw PASSWORD -host ip -u aaa
pscp -host ip --passwordw PASSWORD -u aaa

Регулярки, настраиваемые администратором, подойдут и для скрытия паролей и для скрытия другой чувствительной информации.

[zero]

 Вопрос по паролям поднят. Просьба продублировать свои пожелания на hotline@infotecs.ru, нужно обращение от "живого" пользователя в ТП.

[i.a.zhilin]

отправил сегодня с i.a.zhilin@cit.rkomi.ru . был в отпуске

[i.a.zhilin]

001-00-1038580

[zero]

Доработка принята, будут делать скрытие паролей и прочих чувствительных данных в одной из следующих версий.

[zero]

Версию с доработкой выпустили, обращайтесь в ТП.