Jump to content
Sign in to follow this  
i.a.zhilin

ViPNet IDS HS: Возможность скрывать чувствительные данные от операторов

Recommended Posts

Здравствуйте. Пожелание. По возможности прошу реализовать возможность администраторам IDS HS скрывать в пришедших логах и в базе пароли и иную чувствительную информацию. К примеру, событие "Монтирование сетевого ресурса" в "Параметры командной строки" содержит пароль, который оператору СОВ знать незачем, да и администратору тоже.

 net use "\\myhost\myshare" SECRETPASSWORD /user:domain\username

Такая ситуация с немалым числом программ - pscp, putty и др. 

Опять же в случае компрометации сервера IDS и кражи его базы, пароли от смежных систем не уйдут. Такая же ситуация и с персональными данными, которые могут фигурировать в логах.

Хотелось бы чтобы администратору можно было бы настроить регулярными выражениями замену полей на HIDDEN. И чтобы их даже в базе не было.

 

Share this post


Link to post
Share on other sites

 

В 21.01.2019 в 17:34, i.a.zhilin сказал:

Такая же ситуация и с персональными данными, которые могут фигурировать в логах

Какие именно перс. данные Вы имеете ввиду?

По паролям вопрос передан экспертам.

Share this post


Link to post
Share on other sites
В 25.01.2019 в 15:32, zero сказал:

 

Какие именно перс. данные Вы имеете ввиду?

По паролям вопрос передан экспертам.

Любые: ПДн или другие данные, которые могут появляться в логах и как результат в IDS. Например, есть какой-нибудь

insert-into-db.exe -fio "Иванов Иван Иванович" -id "Паспорт серия номер"

И это все появляется в алерте "Создание процесса". В тех же аргументах командной строки.

По сути, что для паролей, что для ПДн механизм замены одинаковый.

 

 

Share this post


Link to post
Share on other sites
57 минут назад, i.a.zhilin сказал:

insert-into-db.exe -fio "Иванов Иван Иванович" -id "Паспорт серия номер"

У Вас ПД хранятся в открытом виде в журнале ОС?

Стороннее ПО не сможет идентифицировать в таком потоке информации ПД. И в логах ОС ПД появляться не могут и не должны, так как их расположение - ИСПДн с ограниченным уровнем доступа.

 

Share this post


Link to post
Share on other sites
15 минут назад, zero сказал:

У Вас ПД хранятся в открытом виде в журнале ОС?

Нет, я для примера написал. Нам на данный момент актуален только момент с паролями  в логах. Но т.к. они могут быть в разном месте командной строки и формат их передачи в командную строку разный (случайные примеры - за точность наименования аргументов не ручаюсь), хотелось бы иметь по возможности какой-то инструмент предфильтрации по регуляркам:

pscp -host ip -pw PASSWORD -u aaa
pscp -pw PASSWORD -host ip -u aaa
pscp -host ip --passwordw PASSWORD -u aaa

Регулярки, настраиваемые администратором, подойдут и для скрытия паролей и для скрытия другой чувствительной информации.

Share this post


Link to post
Share on other sites

 Вопрос по паролям поднят. Просьба продублировать свои пожелания на hotline@infotecs.ru, нужно обращение от "живого" пользователя в ТП.

Share this post


Link to post
Share on other sites

Доработка принята, будут делать скрытие паролей и прочих чувствительных данных в одной из следующих версий.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.