Перейти к контенту
i.a.zhilin

ViPNet IDS HS: Возможность скрывать чувствительные данные от операторов

Рекомендуемые сообщения

Здравствуйте. Пожелание. По возможности прошу реализовать возможность администраторам IDS HS скрывать в пришедших логах и в базе пароли и иную чувствительную информацию. К примеру, событие "Монтирование сетевого ресурса" в "Параметры командной строки" содержит пароль, который оператору СОВ знать незачем, да и администратору тоже.

 net use "\\myhost\myshare" SECRETPASSWORD /user:domain\username

Такая ситуация с немалым числом программ - pscp, putty и др. 

Опять же в случае компрометации сервера IDS и кражи его базы, пароли от смежных систем не уйдут. Такая же ситуация и с персональными данными, которые могут фигурировать в логах.

Хотелось бы чтобы администратору можно было бы настроить регулярными выражениями замену полей на HIDDEN. И чтобы их даже в базе не было.

 

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

В 21.01.2019 в 17:34, i.a.zhilin сказал:

Такая же ситуация и с персональными данными, которые могут фигурировать в логах

Какие именно перс. данные Вы имеете ввиду?

По паролям вопрос передан экспертам.

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 25.01.2019 в 15:32, zero сказал:

 

Какие именно перс. данные Вы имеете ввиду?

По паролям вопрос передан экспертам.

Любые: ПДн или другие данные, которые могут появляться в логах и как результат в IDS. Например, есть какой-нибудь

insert-into-db.exe -fio "Иванов Иван Иванович" -id "Паспорт серия номер"

И это все появляется в алерте "Создание процесса". В тех же аргументах командной строки.

По сути, что для паролей, что для ПДн механизм замены одинаковый.

 

 

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
57 минут назад, i.a.zhilin сказал:

insert-into-db.exe -fio "Иванов Иван Иванович" -id "Паспорт серия номер"

У Вас ПД хранятся в открытом виде в журнале ОС?

Стороннее ПО не сможет идентифицировать в таком потоке информации ПД. И в логах ОС ПД появляться не могут и не должны, так как их расположение - ИСПДн с ограниченным уровнем доступа.

 

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
15 минут назад, zero сказал:

У Вас ПД хранятся в открытом виде в журнале ОС?

Нет, я для примера написал. Нам на данный момент актуален только момент с паролями  в логах. Но т.к. они могут быть в разном месте командной строки и формат их передачи в командную строку разный (случайные примеры - за точность наименования аргументов не ручаюсь), хотелось бы иметь по возможности какой-то инструмент предфильтрации по регуляркам:

pscp -host ip -pw PASSWORD -u aaa
pscp -pw PASSWORD -host ip -u aaa
pscp -host ip --passwordw PASSWORD -u aaa

Регулярки, настраиваемые администратором, подойдут и для скрытия паролей и для скрытия другой чувствительной информации.

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Вопрос по паролям поднят. Просьба продублировать свои пожелания на hotline@infotecs.ru, нужно обращение от "живого" пользователя в ТП.

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пожалуйста, авторизуйтесь, чтобы оставить комментарий

Вы сможете оставлять комментарии после авторизации



Войти

×

Важная информация

By using this site, you agree to our Условия использования.