آزمایشگاه ارزیابی امنیتی شرکت فناوری اطلاعات رجاء اخیراً گزارشی منتشر کرده که در آن به مواردی از آسیبپذیری در محصول پیشگیری از نشت داده (DLP) شرکت Zecurion اشاره شده است. انتشار این گزارش واکنش فوری شرکت روسی Zecurion را در پی داشت که با ارسال پاسخی به رسانه افتانا، بر عدم همخوانی نتایج آزمونها با شرایط واقعی استقرار سیستمهای DLP تاکید کرده است. این رویداد، بحثی فنی و مهم را در خصوص صحت متدولوژی ارزیابی امنیتی محصولات نرمافزاری به راه انداخته است.
ارزیابی Zecurion DLP توسط شرکت رجاء: جنجال بر سر آسیبپذیریها
گزارش آزمایشگاه ارزیابی امنیتی شرکت رجاء، مجموعهای از نقاط ضعف و آسیبپذیریهای ادعایی را در محصول Zecurion DLP مطرح کرده بود. این گزارش که در چندین بخش به تفصیل به مشکلات احتمالی این سیستم پیشگیری از نشت داده پرداخته بود، موجی از بحث و بررسی را در میان متخصصان امنیت سایبری ایجاد کرد. سیستمهای DLP (Data Loss Prevention) ابزارهای حیاتی برای سازمانها هستند تا از نشت اطلاعات حساس جلوگیری کرده و دادهها را در برابر تهدیدات داخلی و خارجی محافظت کنند. بنابراین، هرگونه ادعای آسیبپذیری در این نوع محصولات با دقت و حساسیت بالایی پیگیری میشود. در پاسخ به این گزارش، شرکت Zecurion، تولیدکننده شناختهشده راهکارهای امنیتی، موضع رسمی خود را اعلام کرده و توضیحاتی فنی درباره نحوه عملکرد محصول و شرایط آزمونهای انجامشده ارائه داده است. این تبادل نظر فنی، اهمیت حیاتی ارزیابیهای دقیق و متوازن در حوزه امنیت سایبری را بیش از پیش نمایان میسازد.
دفاع Zecurion: تفاوت رویکرد در آزمون و محیط عملیاتی سیستمهای DLP
شرکت Zecurion در پاسخ خود، محور اصلی تفاوت را در متدولوژی انجام آزمونها میداند. بر اساس بیانیه این شرکت، بسیاری از نتایج اعلامشده توسط رجاء، به دلیل انجام آزمونها تحت حساب کاربری با دسترسی ادمین (Local Admin) به دست آمدهاند که این شرایط با محیطهای واقعی و امن استقرار یک سیستم DLP در سازمانها تفاوت اساسی دارد. Zecurion تاکید میکند که محصولات Zecurion DLP بهگونهای طراحی شدهاند که با فرض عدم دسترسی کاربران عادی به سطح مدیر سیستم کار کنند. این شرکت توضیح میدهد که مکانیزمهای رمزگذاری Zecurion در سطح کرنل سیستمعامل عمل میکنند و امکان دور زدن آنها در سطح کاربر وجود ندارد، چرا که هرگونه تعامل با فایلسیستم از طریق درایور MiniFilter اختصاصی Zecurion کنترل میشود. این رویکرد پیشرفته، بسیاری از ادعاهای مربوط به ضعف در رمزگذاری را از دیدگاه Zecurion بیاعتبار میسازد و نشاندهنده اهمیت پیکربندی صحیح و محیط آزمایشی واقعگرایانه است.
جزئیات پاسخ Zecurion به نکات فنی گزارش شرکت رجاء
پاسخ رسمی Zecurion به افتانا، به پنج محور اصلی گزارش شرکت رجاء میپردازد و برای هر یک از آنها توضیحاتی فنی و تحلیلی ارائه میکند:
ضعف در سازوکار رمزگذاری: Zecurion توضیح میدهد که رمزگذاری فایل در Zecurion DLP در سطح کرنل و با فناوری Microsoft File System Minifilter انجام میشود. هیچ برنامه کاربردی نمیتواند عملیات فیلترشده ایجاد، خواندن یا نوشتن را دور بزند. این قابلیت بر این فرض بنا شده است که کاربر دارای دسترسی مدیر سیستم نباشد و از این رو، انجام آزمونها با دسترسی ادمین، نتایج غیرواقعی و گمراهکننده ایجاد کرده است.
نقص در سازوکار Application Control: راهکار Zecurion از پارامتر Checksum برای فایلهای اجرایی پشتیبانی میکند و امکان ایجاد سیاستهای لیست سفید (Whitelisting) مبتنی بر Checksum وجود دارد. هرگونه تغییر در فایل EXE شناسایی و مسدود میشود. انعطافپذیری در تعریف سیاست بدون کنترل Checksum نیز برای سازمانهایی در نظر گرفته شده است که خود تغییر فایلهای اجرایی را با ابزارهای دیگر مسدود میکنند، تا بدین ترتیب گزینههای بیشتری برای مشتریان فراهم آید.
ناپایداری در واترمارکینگ (Watermarking): فناوری واترمارکینگ Zecurion برای پشتیبانی از انواع برنامهها، فراتر از مجموعه مایکروسافت آفیس، طراحی شده است. این قابلیت حتی در برنامههای ویرایش تصویر، نرمافزارهای CAD و سیستمهای مدیریت اسناد الکترونیک (eDMS) نیز قابل اعمال است. ناپایداریهای مشاهدهشده بیشتر به رفتار برنامه مقصد بستگی دارد و Zecurion قادر است به سرعت پشتیبانی از برنامههای ویندوزی جدید را اضافه کند. با این حال، واترمارکینگ به عنوان یک ویژگی فرعی در DLP محسوب میشود که باید پیش از استفاده، بر روی برنامههای واقعی آزمایش شود.
محدودیت در اعمال سیاستهای کاربرمحور در محیط Workgroup: این مورد به عنوان ضعف محصول Zecurion DLP محسوب نمیشود. استفاده از کنترل دسترسی مبتنی بر نقش (RBAC) در محیطهای بدون دامنه (مانانند اکتیو دایرکتوری) اصولاً منطقی نیست. سرور DLP برای اعمال سیاستهای کاربرمحور نیازمند یک مخزن متمرکز کاربران مانند LDAP/AD است که اکثر مشتریان سازمانی بزرگ و متوسط از آن استفاده میکنند، بنابراین این موضوع برای اکثر سناریوهای سازمانی مصداق ندارد.
نقص در کنترل Clipboard و مکانیزم Content Policy: عملیات Drag & Drop یا Copy ارتباط مستقیمی با Clipboard در سطح کنترل Zecurion DLP ندارند. Zecurion به طور کامل عملیات نوشتن و خواندن از حافظههای USB را در سطح فایل و از طریق درایور کرنل کنترل میکند، بدون اینکه به قلابهای سطح کاربر برای این عملیات متکی باشد. همچنین، انتقال فایلها در داخل یک رایانه به عنوان نشت احتمالی داده تلقی نمیشود و کنترل و ممیزی آن بر عهده محصول اختصاصی Zecurion DCAP است.
چشمانداز آینده Zecurion DLP و اهمیت متدولوژی ارزیابی امنیتی
این چالش فنی بین شرکت رجاء و Zecurion، اهمیت حیاتی دقت در متدولوژی ارزیابی محصولات امنیتی را برجسته میسازد. سیستمهای پیشگیری از نشت داده (DLP) مانند Zecurion DLP، ستون فقرات استراتژیهای امنیت اطلاعات مدرن را تشکیل میدهند و هدف آنها شناسایی، پایش و محافظت از دادههای حساس در برابر دسترسی غیرمجاز یا از دست رفتن آنها است. اطمینان از عملکرد صحیح این سیستمها مستلزم آزمونهایی است که تا حد امکان شرایط واقعی استقرار و استفاده را شبیهسازی کنند. این حادثه نشان میدهد که تفاوت در محیطهای آزمایشی، بهویژه در سطوح دسترسی کاربران، میتواند نتایج متفاوتی را در بر داشته باشد و این موضوع برای خریداران و ارائهدهندگان راهکارهای امنیتی حائز اهمیت است. در نهایت، شفافیت و گفتگوی فنی میان تولیدکنندگان و ارزیابیکنندگان به افزایش کیفیت محصولات امنیتی و ارتقای سطح حفاظت از اطلاعات کمک شایانی خواهد کرد.
مطالب مرتبط
- AWS با رونمایی از «فرانتیر ایجنتها»، نسل جدید ایجنتهای خودگردان، توسعه نرمافزار را متحول میکند
- قالیباف: طرح ۳۲ بندی شورای عالی فضای مجازی راهگشای رفع فیلترینگ واتساپ و تلگرام است
- گوگل دو آسیبپذیری روز صفر فعال اندروید را وصله کرد؛ هشدار در مورد بیش از ۱۰۰ حفره امنیتی دیگر
- گوگل دو آسیبپذیری روز صفر فعال اندروید را وصله کرد؛ هشدار در مورد بیش از ۱۰۰ حفره امنیتی دیگر
