Ülevaade
- Valdkond: Turvalisus — irdkandjate (USB) kontroll
- Meie roll: Ehitasime lõpp-punkti agendi ja keskhaldusserveri riistvaralisele USB-puhastusseadmele
- Tehnoloogia: Windowsi teenus + ASP.NET Core haldusserver (gRPC, TLS), X.509-põhine — täielikult auditeeritav, kliendile kuuluv
Väljakutse
USB-port on üks vanimaid viise, kuidas pahavara turvalisse võrku jõuab: üksainus kontrollimata mälupulk, mis on ühendatud ühte masinasse, võib kanda nakkuse läbi iga tulemüüri. Spetsiaalne riistvara suudab mälupulga kioskis üle kontrollida ja puhastada – aga see aitab ainult siis, kui inimesed seda tegelikult kasutavad. Miski ei takista kedagi kioskist mööda minemast ja kontrollimata mälupulga otse tööjaama ühendamast.
Selle lünga sulgemiseks ei saa puhastamine olla valikuline. Seda tuleb jõustada igas lõpp-punktis – ja hallata kogu masinapargis, mitte konfigureerida üks arvuti korraga.
Lahendus
RaulWalter lõi tarkvara, mis muudab eraldiseisva puhastusseadme kogu seadmepargi hõlmavaks jõustamiseks:
- lõpp-punkti agent — Windowsi teenus igas kaitstud arvutis, mis vahendab iga USB-mäluseadme kohe selle ühendamisel, haagib selle esmalt privaatselt ega ava seda kasutajale enne, kui on kontrollinud seadme eraldiseisva allkirja ja võrrelnud iga faili allkirjastatud SHA-512 manifestiga — midagi pole lisatud, muudetud ega kustutatud. Kõik allkirjastamata, tundmatu või muudetud haagitakse kohe lahti;
- keskhaldusserver — ASP.NET Core teenus veebikonsooli ja gRPC-liidesega, mis haldab agentide parki ja kogub nende logisid üle TLS-i, igale seadmele tema enda X.509 sertifikaadi alusel;
- ehitatud kliendi tingimustel: kood on täielikult auditeeritav, kuulub kliendile ega sõltu millestki muust patenteeritust peale Windowsi.
Tulemus
Kaitstud arvutis USB-mälupulk lihtsalt ei avane enne, kui seade pole seda puhastanud ja allkirjastanud — ja see on endiselt täpselt selline, nagu allkirjastati.
- 100% ühendatud USB-mälupulkadest kontrollitakse enne ühendamist
- Allkirjastamata, tundmatud või manipuleeritud andmekandjad blokeeritakse pordis automaatselt
- Failipõhine terviklikkus – iga faili kontrollitakse allkirjastatud SHA-512 manifesti suhtes ning ühendamine toimub privaatselt ja seejärel avalikult, nii et kasutaja ei puuduta kunagi kontrollimata andmekandjaid
- Tsentraalselt hallatav ja logitav kogu seadmepargi ulatuses ühest serverist
- Auditeeritav, kliendile kuuluv kood, millel pole Windowsi-väliseid omandilisi sõltuvusi
