«Синдром флэшки»:
как защитить данные при работе с внешними устройствами?
TADетали
Повышающаяся технологичность мира приносит с собой не только удобства, но и проблемы с безопасностью. Чем круче ваше железо и софт, тем изощреннее методы киберпреступников. Что говорить о привычных технологиях, вроде съемных дисков или «флэшек»? В том, как бороться с утечками корпоративной информации через внешние устройства, как управлять ими и как защитить предприятие от заражения вредоносным ПО, помог разобраться системный инженер компании Ivanti Максимилиан Прилепский.
Какие внешние устройства могут нести с собой угрозу для корпоративных данных
Внешние съемные устройства (флэш-накопители USB) и носители (CD/DVD) давно уже привычны в быту, а в бизнесе и подавно практически незаменимы. Любой офис в любой точке планеты — это отдельная экосистема, в которой нашлось место USB-накопителям, внешним жестким дискам FireWire, технологиям мобильных соединений Wi-Fi и Bluetooth, сканерам, мультимедийным проигрывателям, цифровым камерам, смартфонам и десяткам других устройств и технологий. Кажущиеся уже очень примитивными — они все еще несут в себе высокую ценность для повседневных бизнес-операций, повышая производительность любой компании. И жизнь без них представить уже вроде как нельзя, вот только ценность эта сопряжена с серьезными рисками.
«Быстрое бесконтрольное распространение и использование этих устройств вызывает серьезное беспокойство ИБ-подразделений компаний из-за возможной случайной или злонамеренной утечки информации, или компрометации ИТ-систем, — рассказывает системный инженер компании Ivanti Максимилиан Прилепский. — Обучение сотрудников, осознание ими риска или даже строгая внутренняя ИТ-политика часто недостаточны для сохранности интеллектуальной собственности, защиты конфиденциальной информации от инсайдерских угроз или случайных потерь. А потому управление устройствами является важнейшей составляющей стратегий защиты данных для предприятий». |
Строго говоря, потенциальную угрозу для корпоративной информации несут любые переносные устройства хранения данных: от USB-накопителей и портативных устройств хранения, до карт памяти и токенов. Все они могут быть использованы для копирования конфиденциальных данных или служить точкой входа для вредоносного или шпионского ПО. Эта технология тоже стара, не как мир, но близко к тому: производители USB не защищают прошивку в своих устройствах, а потому киберпреступники используют вредоносное ПО, которое перепрограммирует прошивку и берет USB-устройства под свой контроль. И пользователь, вроде, не виноват, а компании может быть нанесен серьезный ущерб.
«Сотрудники компаний часто даже не задумываются о том, что подзаряжая мобильные телефоны, планшеты и другие устройства, использующие корпоративные порты USB, они уже подвергают риску ИТ-системы предприятия, его активы и данные, — добавляет Максимилиан Прилепский. — И если инцидент произойдет, то финансовые, юридические и имиджевые последствия не заставят себя долго ждать. К слову, статистика красноречива: более половины случаев потери корпоративной информации происходит неумышленно или по оплошности персонала — при транспортировке и хранении внешних накопителей». |
Как предотвратить потерю и утечку данных при работе с периферийными устройствами
Именно вопрос утечек данных ставится во главу угла ИБ-службами компаний при разработке внутренних политик и внедрении систем информационной безопасности. Профильных решений на рынке хватает. Это и дорогостоящие DLP-системы (Data Leak Prevention — «Предотвращение утечек данных»), внедрение которых может занимать месяцы, и специализированное ПО для контроля за съемными устройствами и USB-портами, и механизмы шифрования внешних носителей, и системы аудита, аутентификации и управления доступом. Но самым важным специалисты считают информирование и обучение сотрудников хотя бы простейшим способам защиты информации и противодействия методам социальной инженерии.
Можно ли защитить систему от заражения вредоносным ПО со съемных носителей
Зараженные внешние носители — это не только заражение вредоносным кодом. Такие устройства могут эмулировать клавиатуру и запускать свои собственные команды, приводящие к утечкам или кражам файлов. Устройства USB могут выдавать себя за сетевые карты, изменять настройки системы, даже тайно перенаправлять трафик веб-браузера. Когда проблема уже налицо, решать ее сложно, поэтому в первую очередь важны предварительные меры безопасности.
«Один из самых важных советов, которому непременно нужно следовать: не подключать неизвестные flash-накопители к компьютеру, — разъясняет Максимилиан Прилепский. — Также не стоит использовать персональные USB-накопители на компьютерах компании и наоборот — не подключать USB-накопители, содержащие корпоративную информацию, к своему ПК. Этим вы исключите риск перекрестного заражения. Также следует использовать пароли и шифрование USB-накопителей и CD/DVD-дисков для защиты ваших данных и интеллектуальной собственности». |
Кроме того, специалисты рекомендуют отключить функцию автозапуска. В ОС Windows она приводит к автоматическому открытию съемных носителей при подключении к компьютеру, тем самым открывая дорогу вредоносным программам к важным для бизнеса данным. Ну а самим компаниям стоит разработать и внедрить реально работающие политики безопасности. Персонал следует обучить правилам взаимодействия с внешними устройствами, чтобы снизить роль человеческого фактора.
Внедряем решение для контроля съемных устройств: выбор решения, основные этапы, что влияет на сроки и стоимость
Для подавляющего большинства компаний запрет на использование съемных носителей не является ответом на требования ИБ-департамента. Слишком велика та роль, которую внешние устройства играют в вопросах эффективного функционирования предприятия. А потому важно найти компромисс между требованиями политик безопасности, удобством взаимодействия сотрудников и, конечно, стоимостью профильных решений.
«Широко разрекламированные DLP-системы глубокого контентного анализа, аудита, контроля и фильтрации всего документооборота остаются многообещающими системами, требующими серьезной подготовки заказчика и классификации его документов, — считает Максимилиан Прилепский. — Они энергозатратны по времени, а само внедрение обычно выходит за рамки бюджета. К тому же, они не всегда отвечают ожиданиям клиентов. На мой взгляд, более легкие и простые в управлении решения обладают куда большим потенциалом быстрого развертывания и дальнейшего эффективного использования для большинства организаций». |
Аналитики считают, что решение должно максимально быстро и прозрачно контролировать съемные устройства и информацию, перемещаемую с их помощью. Кроме того, оно должно применяться как на компьютерах пользователей, так и на серверах, и даже на тонких клиентах или виртуальных конечных точках. При этом желательно, чтобы решение было способно помочь сформировать политики контроля, чему должна сопутствовать быстрая идентификация подключаемых устройств.
«Например, решение Ivanti Device Control поддерживает широкий спектр различных классов и типов подключаемых устройств, — перечисляет преимущества таких программ Максимилиан Прилепский. — В нем предусмотрены многочисленные функции тщательного контроля. Это принудительное и гибкое шифрование, ограничение копирования данных, фильтрация по типу файлов, доступ по расписанию, онлайн- и офлайн-режимы. А еще — запатентованные технологии двустороннего теневого копирования информации, которая записывается или читается с CD/DVD-дисков или других съемных носителей. И, конечно, не обошлось без средств аудита всех событий». |
«Ivanti Device Control полностью отвечает нашим ожиданиям. Мы можем контролировать наиболее уязвимые части нашей инфраструктуры, активно реагировать на любые угрозы и придерживаться наших стандартов безопасности», — рассказывает Григорий Кашин, начальник сектора программного обеспечения компании «Норильско-Таймырская энергетическая компания». |
Процесс развертывания подобных решений обещает быть не затянутым по срокам. Начинать работу с ним можно уже через несколько часов после окончания установки. Администратору важно иметь возможность оперативно связать политики безопасности с информацией о пользователях и группах пользователей, которая хранится в Microsoft Windows Active Directory. Это значительно упрощает управление правами доступа к устройствам в сети. К слову, полномочия, которые предоставляют такие решения (то же Ivanti Device Control), должны не только действовать и в онлайн-, и в офлайн-режиме, но еще и применять различные политики в этих режимах, наделяя клиентские модули отличными друг от друга полномочиями.
«Продукт Ivanti обеспечивает подробный аудит использования устройств. Все попытки доступа к внешним устройствам регистрируются в журнале, так же, как и все действия администраторов, включая изменения полномочий. В последней версии Ivanti Device Control добавлен DLP-функционал — поиск контента по ключевым словам в файлах Microsoft Office и pdf с последующей блокировкой его чтения или записи в случае совпадения», — резюмирует Максимилиан Прилепский. |
«Одним из основных преимуществ при развертывании Ivanti Device Control является его функция «белый список», которая гарантирует, что никакое устройство, если оно не разрешено, никогда не будет использоваться, независимо от того, как оно подключается, — делится своим опытом Пол Дуглас, глава одного из подразделений Barclays. — Device Control — действительно сильный и простой в использовании продукт, поэтому Barclays выбрал это решение». |