Monday, September 30, 2013

Корпоративные флешки

Многие системы (Lumension, Check Point) контроля доступа к съемным носителям имет следующий функционал: запись разрешена только на шифрованный носитель. При этом, зачастую этот шифрованный носитель может быть прочитан только с использованием этой системы, а на "чистом" компьютере выглядит как что-то непонятное и Виндовс предлагает его отформатировать. Такой механизм служит для запрета утечки конфиденциальных данных.
У меня в этом случае разрыв шаблона. Насколько я понимаю, передача данных между компьютерами через флешки необходимо только в случае передачи с корпоративного компьютера на некорпоративный или наоборот. Передача через флешки между корпоративными компьютерами не нужна (и вредит безопасности), так как на то есть сетевые ресурсы, которыми следует пользоваться. А описанный подход, когда запись данных возможна только на "авторизованную флешку", которая не прочитается на некорпоративном компьютере (иначе, будет утечка :-)), делает невозможным самый логичный сценарий использования съемных носителей вообще.

Что же делать?
1. Записывать данные на флешку шифрованными, но с возможностью расшифрования на некорпоративном компьютере без необходимости инсталляции какого-либо софта (это "волшебство", как правило, достигается записью программки расшифрования непосредственно на флешку.
2. Использовать какое-нибудь DLP, которое будет анализировать контент и более гибко разрешать и запрещать запись на флешку в зависимости от контента.
3. Возложить весь груз ответственности за компрометацию данных на пользователя, разрешив запись на флешку, но логгируя записанное и расследуя случаи предположительной утечки. Несмотря на то, что данный подход кажется самым "небезопасным", на мой взгляд, он все же неплох, поскольку никакая DLP не остановит мотивированного залоумышленника ввиду простого принципа: если я могу данные почитать, я всегда могу их скопировать, - я могу переписать карандашеком с экрана, я могу сделать скрин-шот, я могу сфотографировать телефоном, я могу прочитать написанное на диктофон (встроенный в тот же телефон), я могу перекодировать/модифицировать обратимым образом контент так, что DLP ничего не поймет, .... - вариантов слишком много, а внедрение мега-дорогих решений только с целью защиты "от дурака" надо еще оценить и хорошенько обдумать.

No comments: