Доклады, выступления, видео и электронные публикации

Как удержать в контролируемой зоне информацию, записанную на флешку

Как удержать в контролируемой зоне информацию, записанную на флешку

В любой организации сотрудники делятся на две жестко противопоставленные группы: те, кто считает, что флешки - это хорошо, и те, кто считает, что флешки - это плохо. Для первых флешки - это удобство, экономия времени, сил и места, а для вторых - источник заражения систем вредоносным ПО и неизбежных утечек. Первых обычно больше, но ко вторым обычно относятся владельцы бизнеса. Действительно, применение флешек на предприятии больше выгодно сотрудникам, чем владельцу предприятия, а неприятностей от него больше у владельцев, чем у пользователей.

Однако у владельцев систем гораздо больше и возможностей по внедрению в систему средств обеспечения информационной безопасности. Почему же тогда задача защищенной работы с USB-флешками в организации до сих пор не была решена?

Если флешки выдаются сотруднику на работе, то, как и все средства вычислительной техники, принадлежат они владельцу информационной системы. Если же сотрудники покупают флешки сами, то им они и принадлежат.

Однако система защиты должна обеспечивать возможность распоряжаться доступом к ресурсу именно его владельцу, а это значит, что владелец должен быть один у всех ресурсов, формирующих систему, иначе сомнительны основания для ограничения доступа к «спорным» ресурсам. Ведь модель угроз, необходимая для построения корректной системы защиты (не только информации), напрямую зависит от того, где проходят баррикады и кто по какую сторону от них.

Итак, в служебной системе должны функционировать «служебные», а не «личные» флешки. Но что вообще обозначает «владелец» по отношению к USB-памяти?

Человек знает, что флешка «его», для флешки же все люди одинаковы. Фактический владелец флешки - тот, кто подключает ее к компьютеру. Обыкновенные USB-флешки по природе своей НИЧЬИ. А ничье невозможно защитить.

Цель принятия различных мер по защите информации - не продублировать функции охраны на входе в здание, а обеспечить такой режим, при котором доступом к информации будет управлять именно владелец. Чтобы обеспечить такой режим, нужно знать, кто владелец.

Так же и с любой другой собственностью - защитить интересы собственника можно только в том случае, если известно, кто собственник. Защита интересов владельца - это защита его приоритетного положения по отношению к своей собственности.

Защита неравенства

Владелец системы должен определять, кто и как может применять свое служебное устройство:

  1. кто может использовать флешку,
  2. какую именно флешку сотрудник может использовать,
  3. на каких именно компьютерах данный сотрудник может использовать данную флешку.

При этом за пределами ИС служебную флешку должно быть использовать нельзя.

И вот тут нужно задать себе вопрос, что означает «за пределами ИС». До сих пор, если этот вопрос и задавался, то ответом в лучшем случае было «флешки нельзя выносить с работы». Но ведь достаточно очевидно, что границы ИС и границы помещения - связаны мало. Если я переношу флешку из одного офиса компании в другой - я выношу ее «за пределы» ИС? А как отличается случай выноса из здания в другой офис компании от выноса из здания в офис другой компании? Даже на уровне фраз различить сложно.

Значит, должно быть нельзя не вынести на улицу, а использовать на «чужих» ПК.

Невозможно что-то запретить на тех компьютерах, которые мы не контролируем?

Это не так. Именно такую возможность предоставляет система на основе защищенного носителя информации «Секрет». Эта система лишена недостатков, присущих принятым ранее способам работы с флешками в организациях.

Основные ошибки тех, кто пытается защищать флешки

Если обобщить, то для владельца системы проблемы с флешками две: на ней можно унести то, что не следует уносить, и на ней можно принести то, что не следует приносить. Для обеих проблем разработчики средств защиты информации предлагают свои решения.

Решения эти различны по качеству и лежащим в основе принципам, однако, хуже другое - ни одно из них не обеспечивает возможности комфортной и в то же время безопасной работы в организации с USB-памятью.

Состоят решения по предотвращению утечек через USB-накопители так или иначе  

  • в снабжении флешек механизмами аутентификации пользователя и
  • в предоставлении возможности запрещать использование в информационной системе таких устройств вообще, или разрешать использование только устройств с теми или иными уникальными идентификаторами.

В лучшем случае это дополняется возможностью настройки правил разграничения доступа таким образом, чтобы пользоваться определенными флешками можно было только определенным пользователям и записывать на них не что-угодно, а только определенные файлы.

Все это скорее осложняет жизнь пользователям и администраторам, чем создает действительно защищенную и в то же время удобную инфраструктуру использования USB-памяти. Просто «решения» направлены не на то, в чем состоят «проблемы».

Главная проблема с флешками состоит не в том, как они применяются внутри системы, и не в том, как они применяются снаружи,  а в том, что для флешек не существует разницы между понятиями «внутри» и «снаружи», и свободно пересекая границы системы, они размывают ее защищенный контур. На разрешенной к использованию флешке тоже можно перенести то, что не следует, туда, куда не следует, так как флешка от системы не зависит.

Метод защиты от утечек через USB-носители путем ограничения их использования на защищаемых ПК принципиально ущербен, ведь применение флешек на посторонних ПК при этом никак не ограничивается.

Необходимо наоборот, сделать невозможным использование флешек вне системы, сделать их зависимыми от нее.

Материализация нематериальных сущностей

Никакой реальной связи между владельцем и его собственностью, как правило, нет. Эта связь носит социальный - правовой, моральный и т. д. характер. Мы можем установить, что человек является собственником, по признакам, не связанным физически ни с владельцем, ни с имуществом - по документам на собственность, например. Даже детальное изучение человека не позволяет заключить, его ли та или иная вещь, и изучение вещи тоже не укажет на ее владельца.

Именно поэтому мы с детства стараемся «пометить» особенно дорогие нам вещи - поцарапать, приклеить наклейку, написать свою фамилию, нанести логотип. «Привязать» к себе свою собственность.

Это дает возможность различить свое и чужое, но, к сожалению, никак не ограничивает возможности «самозванца» безосновательно распоряжаться чужим имуществом в личных целях.

Защита приоритетного права владельца распоряжаться своей собственностью - задача тем более не простая, когда непосредственные действия по использованию предмета собственности должны осуществлять совсем другие лица, интересы которых, возможно, и не противопоставлены интересам владельца, но и не прямо совпадают с ними. В этом случае задачей защиты интересов владельца будет обеспечение режима, когда он способен контролировать, кем и для чего используется его собственность.

Примерно такую задачу решает банк-эмитент, эмитируя банковские карты. Банковская карта является собственностью банка, одним из технических средств, инструментов функционирования его системы, однако использует ее совсем другой человек. Основанием эмиссии карты является договор, правовые отношения между банком и клиентом, однако эмиссия делает эти отношения «материальными», технологически связывая банк, карту и держателя карты (владельца счета). Карта привязана не к зданию банка, а к самому банку, потому что является его порожденной частью, элементом его системы. А из здания ее можно выносить, пожалуйста.

Именно такой механизм мы заложили в основу системы «Секрет» - в систему управления специальными служебными USB-носителями.

Храните данные в СЕКРЕТЕ!

Система состоит из самих служебных носителей (СН) - специальных USB-флешек - и ПО, устанавливаемого на компьютеры для управления этими служебными носителями. «Секрет» обеспечивает такой режим работы, при котором данные, хранящиеся на СН, могут обрабатываться только легальными пользователями  (после введения PIN-кода) и только на разрешенных компьютерах. При этом использование всех других флешек в системе может быть запрещено.

При подключении «Секрета» к любому компьютеру, кроме разрешенных, пользователю даже не будет предложено ввести PIN-код, устройство вообще не будет «обнаружено» компьютером как устройство типа mass-storage. Для пользователя это будет выглядеть как неисправное устройство, или устройство не поддерживаемого данным ПК типа.

Решение, предназначенное для корпоративного использования - «Секрет фирмы» - состоит из СН «Секрет», ПО для рабочих станций («Секретный агент») и ПО для сервера аутентификации («Центр управления»).

СН «Секрет» - это USB-устройство, предназначенное для хранения в его внутренней памяти информации ограниченного доступа, в том числе ключевой информации и персональных данных. «Секреты» выдаются пользователям и применяются ими на тех рабочих станциях, на которых а) установлено ПО «Секретный агент» и б) на которых разрешено работать с данным конкретным «Секретом». Настройки, в том числе назначения, на каких ПК можно работать с какими «Секретами», задаются на сервере аутентификации (СА), на котором установлено ПО «Центр управления». Именно СА на основании обмена данными с «Секретом» принимает решение о доступе, а рабочая станция только передает данные от «Секрета» на сервер. Пользователь получает доступ к содержимому «Секрета» в том случае, если рабочая станция опознала «Секрет» как разрешенный для работы на ней, пользователь ввел верный PIN-код, подтвердив свое право использовать «Секрет», и СА подтвердил права пользователя и «Секрета».

Кто хозяин? Эмиссия СЕКРЕТОВ

Хорошо понятно, что такая система должна быть явным образом «привязана» к эксплуатирующей ее организации. Если, пусть даже и только по предварительному сговору, было бы можно раскрывать «Секреты» одной организации в системе другой, тоже применяющей эту технологию, смысл защиты свелся бы на «нет».

Аутентификация «Секрета» на СА производится на основании специального протокола с применением криптографических ключей. Эти ключи и являются той самой технологической привязкой, по которой сервер аутентификации отличает свой «Секрет» от «Секрета» другой фирмы. Для этого служебные носители «Секрет», применяемые в информационной системе, эмитируются в этой же системе на АРМ эмиссии, ПО которого входит в состав «Секрета фирмы». Эта технология исключает, что кто-либо, даже производитель «Секретов», сможет выпустить носитель, «подходящий» для использования в чужой системе. Нейтральные при покупке носители с помощью специальной защищенной процедуры эмитируются как элементы именно той системы, для которой они приобретены. 

Для использования эмитированного «Секрета» на компьютерах системы его нужно зарегистрировать на сервере аутентификации. При этом «Секрет» и СА обмениваются ключами аутентификации, выработанными при эмиссии и известными только им, а значит, «Секреты» эмитированные для других фирм в принципе не смогут быть зарегистрированы в этой системе.

Таким образом, легальные пользователи могут использовать служебные носители на разрешенных компьютерах без ограничений функциональности обыкновенной флешки - только с введением PIN-кода, но ни они, ни кто-либо другой случайно или намеренно завладевший «Секретом» не сможет раскрыть его ни на одном другом компьютере, даже в системе, в которой тоже используется «Секрет» и установлено необходимое для его применения ПО.

Применение системы «Секрет» не решает всех задач защиты информации в организации, важно это хорошо понимать. Однако это обеспечивает режим, при котором исключен вынос из системы информации, записанной на служебные носители этой системы. Служебный носитель - это часть именно той системы, в которой он эмитирован. И это принципиально.

Автор: Конявская-Счастная (Конявская) С. В.

Дата публикации: 01.01.2012

Библиографическая ссылка: Конявская С. В. Как удержать в контролируемой зоне информацию, записанную на флешку // Information Security/Информационная безопасность. М., 2012. № 1. С. 38–39.


Scientia potestas est
Кнопка связи