Top menu

Предотвращение утечек данных на флешках

Задача противодействия утечкам информации по техническим каналам состоит из двух подзадач: борьба с внешними угрозами и противодействие внутренним нарушителям.

Внешние угрозы, возникающие при бесконтрольном использовании USB-флешек это в первую очередь проникновение вредоносного программного обеспечения (т.н. стилеров, ворующих файлы и пароли из корпоративной сети) во внутрь защищённого периметра в обход серверных антивирусов и других средств защиты.

Внутренние нарушители делятся на два условных класса: «злые инсайдеры» и «опрометчивые сотрудники».

К «злым инсайдерам» можно отнести сотрудников намеренно похищающих конфиденциальные данные из информационных систем организаций. Например, сотрудник банка или сотового оператора, выполняющий заказ по «пробиву».

«Опрометчивые сотрудники» не преследуют цели украсть данные, но результатом их безответственных действий является утечка конфиденциальной информации. Например, бухгалтер, скопировавший базу данных 1С:Бухгалтерия на флешку, чтобы перенести ее на другое рабочее место и потом потерявший эту флешку.

Системы предотвращения утечек данных (DLP) с пассивным наблюдением никак не могут повлиять на «опрометчивых сотрудников» (ведь они, по их собственному мнению, не делают ничего плохого) и лишь опосредованно могут воздействовать угрозой неотвратимости наказания на «злых инсайдеров», вынуждая их планировать хищение данных другими способами, например через неконтролируемые каналы передачи данных.

DLP-система может называться реальной и полнофункциональной, если она решает все классические задачи концепции DLP – разрешение или блокировка передачи (копирования, печати) информации как на основе контекстных параметров, так и по результатам анализа содержимого данных в реальном времени, до момента их перемещения за пределы корпоративной ИС; всеобъемлющее журналирование попыток и фактов передачи данных; анализ и контроль хранимых данных.

В частности, полнофункциональная DLP-система должна инспектировать файлы, которые сотрудники пытаются копировать на флешки и в реальном времени принимать решение о запрещении операции копирования, основываясь на содержимом файлов и заданных для сотрудников политиках.

Простая блокировка доступа к флешкам без контекстного анализа файлов является не достаточной, т.к. не дает возможности реализовать гибкие политики работы с носителями информации.