ЗАЩИТА ДАННЫХ
Программа DeviceLock сторожит USB-порты
Ашот Оганесян
Согласно ежегодному исследованию Computer Security Institute (CSI), в 2003 г. суммарный ущерб от всех внутренних угроз корпоративным информационным системам достиг 50 млн. долл. (опрашивалось 500 респондентов из разных секторов экономики). По данным за нынешний год, ущерб снизился и составил около 30 млн. долл. В структуре внутренних угроз в США в 2003 г. по данным опроса преобладала недеструктивная несанкционированная деятельность сотрудников (скачивание пиратского ПО, MP3 и т.п.), она составила 80%; но в 45% случаев имел место несанкционированный доступ к информации, 21% пришелся на похищение важной корпоративной информации и 21% - на саботирование работы корпоративной сети. По России достоверная статистика отсутствует.
За 2003 г. в 81% случаев источником атак были недовольные сотрудники компаний. Для сравнения: хакеры, атакующие корпоративные сети извне, оказывались источником атак в 77% случаев.
При создании защищенных корпоративных систем нередко упускается из виду распределение прав доступа к информации и оставляются открытыми такие очевидные причины утечки конфиденциальной информации, как - "слабые" пароли или непроработанные политики локальной безопасности.
Головной болью корпоративного сектора стало хищение конфиденциальной информации сотрудниками компаний. Некоторые специалисты предлагают радикальный метод - запретить любое обращение к данным, если оно не санкционировано высшим руководством; но защита информации от несанкционированного доступа (НСД) - это комплексная задача. Она не может быть решена одними лишь административными или техническими мерами. Защита от НСД должна строиться как минимум на трех уровнях - административном, физическом и программно-аппаратном.
Но ни административная, ни физическая защита от НСД не предотвратит хищение конфиденциальной информации сотрудниками, если они имеют к ней доступ.
Риск неконтролируемого использования различных устройств передачи и хранения информации появился с выходом Windows 2000 и поддержкой в ней технологии USB. Недавно выпущенный пакет обновления Service Pack 2 для Windows XP со множеством улучшений подсистемы безопасности не содержит в себе средств разграничения доступа к портам USB и FireWire.
Вообще Windows XP (а также NT/2000/ Server 2003) обладает широкими возможностями по контролю доступа пользователей к различным ресурсам и позволяет настраивать разнообразные политики безопасности. Однако полноценный контроль доступа к USB-портам невозможен с помощью только встроенных средств администрирования. Windows разрешает любому пользователю устанавливать USB-устройства и работать с ними. Поэтому USB-порт представляет собой неконтролируемый канал утечки конфиденциальных данных и заражения корпоративной сети вирусами и червями в обход серверных шлюзов и антивирусов. Точно так же дело обстоит и с записывающими CD-ROM, FireWire-портами и многими другими устройствами.
Существует несколько путей решения проблемы.
1. Самый простой - отключить USB-порты через BIOS, что не всегда удобно: иногда необходимы определенные USB-устройства, например клавиатура или мышь.
2. Можно остановить и отключить службу USB Mass Storage Driver: HKEY_ LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTORStart, значение 0x00000004. Это решит проблему использования USB-дисков (USB Flash Drives), но некоторые другие USB-устройства для записи и хранения информации (например, устройства чтения флэш-карт) будут продолжать работать. К тому же доступ к USB-дискам будет заблокирован для всех пользователей компьютера, а не выборочно.
3. Установка специального ПО, которое будет контролировать доступ пользователей к USB-портам. Программы такого класса должны осуществлять проверку доступа, основываясь на стандартных описателях безопасности (security descriptors) Windows.
На протяжении последних четырех лет использование сторонних коммерческих продуктов (например, DeviceLock, SecureNT, DiskNetPro) остается единственным способом разграничения доступа к USB-устройствам и контроля потоков информации, проходящих через высокоскоростные USB- и FireWire-порты.
К таким программам относится, в частности, DeviceLock производства компании SmartLine (www.smartline.ru). Это ПО позволяет разграничивать доступ пользователей к различным устройствам в системе - дисководам, магнитно-оптическим дискам, CD-ROM, ZIP, USB, FireWire, последовательным (COM) и параллельным (LPT) портам, Wi-Fi- и Bluetooth-адаптерам - подобно тому, как Windows контролирует доступ к файлам на NTFS-разделах жесткого диска.
Для USB-устройств DeviceLock предоставляет дополнительные методы контроля. Например, можно полностью заблокировать USB-порт для обычных пользователей, но разрешить работу с клавиатурой и мышью (или принтером, сканером). Можно устанавливать режим "только для чтения" (read only) для устройств записи информации, что позволяет выстраивать политику безопасности более гибко: пользователи могут читать данные внутри корпоративной сети, но не могут ничего копировать на внешние носители. Кроме того, DeviceLock оснащен механизмом автоматической установки на сетевые компьютеры и имеет встроенные средства централизованного управления, благодаря которым можно устанавливать права доступа к устройствам внутри большой сети.