Не секрет, что портативные USB- и FireWire-устройства в руках злоумышленника представляют весьма серьезную угрозу для безопасности локальной сети компании. Основных проблем в таком случае две — это проникновение вредоносных программ изнутри сети без взлома аппаратно-программных рубежей безопасности, а также возможность утечки конфиденциальной или секретной информации, стоимость которой может исчисляться десятками и сотнями тысяч, а то и миллионами долларов.
Согласно результатам многочисленных исследований, одной из наиболее существенных проблем в области информационной безопасности признаны кражи внутренних коммерческих данных сотрудниками предприятий. Массовое распространение мобильных устройств, которые можно использовать для переноса информации (флэш-накопители, MP3-плейеры, сотовые телефоны и т. п.), два-три года назад вызвало острую потребность в средствах, позволяющих запретить их несанкционированное подключение к ресурсам корпоративной информационной системы. Простые решения, основанные на полном физическом отключении избыточного функционала ИТ-оборудования, в современных условиях потеряли большую часть своей привлекательности в силу малой гибкости и высоких трудозатрат на реализацию. Однако сегодня на рынке есть подходящие продукты для защиты от подобных угроз.
Функционал и особенности
На тестирование в редакцию PC Week/RE было предоставлено защитное ПО DeviceLock, основная задача которого — помочь системным администраторам в распределении прав доступа пользователей к сети и формировании политики безопасности в операционных системах семейства Windows. Кроме доступа к USB-портам и устройствам она позволяет контролировать весь спектр потенциально опасных устройств: дисководы, CD-ROM´ы, а также FireWire-, инфракрасные, параллельные (LPT) и последовательные (COM) порты, Wi-Fi- и Bluetooth-адаптеры. Фактически с помощью данного ПО обычные пользователи на своих рабочих станциях и системные администраторы, под чьей ответственностью действует состоящая из нескольких сегментов сеть, могут контролировать все каналы утечки информации и защитить их от несанкционированного вторжения. Управление этим ПО выполняется через групповые политики Windows в домене Active Directory, благодаря чему продукт легко интегрируется в инфраструктуру организации любого масштаба.
Ознакомившись с DeviceLock на практике, мы убедились, что с его помощью можно осуществлять детальный аудит всех операций чтения-записи, включая зеркальное копирование переданных на внешние устройства файлов и данных, контролировать доступ пользователей и групп к устройствам и портам ввода-вывода в зависимости от времени суток и дня недели, защитить жесткие диски и сменные носители от случайного или преднамеренного форматирования.
Вполне развитые возможности предоставляются пользователям для взаимодействия с компакт-дисками. С одной стороны, для CD/DVD-приводов можно устанавливать тип доступа “только чтение”, чтобы не блокировать работу с информацией, поступающей из внешних источников, с другой — идентифицировать определенный CD/DVD-диск на основе записанных на него данных и разрешить его использование, даже если сам привод полностью заблокирован. Причем для каждого пользователя или группы можно задать свой список разрешенных либо заблокированных носителей — устройства будут идентифицироваться, например, по модели и уникальному серийному номеру.
Важно отметить, что благодаря полной интеграции DeviceLock с групповыми политиками Windows это ПО можно автоматически устанавливать на новые компьютеры, подключаемые к корпоративной сети, и также в автоматическом режиме осуществлять настройку системы. Защитное ПО позволяет организовать временный доступ к устройствам даже в отсутствие сетевого подключения к серверу — к примеру, при нарушении работы локальной сети. Для этого администратор сообщает пользователю специальный короткий буквенно-цифровой код по телефону, который временно разблокирует доступ только к требуемому устройству на определенной рабочей станции.
В процессе тестирования мы выяснили, что система имеет несколько интересных особенностей. Так, при активации соответствующего функционала для каждого пользователя или группы можно сохранять точную копию данных, переписываемых на внешние устройства и передаваемых через последовательные и параллельные порты (так называемое теневое копирование). То есть все файлы, которые были отправлены на внешние накопители памяти, копируются в SQL-базе данных. К слову, для централизованного сбора и хранения информации, предназначенной для журналов аудита, используется дополнительный компонент — DeviceLock Enterprise Server: если в компании реализована большая локальная сеть, то можно установить несколько экземпляров этого сервера на разных SQL-серверах, чтобы равномерно распределить нагрузку.
Настройки DeviceLock обеспечат необходимый уровень защиты, даже если пользователи в сети имеют административные привилегии на локальных компьютерах. Когда защита включена, никто за исключением авторизованных администраторов не может подключаться к серверу безопасности, останавливать или удалять его. Даже членам локальной группы “Администраторы” (если они не входят в список авторизованных администраторов) не удастся обойти защиту.