Autor: Ing. Martin Ondráček, Product Director, SODATSW spol. s r.o.

Důvodů, proč se zabývat zabezpečením výměnných zařízení, je celá řada a bylo o nich napsána nejedna stránka v odborných časopisech. A samozřejmě je najdete i na serveru ICTsecurity. Vycházím tedy z předpokladu, že o tom již nepochybujeme, a budu se zabývat spíše postupy z praxe.

Zkusme se podívat na běžný způsob využití výměnných zařízení. Zaměstnanec, uživatel počítače, využívá vlastní nebo firemní zařízení k přenosu dat mezi počítači. Jedná se o různé dokumenty, fotky, programy atd. Tyto zařízení využívá i mimo perimetr organizace, kdy vynáší firemní data domů nebo naopak přináší soukromá data do vnitrofiremní sítě. Obě tyto varianty přináší pro společnost zásadní rizika. Data uložená na výměnném zařízení jsou většinou být citlivého a důvěrného charakteru, a ztráta zařízení pak znamená poškození společnosti. Naopak při využívání pro soukromé účely se může snadno stát, že uživatel na svém domácím počítači na zařízení nahraje nakažený soubor nebo program a přinese jej do vnitrofiremní sítě. Obejde tak všechny úrovně zabezpečení před zákeřným kódem z internetu (firewally, antiviry na síti atd.). Jedno nakažené zařízení ve vnitrofiremní síti pak může způsobit nefunkčnost sítě nebo ztrátu dat.

Při ochranně paměťových zařízení je důležité si uvědomit, co a před jakým rizikem chráníme. To proto, aby naše opatření byla adekvátní povaze dat a zároveň zbytečně nebránila v práci zaměstnanců. Typicky jsou tyto důvody 2: omezit používání soukromých USB zařízení a přinášení dat z vnějšku organizace a zároveň ochránit firemní data při ztrátě firemního zařízení.

Monitoring připojení a využívání výměnných zařízení

Vůbec prvním krokem v řešení problému by mělo být získání informací o využívání výměnných zařízení na stanicích ve vnitrofiremní síti. Tedy získání přehledu o aktuálním způsobu práce zaměstnanců s výměnnými zařízeními nutným k navrhnutí adekvátního dalšího postupu a přístupu společnosti k těmto zařízením. Monitoring provádí speciální aplikace nainstalovaná na koncové stanici, kde jsou sbírána data. Aplikace musí být nezávislá na uživateli tak, aby byla zajištěna nezpochybnitelnost údajů – žádné údaje nechybí, žádné nemohou být zfalšovány, žádné nejsou navíc. Navíc aplikace může v případě zaznamenání nebezpečné aktivity dle potřeby generovat alertová upozornění pro bezpečnostní správce. Ten pak například na základě obdrženého alertového emailu může na situaci okamžitě reagovat a podniknout nezbytné kroky.

Výsledkem monitoringu by pak měla být bezpečnostní politika upravená o pravidla pro nakládání s výměnnými médii. Po seznámení uživatelů s novou bezpečnostní politikou a zavedení patřičných omezení (viz další odstavce) slouží monitoring k auditování stavu v síti a ověření funkčnosti opatření i bezpečnostní politiky. Nadále zůstává k dispozici alertový systém s upozorněním na nebezpečné aktivity.
 
Blokování připojení výměnných zařízení

Na základě znalosti využívání a připojování výměnných médií můžeme přistoupit k blokování jejich využití na koncových stanicích. I blokování, stejně jako monitoring, provádí aplikace instalovaná na koncové stanici (funkce mohou být samozřejmě integrovány do jedné aplikace). Blokování, respektive omezení přístupu, může být prováděno na základě několika kritérií:

- port – port, na kterém je zařízení připojeno (USB, PCMCIA, 1394, IrDA atd.)

- Class – třída zařízení je společná pro zařízení různých výrobců, ale stejného typu – Image (fotoaparáty), Printer (tiskárny), USB (velkokapacitní zařízení, iPAQ apod.)

- HardwareID – unikátní číslo sloužící k identifikaci zařízení v počítači. HardwareID je společné obvykle pro sérii zařízení od jednoho výrobce a určitého typu (neidentifikuje konkrétní zařízení, ale jeho typ – operační systém toto číslo využívá při instalaci ovladače)

- Serial Number – jednoznačný identifikátor zařízení, který byl definován výrobcem. Neexistuje žádné jiné zařízení se stejným SN. Sériovým číslem nejsou vybaveny všechny zařízení a nelze je vždy použít. V poslední době je však i většina flash disků a fotoaparátů (alespoň od větších výrobců) SN vybavována.

Blokování pak probíhá klasickým způsobem – definování pozitivních nebo negativních podmínek. Organizace tak snadno dosáhne toho, že na stanicích budou například připojovány pouze zařízení typu HIDClass(myši, klávesnice) a z USB pouze flash disky managementu organizace. Při vložení zakázaného zařízení pak může kromě blokace práce dojít i k dalším akcím – vygenerování upozornění, zápis do event logu, odhlášení uživatele i zablokování účtu na doméně. Blokování účtů bývá využíváno v provozech se speciálními režimy a klasifikací dat.

Další možností je blokování nikoliv připojení zařízení, ale zápis na něj. V tomto případě sice uživatel zůstává hrozbou v zatažení nežádoucích kódů, ale nehrozí již ztráty citlivých dat společnosti. Zařízení je pro uživatele dostupné pro čtení, jakékoliv jiné operace jsou zakázány. V kombinaci se šifrováním pak lze nastavit politiku i pro šifrované a nešifrované přístupu, čímž získá restrikce výrazně

Ochrana obsahu výměnných zařízení

V organizacích, ve kterých nelze zcela zakázat zápis (nebo použití) na výměnná média, případně by tento zákaz přinesl zásadní komplikace v práci uživatelů (těchto organizací je většina), je třeba zajistit ochranu kopírovaných dat organizace. Jediným 100% bezpečným způsobem je ochrana dat symetrickým šifrováním. Obdobně jako u monitoringu a blokování práce s výměnnými zařízeními, i šifrování dat provádí aplikace instalovaná na koncové stanici. Jakýkoliv soubor, který pak uživatel na zařízení uloží, je před samotným uložením zašifrován speciálním klíčem, který byl nastaven bezpečnostním správcem a uložen uživateli do čipové karty nebo virtuálního tokenu. Uživatel opět nemůže operaci ovlivnit a citlivá data organizace jsou chráněna jak před vnitřním útočníkem (zaměstnanec), tak i vnější hrozbou (ukradení, ztráta). U šifrování USB se typicky využívají sdílené klíče, tedy klíč, ke kterému má přístup více zaměstnanců organizace (USB disky se používají v rámci oddělení nebo pro přenos dat se stejnou klasifikací). V případě, že se nebudeme zabývat potenciálními vnitřními útoky a klasifikací dat, můžeme využít 1 šifrovací klíč pro celou organizaci. Flash disk pak bude čitelný pro všechny zaměstnance, ale při ztrátě získává útočník/nálezce jen bezvýznamný rozsypaný čaj.

Proč je důležité podrobné monitorování? - příklad z praxe

Jedna nejmenovaná společnost se v zájmu zvýšení bezpečnosti rozhodla monitorovat využívání výměnných zařízení v organizaci. Zavedla proto systém, který podrobně evidoval práci uživatelů s výměnnými médii včetně přesunu souborů. Při vyhodnocení údajů bylo vyhodnocováno připojování zařízení u jednotlivých uživatelů i společnosti jako celku. V průběhu relativně krátké doby byla výsledkem potěšující správa, že uživatelé již využívají pouze firemních a povolených fotoaparátů a flash disků. Firma však čelila úniku citlivých údajů a po vyvrácení jiných možností padlo podezření právě na výměnná média. Správce byl tak nucen vyhodnotit podrobně i využití výměnných médií včetně přesunu souborů. V rámci tohoto reportu se ukázalo, že mnoho uživatelů využilo firemní fotoaparát nebo flash disk k uložení pracovních souborů nebo dat stažených z internetu. Zdroj úniku byl snadno nalezen a i další nežádoucí aktivity byly odhaleny. Bez sledování přesunu souborů by však společnost viníka nikdy nenašla a její ztráty by s časem rostly.

Bezpečnost výměnných zařízení je dlouhodobý úkol. Vždy je třeba myslet dopředu a řešení nepředstavuje jednorázové nastavení. Organizace by měla nejdříve získat potřebné informace o aktuálním využívání výměnných zařízení, potřebách uživatelů a následně si vytvořit politiku pro jejich využití. Vynucení politiky by pak měla být realizována pomocí restriktivních (blokování) a preventivních (šifrování) akcí. Za samozřejmost v dnešní době považuji průběžné prověřování aktuálního stavu a plnění politiky tak, aby organizace mohla na případné bezpečnostní hrozby reagovat v okamžiku jejich vzniku.