ОКБ САПР okbsapr.ru КЗИ-2012 Безопасное применение мобильных USB-носителей

Флешка (USB-флеш-накопитель) - компактное запоминающее устройство, использующее в качестве носителя флеш-память и подключаемое к считывающему устройству по интерфейсу USB

универсальность, доступность мобильность, компактность разнообразный привлекательный дизайн приемлемая скорость чтения/записи приемлемый объем приемлемая стоимость высокий уровень доверия к технологии Достоинства USB-накопителей

Угрозы безопасности USB-накопителей Следствие универсальности, мобильности и компактности: кража/потеря вынос за пределы охраняемой зоны внедрение ложного носителя

Угрозы информации и ИС нарушение конфиденциальности и целостности информации на USB-носителе навязывание ложной информации вредоносное ПО (вирусы…)

Методы защиты Ограничение доступа к USB-носителю: встроенные возможности СЗИ НСД DLP-системы (DLP – Data Leak Prevention) шифрование данных (пофайловое или «прозрачное»)

Применение СЗИ НСД Достоинства: единый центр управления, единая аутентификация и авторизация пользователей аппаратная поддержка защиты контроль доступа не только к USB интерфейсам Недостатки: уступают по функционалу DLP-системам

DLP - средства Достоинства: разнообразный функционал «закрывают» другие уязвимости и интерфейсы Недостатки: требуют встраивания в единую систему защиты требует обеспечения безопасной вычислительной среды

Шифрование Достоинства: высокий уровень защиты Недостатки: не учитывает других каналов утечки сложность управления (СКЗИ) требует обеспечения безопасной вычислительной среды

Варианты построения СЗИ НСД (ограниченная функциональность) DLP-средства + СЗИ НСД (безопасная среда) шифрование носителя со сложным управлением + СЗИ НСД (безопасная среда)

Остаточные риски отсутствует контроль доступа к USB-носителю там, где он запрещен кража, потеря и вынос за охраняемый периметр «разрешенных» носителей ВОЗМОЖЕН

Что делать? DLP-средства СЗИ НСД специальный носитель «Секрет» в качестве «разрешенных» носителей

Контроллер Память Структура USB-накопителя

Состав «Секрета» аппаратный модуль «Секрет» (безопасное хранение ключей и внутреннего ПО) внешнее ПО (на контролируемом компьютере ввод пароля, протокол взаимной аутентификации компьютера и «Секрета») внутреннее ПО (на контроллере «Секрета» протокол взаимной аутентификации)

Ассоциация

Выводы Вынос, потеря и кража СН не опасны СН сам принимает решение, на каких компьютерах и какой пользователь его может использовать Внос ложных носителей не опасен ПО компьютера принимает решение, какой пользователь и какие СН на нем может использовать

Выводы компьютерах корпоративной сети нельзя использовать никакие другие флешки кроме «Секретов» (СЗИ НСД, DLP, ПО «Секрет») флешки корпоративной сети нельзя использовать ни на каких других компьютерах («Секрет»)

Храните свои данные в Секрете!

ОКБ САПР, Пенза okbsapr.ru КЗИ-2012 М.М. Грунтович