Add to collection(s) Add to saved
  1. No category
Uploaded by Улдуз Сафарли

Secure USB drives 180608.en.ru

advertisement 
Перевод: английский - русский - www.onlinedoctranslator.com
Безопасные USB-накопители
июнь
08
Безопасные USB-накопители
2
Об ЭНИС
Европейское агентство сетевой и информационной безопасности (ENISA) — это агентство ЕС, созданное для
улучшения функционирования внутреннего рынка. ENISA является центром передового опыта для европейских
государств-членов и европейских организаций в области сетевой и информационной безопасности,
предоставляя советы и рекомендации и выступая в качестве информационного центра передового опыта.
Кроме того, агентство способствует контактам между европейскими институтами, государствами-членами и
представителями частного бизнеса и промышленности.
Контактная информация:
Для связи с ENISA или для общих вопросов по вопросам информационной безопасности
используйте следующие данные:
электронная почта: Изабелла Санта, старший эксперт по повышению осведомленности —
осведомленность@enisa.europa.eu Интернет:http://www.enisa.europa.eu/
Официальное уведомление
Обратите внимание, что эта публикация представляет взгляды и интерпретации авторов и редакторов, если не
указано иное. Эта публикация не должна рассматриваться как действие ENISA или органов ENISA, если она не
принята в соответствии с Регламентом ENISA (ЕС) № 460/2004. Эта публикация не обязательно соответствует
последнему слову техники и может время от времени обновляться.
При необходимости цитируются сторонние источники. ENISA не несет ответственности за содержание внешних источников, включая
внешние веб-сайты, на которые имеются ссылки в данной публикации.
Данная публикация предназначена только для образовательных и информационных целей. Ни ENISA, ни любое лицо,
действующее от ее имени, не несет ответственности за возможное использование информации, содержащейся в этой
публикации.
Воспроизведение разрешено при условии указания источника.
© Европейское агентство сетевой и информационной безопасности (ENISA), 2008 г.
Безопасные USB-накопители
июнь 2008 г.
Безопасные USB-накопители
4
Благодарности
Несколько сторон поддержали и внесли прямо или косвенно вклад в эту работу различными способами.
Автор выражает признательность и благодарность Дрору Тодрессу из SanDisk и Луису Мариносу из ENISA за
оперативную поддержку, ценный вклад и материалы, предоставленные для составления этой статьи.
Автор также хотел бы поблагодарить людей, которые внесли свой вклад в этот документ с неофициальными
обзорами, ценными идеями, наблюдениями, предложениями и решениями. Содержание было бы неполным
и неправильным без их помощи.
Безопасные USB-накопители
Содержание
АБУТЭНИС ................................................................................ ................................................. ................... 1
АБЛАГОДАРНОСТИ................................................. ................................................. ........... 4
УПРАВЛЯЮЩЕЕ РЕЗЮМЕ................................................ ................................................. ....... 7
ЧАСТЬ 1: ФЛЭШ-НАКОПИТЕЛИ USB И СООТВЕТСТВУЮЩИЕ ВЛИЯНИЯ НА БЕЗОПАСНОСТЬ ……………………………. 9
ИСПОЛЬЗОВАНИЕ МОБИЛЬНЫХ УСТРОЙСТВ....................................... ................................................. .10
USB-НАКОПИТЕЛИ ...................................................... ................................................. ......................11
АОПРЕДЕЛЕНИЕ................................................. ................................................. ...................11
АСРЕДИ ПОСЛЕДНИХ ПРОИСШЕСТВИЙ................................................. ................................................. ...12
МБОЛЬШИЕ ОПАСНОСТИ ДЛЯUSBПРИВОДЫ................................................. ................................................14
ЕПРОБЛЕМЫ ПРЕДПРИЯТИЯ................................................. ................................................. .......15
ПОСЛЕДСТВИЯ ДЛЯ БЕЗОПАСНОСТИ ...................................................... ................................................. ....15
рИСКИ И УГРОЗЫ................................................. ................................................. ...........16
Часть 2: Руководство по хорошей практике ...................................................................... .. ... 17
НАШИ РЕКОМЕНДАЦИИ .................................................. ................................................. ...............18
рРЕКОМЕНДАЦИИ И ВОЗМОЖНЫЕ ПРОГРАММНО-АППАРАТНЫЕ РЕШЕНИЯ................................................18
СКОНТРОЛЬНЫЙ СПИСОК................................................. ................................................. ......................23
Часть 3: Советы по безопасности и корпоративные преимущества ............................................................. .. ... 25
ПРАКТИЧЕСКИЕ СОВЕТЫ ПО ПРЕДОТВРАЩЕНИЮ КРАЖИ ФЛЭШ-НАКОПИТЕЛЯ USB.................................................. ...................26
ПРЕИМУЩЕСТВА ................................................. ................................................. ......................... 26
ВЫВОДЫ ................................................................ ................................................. ............... 27
ССЫЛКИ И ИСТОЧНИКИ ДЛЯ ДОПОЛНИТЕЛЬНОГО ЧТЕНИЯ ...................................................... ........... 28
5
Безопасные USB-накопители
Управляющее резюме
В последние годы корпоративным конечным пользователям все чаще требовалось быть полностью мобильными и подключенными к сети, брать работу
из дома или из офиса, чтобы поддерживать свою производительность. Персонал должен иметь возможность синхронизировать файлы между
компьютером и приводом, чтобы сделать резервную копию ключевых данных и сделать их доступными для использования в дороге или на других ПК (1).
Таким образом, использование мобильных устройств, таких как ноутбуки, портативные компьютеры, флэш-накопители с универсальной
последовательной шиной (USB), карманные персональные компьютеры (КПК), усовершенствованные мобильные телефоны и другие мобильные
устройства, получило широкое распространение в последние годы.2).
В частности, личные устройства хранения данных, такие как флэш-накопители USB, увеличили свою емкость и стали
повсеместными в корпоративной среде (3). Однако этим устройствам обычно не хватает инструментов безопасности, контроля и
управления, и в большинстве случаев их использование не подпадает под действие корпоративной политики, предусматривающей
аудит, резервное копирование, шифрование или управление активами.
Недавние события вызвали обеспокоенность, и организации пришли к пониманию того, что для защиты корпоративной
информации, хранящейся на личных USB-накопителях, необходимо внедрить новые политики и технологии (4). Часто меры,
принимаемые организациями для защиты информации, хранящейся на мобильных устройствах, неадекватны. Предприятиям с
строго регулируемыми или конфиденциальными данными следует рассмотреть возможность контроля использования устройств
plug-and-play. Однако осведомленность о рисках и доступных мерах предосторожности является первой линией защиты
безопасности (5).
В этом документе дается краткий обзор корпоративных данных, которые подвержены нарушениям безопасности/
инцидентам, а также выделяются потенциальные риски, связанные с неправомерным использованием USB-накопителей
сотрудниками предприятий, а также с другими менее законными целями, такими как контрабанда информации из
компании. . Кроме того, в нем перечислены рекомендации по передовой практике, цель которых — помочь читателям
преодолеть препятствия в своих организациях. Первый шаг — установить четкие политики безопасности и довести их до
сведения сотрудников.
Этот документ предназначен для ИТ-отделов, в частности ИТ-менеджеров и специалистов, для обеспечения возможности защиты
информации в сети, а также возможности управления данными, которые входят и выходят из компании через эти мобильные
устройства. Он также предназначен для корпоративных конечных пользователей в целом, чтобы повысить осведомленность о
рисках, связанных с использованием флэш-накопителей USB.
Этот документ не охватывает связанные с этим правовые аспекты. Более того, его не следует рассматривать ни как
всеобъемлющий источник всех рисков, связанных с использованием личных USB-накопителей в рабочих целях, ни как
техническое руководство по обеспечению безопасности стандартов или решений.
(1)DataTraveler Secure и DataTraveler Secure — Информационный документ о конфиденциальности, Kingston Technology, версия 2.0, июнь
2007 г.
(2)Определите соответствующий уровень управления ITAM для мобильных активов, Джек Хейн, Gartner, 15 ноября 2005 г. (3)Семь
шагов для защиты USB-накопителей, СанДиск, июль 2007 г. (4)Семь шагов для защиты USB-накопителей, СанДиск, июль 2007 г.
(5)Руководство пользователя: как повысить осведомленность об информационной безопасности, ENISA, июнь 2006 г.
7
Безопасные USB-накопители
ЧАСТЬ 1:
USB-накопители и связанные с ними последствия для безопасности
9
Безопасные USB-накопители
10
Использование мобильных устройств
В сегодняшнюю цифровую эпоху, когда мы живем и работаем, корпоративным конечным пользователям необходимо путешествовать
налегке и быть полностью подключенными. В результате в бизнесе используется все больше портативных устройств, таких как ноутбуки,
портативные компьютеры, флэш-накопители с универсальной последовательной шиной (USB), карманные персональные компьютеры (КПК),
современные мобильные телефоны и другие мобильные устройства.
Поскольку сотрудники используют мобильные устройства, путешествуют с данными и берут работу домой, компании постоянно
подвергаются риску незащищенных данных на незащищенных USB-накопителях.
флеш накопитель. Последствия могут быть разрушительными: потеря
репутации, потеря работы, упущенная выгода (6). Данные о клиентах,
финансовая информация, бизнес-планы, истории болезни и конфиденциальная
информация — это лишь некоторые примеры данных, которые обычно хранятся
и передаются. Значительное число конечных пользователей не подозревают о
том, что при этом подвергаются рискам безопасности, как показали недавние
новостные инциденты (7).
Например, в Великобритании ноутбук с данными примерно 2 000 человек с
индивидуальными сберегательными счетами (ИСС) был украден у сотрудника
налоговой и таможенной службы Ее Величества; HM Revenue & Customs
потеряла личные данные 6 500 держателей частных пенсий; девять трастов NHS
потеряли записи пациентов, хранящиеся на дисках; в почте утеряны данные 1
500 студентов; сведения о трех миллионах британских водителей-учеников
были потеряны в Соединенных Штатах (8); был украден USB-накопитель с именами, оценками и номерами социального
страхования 6 500 бывших студентов (9); USB-накопители с секретной военной информацией армии США были выставлены
на продажу на базаре недалеко от Баграма, Афганистан (10).
(6)DataTraveler для предприятий, Кингстон, 2008 г., доступно по адресу http://www.kingston.com/flash/
DataTravelers_enterprise.asp (последнее посещение 30 мая 2008 г.). (7)USB-накопитель с шифрованием McAfee —
техническое описание, Макафи.
(8) «Расписание грубых ошибок с отсутствующими данными»,Времена, 20 февраля 2008 г .; «Диск со списком иностранных преступников,
утерянных за год»,Времена, 20 февраля 2008 г.
(9) «Маленькие диски вызывают большие проблемы», Джон Свартс,США сегодня, 16 июня 2006 г.
Безопасные USB-накопители
Потенциальный ущерб, вызванный потерей или кражей конфиденциальных корпоративных данных, растет в геометрической
прогрессии с каждым днем, что обусловливает необходимость надлежащих мер безопасности, которые охватывают эти
портативные мобильные устройства хранения данных (11). Потеря данных — это не только проблема ИТ или безопасности; это
бизнес-проблема, затрагивающая многие уголки предприятия (12).
Согласно отчету Datamonitor, подготовленному по заказу McAfee, 60 % из 1 400 опрошенных ИТруководителей по всему миру заявили, что сталкивались с утечкой данных, и только 6 % могли с
уверенностью сказать, что у них не было проблем с утечкой данных в последние два года. Кроме того, 61 %
считают, что утечка данных — дело рук инсайдеров (13).
USB-накопители
определение
USB-накопители — это решения для хранения корпоративных данных и управления ими внутри и вне корпоративной среды. USBнакопители также известны как брелок, флэш-накопитель или диск на ключе. Это портативные запоминающие устройства с
функцией plug-and-play, которые используют флэш-память и достаточно легкие, чтобы их можно было прикрепить к цепочке для
ключей. Первая флешка была продана в 2000 году.
USB-накопители являются мощным и популярным инструментом для мобильных специалистов на предприятиях или в государственных учреждениях,
поскольку они имеют:
-
небольшой размер и легкий вес
быстрая скорость — 24 МБ/с
большая емкость
низкая цена
функциональность plug-and-play.
Они продолжают размножаться и пользуются большим спросом в единицах отгрузки. В 2006 году Gartner
прогнозировал, что поставки превысят 114 миллионов единиц (14). В 2007 году было продано 85 миллионов дисков,
но лишь немногие из этих покупателей думали о последствиях безопасности дисков (15). Исследование Gartner
показало, что 22 % USB-накопителей продаются предприятиям, а около 80–90 % не зашифрованы (16).
USB-накопители — это дешевый и удобный способ переноса данных с компьютера — гораздо проще, чем
перенос ноутбука или жесткого диска (17). Недавнее исследование, проведенное SanDisk, показывает
следующее (18).
(10) «Военные секреты США для продажи на афганском базаре», Уотсон,Лос-Анджелес Таймс, 10 апреля 2006 г.
(11)Семь шагов для защиты USB-накопителей, SanDisk, июль 2007 г. иБезопасность мобильных устройств в 2006 г., Форрестер,
февраль 2006 г.
(12)Начало работы с McAfee для предотвращения потери данных хоста, Макафи, 2008 г.
(13) «Новый отчет отражает стоимость утечек данных», Physorg.com, 2007 г., доступно по адресу
http://www.physorg.com/news96708147.html (последнее посещение 2 июня 2008 г.).
(14)Обзор Dataquest: тенденции рынка USB-накопителей в мире, 2001–2010 гг., Джозеф Ансворт, Gartner, 20 ноября 2006
г.;Прогноз: USB-накопители в мире, 2001–2011 гг., Джозеф Ансворт, Gartner, 24 сентября 2007 г.
(15) «Флэш-накопители слишком часто становятся жертвами удобства», Джон Зисковски,Глобальная сеть контекстной рекламы, 14 декабря 2006 г.,
доступно по адресу chttp://www.gcn.com/online/vol1_no1/44136-1.html (последнее посещение 30 мая 2008 г.).
(16) «Нарушения данных — это «повседневные инциденты», Мэтт Чепмен, vnunet.com, 15 ноября 2007 г., доступно по адресу
http://www.vnunet.com/vnunet/news/2203540/security-brreaches-everyday (последнее посещение 30 мая 2008 г.). (17)
«Портативный риск USB-накопителей большой емкости», Аллан Лейнванд, GigaOM, 5 декабря 2007 г., доступно по адресу
http://gigaom.com/2007/12/05/the-portable-risk-of-high-capacity-usb-drives/ (последнее посещение 30 мая 2008 г.). (18)Обзор
безопасности конечных точек SanDisk, СанДиск, апрель 2008 г.
11
Безопасные USB-накопители
12
-
-
Большинство корпоративных конечных
пользователей (77 %) использовали личные
USB-накопители в рабочих целях. Они
сообщили, что каждый пятый практически
не осведомлен о рисках, связанных с
переносом корпоративных данных на USBнакопители (21 %), что свидетельствует о
значительном потенциале потери данных.
Лица, принимающие решения в области ИТ, ожидают,
Корпоративные данные на USB-накопителях
6%
14%
14%
что около 35 % их сотрудников используют личные
USB-накопители для переноса корпоративных
-
данных.
Около 41 % лиц, принимающих решения в
области ИТ, недовольны текущим уровнем
использования USB-накопителей в их
организации.
6%
16%
26%
18%
Записи клиентов
Финансы
Бизнес-планы
Данные о сотрудниках
Маркетинговые планы
Интеллектуальная собственность
Исходный код
В исследовании, проведенном Ponemon Institute, было обнаружено, что более половины сотрудников сообщают о
копировании конфиденциальной информации на USB-накопители, несмотря на то, что 87 % этих компаний имеют
правила, запрещающие эту практику (19). Этот фактор подчеркивает, что знания сотрудников о корпоративной
политике использования USB очень ограничены. Если мы посмотрим на тренинги по политике использования USBнакопителей, предлагаемые предприятиями, мы убедимся, что существует четкая корреляция. Исследование
SanDisk показывает, что сотрудники либо раз в год проходят обучение политике использования USB-накопителей
(33%); что они проходят обучение чаще одного раза в год (24 %); сотрудники проходят обучение только один раз
при приеме на работу в компанию (22 %); что их обучают по запросу (17 %); и что они никогда не обучают
сотрудников (3 %) (20). Поэтому крайне важно подчеркнуть, что обучение и осведомленность о рисках при
использовании USB-накопителей оказывают сильное влияние на поведение сотрудников, поскольку они
способствуют безопасному использованию в их повседневной работе.
Среди недавних инцидентов
Число недавних инцидентов продолжает увеличиваться, поскольку USB-накопители теряются, теряются, одалживаются без
разрешения или украдены (21). Ниже приведены отчеты о некоторых из них (22).
-
-
Утерянная флешка, найденная на общедоступном компьютере, была передана шведским
вооруженным силам. Диск содержал два секретных документа и был возвращен вооруженным
силам человеком, который обнаружил его в общественном компьютерном центре в Стокгольме.
Сотрудник вооруженных сил сообщил, что потерянная флешка принадлежала ему. Диск содержал
как несекретную, так и секретную информацию, такую как информация о СВУ и минных угрозах в
Афганистане (23).
Национальная служба здравоохранения Великобритании потеряла два незашифрованных USB-накопителя с данными о пациентах на сумму
(19)Опрос ИТ-специалистов США показывает, что политики безопасности данных не применяются, Ponemon Institute и RedCannon
Security, декабрь 2007 г., доступно по адресуhttp://www.ponemon.org/press/RC_PonemonSurvey_FINAL.pdf (последнее посещение 2
июня 2008 г.).
(20)Обзор безопасности конечных точек SanDisk, СанДиск, апрель 2008 г.
(21)DataTraveler Secure и DataTraveler Secure — Информационный документ о конфиденциальности, Kingston Technology, версия 2.0, июнь
2007 г.
(22) Чтобы узнать больше о недавних инцидентах, связанных с безопасностью, см. «Инциденты, связанные с безопасностью в образовании
(ESI) — Иногда свободный поток информации непреднамерен», доступный по адресуhttp://www.adamdodge.com/esi/month/2008/01 ;
«Конфиденциальность и кража личных данных», Дэйв Джеванс, IronKey, доступно по адресуhttp://blog.ironkey.com/?cat=9&paged=2
(последнее посещение 20 мая 2008 г.); и «Флэш-накопители слишком часто становятся жертвами удобства», John Zyskowski, GCN, 14 декабря
2006 г., доступно по адресуhttp://www.gcn.com/online/vol1_no1/44136-1.html (последнее посещение 30 мая 2008 г.); Устранение утечек:
лучшие практики обеспечения безопасности конечных точек, СанДиск, 2008.
(23) «Конфиденциальность и кража личных данных»,Дэйв Джеванс, IronKey, доступен по адресуhttp://blog.ironkey.com/?cat=9&paged=2 (последнее
посещение 20 мая 2008 г.).
Безопасные USB-накопители
-
-
-
-
-
-
-
148 пациентов. Это последовало за Налогово-таможенной службой Великобритании, которая потеряла
незашифрованный компакт-диск с информацией о 25 миллионах налогоплательщиков.24).
Утеря USB-накопителя с больничными файлами больницы принца Уэльского (PWH) Гонконга произошла в
начале мая 2008 года. Сохраненные файлы представляли собой в основном общие рабочие документы с
личными данными пациентов, включая имя, идентификационный номер и лабораторный анализ.
Предметы. Было подсчитано, что было задействовано около 10 000 записей (25).
USB-накопитель с информацией примерно о 8 000 студентов Техасского университета A&M в
Корпус-Кристи был утерян профессором математики во время отпуска на Мадагаскаре. На USBнакопителе были номера социального страхования и другая информация для студентов всех
классов и специальностей, зачисленных весной, летом и осенью 2006 года. обнаружил его пропажу,
когда собирался домой (26),
USB-накопители с секретной военной информацией армии США были выставлены на продажу на базаре
недалеко от Баграма, Афганистан. На дисках также были списки развертывания и другие документы, в которых
были идентифицированы почти 700 военнослужащих США и их номера социального страхования, информация,
которую похитители личных данных могли использовать для открытия счетов кредитных карт на имена солдат (
27).
Личная информация около 13 000 сотрудников Pfizer Inc., в том числе около 5 000 из Коннектикута,
была скомпрометирована в результате кражи корпоративного ноутбука и USB-накопителя.
Утечка данных, произошедшая 12 мая 2008 г., стала второй в этом году, затронувшей сотрудников Pfizer
Inc., и шестой, обнародованной за год, начиная с мая 2007 г. Было разослано более 65 000 уведомлений об
утечке данных. компанией Pfizer за последний год, в том числе более 10 000 сотрудников из Коннектикута.
Компания заявила, что на ноутбуке не было номеров социального страхования, но, возможно, были
скомпрометированы имена, домашние адреса, номера домашних телефонов, идентификационные
номера сотрудников, должности и зарплаты. Другая информация, которая, возможно, была утеряна,
включала информацию о сотрудниках отдела, в котором работали сотрудники, сайт Pfizer, на котором
работали сотрудники, имена сотрудников, менеджеров и описание их работы (28).
Ноутбук, содержащий личную информацию около 8 000 студентов, был украден из машины
сотрудника Spring ISD. Машина координатора тестирования была взломана, когда она делала
быструю остановку по пути домой с работы. Грабители скрылись с ее школьным ноутбуком и
внешней флешкой. На USB-накопителе были номера социального страхования учащихся, личная
информация, школы, которые посещают эти учащиеся, а также их классы и даты рождения. На
диске также были результаты теста Texas Assessment of Knowledge and Skills (29).
Личная информация 6 500 нынешних и бывших студентов Университета Кентукки, включая имена,
оценки и номера социального страхования, была украдена 26 мая 2006 г. после кражи USBнакопителя профессора. Диск не был восстановлен, и университет проводит переоценку
использования флэш-накопителей USB (30).
В октябре 2005 года Мемориальный госпиталь Уилкокс в Лихуэ, Гавайи, проинформировал 120 000 текущих и
(24) «Конфиденциальность и кража личных данных»,Дэйв Джеванс, IronKey, доступен по адресуhttp://blog.ironkey.com/?cat=9&paged=2 (последнее
посещение 20 мая 2008 г.).
(25) «Больница принца Уэльского сообщила об инциденте с потерей USB-накопителя с больничными файлами», пресс-релизы,
6 мая 2008 г., доступно по адресуhttp://www.info.gov.hk/gia/general/200805/06/P200805060232.htm (последнее посещение 30 мая
2008 г.).
(26) «TAMU Corpus Christi prof потерял флешку с 8 000 студенческими записями», Пол Макклоски,Кампусная технология, 18 августа
2007 г., доступно по адресуhttp://campustechnology.com/articles/48635 (последнее посещение 30 мая 2008 г.). (27) «Афганский рынок
продает американские военные флешки», Пол Уотсон,Лос-Анджелес Таймс, 18 апреля 2006 г., доступно по адресу http://
www.veteransforcommonsense.org/ArticleID/7120 (последнее посещение 28 мая 2008 г.).
(28) «Еще один ноутбук украден у Pfizer, информация о сотрудниках скомпрометирована», Ли Ховард, 12 мая 2008 г., доступно по
адресуhttp://attrition.org/dataloss/2008/05/pfizer01.html (последнее посещение 30 мая 2008 г.).
(29) «Информация о студентах Spring под угрозой после кражи ноутбука», отчет сотрудников KHOU.com, 16 мая 2008 г., доступен
по адресу http://attrition.org/dataloss/2008/05/spring01.html (последнее посещение 30 мая 2008 г.).
(30) «Маленькие диски вызывают большие проблемы»,Джон Шварц,США сегодня, 16 августа 2006 г., доступно по адресу http://
www.usatoday.com/tech/news/computersecurity/2006-08-15-thumbdrives-stolen_x.htm (последнее посещение 27 мая 2008 г.).
13
Безопасные USB-накопители
14
бывшие пациенты, что флэш-память USB
диск, содержащий их личную информацию (имена,
адреса, номера социального страхования и идентификационные номера медицинских карт) были утеряны. Его еще
предстоит восстановить. Диски, которые использовались всего несколько месяцев, были заблокированы.
Хотя эти инциденты были разными, причина каждого была одна и та же: недостаточная осведомленность о рисках,
связанных с использованием USB-накопителей при транспортировке конфиденциальных данных, и нестрогая политика
безопасности конечных точек.
Основные опасности для USB-накопителей
Неконтролируемое использование USB-накопителей представляет собой серьезную опасность, поскольку представляет
неизмеримую, но значительную угрозу конфиденциальности информации. Таким образом, для защиты активов USB-накопителей
необходимо учитывать следующее.
-
Хранение: USB-накопители обычно кладут в сумки, рюкзаки, чехлы для ноутбуков, куртки, карманы брюк
или оставляют на рабочих местах без присмотра.
Использование: корпоративные данные хранятся на личных незащищенных дисках и постоянно перемещаются.
Поскольку USB-накопители получают все более широкое признание среди ИТ-отделов организаций, возрастает
вероятность нарушений безопасности и потери данных. Многие предприятия имеют строгую политику управления в
отношении USB-накопителей, а некоторые компании полностью запрещают их использование, чтобы свести к минимуму
риск. Программные решения могут помочь минимизировать риск, позволяя корпорациям записывать взаимодействия
-
между приводом и ПК или сервером и записывать их в централизованную базу данных (31).
Затраты: средняя стоимость одного нарушения колеблется от менее 100 000 долларов США до примерно 2,5 миллионов долларов
США (32).
Тип хранимых документов: общедоступные, внутренние, конфиденциальные, ограниченные и
защищенные документы. В зависимости от различных отраслей промышленности (банк, страхование и т.
д.) информация, которая может храниться, различается. Корпоративные конечные пользователи чаще
всего копируют данные клиентов (25 %), за ними следуют финансовая информация (17 %), бизнес-планы
(15 %), данные сотрудников (13 %), маркетинговые планы (13 %), интеллектуальная собственность (6 %), и
исходный код (6 %) (33).
Тип документов
-
Общедоступная информация: доступна всем
-
Информация ограниченного доступа: делится между избранными сотрудниками
предприятия
Защищенная информация: защищена любой ценой.
-
Внутренняя информация: свободно перемещается между организациями
Конфиденциальная информация: перемещается между определенными отделами и/
или подразделениями в соответствии с соглашением о неразглашении (NDA).
(31)Тенденции рынка USB-накопителей в мире, 2001–2010 гг., Джозеф Ансворт, ноябрь 2006 г., Gartner. (32)Обзор
безопасности конечных точек SanDisk, СанДиск, апрель 2008 г. (33)Обзор безопасности конечных точек SanDisk, СанДиск,
апрель 2008 г.
Безопасные USB-накопители
Проблемы предприятия
Ниже приведены некоторые из основных проблем предприятия, связанных с использованием флэш-накопителей USB (34).
-
Утечка данных: чтобы ограничить утечку данных, организациям следует регулировать использование USB-накопителей, в
конечном итоге разрешив использование только разрешенных компанией USB-накопителей (35).
Проблемы соблюдения нормативных требований и стандартов безопасности: если предприятия позаботятся о
безопасном использовании флэш-накопителей USB, это поможет обеспечить соблюдение трех аспектов безопасности (т.
е. конфиденциальности, доступности и целостности), а также некоторых стандартов безопасности и/или системы
соответствия (например, Сарбейнса-Оксли, стандарты безопасности данных PCI и т. д.);
-
Утерянные данные и расходы на поддержку: политика безопасности может помочь предприятиям восстановить
украденные или потерянные данные, которые происходят даже при наличии мер безопасности, снижая затраты на
владение и поддержку.
Последствия для безопасности
Когда корпоративная информация хранится на личных и
незащищенных USB-накопителях, сотрудники подвергают риску
своего работодателя как внутри, так и вне здания компании. Но
уровень риска и угроз, которые могут возникнуть, выше, когда
конфиденциальная информация покидает компанию, поскольку
данные могут легче попасть в чужие руки (36).
Флэш-накопители USB представляют собой серьезную проблему безопасности,
поскольку их все больше теряют или крадут. Опрос, спонсируемый охранной фирмой
Vontu, показывает, что более половины из 484 опрошенных технических
специалистов заявили, что USB-накопители содержат незащищенную
конфиденциальную информацию. Каждый месяц на работе теряется как минимум
одна флешка с данными, считают 20 % опрошенных. Организации борются за
выяснить, где данные и куда они идут. Кроме того, в большинстве случаев сотрудники не сообщают о
пропаже USB-накопителей. Сотрудник может скачать на 25 миллионов долларов США
(34)Семь шагов для защиты USB-накопителей, СанДиск, июль 2007 г.
(35)Защита флешки, Рон ЛаПедис, SanDisk, Disk Encryption Forum, 13 февраля 2007 г. (36)Начало работы с
McAfee для предотвращения потери данных хоста, Макафи, 2008 г.
15
Безопасные USB-накопители
16
информация о USB, который можно купить всего за 25 долларов США (37).
Последствия для безопасности персональных запоминающих устройств можно классифицировать следующим образом (38):
-
раскрытие данных из-за потери, кражи или неаккуратного использования устройства;
несанкционированное извлечение данных;
внедрение вредоносного кода.
Риски и угрозы
Глядя на использование незащищенных личных USB-накопителей и последствия передачи и
транспортировки корпоративных данных, количество рисков и угроз почти бесконечно. Можно выделить
следующее.
Утечка данных (39): невозможно оценить последствия утечки ценных данных из организации, но
проблема нарастает.
-
Потеря информации: USB-накопители пропадают или где-то забываются. Скорее всего, другие люди, увидев информацию
(например, данные клиентов и/или сотрудников), в конечном итоге помеченную как конфиденциальную, сохранят
данные для личного использования и в конечном итоге переформатируют устройство для личного использования. Это
-
-
может привести к юридической ответственности.
Конфиденциальность информации: когда информация попадает не в те руки, предприятие терпит
гораздо больший убыток, чем просто замена стоимости накопителя.
Целостность информации: при изменении содержимого.
Повреждение данных: если флешка закрыта для магнитных полей и/или неаккуратно разобрана. Обычно ОС
пытается обработать непредвиденные отключения настолько хорошо, насколько это возможно, чтобы не
произошло повреждения.
Безопасность данных: контрабанда информации за пределы предприятия.
Ущерб бизнесу / репутации / имиджу компании: когда USB-накопитель украден и используется для
нанесения ущерба бизнесу / репутации / имиджу компании.
Потеря лидерства на рынке.
Передача вирусов/червей (40): когда файлы передаются между двумя машинами, существует риск
передачи вирусного кода или какого-либо другого вредоносного ПО. В апреле 2008 г. партия USBнакопителей HP была отправлена с вирусом.
Шпионское ПО (41): когда хост-компьютер скомпрометирован шпионским ПО и другими угрозами. В этом
случае программная защита, используемая в большинстве потребительских USB-накопителей с защитой
паролем, менее надежна, чем аппаратное шифрование, поскольку программная защита полагается на
хост-компьютер для выполнения операций безопасности;
Уязвимости программного обеспечения (42).
Мошенничество/обман:
-
вымогательство;
кража личных данных;
кража интеллектуальной собственности, коммерческой тайны, служебной информации.
(37) «Маленькие диски вызывают большие проблемы»,Джон Шварц,США сегодня, 16 августа 2006 г., доступно по адресу http://
www.usatoday.com/tech/news/computersecurity/2006-08-15-thumbdrives-stolen_x.htm (последнее посещение 27 мая 2008 г.).
(38)Семь шагов для защиты USB-накопителей, СанДиск, июль 2007 г.
(39)Понимание утечки данных, Джей Хайзер, Gartner, 21 августа 2007 г.; «Защита от утечки данных оказывается слишком сложной в
использовании», Infoworld.com, доступно по адресуhttp://www.infoworld.com/article/08/03/06/10NF-data-losspreventionproblem_1.html (последнее посещение 2 июня 2008 г.).
(40) Вирусы/черви были определены лицами, принимающими решения в области ИТ, как одна из трех основных угроз безопасности. Обзор
безопасности конечных точек SanDisk, SanDisk, апрель 2008 г. См. такжеMcAfee-VirusScan-USB — проверенная система безопасности,
защищающая ваш USB-накопитель от вирусов., McAfee, 2006 г., доступно по адресу http://download.mcafee.com/products/manuals/en-us/
vsusb_datasheet_2007.pdf (последнее посещение 30 мая 2008 г.). (41) Шпионское ПО было определено лицами, принимающими решения в
области ИТ, как одна из трех основных угроз безопасности. Обзор безопасности конечных точек SanDisk, СанДиск, апрель 2008 г.
(42) Уязвимости программного обеспечения были определены лицами, принимающими решения в области ИТ, как одна из трех основных
угроз безопасности.Обзор безопасности конечных точек SanDisk, SanDisk, апрель 2008 г. См. такжеНовые атаки: выделяются уязвимости
устройств, Авива Литан, Дон Диксон, Грег Янг, Gartner, 21 июня 2005 г.
Безопасные USB-накопители
ЧАСТЬ 2:
Руководство по хорошей практике
17
Безопасные USB-накопители
18
Наши рекомендации
Этот документ, основанный на собранных данных и их анализе, содержит рекомендации по передовой практике, которые
могут помочь читателям и их организациям снизить риски при решении вопросов безопасности USB.
Руководство по эффективной практике состоит из трех компонентов:
-
рекомендации;
возможные программно-аппаратные решения;
контрольный список.
Рекомендации и возможные программно-аппаратные решения
Существует ряд рекомендаций и программно-аппаратных решений, обеспечивающих безопасное
использование флешек.
-
-
Внедрите методологию оценки рисков, чтобы обеспечить правильный контроль для минимизации рисков
на протяжении всего жизненного цикла устройств (43). Оценка рисков позволит детально понять риски,
связанные с использованием USB-накопителей, и затраты, что послужит основой для разработки
стратегии устранения этих пробелов (44);
Внедрите политики/рекомендации по безопасности в отношении использования USB-накопителей и хранения
корпоративных данных на персональном USB-накопителе. Большинство мер носят реактивный характер и запускаются в
ответ на инцидент с потерей данных. Недавний опрос показывает, что 67 % организаций внедрили или внедряют
политики в результате нарушения безопасности данных или безопасности в их организации (45). Внедряйте политики
безопасности до того, как произойдет какое-либо нарушение данных/безопасности. Разработайте политику безопасности
компании, согласно которой каждый сотрудник подписывает соглашение о неподключении своего личного USBнакопителя к сети и передаче данных. В конечном итоге разрешить использование корпоративных
(43)Определите соответствующий уровень управления ITAM для мобильных активов, Джек Хейн, Gartner, 15 ноября 2005 г. (44)
Чтобы узнать больше о методах и инструментах управления рисками/оценки рисков, см. http://www.enisa.europa.eu/rmra/
rm_ra_methods.html а такжеhttp://www.enisa.europa.eu/rmra/rm_ra_tools.html (45)Обзор безопасности конечных точек SanDisk,
СанДиск, апрель 2008 г.
Безопасные USB-накопители
USB-накопители с указанием обязанностей сотрудников и правил безопасного использования (46) и блокировка устройств, которые
не имеют законного коммерческого использования (47). Таким образом, определите, каким типам оборудования разрешен доступ к
сети.
Корпоративная политика должна быть всеобъемлющей, но не настолько ограничительной, чтобы препятствовать
производительности сотрудников. Вот почему многие крупные организации предпочитают отслеживать и
регистрировать доступ к конфиденциальным файлам, а не блокировать их напрямую (48). Эти правила будут различаться
-
в зависимости от ролей и обязанностей каждого сотрудника.
Внедрить процедуру оценки утраты и/или повреждения корпоративного имущества, например, USBнакопителя. При необходимости используйте формы для сбора и анализа информации от
задействованного персонала.
Внедрите централизованную политику безопасности конечных точек с помощью специального решения. Развертывание
и управление переносными устройствами хранения данных в организации может быть сложным и дорогостоящим
процессом. Централизованное управление позволяет организациям преодолевать эти проблемы за счет:
-
управление и, в конечном итоге, блокировка портов — программное обеспечение для шифрования и управления
идентификацией не обеспечит 100%-ную безопасность USB-накопителей. Контролируйте каждый порт на каждой
рабочей станции и блокируйте неавторизованные устройства. Кроме того, также можно проверить порт и записать,
какие устройства используются, или разрешить только определенные устройства, такие как зашифрованный диск,
-
выданный определенным сотрудникам (49);
поиск системы, позволяющей отслеживать использование USB-накопителей в автономном режиме — сравнивать
файлы мобильных данных с оригиналами, чтобы определить, открывались ли они, изменялись или копировались
-
на другое устройство;
централизованное восстановление паролей пользователей с использованием механизма ответа на запрос;
централизованное управление корпоративными USB-накопителями;
демонстрация соответствия стандартам безопасности;
защита активов и бренда путем демонстрации того, что устройства были зашифрованы во время потери или
кражи с помощью обширного аудита;
Аудит и обеспечение соблюдения политик: после того, как политики введены в действие, убедитесь, что они соблюдаются. Аудиты
могут варьироваться от физического осмотра рабочих мест сотрудников (например, отслеживание использования USBнакопителей в вашей организации, в конечном итоге ограничивая использование USB-накопителей только авторизованными
компанией устройствами) до виртуальных аудитов с использованием сетевых приложений, которые отслеживают данные по мере
их перемещения. хоть и организация(50). Простое установление корпоративных политик без каких-либо средств обеспечения
-
соблюдения правил или выявления нарушений бесполезно (51).
Управление активами: оценка/идентификация всего оборудования и портативных устройств, используемых для доступа к
сети. В конечном итоге используйте программное обеспечение для идентификации каждого устройства, которое когдалибо было подключено к сети. Эта информация понадобится вам для определения политик в отношении типов
устройств, которые можно использовать в организации, включая USB-накопители, сотрудников, которым будет
-
разрешено их использование, и требуемого типа защиты.
Оцените готовность компании к случаям потери данных при утере или краже USB-накопителей.
(46)Образец шаблона инструментария: образец договора с сотрудником на использование персональных цифровых устройств,Джей Хейзер, Gartner, 1
февраля 2008 г. SANS предлагает пример политики, которая контролирует использование мобильных вычислительных устройств и устройств
хранения данных, включая флэш-накопители. Образец политики доступен по адресу
http://www.sans.org/resources/policies/Remote_Access.doc (последнее посещение 30 мая 2008 г.). (47)Начало
работы с McAfee для предотвращения потери данных хоста, Макафи, 2008 г.
(48) «Защита от утечки данных оказывается слишком сложной в использовании», Infoworld.com, доступно по адресу http://
www.infoworld.com/article/08/03/06/10NF-data-loss-prevention-problem_1.html (последнее посещение 2 июня 2008 г.).
(49) «Политика закрытых дверей», Дэниел Тайнан,Журнал FedTech, август 2007 г., доступно по адресу http://fedtechmagazine.com/article.asp?
item_id=352 (последнее посещение 30 мая 2008 г.); «Флэш-накопители слишком часто становятся жертвами удобства», — Джон Зисковски,
Глобальная сеть контекстной рекламы, 14 декабря 2006 г., доступно по адресу http://www.gcn.com/online/vol1_no1/44136-1.html (последнее
посещение 30 мая 2008 г.);Защита флешки, Рон ЛаПедис, SanDisk, Disk Encryption Forum, 13 февраля 2007 г.
(50) «Политика закрытых дверей», Дэниел Тайнан,Журнал FedTech, август 2007 г., доступно по адресу http://
fedtechmagazine.com/article.asp?item_id=352 (последнее посещение 30 мая 2008 г.). (51)Устранение утечек:
лучшие практики обеспечения безопасности конечных точек, СанДиск, 2008.
19
Безопасные USB-накопители
20
Оценка
-
-
Знаете ли вы схему классификации конфиденциальности, применяемую к
контенту?
Знаете ли вы, какую конфиденциальную деловую информацию и основные
информационные активы нужно защищать?
Знаете ли вы пользователей/подразделения, которые могут получить доступ
к этой информации, как и с какой периодичностью?
Знаете ли вы, кто может использовать флешку для копирования и
переноса информации? Более того, знаете ли вы сотрудников,
получивших корпоративную флешку?
Есть ли у вас письменные политики или руководства по безопасности,
касающиеся использования флэш-накопителей USB?
Обучаете ли вы пользователей и как часто?
Делаете ли вы резервную копию информации, хранящейся на USB-накопителях?
Есть ли у вас поддержка ключевых заинтересованных сторон?
Ограничить доступ: ограничить доступ к определенным типам и объему конфиденциальных данных определенным
сотрудникам. В более сложной организации установите правила использования данных, определяющие персонал,
которому может быть разрешен доступ к файлам конфиденциальных данных, какие файлы данных могут быть
переносимыми и как с ними следует обращаться. Ищите программное обеспечение, которое может автоматизировать
-
этот процесс, сканируя файлы на сетевых дисках и клиентских машинах, проверяя ключевые слова (52).
Прикрепляйте USB-накопители к цепочкам для ключей или ремешкам, чтобы избежать потери носителя:
уменьшенный размер USB-накопителей облегчает их потерю или кражу, а большая емкость хранилища
увеличивает потенциальный риск несанкционированного доступа к данным.
Предложите пользователям перевести USB-накопитель в режим только для чтения, чтобы избежать передачи вирусов:
некоторые USB-накопители имеют физический переключатель для перевода диска в режим только для чтения, чтобы
-
главный компьютер не мог записывать или изменять данные на диске. .
Сканируйте USB-накопитель после копирования файлов с ненадежного компьютера, чтобы избежать передачи
вирусов.
Требовать от пользователей аутентификации: предотвращение несанкционированного доступа к данным с помощью механизма, который
требует от пользователей аутентификации с использованием пароля и/или отпечатка пальца. Установите максимальное количество попыток
-
ввода пароля или биометрической аутентификации для противодействия атакам.
Использование шифрования, выполняемого программными или аппаратными средствами, при котором данные
изменяются, чтобы сделать их недоступными без надлежащего ключа для расшифровки данных (53). Таким образом,
данные будут бесполезны без необходимого ключа и всегда будут оставаться в безопасности, где бы они ни находились.
Решение состоит в том, чтобы потребовать, чтобы конфиденциальные данные хранились только на зашифрованных
устройствах хранения, таких как USB-накопители корпоративного уровня с обязательной защитой паролем для всех
файлов. Другое решение, широко признанное одним из лучших, заключается в использовании аппаратных
зашифрованных устройств, которые выполняют шифрование на борту USB-накопителя. Основное преимущество
аппаратных ключей шифрования заключается в том, что они никогда не покидают флэш-память USB.
(52)Устранение утечек: лучшие практики обеспечения безопасности конечных точек, СанДиск, 2008.
(53)Используйте три закона шифрования для правильной защиты данных, Рич Могулл, Gartner, 24 августа 2005 г.; «Флэш-накопители
слишком часто становятся жертвами удобства», — Джон Зисковски,Глобальная сеть контекстной рекламы, 14 декабря 2006 г., доступно по
адресу http://www.gcn.com/online/vol1_no1/44136-1.html (последнее посещение 30 мая 2008 г.);Семь шагов для защиты USB-накопителей,
СанДиск, июль 2007 г.и Оценка безопасности аппаратного и программного шифрования на USB-накопителе,СанДиск, май 2008 г.
Безопасные USB-накопители
диски, не подвержены никаким внешним атакам и практически не вызывают потери производительности (54). Наконец,
шифрование — мощная технология безопасности, но это инструмент, который можно использовать. Его следует
использовать, когда данные перемещаются, а права управления доступом недостаточно специфичны (55). Оцените
сторонние инструменты шифрования данных с соответствующей защитой для всех систем с высоким риском, которые
содержат конфиденциальные данные или могут быть украдены и использованы для корпоративного шпионажа (56).
-
-
Защитите свою инфраструктуру от вредоносных кодов: используйте антивирусную защиту для (57):
останавливать вирусы: блокировать, очищать и удалять вирусы и трояны с флешки; Защитите ПК:
предотвратите использование USB-накопителя в качестве переносчика вирусов, которые могут
передаваться при подключении к ПК.
Информация о резервном копировании: иметь возможность восстанавливать данные, находящиеся на USB-накопителях.
Обучите своих сотрудников: обучите сотрудников политикам использования технологий, чтобы они знали о риске,
связанном с хранением и транспортировкой корпоративных данных на USB-накопителях; объясните, как избежать
утечки данных, и напомните им, чтобы они сообщали о тех, которые происходят. Держите их в курсе возможных
изменений в политике и убедитесь, что они следуют рекомендациям в своей повседневной работе. Обучение
пользователей, осведомленность и принятие имеют решающее значение для успеха любой политики безопасности или
-
внедренного технического решения.
Проведите опрос, чтобы проверить, знакомы ли пользователи с политиками своей организации в отношении использования USBнакопителей.
Начните сверху: начните с высшего руководства и персонала, который путешествует с конфиденциальными
данными, прежде чем переходить к остальной части организации. Лучшая защита от утечек данных —
образованная рабочая сила.
Собирайте отзывы для дальнейшей тонкой настройки принудительных решений и политик для максимальной точности
и понимания закономерностей, повышающих риск потери данных.
В таблице ниже собраны рекомендации и программно-аппаратные решения, описанные выше:
(54)Оценка безопасности аппаратного и программного шифрования на USB-накопителе,СанДиск, май 2008 г.
(55)Используйте три закона шифрования для правильной защиты данных, Rich Mogull, Gartner, 24 августа 2005 г. и
Подготовьтесь к угрозе DRAM для зашифрованного хранилища данных, John Girard, Ray Wagner, Eric Ouellet, Gartner, 25
февраля 2008 г. (56) В настоящее время кибершпионаж занимает третье место в списке 10 главных киберугроз Института
SANS за 2008 год.10 главных киберугроз 2008 г., Институт SANS, доступен по адресуhttp://www.sans.org/2008menaces/
(посещено 2 июня 2008 г.).
(57)McAfee-VirusScan-USB — проверенная система безопасности, защищающая ваш USB-накопитель от вирусов., McAfee, 2006 г.,
доступно по адресуhttp://download.mcafee.com/products/manuals/en-us/vsusb_datasheet_2007.pdf (последнее посещение 30 мая
2008 г.).
21
22
Безопасные USB-накопители
4
сл
ед
П
ри
но
ос
ью
ль
ны
5
е
ау
ди
ло ванн се ты
ка
ти
ж ый
уе
к
т
ен
з
ч о
ор ер н дв а да ия
га ез иж нны
ет
м
ни
и
ся
за
ци
я
Эт
о
уа
ро
ы
он
рт
в
ч
ю
ор
ст
ощ
я
е
кл
ны
й
и
ан
ви
т
и
нт
ра
х
щ
ов
ес
м
ке
о
,
й
и
ы
й
нн
ва
ы
нн
ва жем
в
зу
ль
о
сп
а
.Г
пе
и
ер
нт
и
ва
ы
за
ат
хв
е
и
н
ва
и
по
ро
ы
ер
и
ф
ть
вы
2
с
и
м
зо
ра
ор
нф
м
и
ск
ди
ус
за
к
ет
ва
ь
ст
и
ш
ва
.
ан
в
ро
и
он
ф
и
то
еч
сп
бе
,ч
ю
к
м
ти ость я ка
не
ой пасн ем ку
об безо о вр спыш вать
то
те
сь
ш
за
бо
н
рс
ки
й
с
рж
ть
ли
и
те
ва
и
я
ле
ой щи
д
ес
ст
я
на
ва
ус
тр
то
и
ра
и
и
нц
з
и
к
ал
ов
ф
пр
ас
зо
п
та
во
сс
ка
ти
ли
по
сл
ед
по
на
.
сп
те
ть
Бы
ь
те
на
то
сь
,ч
ко
пи
но
ст
со ов иче . Ау
тр ер ск ди
т
ог
чи уд к
о
н а
е
ст ик
а
и
пр
от
бе
ш
ль
Т
ТЬ
И
И
Д
ЕЧ
SB
U
ос
об
но
ож
ны
ви
U
м
и
ть
SB
к
в
д
а
П
од нак ющ анн
ау
ы
оп
и
де
е
й
д
е,
х
ы
нн
да
,ч
я
ру
ью
ст
но
и
нт
ра
га
ва
ро
и
л
о
и
о
о
ьз
,
по
и
ед ие
бн спол
Уб ен
ки уж
и
со
ш
ар й и
ле сн вны да
е
нт
л
ро
ш по
с
ре
ко
1
е и ат ср но
вс тр пор ая ван ией и.
к
у р ющ зо ан
вн ко жа рали омп леш
ру ент ь к е ф
ц
ок
ят ны
н
вл
ра ще
уп пу
ра
Л
Й
Ы
Н
ЕН
Л
И
ТЬ
И
Ч
Н
ТЕ
ВА
О
зо
ль
по
об
и
М
О
сь яд
ЕД
и пор
ед ели в
Уб ват
СВ
О
ЬЗ
Л
О
П
КО
ЗА
и
Я
ф
ле
ТЬ
ВА
О
ЬЗ
с
и
Л
И ЛИ
О
Н
СП
Е
И
т
А
П ПИТ иту нии
М
па
ст
КО
КО -НА о ин ком ли
е
те
SB жн ни
U
пи
о
ва ко
зм зо
а
Во оль SB-н
U
п
СП
И
И
АЦ
Д
ЕН
М
и
ед
&
СС
ТА
Н
ВО
АВ
Л
Й
/
КА
ть
ка
и
ш
Уб
ВА
И
СЯ
ТЬ
Ь
Ь
СТ
ТИ
КО
РЕ
о
ь
ят
ан
тр
ни
ва
о
ьз
ск
пы
вс
ди
АУ
ЯТ
Ы
Н
О
Н
АС
Е
КИ
ЕС
Ч
И
Л
О
П
Н
СА
ЕЛ
Д
И
П
ЗО
и
ел
ед
ол
ая
чн
БЕ
РЕ
П
О
АП
Н
БЕ
И
Д
О
ЕТ
М
од
сп
и
в
ко
пр рос сан
я
О
и
сп
пи ан
/
по
на
ра
п
ки
м ти во
е
Ко ли ст
по
ру
ли
О
23
Безопасные USB-накопители
Контрольный список
Элементы контрольного списка можно использовать в качестве руководства для основных шагов, которые необходимо
предпринять при выполнении любой деятельности, связанной с безопасным использованием флэш-накопителей USB в
организации. Как только предприятие осознает важность защиты корпоративных данных и классифицирует данные, необходимо
выполнить следующие основные шаги:
3
Безопасные USB-накопители
июнь
Безопасные USB-накопители
ЧАСТЬ 3:
Советы по безопасности и корпоративные преимущества
25
Безопасные USB-накопители
26
Практические советы по предотвращению кражи USB-накопителя
Практические советы
- Убедитесь, что сотрудники сообщают о случаях потери украденных USBнакопителей в ИТ-отдел.
- Проведите оценку ущерба для каждого пропавшего USBнакопителя.
- Установить, как и где они пропали
- Пересмотрите свою политику/рекомендации, чтобы убедиться, что основные источники
убытков покрыты.
- Выделите потенциальные риски, связанные с неправомерным использованием
-
USB-накопителей сотрудниками и в других менее законных целях, таких как
контрабанда информации из компании.
Принимать специальные меры для бизнес-подразделений/отделов,
обрабатывающих конфиденциальные данные.
Регулярно отслеживайте инциденты и сообщайте о них
Обучайте и рассылайте напоминания сотрудникам
Сравните свою производительность с другими аналогичными предприятиями
Собирайте отзывы для дальнейшей тонкой настройки принудительных решений и
политик для максимальной точности и понимания закономерностей, повышающих
риск потери данных.
Преимущества
Обзор многих преимуществ, связанных с безопасным использованием флэш-накопителей USB, поможет
предприятиям лучше принять решение по этому вопросу. Были выявлены следующие преимущества.
-
-
Повышайте и повышайте производительность сотрудников за счет мобильности и удаленного подключения.
Гибкие и безопасные решения:
-
защитить корпоративные активы,
снизить общую стоимость владения,
доказать, что устройства были зашифрованы при краже или потере.
Защитите предприятия от утечки данных.
Применение обязательных политик безопасности в масштабах всей компании.
Дезинфицируйте любой компьютер в любом месте. Разрешить подключение к ПК авторизованным устройствам.
Расширить политику безопасности за периметр:
отслеживать всю активность на флешках.
Соблюдайте три основных принципа или классификации информационной безопасности —
конфиденциальность, доступность и целостность — и стандарты безопасности.
Безопасные USB-накопители
Выводы
В современных организациях конфиденциальные данные хранятся и доступны на различных мобильных устройствах,
включая флэш-накопители USB. Объем памяти, размер, низкая цена и функциональность plug-and-play — вот некоторые из
причин, по которым их использование значительно возросло. USB-накопители часто хранят корпоративную информацию,
такую как финансовая информация, формы, документы сотрудников и данные клиентов. Эти мобильные устройства
остаются в значительной степени незащищенными и неконтролируемыми ИТ-отделами, что делает бизнес уязвимым для
последствий, которые могут быть разрушительными, такими как потеря репутации, рабочих мест и прибыли.
Потеря информации о компании является результатом неосведомленности сотрудников о рисках, связанных с использованием
USB-накопителей, или их готовности обойти правила, чтобы работать более продуктивно. Таким образом, большинство действий
являются не преднамеренными или злонамеренными, а случайными и непреднамеренными.
Несмотря на растущее осознание рисков и затрат, связанных с небезопасным использованием USB-накопителей,
предстоит еще проделать значительный объем работы. Поэтому крайне важно, чтобы управляющие ИТ-активами
подготовили себя и свои организации к регулированию, управлению и аудиту использования USB-накопителей,
поскольку обеспечение возможности защиты информации в сети и возможность управления данными, которые
входят и выходят из среды компании, являются ключевыми. для любой организации, независимо от ее размера и
зрелости.
С ростом числа портативных устройств, используемых в бизнесе, когда сотрудники путешествуют и берут работу домой,
безопасное использование USB-накопителей и осведомленность о связанных с этим рисках должны стать неотъемлемой
частью общей стратегии безопасности организации.
ENISA надеется, что этот документ предоставит предприятиям ценный инструмент для преодоления препятствий внутри их
организаций.
27
Безопасные USB-накопители
28
Ссылки и источники для дальнейшего чтения
Руководство пользователя: как повысить осведомленность об информационной безопасности,ENISA, июнь 2006 г..
«Афганский рынок продает американские военные флешки», Пол Уотсон,Лос-Анджелес Таймс, 18 апреля 2006 г., доступно
по адресуhttp://www.veteransforcommonsense.org/ArticleID/7120 (последнее посещение 28 мая 2008 г.).
«Анализ USB-накопителей в виртуальной среде», Дерек Бем и Эва Хюбнер,Журнал криминалистики малых
цифровых устройств, Том. 1, № 1, июнь 2007 г.
«Еще один ноутбук украден у Pfizer, информация о сотрудниках скомпрометирована», Ли Ховард, 12 мая 2008 г., доступно
по адресуhttp://attrition.org/dataloss/2008/05/pfizer01.html (последнее посещение 30 мая 2008 г.).
«Политика закрытых дверей», Дэниел Тайнан,Журнал FedTech, август 2007 г., доступно по адресу http://
fedtechmagazine.com/article.asp?item_id=352 (последнее посещение 30 мая 2008 г.).
'Утечки данных — это «повседневные инциденты», Matt Chapman, vnunet.com, 15 ноября 2007 г., доступно по адресу
http://www.vnunet.com/vnunet/news/2203540/security-brreaches-everyday (последнее посещение 30 мая 2008 г.).
безопасность
доказывает
к
быть слишком жесткий
к
использовать",
Infoworld.com,
доступный
в
http://www.infoworld.com/article/08/03/06/10NF-data-loss-prevention-problem_1.html (последнее посещение 2
июня 2008 г.).
'Утечка данных
Обзор Dataquest: тенденции рынка USB-накопителей в мире, 2001–2010 гг., Джозеф Ансворт, Gartner, 20
ноября 2006 г.
DataTraveler для предприятий, Кингстон, 2008 г., доступно по адресу http://www.kingston.com/flash/
DataTravelers_enterprise.asp (последнее посещение 30 мая 2008 г.).
Безопасный DataTravelerа такжеDataTraveler Secure — Информационный документ о конфиденциальности, Kingston Technology,
версия 2.0, июнь 2007 г.
Определите соответствующий уровень управления ITAM для мобильных активов, Джек Хейн, Gartner, 15
ноября 2005 г.
«Диск со списком иностранных преступников, утерянных за год»,Времена, 20 февраля 2008 г..
Инциденты безопасности в сфере образования (ESI). Иногда свободный поток информации непреднамерен.
, доступны наhttp://www.adamdodge.com/esi/month/2008/01
Прогноз: USB-накопители по всему миру, 2001–2011 гг., Джозеф Ансворт,Гартнер, 24 сентября 2007 г.
Начало работы с McAfee для предотвращения потери данных хоста, Макафи, 2008 г.
Магический квадрант защиты мобильных данных, 2007 г., Джон Джирард, Рэй Вагнер, Gartner.
McAfee Encrypted USB — техническое описание, Макафи.
McAfee-VirusScan-USB — проверенная система безопасности, защищающая ваш USB-накопитель от вирусов., McAfee, 2006
г., доступно по адресуhttp://download.mcafee.com/products/manuals/en-us/vsusb_datasheet_2007.pdf (последнее посещение
30 мая 2008 г.).
Безопасные USB-накопители
29
Новые атаки: выделяются уязвимости устройств, Авива Литан, Дон Диксон, Грег Янг, Gartner, 21 июня 2005 г.
"Новый
отчет
хроники
в
Стоимость
из
данные
утечки»,
Physorg.com,
http://www.physorg.com/news96708147.html (последнее посещение 2 июня 2008 г.).
2007 г.,
доступный
в
Устранение утечек: лучшие практики обеспечения безопасности конечных точек, СанДиск, 2008.
Подготовьтесь к угрозе DRAM для зашифрованного хранилища данных, Джон Жирар, Рэй Вагнер, Эрик Уэлле, Gartner, 25
февраля 2008 г.
«Больница принца Уэльского сообщила об инциденте, связанном с потерей USB-накопителя с больничными файлами»,
пресс-релиз, 6 мая 2008 г., доступен по адресу
http://www.info.gov.hk/gia/general/200805/06/P200805060232.htm (последнее посещение 30 мая 2008 г.).
Неприкосновенность частной жизни и кража личных данных», Дэйв Джеванс, IronKey, доступно по
адресу http://blog.ironkey.com/?cat=9&paged=2 (последнее посещение 20 мая 2008 г.).
Устранение утечек: лучшие практики обеспечения безопасности конечных точек, СанДиск, 2008.
Обзор безопасности конечных точек SanDisk, СанДиск, апрель 2008 г.
Семь шагов для защиты USB-накопителей, СанДиск, июль 2007 г.
«Маленькие диски вызывают большие проблемы»,Джон Шварц,США сегодня, 16 августа 2006 г., доступно по адресу http://
www.usatoday.com/tech/news/computersecurity/2006-08-15-thumbdrives-stolen_x.htm (последнее посещение 27 мая 2008 г.).
«Информация о студентах Spring под угрозой после кражи ноутбука», отчет сотрудников KHOU.com, 16 мая 2008 г., доступен по
адресу http://attrition.org/dataloss/2008/05/spring01.html (последнее посещение 30 мая 2008 г.).
Опрос ИТ-специалистов США показывает, что политики безопасности данных не применяются, Ponemon Institute и
RedCannon Security, декабрь 2007 г., доступно по адресу
http://www.ponemon.org/press/RC_PonemonSurvey_FINAL.pdf (последнее посещение 2 июня 2008 г.).
«TAMU Corpus Christi prof потерял флешку с 8 000 студенческими записями», Пол Макклоски,Кампусная
технология, 18 августа 2007 г., доступно по адресуhttp://campustechnology.com/articles/48635 (последнее
посещение 30 мая 2008 г.).
Портативный риск USB-накопителей большой емкости, Allan Leinwand, GigaOM, 5 декабря 2007 г., доступно по
адресуhttp://gigaom.com/2007/12/05/the-portable-risk-of-high-capacity-usb-drives/ (последнее посещение 30 мая
2008 г.).
«Флэш-накопители слишком часто становятся жертвами удобства», — Джон Зисковски,Глобальная сеть контекстной рекламы, 14 декабря
2006 г., доступно по адресуhttp://www.gcn.com/online/vol1_no1/44136-1.html (последнее посещение 30 мая 2008 г.).
График грубых ошибок с отсутствующими данными»,Времена, 20 февраля 2008 г.
Образец шаблона инструментария: образец договора с сотрудником на использование персональных цифровых устройств,Джей
Хайзер, Gartner, 1 февраля 2008 г.
10 главных киберугроз 2008 г., Институт SANS, доступен по адресуhttp://www.sans.org/2008menaces/ (последнее
посещение 2 июня 2008 г.).
Безопасные USB-накопители
30
Понимание утечки данных, Джей Хайзер,Гартнер, 21 августа 2007 г.
«Военные секреты США продаются на афганском базаре», Уотсон,Лос-Анджелес Таймс, 10 апреля 2006 г.
Тенденции рынка USB-накопителей в мире, 2001–2010 гг., Джозеф Ансворт, Gartner, ноябрь 2006 г.
Защита флешки, Рон ЛаПедис, SanDisk, Disk Encryption Forum, 13 февраля 2007 г.
Используйте три закона шифрования для правильной защиты данных, Рич Могулл,Гартнер, 24 августа 2005 г.
http://www.enisa.europa.eu/rmra/rm_ra_methods.html
http://www.enisa.europa.eu/rmra/rm_ra_tools.html
Оценка безопасности аппаратного и программного шифрования на USB-накопителе, СанДиск, май 2008 г.
Безопасные USB-накопители
Безопасные USB-флеш-драйверы
ISBN: 978-92-9204-011-6
Каталожный номер: TP-30-08-571-EN-C
31
ТП-30-08-571-ЕН-Ц
ISBN 978-92-9204-011-6
Related documents
trigonometricheskie formuly
trigonometricheskie formuly
Download
advertisement