Hlavní navigace

Nepodceňujme bezpečnost přenosných zařízení

 Autor: 29
Helena Nykodýmová 29. 5. 2007

Neustálý rozvoj technologií směřující k minimalizaci rozměrů, maximalizaci kapacit, jednoduchosti použití a integrací různých funkcí do jednoho zařízení jsou výhodou pro uživatele, ale noční můrou bezpečnostních administrátorů. Na výměnná zařízení lze uložit velké množství dat a dají se pořídit s čím dál větší kapacitou až desítek GB.

V dnešní době jsou nejrozšířenější výměnná zařízení připojená přes sběrnici USB. Mezi nimi kralují flash disky a digitální fotoaparáty, ale i další zařízení, jako jsou kapesní počítače (PDA), smartphone, MP3 přehrávače či klasické disky. Z historických důvodů sem připadají i diskety nebo CD a DVD mechaniky.

Počítače i notebooky jsou USB konektory už běžně vybaveny, což umožňuje nejen jednoduché připojování myši a klávesnice, ale také připojování externích paměťových médií, tiskáren nebo vzájemné propojení samotných počítačů. Zařízení přitom díky standardizaci USB sběrnice a protokolu USB Storage Class nevyžadují žádné ovladače. I pro nezkušeného uživatele je jejich použití velmi jednoduché: po zasunutí do USB portu se připojí jako nový disk a uživatel může začít okamžitě pracovat.

Jaké riziko představují výměnná zařízení pro firemní síť?

Dnes již většina organizací dokáže minimalizovat rizika hrozeb instalace škodlivého kódu, útoků zvenčí organizace, připojení notebooků z vnějšího prostředí do vnitřní počítačové sítě a mnoho dalších. Organizace mají zpracovanou bezpečnostní politiku a nasazeny příslušné prvky ochrany. Hrozby pramenící z volného používání externích paměťových médií jsou většinou opomíjeny, řada společností si rizika neuvědomuje a ignoruje je (většinou do doby, než se něco stane). Nekontrolovatelné používání přenosných zařízení představuje pro stabilitu podnikání velkou hrozbu.

Rizika nekontrolovatelného používání výměnných médií jsou zjevná:

  • únik informací: zaměstnanec zkopíruje na výměnná zařízení velké objemy dat nebo programů. Dokonce i když je takový přenos oprávněný, existuje riziko ztráty nebo odcizení externích médií,
  • zavlečení nežádoucího kódu: do vnitřního prostředí sítě mohou být vpuštěny viry, trojské koně a další malware,
  • instalace ilegálního softwaru,
  • nahrání nechtěných dat: do firemní sítě může být nahrán velký objem dat včetně např. fotek nebo videa, které pak mohou v celkovém množství ubírat diskovou kapacitu.

Přitom hrozby od vlastních zaměstnanců jsou stále na vzestupu a průzkumy zveřejněné Gartnerem ukazují, že až 70 procent hrozeb pochází zevnitř organizace. Společnosti si toho musí být vědomy, protože dopad pro jejich byznys může být velký: přímá finanční ztráta, prohraná výběrová řízení, ztráta konkurenční výhody, diskreditace společnosti…

Přenosná paměťová zařízení představují hlavní hrozbu zejména pro společnosti, které nemají záznamy o přenosech souborů ze sítě na zařízení nebo opačným směrem.

Na konferenci Infosecurity Europe 2007 byly zveřejněny výsledky průzkumu provedeného nezávislou společností, který se týkal hrozby používání výměnných zařízení. Průzkum ukázal naivní přístup společností k rizikům používání USB pamětí, iPodů a PDA. Přestože se 49 procent dotazovaných společností obává krádeží dat, téměř polovina respondentů sdělila, že nemá představu o počtu uživatelů externích médií ve společnosti. Pouhých 29 procent dotázaných společností potvrdilo, že logují přenášení dat mez paměťovými médii a sítí.
V mnoha případech zůstává narušení bezpečnosti bez povšimnutí nebo si jej administrátoři neuvědomují. Průzkum dále ukazuje, že 28 % dotázaných neví, zda se již v minulosti setkali s narušením bezpečnosti nebo krádeží dat, jednoduše proto, že přenosná zařízení nekontrolují.

Endpoint Security

Mezi běžnou praxi patří zákaz použití přenosných paměťových zařízení, fyzické blokování portů nebo použití Windows Group Policies. Taková opatření omezují ale i ty uživatele, kteří tato zařízení ke své činnosti potřebují.

Jediným efektivním způsobem, jak čelit hrozbě číhající v přenosných zařízeních, je instalace softwarového řešení. Řešení, se kterým můžete rozlišovat mezi oprávněným a neoprávněným použitím v souladu s firemní bezpečnostní politikou. A když už přístup k zařízení je povolen, měla by být veškerá aktivita logována tak, aby bylo možné vystopovat, zda a kdy došlo k narušení bezpečnostních pravidel.

Zabezpečení koncových zařízení se nazývá Endpoint Security. Mělo by v sobě obsahovat řešení jak pro ztrátu dat, tak zatažení nežádoucího kódu. Výměnná zařízení lze velmi elegantně blokovat již při jejich připojení do počítače. Nástroje k tomu určené dokáží zařízení rozlišit dle velkého množství kritérií od typu zařízení (fotoaparát, tiskárna, USB disk) přes hardwarové číslo zařízení až po sériové číslo. V konečném důsledku lze nastavit, že do počítače lze připojit pouze jeden konkrétní USB disk a žádné jiné zařízení.

Vhodným doplňkem pak je i monitoring dat, která jsou na zařízení ukládána nebo z nich čtena, a upozornění na nežádoucí aktivity.

Opatřením pro ztrátu dat je zašifrování obsahu souborů, které zaměstnanec na médium ukládá. Tyto soubory pak má k dispozici pouze v zaměstnání, a nehrozí tak jejich únik.

Typické řešení z praxe

Pojďme se podívat na možné řešení problematiky používání externích paměťových médií. Výsledné řešení je založeno na použití komerčního software. Komerční produkty od společností zaměřených na Endpoint Security dosahují výrazně větší míry bezpečnosti a propracovanosti řešení než řešení zabudovaná v operačním systému. Doporučená konfigurace zabezpečení je následující:

  • v celé organizaci je možné používat pouze klávesnici a myš,
  • vytvoření skupin, které mohou používat periferní zařízení a externí paměťová média a rozdělení do rolí:
  • uživatel nemá oprávnění používat vysokokapacitní zařízení;
  • uživatel má právo číst,
  • uživatel má právo zapsat,
  • uživatel má právo zapsat a je povolen spustitelný kód,
  • monitorování práce s externími a paměťovými médii včetně pohybu všech informací a dat organizace ukládaných nebo načítaných z těchto médií,
  • zasílání zprávy (emailu) zodpovědným pracovníkům v případě neoprávněného použití či nepovolné operace,
  • šifrování všech informací ukládaných na externí paměťová média tak, aby nebyly čitelné mimo prostředí organizace.

Použitím uvedené konfigurace bude kontrolováno připojování zařízení a pohyb informací nad těmito zařízeními. Kdykoliv je možné provést zpětnou vazbu a v případě bezpečnostního incidentu dohledat možné úniky dat.

Pracovníci zodpovědní za IT bezpečnost by si měli uvědomit, že správa rizik je vždy levnější než reakce na incident. Je lepší být na hrozbu připraven než pasivně reagovat na nové události. Zajištění Endpoint Security umožňuje reagovat na incident v okamžiku jeho vzniku.

Anketa

Máte nějak zabezpečena svá přenosná paměťová zařízení?

Našli jste v článku chybu?

30. 5. 2007 11:31

J (neregistrovaný)
Odpovedet se na to da, existujou primo fimy, ktery se zabyvaji nasledky vypadku. Pokud mam infomace, tak firmy, kde dojde k totalnimu vypadku (= vyhori treba serverovna a neni zadna alternativa pouzitelna v radu hodin) bud krachnou hned nebo do roka po vypadku (99.7%).

A to ze neco umre neni jen pravdepodobnost, to je jistota. Je jen otazka kdy.

Ostatne, stejny problem ma spousta firem s prostym zalohovani dat, proc by se melo nakupovat nejake zalohovaci vybaveni, vzdyt mi to jednou tejdne v…



120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie