Bezpieczne korzystanie z pamięci przenośnej – pendrive’a, czyli jak chronić się przed niepowołanym dostępem do zasobów zapisanych na urządzeniach pamięci masowej?
CASE STUDY #HV10
Problem
Organizacja, która posiada rozwiązania do monitorowania infrastruktury, postanowiła rozszerzyć definicje kontroli podłączanych urządzeń pamięci masowej (pendrive). Dotychczasowe narzędzia pozwalały wprowadzić ogólne reguły, które umożliwiały całkowitą blokadę wszystkich urządzeń lub ich dopuszczenie. Po przeprowadzonych rozmowach z szefami działów, departament informatyki zaproponował zbudowanie kilku „białych list” urządzeń dedykowanych wybranym grupom pracowników. Dotychczasowe narzędzie nie pozwalało na takie zmiany.
Oczekiwania Klienta
Dostęp do wrażliwych danych zapisywanych na pendrive – umów, schematów i wzorów projektów itp. – musi być zabezpieczony.
Pracownicy nie mogą mieć dostępu do plików zapisanych na przypadkowo znalezionych pamięciach USB.
W przypadku zmian uprawnień użytkowników lub objęcia ochroną dodatkowych pendrive’ów, administrator IT musi mieć możliwość wprowadzenia ich w infrastrukturze w ciągu 24 godzin.
Potrzebne jest rozwiązanie, które umożliwi użytkownikowi dedykowany dostęp do określonych pendrive’ów na określonych komputerach, w określonych dniach tygodnia i godzinach.
Wszystkie działania naruszające zdefiniowane i wdrożone polityki bezpieczeństwa (w tym w obszarze korzystania z pendrive’a) muszą być zapisywane, a dodatkowo administrator musi być o nich powiadomiony.
Rozwiązanie
Polityka Removable Device
Wdrożyliśmy politykę Removable Device wraz z utworzeniem, tzw. białej i czarnej listy. Polityka Removable Device i zdefiniowanie białej listy umożliwia uruchomienie dedykowanych reguł dostępu USB do komputerów dla poszczególnych działów jak również grup pracowników we wskazanym czasie.
Czarna lista
Skonfigurowanie czarnej listy nośników USB pozwoliło zablokować dostęp osobom niepowołanym do zawartości pendrive’ów zarządu i projektantów, umożliwiając jednocześnie korzystanie z urządzenia autoryzowanym użytkownikom.
Zmiana uprawnień (polityk)
Zmianę uprawnień użytkowników, rejestracji nowych pendrive’ów administrator realizuje w 10 minut. Rejestracja nowych pendrive’ów może odbywać się w procesie automatycznego rozpoznawania (podczas pierwszego użycia) lub też w wyniku importu z dowolnego źródła danych.
Rezultat
- Podłączenie autoryzowanego pendrive’a przez nieautoryzowanego użytkownika jest monitorowanie i logowane w konsoli administratora Hyprovision DLP.
- Podłączenie nieautoryzowanego pendrive’a przez autoryzowanego użytkownika jest monitorowanie i logowane w konsoli administratora Hyprovision DLP.
- Podłączenie autoryzowanego pendrive’a przez autoryzowanego użytkownika na nieautoryzowanym do tego celu komputerze jest monitorowanie i logowane w konsoli administratora Hyprovision DLP.
- Podłączenie autoryzowanego pendrive’a przez autoryzowanego użytkownika na autoryzowanym komputerze poza wyznaczonymi godzinami jest monitorowanie i logowane w konsoli administratora Hyprovision DLP.
- Incydent generowany w wyniku nieautoryzowanego procesu jest logowany w systemie.
- W zależności od konfiguracji użytkownik może być powiadamiany o wystąpieniu incydentu. Treść komunikatu (okienko pop-up) jest definiowana przez administratora.
- Administrator jest powiadamiany o wystąpieniu incydentu w konsoli administracyjnej.
- Powiadomienia administratora mogą mieć dodatkowo (opcjonalnie) formę e-mailową.
Wnioski: Okresowe tworzenie raportów dla użytkowników notorycznie powodujących incydenty bezpieczeństwa.
W przypadku częstych naruszeń polityki bezpieczeństwa w zakresie prób korzystania, np. z nieautoryzowanych nośników danych należy wygenerować raporty zawierające dane:
- imię i nazwisko,
- login użytkownika,
- identyfikator komputera,
- identyfikator urządzenia (pendrive’a),
- data i godzina,
- szczegóły operacji i podjęte akcje przez system DLP.
Raport stanowi podstawę do dalszych działań mających na celu poprawę skuteczności realizacji przyjętych polityk bezpieczeństwa. Na okoliczność tych działań powinna zostać sporządzona notatka.