Журнал "Information Security/ Информационная безопасность" #1, 2021

Разрешенные флешки либо запре- щалось уносить с работы, либо разре- шалось подключать только после "обра- ботки в санитарной зоне", что подразу- мевало проверку на вирусы на специ- альном рабочем месте. Очевидно, что для того, чтобы не бороться с зараженными флешками в организации, надо их в организацию не пускать. Казалось бы, именно на это и направлена описанная логика защиты. Нельзя сказать, что эти усилия совер- шенно ничего не давали. Однако, как и в целом в борьбе с вирусами в органических и компьютерных системах, успехи тут были весьма переменные (каждый поне- дельник – новый букет вирусов), а ресурсы затрачивались существенные. Около 10 лет назад мы предложили радикальный подход: не пытаться пре- пятствовать выносу флешек за пределы контролируемой зоны, но сделать невоз- можным их применение на каких-либо компьютерах, кроме явно разрешенных. Невозможным совсем, даже для легаль- ного пользователя, даже для операцион- ной системы компьютера. Это принципиально, ведь от того, лега- лен ли пользователь, никак не зависит, есть ли на компьютере вирусы. Если они там есть, то как только ОС получает доступ к флешке, к ней получают доступ и вирусы. Бесполезным для защиты от заражения является и шифрование данных на флеш- ке. Вирусу все равно, читаемы ли данные на диске, он способен записаться и рядом с нечитаемыми, главное, чтобы у ОС был доступ к диску. Акцент в нашем решении был смещен на то, чтобы ОС получала доступ к диску только в том случае, если сам USB-нако- питель определил, что на данном ком- пьютере разрешено это сделать. Такой USB-накопитель уже не совсем "флешка", мы его называем "служебный носитель". Получение доступа к диску со стороны ОС называется монтированием диска. Оно осуществляется ОС автоматически 1 , если при обращении к подключенному устройству считывается атрибут "диск". Значит, чтобы ОС не получила доступа к диску на неразрешенном компьютере, USB-накопитель должен признаваться в том, что он диск, только после успешного проведения процедур проверки компью- тера на наличие в списке разрешенных. Для этого необходимы два условия: 1. Список разрешенных компьютеров находится не на том же диске, доступ к которому ограничиваем. 2. Проверка на наличие компьютера в списке производится не средствами операционной системы, доступ которой к диску ограничиваем. Это значит, что у USB-накопителя дол- жен быть собственный аппаратно реали- зованный блок аутентификации, который отработает до того, как ОС смонтирует диск. То есть до успешного завершения процедур (и в случае их неуспешного завершения) USB-накопитель должен представляться системе иначе, не давая ей смонтировать диск. Легко понять, что ни необходимость наличия на компьютере какой-либо интер- фейсной программы, ни требование нали- чия какого-либо выработанного тем или иным образом "кода доступа" не может обеспечить защищенность флешки от заражения без выполнения вышепере- численных условий. И поэтому, хотя общая идея (менять флешки так, чтобы они не были доступны вне системы, а не ставить ПО на под- контрольные компьютеры) воспринята и эксплуатирующими организациями, и дру- гими вендорами средств защиты инфор- мации, мы вынуждены констатировать, что все известные нам варианты реали- зации этой идеи, кроме семейства защи- щенных USB-накопителей "Секрет", осно- вываются скорее на психологических, чем на технических приемах. Напомним в двух словах особенности "Секретов" на примере наиболее популяр- ного продукта "Секрет Особого Назначе- ния". Блок аутентификации "Секрета" проверяет компьютер на предмет совпа- дения с имеющимися в списке разре- шенных по пяти параметрам (номер мате- ринской платы, ID ОС, домен и т.д. (все это можно посмотреть на сайте 2 )). До успешного прохождения аутентификации компьютера диск не монтируется и недо- ступен для ОС, а значит и для вирусов. Выглядит это для ОС (и для пользова- теля, если он полюбопытствует, что про- исходит) как кард-ридер без установлен- ного в него диска. Если нажать на букву диска, увидим: В диспетчере устройств увидим: Пользователь "Секрета", собственно, использует флешку – записывает на нее данные и читает их с нее. Для доступа к флешке, в случае успешной проверки компьютера на предмет разрешенности, пользователь вводит ПИН-код, который он сам устанавливает, поэтому больше никому этот ПИН-код не известен. Все попытки пользователя подключить "Секрет", как успешные, так и неуспеш- ные, когда компьютер не прошел проверку и диск не был примонтирован, фикси- руются в журнале "Секрета", который пользователю недоступен. Его может посмотреть только администратор. Администратор же "Секрета", напротив, не может увидеть диск с данными поль- зователя, он может только посмотреть журналы или поменять настройки без- опасности – допустимую длину ПИН-кода, количество допустимых неверных вводов, список разрешенных компьютеров с их параметрами, действия в случае запол- нения журнала. У администратора свой пароль для входа в консоль администри- рования, а инструментов для того, чтобы, например, сбросить ПИН-код пользова- теля, назначить новый и посмотреть дан- ные на флешке – нет. Сбросить учетные данные пользователя можно только вме- сте с полным сбросом всех данных. В заключение добавим, что "Секрет" не защищен от заражения вирусами на разрешенном компьютере. Но это уже совсем другая история – борьба с зараженными компьютерами в органи- зации. l • 27 КОНТРОЛЬ ДОСТУПА www.itsec.ru Борьба с зараженными флешками в организации огда-то мы первыми поставили вопрос о том, что бороться в организации с зараженными флешками – это сизифов труд. В те времена работа над этой задачей выглядела примерно так: с помощью средств контроля подключаемых устройств (из состава СЗИ НСД или DLP-систем и аналогичных) пользователей ограничивали в том, какие флешки и к каким компьютерам защищенной информационной системы они могут подключать. К Светлана Конявская, заместитель генерального директора ОКБ САПР АДРЕСА И ТЕЛЕФОНЫ ОКБ САПР см. стр. 48 NM Реклама 1 В Windows – всегда, в Linux, в общем-то, тоже всегда, но есть и команда для произвольного монтирования, “вручную", однако на текущее рассуждение это никак не влияет. 2 https://www.okbsapr.ru/products/storage/flash/secret/special/