воскресенье, 24 января 2016 г.

Утечка через автономные файлы

В инфраструктуре Windows возможно при работе с сетевыми ресурсами делать их доступными автономно. Это удобно при частых обрывах сети или медленных каналах. Но что это дает с точки зрения ИБ?


Предположим, у нас есть защищаемый информационный ресурс, который хранится в сети и доступен в виде файловой шары. Сотрудникам запрещено копировать эти файлы на локальные компьютеры, а работа с ними всячески контролируется техническими средствами защиты (DLP, анализ обращения к файлам, поиск нелегальных копий и т.д.).

Пришел в голову такой канал утечки: 
  1. Пользователь отмечает защищаемую сетевую папку как "Доступную автономно";
  2. ОС копирует защищаемые файлы на компьютер пользователя в хранилище автономных файлов;
  3. При получении физического доступа к компьютеру (жесткому диску) файлы сливаются во вне.

Автономные файлы в ОС хранятся в системном каталоге \Windows\CSC. Доменному пользователю по умолчанию туда не попасть, но никакого шифрования автономных файлов не производится и, получив прямой доступ к жесткому диску (например, с Live CD), можно получить доступ и к автономным файлам.

Казалось бы, это то же самое что и копирование файлов на локальный компьютер. Но есть несколько различий:
  • копирование - это осознанное действие со стороны пользователя, за частую нарушающее установленные в организации политики ИБ; 
  • появление защищаемых файлов на компьютере можно выявить различными техническими средствами (DLP, поиск нелегальных копий). Появление же автономной копии файлов в Windows\CSC\ техническое средство защиты по умолчанию не отследит. 

Возможность реализации описанной угрозы упирается в получение прямого доступа к компьютеру, а актуальна она будет если в организации запрещено хранить защищаемую информацию локально. 

Мера защиты по данному вектору напрашивается сама собой: 
Отключение "автономного режима" для сетевых папок с защищаемыми информационными ресурсами
В документах регуляторов подобной меры не встретил.
Если нет потребности в автономной работе пользователей, внедрение описанной меры не повредит, тем более что стоимость ее реализации практически нулевая.

Комментариев нет:

Отправить комментарий