ADG Оставить заявку
Блог Информационная безопасность 5 мин чтения

Контроль USB-устройств: как закрыть флешки и не парализовать работу

Сотрудник унёс базу клиентов на флешке. Настроили белый список USB-накопителей через групповые политики - личные запрещены, корпоративные разрешены. Где граница между безопасностью и рабочим параличом.

Контекст момента

Дешёвые USB-флешки превращают съёмные носители в главный канал утечки корпоративных данных

Клиент позвонил в среду утром. Голос был такой, каким звонят, когда уже знают, что именно случилось, но ещё надеются, что всё не так плохо. Оказалось - всё именно так плохо. Бывший сотрудник, ушедший две недели назад, открыл собственное дело в том же сегменте. И судя по тому, как быстро он начал обзванивать клиентов с предложениями, ушёл не с пустыми руками.

Службу безопасности там держать не могли - небольшая компания, двадцать с чем-то человек. Журналов доступа к файловому серверу тоже не было. Но один из оставшихся сотрудников вспомнил, что видел, как тот человек вставлял флешку в компьютер в свой последний рабочий день. Флешка была своя, с брелоком.

Откуда растёт проблема

Год-полтора назад USB-накопители были дорогим удовольствием. Сейчас 256 мегабайт стоит меньше ста рублей в переходе. Любой сотрудник может принести флешку в кармане, скопировать что угодно и унести - незаметно, быстро, без следов. Никаких логов, никаких подозрительных писем наружу, никаких обращений к FTP. Вставил, скопировал, вытащил.

С дискетами такого не было - на них много не влезало. CD-RW были заметнее: всё-таки надо достать болванку, запустить запись, подождать. Флешка - это другой порядок удобства, и именно поэтому она стала дырой, о которой почти никто не думал.

Что именно делали

Задача звучала просто: закрыть возможность копировать данные на личные накопители. Но сразу стало понятно, что «закрыть всё» - не вариант. У клиента были реальные рабочие сценарии: менеджеры ездят на встречи с презентациями, бухгалтер переносит файлы на подпись, технари таскают дистрибутивы. Запрет всех USB-устройств создал бы такой поток звонков в поддержку, что решение пришлось бы откатить через три дня.

Значит нужен белый список: корпоративные флешки - можно, всё остальное - нельзя.

Механика в Windows XP/2003 через групповые политики прямого разрешения по Device ID не даёт - такой возможности в GPO XP нет. Поэтому шли через два шага: сначала через реестр, распространяемый GPO, отключаем сам драйвер USBSTOR (параметр Start в HKLM\SYSTEM\CurrentControlSet\Services\UsbStor выставляем в 4 - «Disabled»). Это режет все USB-накопители разом. Потом корпоративные флешки регистрировали отдельно через стороннее средство контроля устройств, которое умеет белый список по Device ID - это строка вида USBSTOR\DiskVendorID&ProductID&Rev. Когда нужное средство видит флешку, сравнивает Device ID со списком разрешённых. Совпало - монтирует. Нет - устройство не определяется, и на этом всё.

Практически это выглядело так:

  • Купили несколько одинаковых флешек (важно - одинаковые, Device ID у разных моделей различается).
  • Подключили одну к чистой машине, сняли идентификатор через devmgmt.msc.
  • Через GPO распространили реестровый параметр отключения USBSTOR на все машины; белый список корпоративных Device ID прописали отдельно.
  • Протестировали: корпоративная флешка монтируется, любая другая - нет.

Параллельно настроили аудит: включили Object Access в политике аудита и настроили аудит на папках с чувствительными данными. Теперь хотя бы видно, кто и когда открывал документы из клиентской базы - даже если не через флешку.

Где у этого метода дыры

Белый список по Device ID не серебряная пуля. Несколько вещей, которые мы честно объяснили клиенту.

Первое - идентификатор можно подделать. Некоторые USB-устройства позволяют перепрограммировать Device ID. Это не массовая история, но технически возможна. Против целенаправленной атаки с подготовкой этот метод слабее.

Второе - CD/DVD остались открытыми. Если есть приводы - данные можно унести на болванке. У этого клиента приводов на большинстве машин не было, но это надо проверять отдельно.

Третье - почта и веб остаются. Письмо на Gmail с вложением - это тот же канал утечки. USB-контроль закрывает один вектор, не все. Про фильтрацию на периметре мы уже разговаривали с этим клиентом, там был базовый firewall. Но DLP в привычном смысле у них нет.

Четвёртое - принтер. База клиентов в сотню строк распечатывается за полминуты. С этим технически не борются - только организационными мерами.

Грань между защитой и параличом

Главный вопрос, который возник при обсуждении: а не проще ли запретить вообще всё? Заблокировать USB полностью, убрать приводы, закрыть внешние сервисы.

Мы объяснили почему это работает только в теории. Когда сотрудники не могут делать свою работу удобно - они находят обходные пути. Кто-то начинает пересылать рабочие файлы через личную почту «временно, до решения вопроса с IT», кто-то фотографирует экран телефоном. Эти обходные пути хуже с точки зрения безопасности, потому что они невидимы и не контролируемы.

Разумный контроль - это не максимальный запрет, а запрет неконтролируемых каналов с сохранением контролируемых. Личная флешка неизвестного происхождения - неконтролируемый канал. Корпоративная флешка из нашего списка - контролируемый.

Аналогичная логика у нас была, когда разбирались с Blaster: там тоже хотелось закрыть всё подряд, но в итоге правильным решением оказалось закрыть конкретные уязвимые вещи, а не ломать инфраструктуру.

Что в итоге

Работает уже несколько недель. Звонков от пользователей про «флешка не работает» было три - все три раза это были личные накопители, которые принесли из дома. Корпоративные флешки роздали всем, кому они реально нужны по работе, остальным объяснили почему так.

Клиентскую базу уже не вернуть - ущерб случился раньше, чем мы пришли. Но следующий раз будет сложнее. Если кто-то захочет унести данные, придётся придумать что-то поизощрённее, чем принести флешку с брелоком.

Если хотите понять, что вообще у вас является реальным каналом утечки - аудит инфраструктуры даёт ответ на этот вопрос раньше, чем звонок с неприятными новостями.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.