Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Утечка через автономные файлы

Аватар пользователя Николай Казанцев
Автор: Казанцев Николай,
(0)
()
В инфраструктуре Windows возможно при работе с сетевыми ресурсами делать их доступными автономно. Это удобно при частых обрывах сети или медленных каналах. Но что это дает с точки зрения ИБ?


Предположим, у нас есть защищаемый информационный ресурс, который хранится в сети и доступен в виде файловой шары. Сотрудникам запрещено копировать эти файлы на локальные компьютеры, а работа с ними всячески контролируется техническими средствами защиты (DLP, анализ обращения к файлам, поиск нелегальных копий и т.д.).

Пришел в голову такой канал утечки: 
  1. Пользователь отмечает защищаемую сетевую папку как "Доступную автономно";
  2. ОС копирует защищаемые файлы на компьютер пользователя в хранилище автономных файлов;
  3. При получении физического доступа к компьютеру (жесткому диску) файлы сливаются во вне.

Автономные файлы в ОС хранятся в системном каталоге \Windows\CSC. Доменному пользователю по умолчанию туда не попасть, но никакого шифрования автономных файлов не производится и, получив прямой доступ к жесткому диску (например, с Live CD), можно получить доступ и к автономным файлам.

Казалось бы, это то же самое что и копирование файлов на локальный компьютер. Но есть несколько различий:
  • копирование - это осознанное действие со стороны пользователя, за частую нарушающее установленные в организации политики ИБ; 
  • появление защищаемых файлов на компьютере можно выявить различными техническими средствами (DLP, поиск нелегальных копий). Появление же автономной копии файлов в Windows\CSC\ техническое средство защиты по умолчанию не отследит. 

Возможность реализации описанной угрозы упирается в получение прямого доступа к компьютеру, а актуальна она будет если в организации запрещено хранить защищаемую информацию локально. 

Мера защиты по данному вектору напрашивается сама собой: 
Отключение "автономного режима" для сетевых папок с защищаемыми информационными ресурсами
В документах регуляторов подобной меры не встретил.
Если нет потребности в автономной работе пользователей, внедрение описанной меры не повредит, тем более что стоимость ее реализации практически нулевая.
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.