Víte,co provádějí vaši zaměstnanci? Unášíme firemní data

V několika dřívějších číslech jsme se setkávali u seriálu "Ukradli vám už notebook?", v němž jsem se pokoušel nastínit nebezpečí, plynoucí z umístění citlivých dat nejen na přenosných počítačích. Postupně jsme pronikali do zákoutí technologií pro šifrování a dalších souvisejících forem ochrany a ukazovali moderní možnosti ochrany dat před neoprávněným užitím.



Přestože jsme se dostali na samé hranice současných technologií, rozhodně nelze říci, že jsme vyřešili všechny možné problémy a odolali veškerým nástrahám. A právě z tohoto důvodu vznikl článek, který právě čtete, a jeho několik následujících pokračování. Opět se v nich pokusíme zamířit na slabá místa, díky nimž se mohou naše data ocitnout v bezprostředním ohrožení.

Na co už jsou šifry krátké
Ochrana dat prostřednictvím silného šifrování, případně jejich související zabezpečení pomocí technologií digitálních podpisů či propracované návazné správy uživatelských práv (rights management v širším slova smyslu) jsou velmi účinné ochranné prostředky. Jejich možnosti a potenciál nasazení jsme naznačili a demonstrovali v předchozí volné sérii článků, v níž došlo i na pojednání o komplikovaných scénářích, jako je propojení s infrastrukturami PKI či využití aplikací s již zabudovanou technologií zmiňovaného rights managementu. Zároveň jsme se však v dosavadních dílech vždy důsledně snažili dotknout samé principiální hranice možností použití šifrovacích technologií - jde o konflikt mezi požadavkem na zpřístupnění dat oprávněnému uživateli při práci a snahou o kontrolu nad jejich pohybem.
Jedním ze závěrů našeho dosavadního povídání bylo tedy zjištění, že pokud je nutné data uživateli plně zpřístupnit - což při práci s nimi nezbytné je - představuje následná ochra-
na před jejich dalším nekontrolovaným únikem tvrdší oříšek, než se může na první pohled zdát. Pokud důsledně nepoužijeme pro úplné zajištění technologii rights managementu, jejíž implementace mají dnes k žádoucímu stavu daleko, představují obrovské riziko kupříkladu běžné komunikační kanály jako klientské aplikace internetových služeb (webový prohlížeč, klient služby FTP či e-mail), ale také veškeré formy přenosných paměťových médií, obvykle snadno připojitelných pomocí rozhraní USB či FireWire. Chceme-li uzavřít i tyto únikové cesty, nezbývá než přistoupit k ochraně na mnohem hlubší úrovni - naším cílem se postupně stane podrobné sledování potenciálně nebezpečných aktivit a případné zablokování těchto "pašeráckých stezek". A právě tato tematika bude předmětem následujících pojednání.

Scénář první:
Bráníme připojení čehokoliv přenosného
Jak už to často bývá, zvyšující se možnosti a uživatelský komfort běžných uživatelů nemusí při správě rozsáhlejšího síťového prostředí s jasně definovanou bezpečnostní politikou být vždy ku prospěchu. Technologie snadno a rychle připojitelných paměťových médií je toho více než výmluvnou ukázkou. V současné době pravděpodobně nejpopulárnější rozhraní USB pro rychlý přenos dat přineslo uživatelům bezesporu obrovské výhody. Na jedné straně jsou zde dnes již opravdu velkokapacitní přenosné disky v podobě přívěsků na klíče, na druhé straně jsou komunikační rozhraní definována v prostředí běžných operačních systémů a řada takto narychlo připojených zařízení nepotřebuje ke své práci specializovaný software - ovladače (přesněji řečeno, ten je již v operačním systému zahrnut). Výsledkem je nebývale snadné a rychlé připojení a připravenost k činnosti, kterou může být nejen třeba přenos fotografií pořízených digitálním aparátem, ale také bleskový přesun citlivých dat z počítače na nosič a jeho následný nepozorovaný "přesun" mimo reálný firemní dosah. Chceme-li zabránit provedení takto ďábelsky jednoduchého plánu, nezbývá než nasadit řešení, jež tyto aktivity důsledně ohlídá.

Základní úskalí a možnosti Windows
Integrace technologie USB na počítačích PC a podpora ze strany operačního systému Windows dosáhly nebývalého souladu, takže dnes ve většině případů opravdu není problém připojit přenosný (vyměnitelný) disk či funkčně stejné médium a přenášet data na síťová úložiště či lokální (zabudované) pevné disky, nebo z nich. Cenou za snadnou obsluhu a naprostý komfort uživatele jsou pak obtíže při omezování těchto aktivit.
Jedním z principiálních problémů je status samotných zařízení při jejich bezprostředním připojení - protože není nutné instalovat ovladače (systém je obsahuje) a aktivace zařízení proběhne automaticky, uživatel nepotřebuje jinak kritické oprávnění k instalaci softwaru či hardwaru. Odepřením tohoto oprávnění, což je jinak běžná cesta při bránění obdobným aktivitám, nelze uživateli překazit jeho záměr nosič připojit. Samotný operační systém pak nenabízí v rámci kolekce nastavení lokální bezpečnosti (Local Security Policy) jasně profilovaná pravidla, jež by odepřela přístup k příslušným rozhraním určitým skupinám uživatelů.
Na úrovni pokročilé administrace rozsáhlejších sítí lze při využití technologie administrátorské domény Windows s databází Active Directory částečně sáhnout po silném mechanizmu Group Policy. Ačkoliv je tento primární prostředek jinak velmi propracovaný, v oblasti řízení přístupu k externím nosičům či portům USB rovněž nenabízí téměř žádná pravidla. Jedinou použitelnou politikou je vynucení konfigurace, v níž jsou externí zařízení připojená uživatelem považována za disková úložiště s oprávněním pro pouhé čtení a operační systém tedy brání zápisu, přenosu dat z počítače. Tato volba je však ojedinělá a navíc je velmi čerstvou implementací v poslední variantě domény s Active Directory (ve verzi Windows 2000 zcela chyběla).
Je zřejmé, že bez dodatečných nástrojů jsou možnosti poměrně základní a často nedostačující.

GFI EndPointSecurity
Jednou z firem, jež se pokusila problém vyřešit, je dobře zavedený dodavatel bezpečnostních a komunikačních řešení GFI Software. Jejich nástroj výše uvedeného jména přistupuje k problému poměrně zeširoka a využívá existující struktury. Pod jeho kuratelou se mohou ocitnout nejen disky na rozhraní USB, ale také média CD či DVD, přenosná multimediální zařízení (i-Pod) a rovněž paměťové karty fotoaparátů. Řízení přístupu je vázáno na zavedené mechanizmy: přiřazení práv se provádí prostřednictvím členství ve skupinách domény Windows (Active Directory) a administrace je přímočaře cílena na jednotlivé hardwarové typy externích médií. Výrobce zvolil strategii nasazení lokálních komponent (agentů) na jednotlivých cílových počítačích, jeho nástroje pro centrální správu dovolují snadné nasazení do sítě i následnou konfiguraci. Zmiňované řešení představuje ucelený způsob překlenutí problému s výměnnými datovými komponentami, výrobce však nemá ambice překročit tuto hranici, a proto je kupříkladu při snaze o ochranu síťových "odchozích" tras nutné nasadit další systém pro kontrolu síťového provozu.

SODATSW OptimAccess Standard
Řešení výše uvedeného jména je součástí komplexního systému Desktop Management System OptimAccess, který je určen pro širokou kontrolu uživatelských aktivit na pracovních počítačích. Úkolem této součásti jinak mnohem širší mozaiky je pracovat především jako účinná kontrola či restriktivní mechanizmus při práci s externími přenosnými médii a zabránit tak nežádoucím přesunům dat. Mezi hlavní a očekávanou funkcionalitu patří samozřejmě omezení přístupu k datovým úložištím na rozhraní USB či FireWire, nebo odepření práce s nosiči CD a DVD, avšak možné je též využití režimu čtení a případného jednosměrného přenosu. Vedle toho nabízí tento nástroj i další doprovodné a těsně související funkce, takže lze kupříkladu při přenosu dat z externích médií na pevné disky stanic selektivně bránit ukládání potenciálně nebezpečných souborů (např. s příponami EXE či DLL).
Vedle dalších očekávaných vlastností, jako je vzdálená správa a automatická distribuce klientských komponent (agentů) na cílové počítače, je výhodou možnost nasazení i na starších operačních systémech Windows, kde nejsou k dispozici běžné prostředky posledních verzí Windows XP. Vedle toho může systém zavést i další ochranné prvky, jako je kontrola přístupu do určitých konfiguračních částí operačního systému (Ovládací panely). Významnou možností je též případné zavedení ochrany dat na úrovni souborového systému FAT tam, kde NTFS není přítomen či použitelný.
Za zmínku dále stojí šíře kritérií, na jejichž základě lze cílová, lehce připojitelná zařízení blokovat. Používány jsou různorodé identifikátory, jejichž určení může vést jak k odepření celé velké skupiny typicky podobných či shodných zařízení, tak k zablokování jediné, specifické periferie. Za poznávací znamení tak může být považováno třeba sériové číslo, zavedené výrobcem a určující přesně jedinečnou komponentu, nebo kupříkladu tzv. Class (třída zařízení), která bývá společná pro celou logicky související skupinu výrobků shodných typů (především v závislosti na způsobu připojení k počítači). Výrobci sami nabízejí i další možnosti, jako třeba tzv. HardwareID - jedná se o textový řetězec, zpřístupněný operačnímu systému ovladačem, podle nějž lze obvykle rozpoznat série určitého typu od stejných výrobců. Základem pak pochopitelně zůstává seskupení zařízení podle portu (typu připojení), jako jsou USB, PCMCIA, 1394 (FireWire) či třeba IrDA.
OptimAccess Standard představuje nejen plnohodnotné řešení pro eliminaci problému výměnných médií, ale rovněž základ pro širší škálu nastavení svázaných se zabezpečením datových zdrojů. Začleněním do dalších součástí platformy Desktop Management System OptimAccess můžeme nadále rozšiřovat působnost zavedených politik o nové možnosti, jež budou probrány v dalších scénářích. Podrobněji se podíváme především na možnosti zavedení aktivních reakcí na základě záznamu pokusu o připojení či použití neoprávněného zařízení (reportování, blokace účtů uživatelů apod.), podrobně se budeme v jednom z dalších dílů věnovat též auditování činnosti uživatelů.

Na co se těšit příště?
V tomto článku jsme poukázali na jedno ze slabých míst v oblasti ochrany citlivých dat před únikem a naznačili jsme možná řešení, jež dokáží postihnout jinak neimplementované funkce operačního systému Windows. Protože však přenosná média nejsou zdaleka jediným problémem, podíváme se v následujících dílech na další zajímavá témata. Zastavíme se kupříkladu u řízení a kontroly spouštění aplikací a procesů na koncových počítačích a také přistoupíme ještě těsněji k uživateli s cílem důkladněji mapovat jeho aktivity, směřující k "vynášení" dat dalšími možnými kanály.


Veškerá externí zařízení je možné kontrolovat na základě typu připojení a následně rostřednictvím řady specifických rozpoznávacích parametrů.

Jedním z mnoha mechanizmů ochrany systému OptimAccess je kontrola činnosti hardwaru s vyměnitelnými médii.

Primárním nástrojem pro kontrolu chování klientských stanic v sítích Microsoftu je Group Policy. Možnosti v oblasti řízení přípojných zařízení jsou dosti omezené.










Komentáře