Kompleksowa ochrona nośników danych

Szyfrowanie - oprogramowanie

Kompleksowa ochrona nośników danych

Kontrola urządzeń przenośnych z poziomu Windows 7

Biorąc pod uwagę dostępność nośników (innych niż pendrive’y) z wbudowanymi funkcjami szyfrowania, w dalszym ciągu najpopularniejszym sposobem ochrony jest szyfrowanie oparte na oprogramowaniu. Ma ono oczywiście wiele wad w stosunku do szyfrowania sprzętowego, takich jak degradacja wydajności, często kolejny agent instalowany na komputerze czy bezpieczeństwo kluczy szyfrujących. Są też plusy - w zasadzie nie ma znaczenia, jaki nośnik posiadamy. Możemy też wybierać z dostępnych na rynku rozwiązań darmowych z TrueCrypt na czele. Używając Windows (niestety w wersji Ultimate), mamy na pokładzie rozwiązanie szyfrujące BitLockera, które radzi sobie także z nośnikami wymiennymi. Nie jest ono szczególnie rozbudowane funkcjonalnie, ale może być centralnie zarządzane poprzez wykorzystanie Microsoft BitLocker Administration and Monitoring (MBAM) i odpowiedniego klienta. W odniesieniu do nośników wymiennych mamy kilka opcji konfiguracji, w tym: zabronienie zapisywania informacji na nośnikach niezabezpieczonych BitLockerem, kontrolę haseł, tryb recovery. Podobnie w systemach linuksowych mamy przynajmniej kilka dostępnych rozwiązań, np. LUKS (Linux Unified Key Setup) czy dmcrypt. A dzięki narzędziom, takim jak FreeOTFE jesteśmy w stanie odczytać kontenery linuksowe także pod Windowsem.

Kompleksowa ochrona nośników danych
Większość funkcjonalności opisanych przy okazji omawiania SED i TPS znajdzie odzwierciedlenie również tutaj, dlatego nie będziemy ponownie ich przytaczać. Warto jednak zwrócić uwagę na ciekawy i coraz częściej wykorzystywany mariaż wzmacniający ochronę danych na urządzeniach przenośnych. To integracja software’owych rozwiązań szyfrujących z rozwiązaniami klasy DLP (Data Loss Prevention). Jest to odpowiedź na dobiegające z wielu stron głosy, że szyfrowanie jest bronią obosieczną. O ile dobrze zabezpieczy przed utratą danych, to nie uchroni przed nadużyciami związanymi z niewłaściwym ich wykorzystaniem. Scenariusz połączenia tych dwóch technologii jest dość prosty. Skoro DLP ma (lub powinno mieć) świadomość wagi krążących informacji, to może też reagować w przypadku, kiedy ktoś próbuje skopiować informacje wrażliwe na nośnik zewnętrzny. Reakcja może obejmować na przykład wymuszenie zaszyfrowania samej informacji lub weryfikację, czy nośnik jest zaszyfrowany i tylko wtedy zezwolenie na kopiowanie.

Kontrola

Kolejnym aspektem zabezpieczania nośników przenośnych jest możliwość zapanowania nad tym, kto i co podłącza do komputera, oraz jakie operacje może wykonywać używając nośników. Jest to funkcjonalność ściśle powiązania z szyfrowaniem, ale bardzo często implementowana rozdzielnie. Pewne mechanizmy kontroli będziemy mieli już na poziomie systemu Windows (od Visty w górę).

Nie jest to jednak rozwiązanie rozbudowane i kontrola nad urządzeniami przenośnymi jest mocno ograniczona. Nie ma na przykład możliwości zbudowania precyzyjnej listy nośników dopuszczonych w organizacji, identyfikowanych po numerach seryjnych. Na rynku dostępne są narzędzia, które ten problem rozwiązują. Część rozwiązań typu endpoint security ma moduł kontroli urządzeń, pozwalający zaimportować listę dozwolonych urządzeń i blokować całą resztę, odnotowując przy tym próby skorzystania z "wrogich" nośników. Mamy też dedykowane narzędzia, które potrafią zinwentaryzować podłączane urządzenia, zawęzić możliwe dozwolone interfejsy (np. FireWire, USB, czytniki SD etc.), stworzyć listę urządzeń zaufanych i blokować wszystkie inne, a przy tym kontrolować lub monitorować transfer danych na nośniki zaufane. Przykładami takich produktów mogą być Symantec Endpoint Encryption Removable Control czy Credant External Media Edition.

Kompleksowa ochrona nośników danych

TOP 200