Kompleksowa ochrona nośników danych
- Patryk Królikowski,
- 04.01.2013, godz. 18:00
Szyfrowanie - oprogramowanie
Biorąc pod uwagę dostępność nośników (innych niż pendrive’y) z wbudowanymi funkcjami szyfrowania, w dalszym ciągu najpopularniejszym sposobem ochrony jest szyfrowanie oparte na oprogramowaniu. Ma ono oczywiście wiele wad w stosunku do szyfrowania sprzętowego, takich jak degradacja wydajności, często kolejny agent instalowany na komputerze czy bezpieczeństwo kluczy szyfrujących. Są też plusy - w zasadzie nie ma znaczenia, jaki nośnik posiadamy. Możemy też wybierać z dostępnych na rynku rozwiązań darmowych z TrueCrypt na czele. Używając Windows (niestety w wersji Ultimate), mamy na pokładzie rozwiązanie szyfrujące BitLockera, które radzi sobie także z nośnikami wymiennymi. Nie jest ono szczególnie rozbudowane funkcjonalnie, ale może być centralnie zarządzane poprzez wykorzystanie Microsoft BitLocker Administration and Monitoring (MBAM) i odpowiedniego klienta. W odniesieniu do nośników wymiennych mamy kilka opcji konfiguracji, w tym: zabronienie zapisywania informacji na nośnikach niezabezpieczonych BitLockerem, kontrolę haseł, tryb recovery. Podobnie w systemach linuksowych mamy przynajmniej kilka dostępnych rozwiązań, np. LUKS (Linux Unified Key Setup) czy dmcrypt. A dzięki narzędziom, takim jak FreeOTFE jesteśmy w stanie odczytać kontenery linuksowe także pod Windowsem.
Kontrola
Kolejnym aspektem zabezpieczania nośników przenośnych jest możliwość zapanowania nad tym, kto i co podłącza do komputera, oraz jakie operacje może wykonywać używając nośników. Jest to funkcjonalność ściśle powiązania z szyfrowaniem, ale bardzo często implementowana rozdzielnie. Pewne mechanizmy kontroli będziemy mieli już na poziomie systemu Windows (od Visty w górę).
Nie jest to jednak rozwiązanie rozbudowane i kontrola nad urządzeniami przenośnymi jest mocno ograniczona. Nie ma na przykład możliwości zbudowania precyzyjnej listy nośników dopuszczonych w organizacji, identyfikowanych po numerach seryjnych. Na rynku dostępne są narzędzia, które ten problem rozwiązują. Część rozwiązań typu endpoint security ma moduł kontroli urządzeń, pozwalający zaimportować listę dozwolonych urządzeń i blokować całą resztę, odnotowując przy tym próby skorzystania z "wrogich" nośników. Mamy też dedykowane narzędzia, które potrafią zinwentaryzować podłączane urządzenia, zawęzić możliwe dozwolone interfejsy (np. FireWire, USB, czytniki SD etc.), stworzyć listę urządzeń zaufanych i blokować wszystkie inne, a przy tym kontrolować lub monitorować transfer danych na nośniki zaufane. Przykładami takich produktów mogą być Symantec Endpoint Encryption Removable Control czy Credant External Media Edition.