Biorąc pod uwagę dostępność nośników (innych niż pendrive’y) z wbudowanymi funkcjami szyfrowania, w dalszym ciągu najpopularniejszym sposobem ochrony jest szyfrowanie oparte na oprogramowaniu. Ma ono oczywiście wiele wad w stosunku do szyfrowania sprzętowego, takich jak degradacja wydajności, często kolejny agent instalowany na komputerze czy bezpieczeństwo kluczy szyfrujących. Są też plusy - w zasadzie nie ma znaczenia, jaki nośnik posiadamy. Możemy też wybierać z dostępnych na rynku rozwiązań darmowych z TrueCrypt na czele. Używając Windows (niestety w wersji Ultimate), mamy na pokładzie rozwiązanie szyfrujące BitLockera, które radzi sobie także z nośnikami wymiennymi. Nie jest ono szczególnie rozbudowane funkcjonalnie, ale może być centralnie zarządzane poprzez wykorzystanie Microsoft BitLocker Administration and Monitoring (MBAM) i odpowiedniego klienta. W odniesieniu do nośników wymiennych mamy kilka opcji konfiguracji, w tym: zabronienie zapisywania informacji na nośnikach niezabezpieczonych BitLockerem, kontrolę haseł, tryb recovery. Podobnie w systemach linuksowych mamy przynajmniej kilka dostępnych rozwiązań, np. LUKS (Linux Unified Key Setup) czy dmcrypt. A dzięki narzędziom, takim jak FreeOTFE jesteśmy w stanie odczytać kontenery linuksowe także pod Windowsem.
Większość funkcjonalności opisanych przy okazji omawiania SED i TPS znajdzie odzwierciedlenie również tutaj, dlatego nie będziemy ponownie ich przytaczać. Warto jednak zwrócić uwagę na ciekawy i coraz częściej wykorzystywany mariaż wzmacniający ochronę danych na urządzeniach przenośnych. To integracja software’owych rozwiązań szyfrujących z rozwiązaniami klasy DLP (Data Loss Prevention). Jest to odpowiedź na dobiegające z wielu stron głosy, że szyfrowanie jest bronią obosieczną. O ile dobrze zabezpieczy przed utratą danych, to nie uchroni przed nadużyciami związanymi z niewłaściwym ich wykorzystaniem. Scenariusz połączenia tych dwóch technologii jest dość prosty. Skoro DLP ma (lub powinno mieć) świadomość wagi krążących informacji, to może też reagować w przypadku, kiedy ktoś próbuje skopiować informacje wrażliwe na nośnik zewnętrzny. Reakcja może obejmować na przykład wymuszenie zaszyfrowania samej informacji lub weryfikację, czy nośnik jest zaszyfrowany i tylko wtedy zezwolenie na kopiowanie.
Kontrola
Kolejnym aspektem zabezpieczania nośników przenośnych jest możliwość zapanowania nad tym, kto i co podłącza do komputera, oraz jakie operacje może wykonywać używając nośników. Jest to funkcjonalność ściśle powiązania z szyfrowaniem, ale bardzo często implementowana rozdzielnie. Pewne mechanizmy kontroli będziemy mieli już na poziomie systemu Windows (od Visty w górę).
Nie jest to jednak rozwiązanie rozbudowane i kontrola nad urządzeniami przenośnymi jest mocno ograniczona. Nie ma na przykład możliwości zbudowania precyzyjnej listy nośników dopuszczonych w organizacji, identyfikowanych po numerach seryjnych. Na rynku dostępne są narzędzia, które ten problem rozwiązują. Część rozwiązań typu endpoint security ma moduł kontroli urządzeń, pozwalający zaimportować listę dozwolonych urządzeń i blokować całą resztę, odnotowując przy tym próby skorzystania z "wrogich" nośników. Mamy też dedykowane narzędzia, które potrafią zinwentaryzować podłączane urządzenia, zawęzić możliwe dozwolone interfejsy (np. FireWire, USB, czytniki SD etc.), stworzyć listę urządzeń zaufanych i blokować wszystkie inne, a przy tym kontrolować lub monitorować transfer danych na nośniki zaufane. Przykładami takich produktów mogą być Symantec Endpoint Encryption Removable Control czy Credant External Media Edition.
