В моей организации существует групповая политика, которая предотвращает запись данных на USB-накопителе. Это всегда казалось немного бессмысленным лаваш для меня, я просто "один из those вещи...&;. Я забываю об этом так часто, не так как я могу загрузить данные от мою флешку, когда мне нужно (я только помню раз, когда я пытаюсь взять файл дома).
Недавно, мои обязанности были расширены, чтобы включать участие в государственной & федеральный аудитов и я'вэ заметил, что некоторые формы следующая пуля, как правило, сильно повышен характеристика, отстаивая соблюдение:
- пользователи не могут скачать конфиденциальных данных на USB-накопитель.
Это на самом деле улучшение в безопасности?
Есть еще значительное количество способов извлечения данных из домена компании (я'вэ, конечно, больше, чем несколько обходных путей просто для удобства.)
Сначала я думал, что это может быть утверждал, что ему мешает низкая квалификация, высокая частота приступов. Но с распространением персональных инструментов обменник (что может или не может нужно, чтобы быть разблокированы с политикой компании - например, пользователь имеет персональный & корпоративную учетную запись на GitHub) делает подобного рода политика по-прежнему обеспечивают дополнительную безопасность? Или это просто плацебо для минимально грамотных аудиторов?
Одной из главных причин запрета записи данных на USB-накопители (у меня это объяснили один раз) - это не для предотвращения сотрудников от *кража ** конфиденциальной информации. Если они хотели сделать что*, они бы без конца обходные пути, вплоть до печати QR-кодов на листах А4.
Скорее, это, чтобы предотвратить сотрудников от сохранения конфиденциальной информации на USB-накопителях добросовестно, только для тех, USB-накопители потеряно или украдено.
Часто в таких случаях вы'll найти, что это'ы ОК, чтобы сохранить данные на специальный зашифрованный флэш-накопители, которые могут'т быть расшифрованы в случае кражи или потери: например, биометрический замок-диски() или зашифрованной файловой системы, что будет "видеть" и как физическое исправлена жесткие диски вместо съемный* жесткие диски, таким образом, обходя и "не удается записать на съемные носители, что" Политика безопасности.
ОС Windows 7+ и явного настройки, которые позволяют лечение BitLocked устройств (возможно, с корпоративные ключи) отличается от обычного устройства USB.
(В моем случае это была Windows XP профессиональная с пакетом обновления 3 некоторое время назад, у меня был USB-ключ с Томом TrueCrypt и на него, и мне разрешили поработать дома на нем. Я был не могу скопировать файлы в другом месте и не использовать USB-накопитель для любых других целей. Такого рода меры предосторожности явно направлен против случайных утечек, а не умышленных).
По тем же причинам, некоторые популярные файлообменные сайты, или сайты и приложения, которые могут разрешить общий доступ к файлам может быть заблокирован брандмауэрами компании. Опять же, не так много, чтобы остановить шпионаж, но чтобы люди не растут слишком небрежно (по крайней мере, в полномочия, что-бы'ы мнение) с корпоративной информацией.
Биометрический замок флэш-накопители и (особенно) жесткие диски разве'т должен обеспечить - или даже зашифрованные, или зашифрованный правильно. Если память может быть физически отделено от запорную часть (легко для большинства жестких дисков, возможно, для многих флэш-накопители USB) кто-то может попытаться прочитать его сразу, может быть, просто чтобы "вернуть" и сама память. Ведь в случае неудачи поиска будет просто потеряно время. Как только он или она имеет руки на чтения памяти, простое любопытство может быть достаточно, чтобы взглянуть и, возможно, даже попробовать и расшифровать его перед переформатирование и повторное использование. Если повезет, устройства уязвима и просто погуглите, его марка и модель позволит кому-либо восстановить необходимые инструменты и/или знаний.
В дополнение к тому, что Iserni сказал, карты памяти эти дни могут удерживать огромные объемы данных.
Смещение 64 ГБ конфиденциальных данных для поставщика облачного может занять много времени, и могут вызвать правила брандмауэра, чтобы заглянуть за чрезмерной загрузки. В любом случае, закачки будут записываться.
Скачивание 64 ГБ К с USB3-памяти будет намного быстрее, и выиграл't идти рядом с любой компанией брандмауэр. Когда карта памяти заполнена, он может просто быть поскользнулся в кармане. Компания выиграла'т даже знаю, что'ы сделано, пока данные не будут использованы против них или их клиентов.
Во многих случаях такая политика в сочетании с использованием некоторых форм программное обеспечение цензоров, чтобы заблокировать доступ к списку известных поставщиков облачных систем хранения данных и веб-сайтов, наряду с блокированием портов для FTP (и передача файлов через чат).
Конечно, это'ы просто достаточно, чтобы свернуть свой собственный обходной путь: у меня FTP-сервер работает на порту 80 дома в течение нескольких дней после моего хостинг-провайдера's для электронной почты разве'т широко известны, и я'уверен, что есть готовые решения, которые позволят загрузить через HTTP. Как вы говорите, корпоративное использование GitHub-это беспокойство (хотя многие работодатели настороженно относятся к нему, и он может быть разблокирован на уровне пользователя только для разработчиков, уменьшение угрозы). Не каждый источник (даже умышленное) утечки данных является очень сложным, и случайных источников может быть самой низкой квалифицированные люди с входа.
Многие крупные организации имеют ограничений, как это. Я'вэ были способны обойти все одно, что я'вэ испытания.
Предполагается, что пользователи не могут извлекать данные в большом объеме. Понятно, что люди могут exflitrate небольших объемов данных по снимать свой экран, или даже просто запоминать его. Но там'ы разница между exflitrating несколько деталей и краже базы данных 10 Гб личных данных. Я думаю, что это хорошее намерение, но он никогда не может быть сделано идеально.
Чтобы сделать это надежно, это хорошее начало:
Обычно я могу обойти сети эксфильтрации загружая файлы на собственный веб-сайт. Это's не известен прокси как сайт обмена файлами, поэтому он проходит через. Другая техника для подключения внешней организации's ноутбук к офисной сети, и копировать напрямую от компьютера к внешнему ноутбук - в обход прокси. Кроме того, система корпоративной электронной почты почти всегда позволяет обойти, хотя риск снижается на ограничения по размеру файла и лесозаготовки. В противном случае, получить права администратора на компьютере и отключите ограничения.
Если организация имеет в Citrix-стиль Удаленная работа всей системы, когда вы можете подключиться с вашего домашнего компьютера - очень часто это может быть использовано для эксфильтрации данных. Я помню одного, который заблокировал локальных дисков, который был хорошим началом, но допускается дистанционного USB, так что вы можете подключить USB флешку в свой домашний компьютер, и его крепление на сервере Citrix - позволяет украсть данных в пакетном режиме.
Одна из проблем с этой установки является то, что люди имеют законные потребности для USB-устройства, перезаписываемые компакт-диски и т. д. Простой подход-это процесс, когда человек бизнес необходимость добавляются в список исключений. Более прогрессивным подходом является предотвращение потери данных (DLP), которая является очень интересной технологии. Обсуждаем, что более вероятно, лучше на другой вопрос.
Давайте не будем забывать о влиянии векторов угроз, которые полагаются на USB для введение в сети (на"вирус" у кого?) Что сказал, это ее "эффективная" и ? - ИМХО , Да, это требует немного усилий, чтобы блокировать масс, которые могут тапки секреты из двери. Но, это эффективный ? только для неискушенных масс. Умные местные админы все равно будут ходить в секреты. В сети-шифрования для конфиденциальных данных является гораздо более эффективным.