Флешки редко становятся причиной инцидентов. Но когда становятся — это почти всегда означает, что контроля не было вообще.
Аналитик финансового отдела готовит ежеквартальный отчёт по контрагентам. Данные нужны срочно. Совещание через два часа. Корпоративный VPN не работает с домашнего ноутбука руководителя. Файл весит 80 мегабайт и не пролезает через корпоративную почту из-за ограничений на вложения. Сотрудник вставляет флешку. Копирует файл. Едет на встречу. Всё решено. В этом файле лежат имена, адреса, ИНН и суммы сделок с 400 контрагентами. Флешка личная. Незашифрованная. Вечером она окажется в кармане куртки. Потом в ящике стола дома. Через полгода этот же сотрудник уволится и унесёт куртку вместе с ней. Инцидент? Формально нет. Утечка? Фактически да. Зафиксировано ли это где-то в системах компании? Скорее всего, нет. Таких случаев в реальных компаниях значительно больше, чем попадает в отчёты. Не кража документов с грифом. А серая зона между неудобными процессами и отсутствием контроля на уровне устройств.
Почему сотрудники используют флешки на работе
Промышленный шпионаж через USB существует. Он задокументирован. Масштаб некоторых случаев поражает не технической сложностью. А обыденностью исполнения. Инженер Apple был задержан в аэропорту Сан-Хосе при попытке вылететь в Китай. По данным ФБР, незадолго до этого он скопировал на личный компьютер и внешние носители около 2 000 файлов. Материалы связаны с проектом автономных транспортных средств. Среди документов оказались схемы печатных плат. Техническая документация. Исходный код. Сотрудник работал в подразделении Apple SPG. Имел легитимный доступ ко всем скопированным данным. Именно это и стало проблемой. Системы DLP не зафиксировали нарушения. Операция была авторизованной с точки зрения прав доступа.
Годом ранее похожая история произошла с Энтони Левандовски. До перехода в Uber он скачал с серверов Google около 14 000 файлов с данными проекта LiDAR. Носители были не единственным каналом. Физические устройства фигурировали в материалах расследования. Самый масштабный кейс связан с компанией AMD. Бывший инженер скопировала перед увольнением около 100 000 файлов с конфиденциальной документацией о графических процессорах. Схожее обвинение было предъявлено Роберту Хагопяну. Он унёс данные о GPU-архитектуре перед переходом к конкурентам. По итогам судебного разбирательства AMD получила компенсацию. Данные к тому моменту уже несколько лет находились вне контроля компании.
ФБР неоднократно публиковало материалы о китайских агентах. Они использовали физические носители для вывоза документации из американских оборонных и технологических компаний. Большинство операций строились не на взломе систем. А на внедрении сотрудников с легитимным доступом. Затем следовал физический вынос данных.
Как технически выглядит подключение флешки
История с аналитиком и флешкой на системном уровне выглядит совершенно иначе. Чем кажется пользователю. Понять эту механику важно. Именно она определяет, что остаётся в логах. А что бесследно исчезает вместе с носителем. Когда USB-накопитель подключается к рабочей станции под управлением Windows, операционная система выполняет несколько последовательных действий. Сначала происходит идентификация устройства через дескрипторы USB. Система считывает VID (Vendor ID) и PID (Product ID). После чего определяет класс устройства. Для стандартного накопителя это класс Mass Storage с интерфейсом SCSI через протокол BOT (Bulk-Only Transport).
Параллельно в реестре Windows создаётся или обновляется запись в ветке HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR. Там фиксируются серийный номер устройства. Тип. Производитель. Временны́е метки первого и последнего подключения. Это один из немногих артефактов. Они сохраняются даже после физического извлечения накопителя. Могут быть использованы в форензике.
Операционная система также записывает события в журнал System. Ключевые Event ID для расследований выглядят следующим образом. 6416 фиксирует признание нового внешнего устройства. 2003 и 2100 отвечают за события Plug and Play. 4663 регистрирует попытку доступа к объекту при включённом аудите файловой системы. Без настроенного централизованного сбора этих событий восстановить хронологию подключений постфактум крайне сложно.
При этом сам акт копирования файлов на уровне файловой системы не генерирует специфических событий. Они отличны от локального копирования между папками. Стандартный Windows Event Log не разграничивает «скопировал файл в папку C:\Temp» и «скопировал файл на USB-накопитель». Это ограничение. Оно преодолевается только через агентские решения уровня DLP или EDR с поддержкой контроля периферийных устройств.
Какие существуют скрытые векторы утечки
Классическая флешка — лишь один из сценариев. Существуют менее очевидные варианты физического канала утечки. Они значительно сложнее поддаются обнаружению. BadUSB представляет собой класс атак. Они основаны на перепрошивке контроллера USB-устройства. Устройство внешне выглядит как накопитель. При подключении идентифицирует себя как клавиатура или сетевой адаптер. Это позволяет обойти политики блокировки USB Mass Storage. Контроль устройств хранения на накопители такого типа не распространяется. Устройства класса Rubber Ducky от Hak5 и их клоны продаются легально. Они эмулируют клавиатурный ввод. Могут выполнять заранее запрограммированные команды. В том числе копирование данных через PowerShell или CMD.
Смартфоны в режиме MTP (Media Transfer Protocol) часто попадают в категорию разрешённых устройств. DLP-политики настраиваются на класс Mass Storage. MTP использует другой протокол обмена данными. В результате сотрудник может перенести файлы на смартфон без какого-либо срабатывания. Принтеры с USB-интерфейсом создают дополнительную поверхность атаки. Их подключают через рабочую станцию. Внутреннее хранилище современных сетевых принтеров нередко содержит кэш отправленных документов. Этот канал редко попадает в периметр DLP.
Почему системы DLP не решают задачу полностью
Технически DLP-системы с контролем периферийных устройств работают через драйверный фильтр. Он перехватывает операции файловой системы на уровне ядра. Когда файл записывается на съёмный носитель, фильтр анализирует его содержимое. Используются заданные политики. Паттерны данных. Ключевые слова. Типы файлов. Создание цифрового отпечатка.
Вы загружаете в DLP-систему эталонный образец. Например, пустой бланк договора. Система разбивает документ на мелкие части (n-граммы). Анализирует их структуру и содержание. Создаёт уникальный «отпечаток» (набор хэш-сумм). Когда сотрудник пытается отправить файл, DLP сравнивает его «отпечаток» с эталоном. Система поймёт, что это тот самый бланк договора. Даже если в нём уже заполнены поля «Иванов», «100 рублей». Совпадение структуры и большей части текста вызовет срабатывание. По результатам анализа операция разрешается. Блокируется. Логируется.
Проблема в том, что осведомлённый пользователь располагает несколькими технически простыми способами обойти этот механизм. Все они эксплуатируют одно общее уязвимое место. DLP анализирует содержимое тогда, когда оно доступно в открытом виде. Самый распространённый способ — шифрование данных перед копированием. Если пользователь помещает файлы в зашифрованный контейнер VeraCrypt или обычный ZIP-архив с паролем. Контент-инспекция в таких случаях невозможна без ключа расшифровки. Система либо пропускает файл. Либо блокирует все зашифрованные архивы без разбора. В большинстве компаний это неприемлемо с точки зрения производительности.
Агентские решения работают на упреждение. Они перехватывают файлы на этапе создания архива. Блокируют запуск несанкционированных программ шифрования. Детектируют аномальные паттерны поведения. В организациях с высокими требованиями к безопасности действует политика полной блокировки зашифрованных архивов. Это создаёт неудобства. Технически закрывает данный вектор утечки.
Переименование clients_Q3.xlsx в photo_vacation.jpg не меняет содержимое файла. Но ломает фильтрацию по расширению. Более продвинутые системы анализируют сигнатуры файлов. А не расширения. Это требует дополнительной настройки. Заметно увеличивает нагрузку на инфраструктуру. На практике эта функция нередко отключается администраторами. Дробление данных работает там, где политика настроена на пороговый объём. Если система блокирует файлы крупнее 10 МБ, исходный файл разбивается на части по 2–3 МБ. Каждая часть проходит контроль самостоятельно. Не вызывает срабатывания. Это не требует специальных знаний. Достаточно обычного архиватора с настройкой тома.
Стеганография стоит особняком. Это наиболее трудоёмкий и наименее распространённый метод. Данные встраиваются в пиксели PNG-изображений. Или в аудиодорожку MP3. Файл-носитель выглядит как обычная фотография. В реальных расследованиях этот метод встречается редко. Однако именно он делает полное покрытие контент-инспекцией теоретически невозможным. Использование нестандартных классов USB-устройств закрывает ещё один вектор. Стандартные политики Mass Storage не реагируют на него вообще.
Все эти техники объединяет одно. Ни одна из них не требует административных привилегий. Специального ПО. Технической подготовки выше среднего. Именно поэтому DLP корректнее воспринимать как инструмент снижения риска. А не его устранения.
Какие известные случаи изменили практику безопасности
Некоторые инциденты сформировали современные требования к контролю периферийных устройств. Stuxnet в 2010 году распространялся через USB-носители в изолированных сетях иранских ядерных объектов. Когда пользователь открывал флешку в Проводнике, Windows автоматически парсила файл-ярлык (.lnk) для отображения иконки. Уязвимость позволяла внедрить исполняемый код прямо в структуру ярлыка. Не нужно было кликать по файлу. Достаточно было просмотреть содержимое флешки в Проводнике. Код выполнялся.
Заражённая флешка попадала на ноутбук инженера. Устройство было подключено к интернету. Инженер приходил на объект. Подключал USB-порт рабочей станции в изолированной сети. Срабатывал эксплойт LNK. Происходило автоматическое выполнение. Код проникал в корпоративную сеть объекта. Начинался поиск и распространение. Мишенью становились PLC-контроллеры. Происходило изменение параметров вращения. Следовало физическое разрушение оборудования.
Один из самых известных случаев доставки вредоносного кода. Он наглядно показал, что air-gap изоляция не защищает от физического вектора. Такая атака обходила базовое правило «не запускать неизвестные программы». Пользователь не запускал ничего вручную. После публикации подробностей требования к контролю USB резко ужесточились в оборонном и промышленном секторах по всему миру.
Эдвард Сноуден использовал SD-карту. Она была спрятана в кубик Рубика. Так он вынес документы АНБ. Количество скопированных файлов по разным оценкам составило от 50 000 до 1,7 миллиона. До этого инцидента в АНБ отсутствовал централизованный мониторинг доступа к файлам на уровне отдельных рабочих станций. После него американские спецслужбы провели масштабный пересмотр политик контроля съёмных носителей.
Сотрудник британской сети супермаркетов Эндрю Скелтон скопировал на личный USB-накопитель данные о заработной плате. Пострадали почти 100 000 сотрудников. Он опубликовал их в интернете. Скелтон имел легитимный доступ к данным в рамках своих рабочих обязанностей. DLP-система не зафиксировала нарушения. Операция была санкционированной с точки зрения прав доступа. Morrisons в итоге проиграла коллективный иск сотрудников. Хотя апелляционный суд впоследствии снял с компании ответственность за действия сотрудника.
Бывший сотрудник Tesla Гленн Санторо был обвинён в краже конфиденциальных данных через USB-накопитель. Он переходил к конкуренту. Отдельно от этого дела другой сотрудник Мартин Трипп скопировал тысячи страниц производственной документации и фотографии. Затем передал журналистам. Оба случая демонстрируют одну и ту же структуру. Легитимный доступ. Физический вынос. Обнаружение не в момент копирования. А после факта публикации или перехода к конкурентам.
Почему сотрудники обходят политику безопасности
Большинство случаев использования флешек в корпоративной среде не злой умысел. Это попытка решить реальную задачу наиболее коротким путём. Сотрудники обходят политики безопасности не потому, что хотят нанести ущерб компании. Они обходят их потому, что официальный способ неудобен. Медленен. Недоступен в нужный момент. Такой механизм одинаково работает во всех областях информационной безопасности. В контексте физических носителей он виден особенно отчётливо.
Сотруднику нужно передать файл коллеге. У коллеги нет доступа к корпоративному файлообменнику. Или файл весит 120 МБ. Лимит вложений в почте составляет 25 МБ. Или VPN работает настолько медленно, что передача занимает час. Сотрудник просто не готов ждать. Или материалы нужно показать на презентации с чужого ноутбука. Способа попасть в корпоративный файлообменник оттуда нет.
Если служба безопасности вводит запрет на USB без удобной альтернативы под каждый из этих сценариев, сотрудники не перестают решать рабочие задачи. Они начинают использовать личную почту. Telegram. Google Drive. WeTransfer. Часть этих каналов менее наблюдаема, чем USB с настроенным логированием подключений. Запрет в таком случае не снижает риск. А перемещает его в другое место. Задача построения процессов состоит не в создании максимальных ограничений. Правильный способ работы с данными должен быть проще неправильного. Это требует участия не только команды безопасности. Но и ИТ-отдела. И менеджмента. Он должен понимать, как реально устроена ежедневная работа с файлами в каждом подразделении.
Как выстроить контроль USB в компании
Организации, которые начинают внедрение контроля USB с жёсткого запрета без альтернативы, через полгода сталкиваются с двумя проблемами одновременно. Нарастающий поток исключений. Появление новых неконтролируемых каналов. Организации, которые начинают с анализа реальных сценариев использования, добиваются более устойчивого результата.
Прежде чем строить политику, нужно понять, для каких именно задач сотрудники используют внешние носители прямо сейчас. Это делается через опросы. Через анализ обращений с формулировками вроде «нужна флешка» или «как передать большой файл». Через аудит текущего использования устройств на рабочих станциях. Без этого шага политики будут бороться с симптомами. А не с причинами.
После инвентаризации потребностей каждый из них закрывается удобной альтернативой. Если сотрудники копируют файлы для работы дома — нужен нормально работающий VPN с достаточной пропускной способностью. Или корпоративное облачное хранилище с мобильным доступом. Если проблема в передаче крупных файлов коллегам — нужен файлообменник с управляемым доступом. Разумный лимит объёма. Если материалы нужны на чужом ноутбуке — нужна возможность попасть в корпоративные ресурсы через браузер. Без установки дополнительного ПО.
Когда альтернативы готовы, техническое внедрение политики работает совершенно иначе. Блокировка USB Mass Storage по умолчанию через групповую политику Windows воспринимается сотрудниками не как ограничение. А как избавление от неудобного инструмента. Более удобные инструменты уже доступны. Одновременно с этим нужен рабочий процесс для получения временного доступа. Не многонедельное согласование. Процедура на один-два дня с чёткими критериями одобрения.
Для случаев, когда использование внешних накопителей обосновано, данные должны копироваться только на устройства с шифрованием. Групповая политика «Deny write access to removable drives not protected by BitLocker» принудительно шифрует данные на любом съёмном накопителе при записи через BitLocker To Go. При потере такого устройства оценка инцидента меняется кардинально. Вместо уведомления об утечке персональных данных компания фиксирует потерю зашифрованного носителя. Угрозы раскрытия информации нет.
Логи подключений устройств агрегируются в SIEM. Позволяют выявлять аномалии. Они невидимы в моменте. Резкий рост количества открытых файлов накануне увольнения сотрудника. Подключение устройств в нерабочее время. Повторное появление ранее заблокированных серийных номеров.
Какие требования предъявляет российский регулятор
Федеральный закон 152-ФЗ «О персональных данных» не содержит прямого запрета на использование съёмных носителей. Однако устанавливает требования к защите персональных данных при их обработке. Если персональные данные оказываются на незашифрованном носителе и этот носитель теряется — это с высокой вероятностью квалифицируется как нарушение. Оператор обязан принять необходимые меры защиты. Роскомнадзор в ряде проверок расценивал отсутствие шифрования на съёмных носителях как нарушение режима обработки персональных данных.
Приказ ФСТЭК России №21 регулирует защиту информационных систем персональных данных. В мерах группы ЗНИ (защита носителей информации) прямо предписывается учёт машинных носителей. Контроль перемещения носителей за пределы контролируемой зоны. Уничтожение или обезличивание данных на носителях. Они выводятся из эксплуатации. Невыполнение этих мер формирует не только регуляторный риск. Но и проблемы при прохождении аттестации информационных систем.
Для организаций, работающих с государственными информационными системами (ГИС), Приказ ФСТЭК №117 устанавливает аналогичные требования в группе мер ЗНИ. Для высоких классов защищённости они носят обязательный характер. А не рекомендательный. Всё это означает, что обоснование бюджета на контроль USB-устройств в российской компании не требует ссылок на зарубежные кейсы. Достаточно раскрыть действующие регуляторные требования. Показать, что их невыполнение создаёт прямой риск при проверке или инциденте.
Что реально снижает риск утечки через USB
Меры, дающие измеримый результат в корпоративных средах, без претензии на полноту защиты:
- Контроль устройств через GPO или агент EDR. Закрывает базовый сценарий. Случайное или импульсивное копирование данных. Самая доступная мера. Реализуется средствами Windows без дополнительных лицензий. Не требует специализированного ПО.
- Мандатное шифрование съёмных носителей через BitLocker To Go. Входит в состав Windows Pro и Enterprise. Не требует отдельных затрат. Для организаций с повышенными требованиями — аппаратное шифрование на устройствах Kingston IronKey или Apricorn. Стоимость в 5–10 раз выше обычных накопителей. Они обеспечивают защиту даже от физического вскрытия.
- Поблочное логирование операций с файлами через EDR-агенты. Даёт возможность постфактум восстановить список файлов. Они скопированы на конкретное устройство в конкретный момент. Это отдельный продукт с отдельной лицензией. Без него расследование любого инцидента строится на предположениях.
- Белый список физических устройств по серийным номерам. Разрешает только конкретные корпоративные накопители. Блокирует всё остальное. Сложнее в сопровождении. Поднимает планку для несанкционированного выноса данных. Случайная утечка становится практически невозможной.
- Осведомлённость сотрудников о факте логирования. Не требует затрат. Меняет поведение. Сотрудник, знающий, что подключение носителя фиксируется с привязкой к его учётной записи, принимает другие решения. Чем сотрудник, убеждённый в полной анонимности действий.
- UEBA-анализ поведенческих аномалий. Позволяет выявить характерный паттерн утечки накануне увольнения. Резкий рост числа открытых файлов. Обращения к папкам вне текущих задач. Одновременное подключение внешних устройств. Это решения требуют зрелой инфраструктуры и соответствующего бюджета.
- Физические ограничения в чувствительных зонах. Запрет на пронос личных устройств. Блокировка USB-портов эпоксидной смолой или физическими замками. Применяется в оборонных, фармацевтических и финансовых организациях. Крайняя мера. В ряде контекстов единственная. Закрывает в том числе канал фотографирования экрана.
Что остаётся после инцидента безопасности
Даже с настроенными средствами защиты момент, когда данные уже покинули периметр, меняет ситуацию коренным образом. В отличие от сетевого инцидента, где трафик можно заблокировать, сессию завершить и учётные данные отозвать, физический носитель с данными существует независимо от инфраструктуры компании. Его нельзя дистанционно стереть. Нельзя отозвать доступ. Нельзя получить актуальные данные о местоположении.
Расследование USB-инцидента без логов уровня эндпоинта в большинстве случаев заканчивается констатацией факта. Без возможности точно определить объём утечки. Что именно было скопировано — неизвестно. Где сейчас находятся данные — неизвестно. Кто имел доступ к носителю после инцидента — тоже неизвестно. Именно эта неопределённость формирует основные юридические и регуляторные риски. Уведомление Роскомнадзора, составленное с опорой на предположения об объёме утечки персональных данных, создаёт значительно больше проблем. Чем уведомление с точными данными о том, что именно было скопировано. Какие меры защиты при этом применялись.
Флешка как вектор угрозы не требует технически сложных атак. Это канал. Он эксплуатирует сочетание трёх факторов. Физический доступ к рабочей станции. Отсутствие наблюдаемости на уровне устройств. Неудобные официальные процессы передачи данных. Именно эта простота делает его устойчивым. Несмотря на то что он не входит в топ векторов по частоте.
Организации, которые системно закрывают этот канал, не делают это в ответ на конкретный инцидент. Они делают это потому, что понимают структуру проблемы. USB-инцидент обнаруживается не тогда, когда данные копируются. А тогда, когда они появляются снаружи. К этому моменту вопрос «что именно ушло» уже не имеет ответа.
#технологии #информационнаябезопасность #кибербезопасность #защитаданных #IT #инфобез #безопасностьсети