В инфраструктуре Windows возможно при работе с сетевыми ресурсами делать их доступными автономно . Это удобно при частых обрывах сети или медленных каналах. Но что это дает с точки зрения ИБ?
Предположим, у нас есть защищаемый информационный ресурс, который хранится в сети и доступен в виде файловой шары. Сотрудникам запрещено копировать эти файлы на локальные компьютеры, а работа с ними всячески контролируется техническими средствами защиты (DLP, анализ обращения к файлам, поиск нелегальных копий и т.д.).
Пришел в голову такой канал утечки:
- Пользователь отмечает защищаемую сетевую папку как "Доступную автономно";
- ОС копирует защищаемые файлы на компьютер пользователя в хранилище автономных файлов;
- При получении физического доступа к компьютеру (жесткому диску) файлы сливаются во вне.
Автономные файлы в ОС хранятся в системном каталоге WindowsCSC. Доменному пользователю по умолчанию туда не попасть, но никакого шифрования автономных файлов не производится и, получив прямой доступ к жесткому диску (например, с Live CD), можно получить доступ и к автономным файлам.
Казалось бы, это то же самое что и копирование файлов на локальный компьютер. Но есть несколько различий:
- копирование - это осознанное действие со стороны пользователя, за частую нарушающее установленные в организации политики ИБ;
- появление защищаемых файлов на компьютере можно выявить различными техническими средствами (DLP, поиск нелегальных копий). Появление же автономной копии файлов в WindowsCSCтехническое средство защиты по умолчанию не отследит.
Возможность реализации описанной угрозы упирается в получение прямого доступа к компьютеру, а актуальна она будет если в организации запрещено хранить защищаемую информацию локально.
Мера защиты по данному вектору напрашивается сама собой:
Отключение "автономного режима" для сетевых папок с защищаемыми информационными ресурсами
В документах регуляторов подобной меры не встретил.
Если нет потребности в автономной работе пользователей, внедрение описанной меры не повредит, тем более что стоимость ее реализации практически нулевая.
