Контакты
Подписка 2025

Борьба с зараженными флешками в организации

Светлана Конявская, 26/04/21

Когда-то мы первыми поставили вопрос о том, что бороться в организации с зараженными флешками – это сизифов труд. В те времена работа над этой задачей выглядела примерно так: с помощью средств контроля подключаемых устройств (из состава СЗИ НСД или DLP-систем и аналогичных) пользователей ограничивали в том, какие флешки и к каким компьютерам защищенной информационной системы они могут подключать.

Автор: Светлана Конявская, заместитель генерального директора ОКБ САПР

Разрешенные флешки либо запрещалось уносить с работы, либо разрешалось подключать только после "обработки в санитарной зоне", что подразумевало проверку на вирусы на специальном рабочем месте.

Очевидно, что для того, чтобы не бороться с зараженными флешками в организации, надо их в организацию не пускать. Казалось бы, именно на это и направлена описанная логика защиты.

Нельзя сказать, что эти усилия совершенно ничего не давали. Однако, как и в целом в борьбе с вирусами в органических и компьютерных системах, успехи тут были весьма переменные (каждый понедельник – новый букет вирусов), а ресурсы затрачивались существенные.

Около 10 лет назад мы предложили радикальный подход: не пытаться препятствовать выносу флешек за пределы контролируемой зоны, но сделать невозможным их применение на каких-либо компьютерах, кроме явно разрешенных. Невозможным совсем, даже для легального пользователя, даже для операционной системы компьютера.

Это принципиально, ведь от того, легален ли пользователь, никак не зависит, есть ли на компьютере вирусы. Если они там есть, то как только ОС получает доступ к флешке, к ней получают доступ и вирусы.

Бесполезным для защиты от заражения является и шифрование данных на флешке. Вирусу все равно, читаемы ли данные на диске, он способен записаться и рядом с нечитаемыми, главное, чтобы у ОС был доступ к диску.

Акцент в нашем решении был смещен на то, чтобы ОС получала доступ к диску только в том случае, если сам USB-накопитель определил, что на данном компьютере разрешено это сделать. Такой USB-накопитель уже не совсем "флешка", мы его называем "служебный носитель".

Получение доступа к диску со стороны ОС называется монтированием диска. Оно осуществляется ОС автоматически [1], если при обращении к подключенному устройству считывается атрибут "диск".

Значит, чтобы ОС не получила доступа к диску на неразрешенном компьютере, USB-накопитель должен признаваться в том, что он диск, только после успешного проведения процедур проверки компьютера на наличие в списке разрешенных.

Для этого необходимы два условия:

  1. Список разрешенных компьютеров находится не на том же диске, доступ к которому ограничиваем.
  2. Проверка на наличие компьютера в списке производится не средствами операционной системы, доступ которой к диску ограничиваем.

Это значит, что у USB-накопителя должен быть собственный аппаратно реализованный блок аутентификации, который отработает до того, как ОС смонтирует диск. То есть до успешного завершения процедур (и в случае их неуспешного завершения) USB-накопитель должен представляться системе иначе, не давая ей смонтировать диск.

Легко понять, что ни необходимость наличия на компьютере какой-либо интерфейсной программы, ни требование наличия какого-либо выработанного тем или иным образом "кода доступа" не может обеспечить защищенность флешки от заражения без выполнения вышеперечисленных условий.

И поэтому, хотя общая идея (менять флешки так, чтобы они не были доступны вне системы, а не ставить ПО на подконтрольные компьютеры) воспринята и эксплуатирующими организациями, и другими вендорами средств защиты информации, мы вынуждены констатировать, что все известные нам варианты реализации этой идеи, кроме семейства защищенных USB-накопителей "Секрет", основываются скорее на психологических, чем на технических приемах.

Напомним в двух словах особенности "Секретов" на примере наиболее популярного продукта "Секрет Особого Назначения". Блок аутентификации "Секрета" проверяет компьютер на предмет совпадения с имеющимися в списке разрешенных по пяти параметрам (номер материнской платы, ID ОС, домен и т.д. (все это можно посмотреть на сайте [2)). До успешного прохождения аутентификации компьютера диск не монтируется и недоступен для ОС, а значит и для вирусов.

Выглядит это для ОС (и для пользователя, если он полюбопытствует, что происходит) как кард-ридер без установленного в него диска. Если нажать на букву диска, увидим:

В диспетчере устройств увидим:

Пользователь "Секрета", собственно, использует флешку – записывает на нее данные и читает их с нее. Для доступа к флешке, в случае успешной проверки компьютера на предмет разрешенности, пользователь вводит ПИН-код, который он сам устанавливает, поэтому больше никому этот ПИН-код не известен.

Все попытки пользователя подключить "Секрет", как успешные, так и неуспешные, когда компьютер не прошел проверку и диск не был примонтирован, фиксируются в журнале "Секрета", который пользователю недоступен. Его может посмотреть только администратор.

Администратор же "Секрета", напротив, не может увидеть диск с данными пользователя, он может только посмотреть журналы или поменять настройки безопасности – допустимую длину ПИН-кода, количество допустимых неверных вводов, список разрешенных компьютеров с их параметрами, действия в случае заполнения журнала. У администратора свой пароль для входа в консоль администрирования, а инструментов для того, чтобы, например, сбросить ПИН-код пользователя, назначить новый и посмотреть данные на флешке – нет. Сбросить учетные данные пользователя можно только вместе с полным сбросом всех данных.

В заключение добавим, что "Секрет" не защищен от заражения вирусами на разрешенном компьютере. Но это уже совсем другая история – борьба с зараженными компьютерами в организации.


  1. В Windows – всегда, в Linux, в общем-то, тоже всегда, но есть и команда для произвольного монтирования, “вручную", однако на текущее рассуждение это никак не влияет.
  2. https://www.okbsapr.ru/products/storage/flash/secret/special/ 
Темы:СКУДЖурнал "Информационная безопасность" №1, 2021Проблемы и решенияФлешки

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Решения Рутокен для аутентификации в российские ОC и информационные системы
    Андрей Шпаков, руководитель проектов по информационной безопасности в Компании "Актив"
    Устройства Рутокен являются передовыми аппаратными средствами пользовательской аутентификации на российском рынке. Совместно с другими средствами защиты они обеспечивают полный цикл MFA. Компания "Актив" создает не только аппаратные, но и программные решения, в частности, Рутокен Логон.
  • Что такое Identity, и почему его важно защищать от киберугроз
    Андрей Лаптев, директор продуктового офиса “Индид”
    Понятие Identity сложно перевести на русский язык и осмыслить в полной мере как с технической, так и с юридической точки зрения. Этот термин обычно не переводят, поскольку в нашем языке нет слов, которые раскрывали бы его суть точно и целиком. В зависимости от контекста Identity можно приблизительно перевести как “личность” или “идентичность”.
  • Управление доступом и привилегиями: как обеспечить минимальный привилегированный доступ
    Константин Родин, руководитель отдела развития продуктов компании “АйТи Бастион”
    Растет запрос не просто на реализацию систем предоставления доступа, но и на построение сложных и надежных комплексов контроля доступа, которые позволяют объединять различные решения для создания доверенных сред между пользователями и конечными информационными системами
  • Защищенные флешки "Секрет Особого Назначения" запрещают делать только то, что нельзя
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    От решений, которые позиционируются как “защищенные", ожидают двух неприятностей: либо они не могут помешать злоумышленнику, либо они очень сильно мешают работать легальному пользователю. В худшем случае оба подозрения оказываются верны.
  • О физиках, лириках и флешках
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Техническая задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. Эта задача решена в защищенной флешке “Секрет Особого Назначения”. Коротко рассмотрим, как.
  • MULTIFACTOR: трудное время порождает сильные решения
    Роман Башкатов, коммерческий директор ООО “МУЛЬТИФАКТОР”
    Мы задали вопросы об истории резкого старта компании “МУЛЬТИФАКТОР”, ее сегодняшнем состоянии и, конечно же, планах и прогнозах коммерческому директору Роману Башкатову, который стоял у истоков проекта и продолжает активно участвовать в его развитии.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...