Теневое копирование файлов, записываемых на внешние носители, стало практически обязательным инструментом в арсенале корпоративных хранителей секретов. Разберемся в особенностях реализации и работы этой технологии.

IT-отделы и службы безопасности современных предприятий уже хорошо знают, какую опасность для конфиденциальных данных представляют портативные USB-устройства с возможностью хранения данных, например, флешки, MP3-плееры, цифровые камеры и т. д. Если в организации отсутствует какой-либо контроль использования этих устройств, с их помощью нелояльный или просто невнимательный пользователь может стать причиной утечки существенных объемов конфиденциальной информации. Именно поэтому программные продукты, реализующие контроль использования таких устройств в масштабах предприятия, стали обязательным средством в арсенале борьбы за сохранение конфиденциальности информации.

На сегодняшний день известно множество программных продуктов, которые реализуют не только базовый функционал по разграничению доступа, но и дополнительные возможности, такие как журналирование и мониторинг действий пользователей, централизованное администрирование, управление через групповые политики Active Directory и т. д. В число этих возможностей у большинства продуктов включено так называемое «теневое копирование». Данная функция при условии разрешенного доступа к внешнему носителю на запись обеспечивает копирование всей информации, которую пользователь записывает на внешний носитель, сначала на локальный жесткий диск, а потом перенос ее на сервер для последующего анализа. Это может быть очень удобно в случае, если по каким-либо причинам сотруднику необходимо иметь возможность записывать информацию на внешний носитель, поскольку позволяет провести расследование возможного инцидента и сохранить контроль над ситуацией.

Данная функция реализована во многих современных продуктах, например, Safend от одноименной компании, Sanctuary Device Control компании Lumension, Smartline DeviceLock и Zlock компании SecurIT.

Принцип работы теневого копирования довольно прост: при записи файлов на внешний носитель копия записываемых данных вместе с дополнительной информацией (имя пользователя, приложение, дата, время) сохраняется на жестком диске компьютера и в дальнейшем переносится на сервер. Затем сотрудник службы безопасности может обратиться к базе данных теневых копий и просмотреть подозрительные файлы.

Очевидно, что использование данной функции имеет ряд ограничений, поскольку массовое внедрение этой функции в крупной организации с большим числом пользователей может создать существенные проблемы.

Во-первых, если все пользователи будут копировать на внешние носители большое количество информации, это создаст повышенную нагрузку на сеть.

Во-вторых, для того чтобы анализировать всю эту информацию, нужно большое количество людей или какие-либо интеллектуальные автоматизированные средства, при том что задача их поиска, закупки, настройки и интеграции с системой разграничения доступа далеко не тривиальна.

В связи с этим более оправданным может быть выборочное использование теневого копирования на компьютерах отдельных сотрудников. Принцип выбора таких сотрудников может быть различным, например, для новых сотрудников во время испытательного срока, для сотрудников, в отношении которых имеются какие-либо подозрения, для каждого сотрудника одну неделю в году и т. д.