Флешки и другие переносные носители до сих пор остаются одним из самых недооцененных каналов утечки данных и проникновения вредоносного ПО в корпоративные сети. По статистике, значительная доля инцидентов происходит именно из-за неконтролируемого использования USB-устройств, иногда по невнимательности сотрудников, иногда из-за умышленных действий, а иногда просто из-за зараженного носителя, который давно лежал в ящике стола.
Практика показывает, что даже компании с настроенными средствами защиты нередко оставляют USB-порт местом, через которое случайно или намеренно могут украсть данные или занести шифровальщик.
В этой статье мы разберем, как взять USB-устройства под контроль и не допустить утечек.
Почему USB несет в себе риск атак
Проникновение вредоносного ПО
Зараженные флешки один из самых дешёвых и эффективных инструментов для злоумышленников.
Утечки данных
Среди частых ситуаций таких утечек можно наблюдать следующие:

сотрудник копирует в архив 5–20 Гб внутренних документов, чтобы «удобнее было работать дома»;
специалист техподдержки пишет на внешнюю флешку файлы конфигураций «на всякий случай»;
менеджер копирует клиентскую базу перед увольнением.

Несоблюдение требований регуляторов
ФСТЭК и Роскомнадзор в актуальных проверках уделяют большое внимание контролю съемных носителей. Часто указывают на:

отсутствие локальных нормативных актов по обращению с USB-носителями;
отсутствие регистрации и учета внешних носителей;
неконтролируемое подключение устройств хранения информации к рабочим станциям.

Методы контроля
Чтобы избежать ошибок, важно понимать, как мы можем контролировать потенциальные утечки:
Принять организационные меры

Определить группы сотрудников, которым действительно требуется использование USB;
Запретить личные носители;
Создать порядок учета и маркировки корпоративных USB-накопителей;
Включить обязательные требования ФСТЭК в локальные нормативные акты;
Вести журнал регистрации USB-подключений.

Ограничить использование USB-портов техническими средствами
Чистый запрет без инструментов контроля работает плохо, сотрудники всё равно найдут способ его обойти. Поэтому нужны специализированные средства:
EDR Kaspersky
Позволяет:

блокировать любые USB-носители по умолчанию;
разрешать доступ только определённым сотрудникам;
ограничивать операции (только чтение, только корпоративные носители);
вести журнал подключений;
предотвращать передачу конфиденциальных файлов на внешние устройства.

DLP-системы Device Control
DLP превращает простой запрет в полноценный контроль:

анализ движущихся файлов;
запрет копирования конфиденциальной информации;
уведомления о подозрительных действиях;
расследование инцидентов.

Осведомленность сотрудников
Именно действия пользователей чаще всего становятся ключевым фактором инцидента и стоит поднять такие важные вопросы, как:

что можно и нельзя подключать к рабочему компьютеру;
как отличить подозрительный носитель;
почему личные флешки — угроза;
что делать при обнаружении неизвестного USB-устройства;
ответственность за нарушение режима.

Система кибергигиены Security awareness позволяет выполнить все эти действия в комплексе, благодаря индивидуальным решениям под ваш запрос:
Phishman
Это решение для развития киберкультуры в компаниях: анализирует цифровое поведение сотрудников, развивает их навыки ИБ и укрепляет доверие к ИБ-отделу:

Сокращает число событий ИБ на 70% в первый месяц использования
Снижает нагрузку на ИБ-отдел, выстраивает эффективный диалог между ИБ и организацией
Формирует киберкультуру: каждый сотрудник участвует в процессе защиты информации
Улучшает обнаружение инцидентов и реагирует на них: на 25% больше информации об инцидентах от сотрудников

Kaspersky ASAP
Это удобная и эффективная онлайн-платформа для повышения осведомленности сотрудников в области IT-безопасности.Учит сотрудников решать проблемы, с которыми они сталкиваются в повседневной работе:

Помогает повысить уровень осведомленности сотрудников о киберугрозах и сформировать у них соответствующие навыки. Симуляция фишинга – лучший способ протестировать навыки пользователей.
Онлайн-платформа, для работы с которой не нужен отдельный администратор. Она проста в управлении, для нее не нужно дополнительное оборудование — это полностью автоматическое решение.

Secure-T Awareness
Это платформа для повышения осведомленности сотрудников в области информационной безопасности с понятным запоминающимся контентом и возможностью проверить знания сотрудников при помощи имитированных фишинговых атак:

Большинство сотрудников не знают основ цифровой гигиены, поэтому халатно относятся к информационной безопасности при использовании личных и корпоративных устройств.
У компаний отсутствует возможность контролировать уровень знаний своих сотрудников.
В компаниях отсутствует инструмент, с помощью которого можно проверить действия сотрудников в ситуациях, приближенных к реальной атаке.
У руководителей нет подробной аналитики по уровню подготовки сотрудников и степени их уязвимости к действиям злоумышленников.
Человеческий фактор остается ключевым риском, в том числе среди ИТ-специалистов при разработке и внедрении систем.

Постоянный контроль и аудит
После внедрения технических и организационных мер важно:

проводить регулярный аудит подключений;
контролировать журналы событий;
контролировать поведение сотрудников при помощи DLP;
ежегодно обновлять локальные нормативные акты;
повышать кибергигену сотрудников;
проводить обучение по ИБ и фиксировать их уровень знаний.

Заключение
Контроль USB-устройств это реальный барьер против угроз, вы не только снижаете риски утечек и атак, но и повышаете общую устойчивость системы, экономите на восстановлении после инцидентов, выполняете требования безопасности и избегаете штрафов. По нашему опыту, компании с таким контролем сокращают инциденты на 40–60%, а команда становится осведомленнее. Внедряйте шаг за шагом, постепенно переходите к автоматизации, и ваша сеть станет надежнее. Если у вас остались вопросы — команда «Астрал. Безопасность» всегда готова вам с этим помочь.
Автор статьи: Филиппова Анастасия Вячеславовна, специалист по информационной безопасности.