(usikker er en ugentlig klumme, der dykker ned i det hurtigt eskalerende emne cybersikkerhed.
Indhold
- En hurtig løsning på et stort problem
- Styring af medierne
- Styring af slutpunktet
- GDPR og videre
På trods af den brede brug af cloud-tjenester som Dropbox, er nogle gange et praktisk gammelt USB-drev den hurtigste måde at få store mængder data fra én computer til en anden. Men tænk, hvis du en dag gik på arbejde og fandt ud af, at alle USB-drev var blevet forbudt i lokalerne? Det er, hvad der skete hos IBM for nylig.
Et nyligt lækket notat indikerede, at IBM ville være det at forbyde alle medarbejdere at bruge USB-drev. Den slags reaktion er måske forståelig i betragtning af den nuværende tilstand af cybersikkerhed, men er det virkelig den mest effektive strategi?
En hurtig løsning på et stort problem
"Det er den nemmeste måde at dække din bagende på: Lav en meddelelse om, at du forbyder alt at vise at du har lagt en politik på plads,” sagde Kingstons strategiske produktmarketingchef, Ruben Lugo, til Digital Trends. I virkeligheden, sagde han, kan denne slags politikker hindre en virksomhed langt mere, end de hjælper den.
"Folk vil bare begynde at bruge deres egen Dropbox, deres eget Google Drive, og så begynder du at omgå din egen firewall."
"Virksomheder søger ikke at anvende de rigtige ressourcer fra begyndelsen," sagde han. "Det er altid 'hvad er det hurtige fix? Behøver jeg virkelig at gøre noget?’ Og som regel handler det om at forbyde ting […] Det har vi fundet ud af faktisk hindrer produktivitet og effektivitet, som den mobile arbejdsstyrke har brug for, mens de er derude Mark."
De seneste par år har set nogle af de største datatyverier og brud nogensinde, efterlader hundreder af millioner af individer sårbare over for identitetstyveri, udnyttelse og endda politisk manipulation. Det har ført til, at mange virksomheder og enkeltpersoner tager privatlivets fred og datasikkerhed online mere alvorligt og endda bragte politikere til bordet for at diskutere, hvordan det kan forbedres. Men ikke al praksis til at gøre det anbefales nødvendigvis. At forbyde USB-drev er blot et eksempel på en sådan praksis.
USB Rubber Ducky
At forbyde USB-drev kan virke som en nem måde at stoppe lækager på. Det gør datatyveri meget vanskeligere, når de personer, der arbejder med dataene, ikke fysisk kan fjerne dem fra det sted, hvor de er gemt. Men nogle vil hævde, at en sådan politik blot åbner virksomheder som IBM for nye angrebsveje og ikke kommer til roden af problemet: sårbarheden af usikrede data.
Denne følelse gentages af Malwarebytes' VP for produkter og forskning, Pedro Bustamante, som fortalte os, at "at afbryde systemer fra at have adgang til internettet ville også være yderst effektivt. Det er bare ikke praktisk i de fleste tilfælde. Med udviklingen af teknologi og internethastigheder udgør USB-drev en relativt lille risiko på dette tidspunkt. Frustrationen for slutbrugere (eller dine medarbejdere) vil sandsynligvis ikke være den lille forbedring af din sikkerhedsstilling værd."
Årsagen til IBMs forbud mod flytbar lagring skulle efter sigende være at reducere tilfælde af lækager og datatab, uanset om det er bevidst læk af information eller gennem forlagt hardware. Vi kontaktede IBM for at få kommentarer til forbuddet, men vi har ikke modtaget et svar.
Uanset hvad, mener Kingstons Lugo, at forbud mod eksterne drev ikke vil forhindre folk i at få data ud af virksomheden, hvis de vil eller har brug for det.
"Hvor der er en vilje, er der en vej," sagde han. "Folk vil bare begynde at bruge deres egne Dropbox, deres eget Google Drev og så begynder du at omgå din egen firewall, din egen beskyttelse, og det skaber egentlig bare endnu et problem."
Styring af medierne
I Lugos sind ville det være langt bedre for IBM og virksomheder som det at kontrollere fysiske medier og de data, de indeholder, i stedet for at forsøge at forbyde enhederne direkte. Han anbefaler brug af drev som Kingstons egen Ironkey enheder, som kombinerer fysisk beskyttelse som metalhuse og epoxybelægninger til drevene printkort, med hardware-drevet kryptering, der gør de digitale data fuldstændig ulæselige for nysgerrige øjne.
"Når den bruger tilslutter et andet tilfældigt USB-drev, vil slutpunkternes sikkerhed se på det og genkende, at det ikke er et udstedt drev."
The Ironkey er i den yderste ende af de produkter, som Kingston tilbyder, men uanset mærke eller mærke enhed, så længe den udnytter hardwaredrevet kryptering, bør den næsten forhindre utilsigtet datatab helt. Det er lige meget, hvis en medarbejder forlægger et drev med følsomme data på, for selv hvis nogen skulle finde det og forsøge at få adgang til disse oplysninger, uden den korrekte adgangskode ville de finde dataene fuldstændig ulæselige.
Kingston har også andre foranstaltninger på plads for at forhindre, at data bliver tilgået, såsom et maksimalt antal adgangskodeindtastninger for at forhindre brute-force hacking og fjernsletningsfunktioner - noget, der kunne forhindre mod nogle bevidste lækager fra utilfredse eller tidligere ansatte.
"Vi har administrationssoftware, og det, der tillader, er geo-lokalisering af drev, evnen til at auditere drevene for at se, hvad der er der, håndhæve komplekse adgangskoder," sagde Lugo. "Hvis nogen skulle forlade virksomheden eller blev fyret eller utilfredse, er der en mulighed for at sende en besked til drevet for at gøre det ubrugeligt og tørre drevet rent."
Styring af slutpunktet
Selve det fysiske medie er dog kun en del af beskyttelsen af en virksomheds data. Noget, som en række værdipapirvirksomheder, herunder f.eks Symantec, MalwareBytes, og McAfee, har været under udvikling i de senere år, er endepunktsbeskyttelse.
“De bedste sikkerhedspolitikker kombinerer mennesker, processer og teknologi; den ene eksisterer ikke uden de to andre.”
Slutpunktsbeskyttelse er praksis med at sikre et netværk ved forbindelsespunktet af en enhed. Mens det typisk kan være, når en ny bærbar eller smartphone er tilsluttet et system, kan det også anvendes på fysiske drev som USB-enheder. Det er noget, Kingston mener, at virksomheder som IBM kan bruge til at forhindre noget af det datatyveri, som det søger at forpurre med sit direkte forbud.
"[Endpunktbeskyttelse] gør det muligt for administrationen, IT, uanset hvem der er involveret i cybersikkerhed, at genkende, hvem der har brug for adgang til USB-porte, hvem der har brug for adgang til X, Y, Z-data," sagde Lugo. "Så kan de faktisk opbygge en brugerprofil, en brugergruppe for derefter kun at tillade ét specifikt USB-drev, det være sig et Kingston-drev eller andet, så når denne bruger tilslutter et andet tilfældigt USB-drev, vil slutpunkternes sikkerhed se på det og genkende, at det ikke er et udstedt køre. Dermed ikke lade brugeren transportere nogen data frem og tilbage til det drev."
Ved at kontrollere selve det fysiske medie og det kontaktpunkt, det har med det interne netværk, har en virksomhed langt større kontrol over de data, der strømmer ind og ud af dets beskyttede systemer, end det gør ved, tilsyneladende i det mindste, at forbyde brugen af alle fysiske medier.
USB drop attack demo - Blackhat USA 2016
En del af det nye Generel databeskyttelsesforordning der for nylig blev vedtaget, involverer virksomheder, der har reel ansvarlighed for data, kontrollerer, hvem der har adgang til dem, og hvordan de opbevares. At have en politik uden fysiske medier gør det umuligt for IBM at være reelt ansvarlig, hvis nogen tilsidesætter en sådan politik og omgår alle interne sikkerhedsforanstaltninger, den har mod den.
Kombinationen af et krypteret drev og stærk slutpunktssikkerhed ville give mulighed for kraftig revision af fysiske enheder, hvilket forhindrer brug af uautoriserede fysiske medier og beskyttelse af data, der er fjernet fra et netværk ved at gøre det ulæseligt for alle undtagen validerede fester.
GDPR og videre
Nu hvor GDPR er blevet implementeret og kan håndhæves fuldt ud med alle enheder, der handler med EU kunder, skal flere virksomheder end nogensinde være opmærksomme på den måde, de håndterer digitalt Information. Direkte forbud mod USB-enheder kan give en vis grad af beskyttelse mod nogle af de hårdere bøder og voldgiftssystemer, der findes, men som Lugo påpeger, giver de ikke virksomheder den kontrol, de behøver for virkelig at beskytte deres data og deres ansattes og brugere.
Hvad angår IBM, håber Lugo, at Kingston kan vende det om på sine seneste politiske ændringer og er allerede i gang med at forsøge at gøre det.
Hvad er GDPR? Og hvorfor skulle jeg bekymre mig?
"IBM er en fantastisk virksomhed," sagde han, "[Men] nogle af vores salgsteam er [i kontakt med det] i øjeblikket, så vi får se, hvordan det går."
At øge bevidstheden om alternativerne til IBMs forbud er også vigtigt blandt dets medarbejdere. Som MalwareBytes' Bustamante fremhævede for os, er den bedste måde at sikre et netværk på med en kombinationsstrategi, der samler mennesker, hardware og software for omfattende at låse vigtige data og de netværk, de er gemt på.
"Virksomheder skal sikre, at de har de rigtige interne processer på plads til at håndtere et brud og sikre, at personalet får regelmæssig sikkerhed træning – dine medarbejdere er trods alt din første forsvarslinje, så udrust dem med viden til at kunne se en risikable e-mail eller vedhæftet fil,” sagde. “De bedste sikkerhedspolitikker kombinerer mennesker, processer og teknologi; den ene eksisterer ikke uden de to andre.”
