Kui tõhus on IBMi USB-draivi keeld tõesti?

(in) Turvaline on iganädalane veerg, mis sukeldub kiiresti eskaleeruvasse küberturvalisuse teemasse.

Vaatamata pilveteenuste, nagu Dropbox, laialdasele kasutamisele, on mõnikord mugav vana USB-draiv kiireim viis suurte andmemahtude ühest arvutist teise viimiseks. Kuid kujutage ette, kui te ühel päeval tööle lähete ja avastaksite, et kõik USB-draivid on ruumides keelatud? Nii juhtus hiljuti IBMis.

Hiljuti lekkinud memo näitas, et IBM oleks keelata kõigil töötajatel USB-draivi kasutada. Selline reaktsioon võib küberturvalisuse praegust olukorda arvestades olla mõistetav, kuid kas see on tõesti kõige tõhusam strateegia?

Kiire lahendus suurele probleemile

"See on lihtsaim viis oma tagaosa katmiseks: tehke teadaanne, et keelate kõik näitamise et olete poliitika paika pannud," ütles Kingstoni strateegiline tooteturunduse juht Ruben Lugo Digitalile Trendid. Tegelikkuses võivad sellised poliitikad tema sõnul ettevõtet takistada palju rohkem kui aidata.

"Ettevõtted ei soovi algusest peale kasutada õigeid ressursse," ütles ta. Alati on küsimus: „Mis on kiire lahendus? Kas ma pean tõesti midagi tegema?“ Ja tavaliselt keerleb see asjade keelamise ümber […] Oleme avastanud, et see tegelikult takistab tootlikkust ja tõhusust, mida mobiilne tööjõud vajab, kui nad seal väljas on väli."

Viimastel aastatel on toimunud läbi aegade suurimaid andmete vargusi ja rikkumisi, jättes maha sadu miljoneid inimesi haavatav identiteedivarguse, ärakasutamise ja isegi poliitiline manipuleerimine. See on viinud selleni, et paljud ettevõtted ja üksikisikud võtavad veebis privaatsust ja andmeturvet tõsisemalt ning tõid isegi poliitikud laua taha, et arutada, kuidas seda parandada. Kuid mitte kõik tavad selle tegemiseks pole tingimata soovitatavad. USB-draivide keelamine on vaid üks näide sellisest praktikast.

USB-draivide keelamine võib tunduda lihtne viis lekete peatamiseks. See muudab andmete varguse palju keerulisemaks, kui andmetega töötavad inimesed ei saa neid füüsiliselt hoiukohast eemaldada. Kuid mõned väidavad, et selline poliitika lihtsalt avab ettevõtetele nagu IBM uutele rünnakuvõimalustele ega jõua probleemi juureni: turvamata andmete haavatavus.

Seda suhtumist kordab Malwarebytesi toodete ja uuringute asepresident Pedro Bustamante, kes ütles meile, et "süsteemide Interneti-juurdepääsu katkestamine oleks samuti väga tõhus. Enamikul juhtudel pole see lihtsalt praktiline. Tehnoloogia ja Interneti-kiiruse arenguga kujutavad USB-draivid praegusel hetkel suhteliselt väikest ohtu. Lõppkasutajate (või teie töötajate) pettumus ei ole tõenäoliselt väärt teie turvaasendi väikest parandamist.

IBM-i irdmälu keelu põhjuseks väideti lekete ja andmekao juhtude vähendamist, olgu see siis tahtlik teabe lekkimine või valesti paigutatud riistvara. Pöördusime IBM-iga keelu kommenteerimiseks, kuid pole vastust saanud.

Mõlemal juhul usub Kingstoni Lugo, et väliste draivide keelamine ei takista inimestel soovi või vajaduse korral ettevõttest andmeid välja saada.

"Kus on tahe, seal on ka viis," ütles ta. "Inimesed hakkavad lihtsalt kasutama oma Dropbox, nende enda Google Drive ja siis hakkate oma tulemüürist ja kaitsest mööda hiilima ja see tekitab lihtsalt uue probleemi."

Meedia juhtimine

Lugo arvates oleks IBMil ja selle sarnastel ettevõtetel palju parem kontrollida füüsilist andmekandjat ja nendes sisalduvaid andmeid, selle asemel, et seadmeid täielikult keelata. Ta soovitab kasutada selliseid draive nagu Kingstoni enda Ironkey seadmed, mis ühendavad endas füüsilised kaitsed, nagu metallkestad ja ajamite epoksükatted trükkplaat riistvarapõhise krüptimisega, mis muudab digitaalsed andmed täiesti loetamatuks uudishimulikud silmad.

Ironkey on Kingstoni pakutavate toodete äärmises otsas, kuid olenemata kaubamärgist või kaubamärgist kui see kasutab riistvarapõhist krüptimist, peaks see peaaegu vältima tahtmatut andmekadu täielikult. Pole vahet, kui töötaja tundlike andmetega draivi valesti paigutab, sest isegi kui keegi leiaks ja proovige sellele teabele juurde pääseda, ilma õige pääsukoodita leiaksid nad, et andmed on täiesti loetamatud.

Kingstonil on ka muud meetmed, mis takistavad nendele andmetele juurdepääsu, näiteks paroolide maksimaalne arv, et vältida jõhkra jõuga häkkimise ja kaugpühkimise võimalused – see võib takistada tahtlikke lekkeid rahulolematust või endised töötajad.

"Meil on haldustarkvara ja see võimaldab draivide geograafilist asukoha määramist, draive auditeerimist, et näha, mis seal on, ja keerukate paroolide jõustamiseks," ütles Lugo. "Kui keegi lahkub ettevõttest või vallandatakse või on rahulolematu, on võimalik draivile sõnum saata, et see kasutuks muuta ja draiv puhtaks pühkida."

Lõpp-punkti juhtimine

Füüsiline andmekandja ise on aga vaid üks osa ettevõtte andmete kaitsmisest. Midagi, mida mitmed väärtpaberifirmad, sealhulgas sarnased Symantec, MalwareBytes, ja McAfee, mida on viimastel aastatel välja töötatud, on lõpp-punkti kaitse.

Lõpp-punkti kaitse on võrgu turvalisuse tagamine ühenduse kohas seadme abil. Kuigi tavaliselt võib see juhtuda siis, kui uus sülearvuti või nutitelefoni on süsteemiga ühendatud, saab seda rakendada ka füüsilistele draividele, näiteks USB-seadmetele. See on midagi, mida Kingston usub, et sellised ettevõtted nagu IBM saaksid ära hoida mõningaid andmevargusi, mida ta soovib oma otsese keeluga takistada.

"[Lõpp-punkti kaitse] võimaldab administratsioonil, IT-l, olenemata sellest, kes on seotud küberturvalisusega, ära tunda, kes vajab juurdepääsu USB-portidele, kes vajab juurdepääsu X-, Y-, Z-andmetele, " ütles Lugo. "Siis saavad nad tegelikult luua kasutajaprofiili, kasutajarühma, et lubada ainult ühte kindlat USB-draivi, olgu see siis Kingstoni draiv või muu, nii et kui see kasutaja ühendab teise juhusliku USB-draivi, vaatab lõpp-punktide turvalisus seda ja tuvastab, et see pole väljastatud sõita. Seega ei lase kasutajal andmeid sellele draivile edasi-tagasi transportida.

Kontrollides füüsilist andmekandjat ennast ja kontaktpunkti, mis sellel on sisevõrguga, on ettevõttel palju suurem kontroll kaitstud süsteemidesse sisenevate ja sealt välja voolavate andmete üle, kui see, vähemalt näiliselt keelab kõigi füüsiliste meedia.

Osa uuest Andmekaitse üldmääruse õigusaktid See, mis hiljuti jõustus, hõlmab ettevõtete tegelikku vastutust andmete eest, kontrollimist, kellel on neile juurdepääs ja kuidas neid säilitatakse. Füüsilise andmekandja puudumise poliitika muudab IBMil võimatuks olla tõeliselt vastutav, kui keegi sellist poliitikat eirab ja hoiab kõrvale kõigist selle vastu suunatud sisemistest kaitsemeetmetest.

Krüpteeritud draivi ja tugeva lõpp-punkti turvalisuse kombinatsioon võimaldaks füüsiliste seadmete võimsat auditeerimist, vältides volitamata füüsiliste andmekandjate kasutamine ja võrgust eemaldatud andmete kaitsmine, muutes need loetamatuks kõigile, välja arvatud valideeritud peod.

GDPR ja kaugemalgi

Nüüd, mil GDPR on rakendatud ja see on täielikult jõustatav kõigi ELiga äri ajavate üksuste suhtes klientidele, peavad rohkem ettevõtteid kui kunagi varem tähelepanu pöörama sellele, kuidas nad digiga tegelevad teavet. USB-seadmete otsesed keelud võivad pakkuda kaitset karmimate trahvide ja vahekohtusüsteemide eest, kuid nagu Lugo märgib, ei anna need ettevõtetele kontrolli, mida neil on vaja oma ja oma töötajate andmete tõeliseks kaitsmiseks. kasutajad.

Mis puutub IBM-i, siis Lugo loodab, et Kingston suudab selle oma hiljutiste poliitiliste muudatustega ümber pöörata ja on juba proovimas seda teha.

"IBM on hämmastav ettevõte," ütles ta, "[aga] mõned meie müügimeeskonnast on praegu [sellega ühenduses], nii et vaatame, kuidas see läheb."

Teadlikkuse tõstmine IBMi keelu alternatiividest on oluline ka tema töötajate seas. Nagu MalwareBytesi Bustamante meile rõhutas, on parim viis võrgu turvamiseks kombineeritud strateegia, mis ühendab inimesed, riistvara ja tarkvara, et lukustada igakülgselt olulised andmed ja võrgud, kuhu need salvestatakse peal.

"Ettevõtted peavad tagama, et neil on rikkumisega tegelemiseks paigas õiged sisemised protsessid ja et töötajatele antakse regulaarne turvalisus koolitus – lõppude lõpuks on teie töötajad teie esimene kaitseliin, nii et varustage neid teadmistega, et nad suudaksid märgata veidrat meili või manust. ütles. “Parimates turvapoliitikates on ühendatud inimesed, protsessid ja tehnoloogia; ühte ei eksisteeri ilma kahe teiseta.