Kuinka tehokas IBM: n USB-asemakielto todella on?

(in) Turvallinen on viikoittainen kolumni, joka sukeltaa nopeasti kiihtyvään kyberturvallisuuden aiheeseen.

Huolimatta Dropboxin kaltaisten pilvipalvelujen laajasta käytöstä, joskus kätevä vanha USB-asema on nopein tapa siirtää suuria tietomääriä tietokoneelta toiselle. Mutta kuvittele, jos jonain päivänä menisit töihin ja saisit tietää, että kaikki USB-asemat on kielletty tiloista? Näin tapahtui äskettäin IBM: llä.

Äskettäin vuotanut muistio osoitti, että IBM olisi kielletään kaikkia työntekijöitä käyttämästä USB-asemia. Tällainen reaktio saattaa olla ymmärrettävää nykyisen kyberturvallisuuden vuoksi, mutta onko se todella tehokkain strategia?

Pikakorjaus suureen ongelmaan

"Se on helpoin tapa peittää takapääsi: Tee ilmoitus, että estät kaiken näyttämisen että olet ottanut käyttöön politiikan", Kingstonin strateginen tuotemarkkinointipäällikkö Ruben Lugo kertoi Digitalille Trendit. Todellisuudessa hän sanoi, että tällaiset politiikat voivat haitata yritystä paljon enemmän kuin auttaa sitä.

"Yritykset eivät halua käyttää oikeita resursseja alusta alkaen", hän sanoi. "Aina on "mikä on nopea ratkaisu? Pitääkö minun tehdä jotain todella?’ Ja yleensä se pyörii asioiden kieltämisen ympärillä […] Olemme havainneet, että se itse asiassa haittaa tuottavuutta ja tehokkuutta, jota liikkuva työvoima tarvitsee ollessaan siellä ala."

Viime vuosina on nähty kaikkien aikojen suurimpia tietovarkauksia ja tietomurtoja, jättäen satoja miljoonia yksilöitä alttiita identiteettivarkaudelle, hyväksikäytölle ja jopa poliittinen manipulointi. Tämä on johtanut siihen, että monet yritykset ja yksityishenkilöt ottavat yksityisyyden ja tietoturvan verkossa vakavammin ja jopa saaneet poliitikot keskustelemaan siitä, miten sitä voitaisiin parantaa. Mutta kaikkia käytäntöjä sen tekemiseksi ei välttämättä suositella. USB-asemien kieltäminen on vain yksi esimerkki tällaisesta käytännöstä.

USB-asemien kieltäminen voi tuntua helpolta tavalta estää vuodot. Se tekee tietovarkauksista paljon vaikeampaa, kun tietojen parissa työskentelevät ihmiset eivät voi fyysisesti poistaa niitä säilytyspaikasta. Mutta jotkut väittävät, että tällainen politiikka vain avaa IBM: n kaltaisille yrityksille uusille hyökkäysväylille eikä päästä ongelman ytimeen: suojaamattomien tietojen haavoittuvuuteen.

Tätä mielipidettä yhtyy Malwarebytesin tuote- ja tutkimusjohtaja Pedro Bustamante, joka kertoi meille, että "järjestelmien katkaiseminen Internetiin pääsystä olisi myös erittäin tehokasta. Se ei vain ole käytännöllistä useimmissa tapauksissa. Tekniikan ja Internetin nopeuksien kehittyessä USB-asemat ovat suhteellisen pieni riski tässä vaiheessa. Loppukäyttäjiin (tai työntekijöihisi) kohdistuva turhautuminen ei todennäköisesti ole pienen parannuksen arvoista tietoturva-asentoosi."

Syynä IBM: n irrotettavan tallennuskiellon sanottiin olevan vuotojen ja tietojen häviämisen vähentäminen, oli kyse sitten tahallisesta tiedon vuotamisesta tai väärästä laitteistosta. Otimme IBM: ltä kommentin kieltoon, mutta emme ole saaneet vastausta.

Joka tapauksessa Kingston's Lugo uskoo, että ulkoisten asemien kieltäminen ei estä ihmisiä saamasta tietoja ulos yrityksestä, jos he haluavat tai tarvitsevat.

"Missä on tahtoa, siellä on keino", hän sanoi. "Ihmiset alkavat vain käyttää omiaan Dropbox, oma Google Drive ja sitten alat kiertää omaa palomuuriasi, omaa suojaasi, ja se on oikeastaan ​​vain uusi ongelma."

Median hallinta

Lugon mielestä IBM: n ja sen kaltaisten yritysten olisi paljon parempi hallita fyysistä mediaa ja niiden sisältämää dataa sen sijaan, että yrittäisivät kieltää laitteet kokonaan. Hän suosittelee asemien käyttöä Kingstonin oma Ironkey laitteita, joissa yhdistyvät fyysiset suojat, kuten metallikotelot ja taajuusmuuttajien epoksipinnoitteet piirilevy, jossa on laitteistopohjainen salaus, joka tekee digitaalisista tiedoista täysin lukukelvottomia uteliaita katseita.

Ironkey on Kingstonin tarjoamien tuotteiden ääripäässä, mutta olipa tuotemerkki tai merkki mikä tahansa laitteeseen, niin kauan kuin se hyödyntää laitteistopohjaista salausta, sen pitäisi estää tahaton tietojen menetys melkein täysin. Sillä ei ole väliä, jos työntekijä sijoittaa väärin aseman, jossa on arkaluontoisia tietoja, koska vaikka joku löytäisi ja yrittää päästä käsiksi näihin tietoihin, ilman oikeaa salasanaa he löytäisivät tiedot täysin lukukelvottomia.

Kingstonilla on myös muita toimenpiteitä, joilla estetään kyseisten tietojen käyttö, kuten salasanan syöttöjen enimmäismäärä estääkseen raa'an voiman hakkerointi ja etäpyyhkimisominaisuudet – mikä voi estää tahallisia vuotoja tyytymättömiltä tai entiset työntekijät.

"Meillä on hallintaohjelmisto, ja se mahdollistaa asemien maantieteellisen paikantamisen, mahdollisuuden tarkastaa asemat nähdäkseen, mitä siellä on, ja pakottaa monimutkaisia ​​salasanoja", Lugo sanoi. "Jos joku lähtisi yrityksestä tai hänet irtisanottaisiin tai olisi tyytymätön, asemaan voidaan lähettää viesti, joka tekee siitä hyödyttömän ja pyyhi aseman puhtaaksi."

Päätepisteen hallinta

Fyysinen media itsessään on kuitenkin vain yksi osa yrityksen tietojen suojaamista. Jotain, jota monet arvopaperiyhtiöt, mukaan lukien vastaavat Symantec, MalwareBytes, ja McAfee, jota on kehitetty viime vuosina, on päätepisteiden suojaus.

Päätepisteen suojaus on käytäntö suojata verkko yhteyspisteessä laitteella. Vaikka tyypillisesti se voi olla, kun uusi kannettava tietokone tai älypuhelin on kytketty järjestelmään, sitä voidaan käyttää myös fyysisille asemille, kuten USB-laitteille. Tätä Kingston uskoo, että IBM: n kaltaiset yritykset voisivat käyttää estääkseen osan tietovarkauksista, jotka se aikoo estää suoralla kiellollaan.

"[Päätepistesuojaus] mahdollistaa hallinnon, IT: n, kuka tahansa kyberturvallisuuteen osallistuva, tunnistaa, kuka tarvitsee pääsyn USB-portteihin, kuka tarvitsee pääsyn X-, Y-, Z-tietoihin", Lugo sanoi. "Sitten he voivat itse rakentaa käyttäjäprofiilin, käyttäjäryhmän salliakseen vain yhden tietyn USB-aseman, olipa se sitten Kingston-asema tai muu, jotta kun käyttäjä kytkee toisen satunnaisen USB-aseman, päätepisteiden suojaus tarkastelee sitä ja tunnistaa, että se ei ole myönnetty ajaa. Näin ollen käyttäjän ei anneta siirtää mitään tietoja edestakaisin tälle asemalle."

Hallitsemalla itse fyysistä mediaa ja sen yhteyspistettä sisäiseen verkkoon yrityksellä on paljon enemmän hallintaa sen suojattuihin järjestelmiin ja niistä ulos virtaavien tietojen yli, kuin se tekee ainakin näennäisesti kieltämällä kaikkien fyysisten media.

Osa uutta Yleisen tietosuoja-asetuksen lainsäädäntö äskettäin säädetyllä tavalla yrityksillä on todellinen vastuu tiedoista, ne valvovat, kenellä on pääsy niihin ja miten niitä säilytetään. Fyysisen median puuttumisen periaate tekee IBM: n mahdottomaksi olla aidosti vastuussa, jos joku rikkoo tällaista politiikkaa ja kiertää kaikki sisäiset suojakeinot, joita sillä on sitä vastaan.

Salatun aseman ja vahvan päätepistesuojauksen yhdistelmä mahdollistaisi fyysisten laitteiden tehokkaan auditoinnin, mikä estää luvattomien fyysisten tietovälineiden käyttö ja verkosta poistettujen tietojen suojaaminen tekemällä niistä lukukelvottomia kaikille paitsi vahvistetuille juhlia.

GDPR ja sen yli

Nyt kun GDPR on otettu käyttöön ja se on täysin täytäntöönpanokelpoinen kaikkien EU: n kanssa liiketoimintaa tekevien tahojen kanssa asiakkaita, useamman yrityksen kuin koskaan on kiinnitettävä huomiota tapaan, jolla he käsittelevät digitaalisuutta tiedot. USB-laitteiden suorat kiellot voivat tarjota jonkin verran suojaa joiltakin olemassa olevilta kovemmilta sakoilta ja sovittelujärjestelmiltä, mutta kuten Lugo huomauttaa, ne eivät anna yrityksille hallintaa, jota ne tarvitsevat suojatakseen todella tietojaan ja työntekijöidensä tietoja. käyttäjiä.

IBM: n osalta Lugo toivoo, että Kingston voi muuttaa sen viimeaikaisilla politiikkamuutoksillaan, ja se on jo yrittämässä tehdä niin.

"IBM on hämmästyttävä yritys", hän sanoi "[mutta] osa myyntitiimistämme on [yhteydessä siihen] tällä hetkellä, joten katsotaan kuinka käy."

Tietoisuuden lisääminen IBM: n kiellon vaihtoehdoista on tärkeää myös sen työntekijöiden keskuudessa. Kuten MalwareBytesin Bustamante meille korosti, paras tapa suojata verkko on yhdistelmästrategia, joka tuo yhteen ihmiset, laitteistot ja ohjelmistot lukitakseen kattavasti tärkeät tiedot ja ne tallennetut verkot päällä.

"Yritysten on varmistettava, että niillä on käytössä oikeat sisäiset prosessit rikkomusten käsittelemiseksi ja että henkilöstölle annetaan säännöllinen turvallisuus. koulutus – kun kaikki työntekijäsi ovat ensimmäinen puolustuslinjasi, joten anna heille tiedot, jotta he voivat havaita ovela sähköposti tai liite. sanoi. ”Parhaassa turvallisuuspolitiikassa yhdistyvät ihmiset, prosessit ja teknologia; yksi ei ole olemassa ilman kahta muuta."