Koliko je stvarno učinkovita IBM-ova zabrana USB pogona?

Hrpa USB stickova
Pixabay

(u) Sigurno je tjedna kolumna koja se bavi temom kibernetičke sigurnosti koja brzo eskalira.

Sadržaj

  • Brzo rješenje za veliki problem
  • Kontrola medija
  • Kontrola krajnje točke
  • GDPR i šire

Unatoč širokoj upotrebi usluga u oblaku poput Dropboxa, ponekad je zgodan stari USB pogon najbrži način za prijenos velikih količina podataka s jednog računala na drugo. Ali zamislite da jednog dana odete na posao i saznate da su svi USB pogoni zabranjeni u prostorijama? To se nedavno dogodilo u IBM-u.

Nedavno je procurio dopis naznačio da će IBM biti zabraniti svim zaposlenicima korištenje USB pogona. Takva bi reakcija mogla biti razumljiva s obzirom na trenutno stanje kibernetičke sigurnosti, no je li to doista najučinkovitija strategija?

Brzo rješenje za veliki problem

"To je najlakši način da pokrijete svoju stražnjicu: objavite da zabranjujete sve što možete pokazati da ste postavili politiku", rekao je Kingstonov menadžer za strateški marketing proizvoda, Ruben Lugo, za Digital Trendovi. U stvarnosti, rekao je, ovakve politike mogu više ometati tvrtku nego što joj pomažu.

"Ljudi će jednostavno početi koristiti vlastiti Dropbox, vlastiti Google Drive, a onda ćete početi zaobilaziti vlastiti vatrozid."

"Tvrtke ne žele primijeniti prave resurse od samog početka", rekao je. "Uvijek se pita 'koje je brzo rješenje?' Trebam li stvarno išta učiniti?’ I obično se to vrti oko zabrane stvari […] Otkrili smo da to zapravo ometa produktivnost i učinkovitost koji su potrebni mobilnoj radnoj snazi ​​dok su vani u polje."

U proteklih nekoliko godina dogodile su se neke od najvećih krađa i provala podataka ikada, ostavljajući stotine milijuna pojedinaca ranjiv na krađu identiteta, iskorištavanje, pa čak i političke manipulacije. To je dovelo do toga da mnoge tvrtke i pojedinci ozbiljnije shvate privatnost i sigurnost podataka na internetu, pa je čak dovelo i političare za stol da razgovaraju o tome kako se to može poboljšati. Ali nisu sve prakse za to nužno preporučene. Zabrana USB diskova samo je jedan primjer takve prakse.

USB gumena patkica

Reklama za USB Rubber Ducky, alat koji se koristi za izvođenje USB drop napada.

Zabrana USB pogona može se činiti kao jednostavan način za zaustavljanje curenja. To znatno otežava krađu podataka kada ih ljudi koji rade s podacima ne mogu fizički ukloniti s mjesta na kojem su pohranjeni. Ali neki bi tvrdili da takva politika samo otvara tvrtkama poput IBM-a nove načine napada i ne dopire do korijena problema: ranjivosti nezaštićenih podataka.

To mišljenje ponavlja Malwarebytesov potpredsjednik za proizvode i istraživanje, Pedro Bustamante, koji nam je rekao da bi "isključivanje sustava od pristupa internetu također bilo vrlo učinkovito. To jednostavno nije praktično u većini slučajeva. Uz razvoj tehnologije i brzine interneta, USB pogoni u ovom trenutku predstavljaju relativno mali rizik. Frustracija krajnjih korisnika (ili vaših zaposlenika) vjerojatno neće biti vrijedna malog poboljšanja vašeg sigurnosnog položaja.”

Ruben Lugo, strateški menadžer marketinga proizvoda za Kingston.Kingston

Rečeno je da je razlog za IBM-ovu zabranu izmjenjive pohrane smanjenje slučajeva curenja i gubitka podataka, bilo da se radi o namjernom curenju informacija ili zbog pogrešno postavljenog hardvera. Obratili smo se IBM-u za komentar o zabrani, ali nismo dobili odgovor.

U svakom slučaju, Lugo iz Kingstona vjeruje da zabrana vanjskih diskova neće spriječiti ljude da izvuku podatke iz tvrtke ako to žele ili trebaju.

“Gdje postoji volja, postoji i način”, rekao je. “Ljudi će samo početi koristiti svoje Dropbox, njihov Google Drive a onda počnete zaobilaziti vlastiti vatrozid, vlastitu zaštitu i to zapravo samo stvara još jedan problem.”

Kontrola medija

Po Lugovom mišljenju, bilo bi daleko bolje da IBM i njemu slične tvrtke kontroliraju fizičke medije i podatke koje sadrže, umjesto da pokušavaju potpuno zabraniti uređaje. On preporučuje korištenje pogona poput Kingstonov vlastiti Ironkey uređaji, koji kombiniraju fizičku zaštitu poput metalnih kućišta i epoksidnih premaza za pogone tiskanu ploču, s hardverski vođenom enkripcijom koja čini digitalne podatke potpuno nečitljivima znatiželjnih očiju.

"Kada taj korisnik uključi drugi nasumični USB pogon, zaštita krajnjih točaka će ga pogledati i prepoznati da nije izdani pogon."

Ironkey je na krajnjem kraju proizvoda koje nudi Kingston, ali bez obzira na marku ili proizvod uređaj, sve dok koristi hardverski vođenu enkripciju, trebao bi spriječiti nenamjerni gubitak podataka gotovo u cijelosti. Nije važno ako zaposlenik izgubi pogon s osjetljivim podacima na njemu, jer čak i ako bi netko pronašao i pokušali pristupiti tim informacijama, bez točne šifre smatrali bi podatke potpuno nečitljivima.

Kingston također ima druge mjere za sprječavanje pristupa tim podacima, kao što je maksimalni broj unosa lozinki za sprječavanje brutalno hakiranje i mogućnosti daljinskog brisanja – nešto što bi moglo spriječiti neka namjerna curenja od nezadovoljnih ili bivši zaposlenici.

Kingston

"Imamo softver za upravljanje i ono što omogućuje je geo-lociranje pogona, mogućnost revizije pogona da se vidi što se tamo nalazi, nametanje složenih lozinki", rekao je Lugo. "Ako netko napusti tvrtku ili bude otpušten ili nezadovoljan, postoji mogućnost slanja poruke na pogon kako bi ga učinio beskorisnim i obrisao pogon."

Kontrola krajnje točke

Međutim, sam fizički medij samo je jedan dio zaštite podataka tvrtke. Nešto što brojne tvrtke za vrijednosne papire, uključujući i one poput njih Symantec, MalwareBytes, i McAfee, koji se razvijaju posljednjih godina, zaštita je krajnje točke.

“Najbolje sigurnosne politike kombiniraju ljude, procese i tehnologiju; jedno ne postoji bez druga dva.”

Zaštita krajnje točke praksa je osiguravanja mreže na mjestu povezivanja pomoću uređaja. Iako to obično može biti kada novo prijenosno računalo ili pametni telefon ako je povezan sa sustavom, može se primijeniti i na fizičke pogone poput USB uređaja. To je nešto za što Kingston vjeruje da bi tvrtke poput IBM-a mogle upotrijebiti da spriječe neke krađe podataka koje žele osujetiti svojom potpunom zabranom.

"[Zaštita krajnje točke] omogućuje administraciji, IT-u, onome tko je uključen u kibernetičku sigurnost, da prepoznaju kome treba pristup USB priključcima, kome treba pristup podacima X, Y, Z", rekao je Lugo. „Tada zapravo mogu izgraditi korisnički profil, korisničku grupu kako bi dopustili samo jedan određeni USB pogon, bio to Kingston pogon ili drugo, tako da kada taj korisnik uključi drugi nasumični USB pogon, zaštita krajnjih točaka će ga pogledati i prepoznati da nije izdana voziti. Na taj način ne dopuštajući korisniku da prenosi bilo kakve podatke naprijed-natrag na taj pogon.”

Kontroliranjem samog fizičkog medija i kontaktne točke koju ima s internom mrežom, tvrtka ima daleko veću kontrolu nad podacima koji ulaze i izlaze iz njegovih zaštićenih sustava nego što to čini tako što, barem naizgled, zabranjuje korištenje svih fizičkih medijima.

Demonstracija USB drop napada - Blackhat USA 2016

Dio novog Opća uredba o zaštiti podataka koji je nedavno donesen uključuje tvrtke koje imaju stvarnu odgovornost za podatke, kontroliraju tko im ima pristup i kako se pohranjuju. Posjedovanje politike zabrane fizičkog medija onemogućuje IBM-u da bude istinski odgovoran u slučaju da se netko ogluši o takvu politiku i zaobiđe sve interne zaštitne mjere koje ima protiv toga.

Kombinacija šifriranog pogona i snažne sigurnosti krajnje točke omogućila bi moćnu reviziju fizičkih uređaja, sprječavajući korištenje neovlaštenih fizičkih medija i zaštita podataka koji su uklonjeni s mreže tako da budu nečitljivi za sve osim provjerenih stranke.

GDPR i šire

Sada kada je GDPR implementiran i u potpunosti je provediv za sve subjekte koji posluju s EU-om kupaca, više tvrtki nego ikada treba obratiti pozornost na način na koji rukuju digitalnim informacija. Izravne zabrane USB uređaja mogle bi ponuditi određenu mjeru zaštite od nekih strožih kazni i arbitražnih sustava koji su na snazi, ali kao što ističe Lugo, oni tvrtkama ne daju kontrolu koja im je potrebna da istinski zaštite svoje podatke i podatke svojih zaposlenika i korisnika.

Što se tiče IBM-a, Lugo se nada da Kingston može promijeniti svoje nedavne promjene politike i već je u procesu pokušaja da to učini.

Što je GDPR? A zašto bi me bilo briga?

“IBM je nevjerojatna tvrtka,” rekao je, “[ali] neki od našeg prodajnog tima su [u kontaktu] u ovom trenutku, pa ćemo vidjeti kako će to ići.”

Podizanje svijesti o alternativama IBM-ovoj zabrani važno je i među njegovim zaposlenicima. Kao što nam je MalwareBytesov Bustamante istaknuo, najbolji način za osiguranje mreže je kombinirana strategija koja okuplja ljude, hardver i softver kako bi sveobuhvatno zaključao važne podatke i mreže koje su pohranjeni na.

„Tvrtke moraju osigurati odgovarajuće interne procese za rješavanje kršenja i osigurati da osoblje ima redovitu zaštitu obuka – ipak su vaši zaposlenici vaša prva linija obrane pa ih opremite znanjem kako bi mogli uočiti sumnjivu e-poštu ili privitak," rekao je. “Najbolje sigurnosne politike kombiniraju ljude, procese i tehnologiju; jedno ne postoji bez druga dva.”