(in) Sicuro è una rubrica settimanale che approfondisce il tema in rapida espansione della sicurezza informatica.
Contenuti
- Una soluzione rapida per un problema enorme
- Controllare i media
- Controllo del punto finale
- GDPR e oltre
Nonostante l'ampio utilizzo di servizi cloud come Dropbox, a volte una comoda e vecchia unità USB è il modo più rapido per trasferire grandi quantità di dati da un computer all'altro. Ma immagina se un giorno andassi al lavoro e scoprissi che tutte le unità USB sono state bandite dal locale? Questo è quello che è successo di recente all’IBM.
Una recente nota trapelata indicava che IBM lo sarebbe vietare a tutti i dipendenti di utilizzare unità USB. Questo tipo di reazione potrebbe essere comprensibile dato lo stato attuale della sicurezza informatica, ma è davvero la strategia più efficace?
Una soluzione rapida per un problema enorme
“Questo è il modo più semplice per coprirti il didietro: fai un annuncio che stai vietando tutto da mostrare che hai messo in atto una politica”, ha detto a Digital il responsabile del marketing strategico dei prodotti di Kingston, Ruben Lugo Tendenze. In realtà, ha affermato, questo tipo di politiche possono ostacolare un’azienda molto più di quanto la aiutino.
"Le persone inizieranno semplicemente a utilizzare il proprio Dropbox, il proprio Google Drive e poi inizieranno ad aggirare il proprio firewall."
“Le aziende non cercano di applicare le giuste risorse fin dall’inizio”, ha affermato. “La domanda è sempre ‘qual è la soluzione rapida? Devo fare davvero qualcosa?’ E di solito tutto ruota intorno al divieto di cose […] Abbiamo scoperto che è così ostacola effettivamente la produttività e l’efficienza di cui la forza lavoro mobile ha bisogno mentre è sul mercato campo."
Negli ultimi anni si sono verificati alcuni dei più grandi furti e violazioni di dati di sempre, lasciando centinaia di milioni di individui vulnerabile al furto di identità, allo sfruttamento e persino manipolazione politica. Ciò ha portato molte aziende e individui a prendere più sul serio la privacy e la sicurezza dei dati online e ha persino portato i politici a un tavolo per discutere su come migliorarla. Ma non tutte le pratiche per farlo sono necessariamente raccomandate. Vietare le unità USB è solo un esempio di tale pratica.
La paperella di gomma USB
Vietare le unità USB può sembrare un modo semplice per fermare le fughe di informazioni. Rende il furto di dati molto più difficile quando le persone che lavorano con i dati non possono rimuoverli fisicamente da dove sono archiviati. Ma alcuni sostengono che una tale politica apre semplicemente aziende come IBM a nuove vie di attacco e non arriva alla radice del problema: la vulnerabilità dei dati non protetti.
Questo sentimento è ripreso dal vicepresidente dei prodotti e della ricerca di Malwarebytes, Pedro Bustamante, che ci ha detto che “anche disconnettere i sistemi dall’accesso a Internet sarebbe molto efficace. Nella maggior parte dei casi non è pratico. Con l’evoluzione della tecnologia e della velocità di Internet, le unità USB rappresentano un rischio relativamente piccolo al momento. È improbabile che la frustrazione degli utenti finali (o dei tuoi dipendenti) valga il piccolo miglioramento del tuo livello di sicurezza”.
Si dice che il motivo del divieto di IBM sugli archivi rimovibili sia quello di ridurre i casi di fughe di dati e perdite di dati, sia che si tratti di fuga deliberata di informazioni o di hardware smarrito. Abbiamo contattato IBM per un commento sul divieto, ma non abbiamo ricevuto risposta.
In ogni caso, Lugo di Kingston ritiene che vietare le unità esterne non impedirà alle persone di portare i dati fuori dall’azienda se lo desiderano o se ne hanno bisogno.
“Dove c’è una volontà c’è un modo”, ha detto. “Le persone inizieranno a usare le proprie Dropbox, il proprio Google Drive e poi inizi ad aggirare il tuo firewall, la tua stessa protezione e in realtà non fai altro che creare un altro problema.
Controllare i media
Secondo Lugo, sarebbe molto meglio per IBM e aziende simili controllare i supporti fisici e i dati in essi contenuti, piuttosto che cercare di vietare completamente i dispositivi. Raccomanda l'uso di unità simili L'Ironkey di Kingston dispositivi, che combinano protezioni fisiche come involucri metallici e rivestimenti epossidici per le unità circuito stampato, con crittografia basata su hardware che rende i dati digitali completamente illeggibili occhi indiscreti.
"Quando l'utente collega un'altra unità USB a caso, la sicurezza dell'endpoint la esaminerà e riconoscerà che non si tratta di un'unità emessa."
L'Ironkey è all'estremità dei prodotti offerti da Kingston, ma qualunque sia la marca o la marca dispositivo, purché sfrutti la crittografia basata su hardware, dovrebbe prevenire quasi la perdita involontaria di dati interamente. Non importa se un dipendente smarrisce un'unità contenente dati sensibili, perché anche se qualcuno dovesse trovarla it e provare ad accedere a tali informazioni, senza il passcode corretto troverebbero i dati completamente illeggibili.
Kingston adotta anche altre misure per impedire l'accesso a tali dati, ad esempio un numero massimo di immissioni di password da impedire capacità di hacking a forza bruta e di cancellazione remota: qualcosa che potrebbe impedire alcune fughe di notizie intenzionali da parte di persone scontente o ex dipendenti.
"Disponiamo di un software di gestione che consente la geolocalizzazione delle unità, la possibilità di controllare le unità per vedere cosa c'è dentro e di applicare password complesse", ha affermato Lugo. "Se qualcuno lasciasse l'azienda o venisse licenziato o fosse scontento, esiste la possibilità di inviare un messaggio all'unità per renderla inutilizzabile e ripulirla."
Controllo del punto finale
Il supporto fisico stesso, tuttavia, è solo una parte della protezione dei dati di un’azienda. Qualcosa che un certo numero di società di intermediazione mobiliare, comprese quelle del calibro di Symantec, MalwareBytes, E McAfee, sono stati sviluppati negli ultimi anni, è la protezione degli endpoint.
“Le migliori politiche di sicurezza combinano persone, processi e tecnologia; uno non esiste senza gli altri due.”
La protezione degli endpoint è la pratica di proteggere una rete nel punto di connessione da parte di un dispositivo. Mentre in genere ciò potrebbe accadere quando un nuovo laptop o smartphone è collegato a un sistema, può essere applicato anche a unità fisiche come i dispositivi USB. Questo è qualcosa che Kingston ritiene che aziende come IBM potrebbero utilizzare per prevenire alcuni dei furti di dati che sta cercando di contrastare con il suo divieto totale.
"[La protezione degli endpoint] consente all'amministrazione, all'IT, a chiunque sia coinvolto nella sicurezza informatica, di riconoscere chi ha bisogno di accesso alle porte USB, chi ha bisogno di accesso ai dati X, Y, Z", ha affermato Lugo. "Quindi possono effettivamente creare un profilo utente, un gruppo di utenti per consentire solo una specifica unità USB, sia essa un'unità Kingston o altro, in modo che quando l'utente collega un'altra unità USB casuale, la sicurezza dell'endpoint la esaminerà e riconoscerà che non si tratta di un problema guidare. In questo modo non si consente all’utente di trasportare dati avanti e indietro su quell’unità.”
Controllando il supporto fisico stesso e il punto di contatto con la rete interna, un'azienda ha un controllo molto maggiore sui dati che entrano ed escono dai suoi sistemi protetti piuttosto che vietando, almeno apparentemente, l’uso di tutti i mezzi fisici media.
Demo dell'attacco con caduta USB - Blackhat USA 2016
Parte del nuovo Legislazione generale sul regolamento sulla protezione dei dati quello recentemente adottato prevede che le aziende abbiano una reale responsabilità dei dati, controllando chi ha accesso ad essi e come vengono archiviati. Avere una politica di assenza di supporti fisici rende impossibile per IBM essere veramente responsabile se qualcuno si fa beffe di tale politica e aggira tutte le garanzie interne che ha contro di essa.
La combinazione di un'unità crittografata e di una solida sicurezza degli endpoint consentirebbe un potente controllo dei dispositivi fisici, prevenendo l' utilizzo di supporti fisici non autorizzati e protezione dei dati rimossi da una rete rendendoli illeggibili a tutti tranne che convalidati partiti.
GDPR e oltre
Ora che il GDPR è stato implementato ed è pienamente applicabile a qualsiasi entità che opera con l'UE clienti, sempre più aziende devono prestare attenzione al modo in cui gestiscono il digitale informazione. Divieti totali sui dispositivi USB potrebbero offrire una certa misura di protezione contro alcune delle multe più severe e dei sistemi arbitrali in vigore, ma come sottolinea Lugo, non danno alle aziende il controllo di cui hanno bisogno per proteggere veramente i loro dati e quelli dei loro dipendenti e utenti.
Per quanto riguarda IBM, Lugo spera che Kingston possa ribaltare i suoi recenti cambiamenti politici ed è già in procinto di provare a farlo.
Cos'è il GDPR? E perché dovrebbe interessarmi?
"IBM è un'azienda straordinaria", ha detto "[Ma] alcuni membri del nostro team di vendita sono [in contatto con essa] al momento, quindi vedremo come andrà."
Anche tra i suoi dipendenti è importante sensibilizzare i suoi dipendenti sulle alternative al divieto di IBM. Come ci ha sottolineato Bustamante di MalwareBytes, il modo migliore per proteggere una rete è con una strategia combinata che riunisce persone, hardware e software per proteggere in modo completo i dati importanti e le reti in cui sono archiviati SU.
“Le aziende devono garantire di disporre dei giusti processi interni per gestire una violazione e garantire che il personale riceva regolare sicurezza formazione: dopotutto i tuoi dipendenti sono la tua prima linea di difesa, quindi fornisci loro le conoscenze necessarie per poter individuare un'e-mail o un allegato sospetto", disse. “Le migliori politiche di sicurezza combinano persone, processi e tecnologia; uno non esiste senza gli altri due.”
