Hoe effectief is het verbod op USB-drives van IBM eigenlijk?

(onzeker is een wekelijkse column die ingaat op het snel escalerende onderwerp cybersecurity.

Ondanks het wijdverbreide gebruik van clouddiensten zoals Dropbox, is een handige oude USB-stick soms de snelste manier om grote hoeveelheden gegevens van de ene computer naar de andere te krijgen. Maar stel je voor dat je op een dag naar je werk zou gaan en erachter zou komen dat alle USB-drives uit het pand waren verbannen? Dat is wat er onlangs bij IBM gebeurde.

Een recent uitgelekt memo gaf aan dat IBM dat wel zou zijn het verbieden van alle werknemers om USB-drives te gebruiken. Een dergelijke reactie is misschien begrijpelijk gezien de huidige staat van cyberveiligheid, maar is dat werkelijk de meest effectieve strategie?

Een snelle oplossing voor een groot probleem

“Dat is de gemakkelijkste manier om je achterkant te bedekken: maak een aankondiging dat je alles verbiedt om te laten zien dat je een beleid hebt opgesteld”, vertelde Kingston’s strategische productmarketingmanager, Ruben Lugo, aan Digital Trends. In werkelijkheid, zo zei hij, kan dit soort beleid een bedrijf veel meer hinderen dan helpen.

“Bedrijven willen niet vanaf het begin de juiste middelen inzetten”, zegt hij. “Het is altijd ‘wat is de snelle oplossing? Moet ik eigenlijk iets doen?’ En meestal draait dat om het verbieden van dingen […] Dat hebben we ondervonden belemmert feitelijk de productiviteit en efficiëntie die de mobiele beroepsbevolking nodig heeft terwijl ze onderweg zijn veld."

De afgelopen jaren hebben zich enkele van de grootste datadiefstallen en inbreuken ooit voorgedaan. waardoor er honderden miljoenen individuen overblijven kwetsbaar voor identiteitsdiefstal, uitbuiting en zelfs politieke manipulatie. Dat heeft ertoe geleid dat veel bedrijven en individuen privacy en gegevensbeveiliging online serieuzer zijn gaan nemen en zelfs politici aan tafel hebben gebracht om te bespreken hoe deze kunnen worden verbeterd. Maar niet alle praktijken om dit te doen zijn noodzakelijkerwijs aanbevolen. Het verbieden van USB-drives is slechts één voorbeeld van een dergelijke praktijk.

Het verbieden van USB-drives lijkt misschien een gemakkelijke manier om lekken te stoppen. Het maakt gegevensdiefstal veel moeilijker als de mensen die met de gegevens werken deze niet fysiek kunnen verwijderen van de plek waar deze zijn opgeslagen. Maar sommigen beweren dat een dergelijk beleid bedrijven als IBM alleen maar openstelt voor nieuwe aanvalsmogelijkheden en niet de kern van het probleem aanpakt: de kwetsbaarheid van onbeveiligde gegevens.

Dat sentiment wordt weerspiegeld door Malwarebytes’ VP Products and Research, Pedro Bustamante, die ons vertelde dat “het loskoppelen van systemen van toegang tot internet ook zeer effectief zou zijn. Het is in de meeste gevallen gewoon niet praktisch. Met de evolutie van technologie en internetsnelheden vormen USB-drives op dit moment een relatief klein risico. De frustratie voor eindgebruikers (of uw werknemers) is waarschijnlijk niet de kleine verbetering van uw beveiligingspositie waard.”

De reden voor het verbod van IBM op verwijderbare opslag zou zijn om gevallen van lekken en gegevensverlies te verminderen, of dat nu het opzettelijk lekken van informatie is of het gevolg is van zoekgeraakte hardware. We hebben contact opgenomen met IBM voor commentaar op het verbod, maar hebben geen reactie ontvangen.

Hoe dan ook, Kingston's Lugo is van mening dat het verbieden van externe schijven mensen er niet van zal weerhouden gegevens uit het bedrijf te halen als ze dat willen of nodig hebben.

‘Waar een wil is, is een weg’, zei hij. “Mensen zullen gewoon hun eigen gaan gebruiken Dropbox, hun eigen Google Drive en dan begin je je eigen firewall en je eigen bescherming te omzeilen en creëer je eigenlijk alleen maar een nieuw probleem.”

Het controleren van de media

Volgens Lugo zou het voor IBM en soortgelijke bedrijven veel beter zijn om controle te hebben over fysieke media en de gegevens die deze bevatten, dan te proberen de apparaten regelrecht te verbieden. Hij beveelt het gebruik van schijven zoals Kingston's eigen Ironkey apparaten, die fysieke bescherming combineren zoals metalen behuizingen en epoxycoatings voor de schijven printplaat, met hardwaregestuurde encryptie die de digitale gegevens volledig onleesbaar maakt doordringende ogen.

De Ironkey bevindt zich aan de uiterste kant van de producten die Kingston aanbiedt, maar ongeacht het merk of merk ervan apparaat, zolang het gebruik maakt van hardwaregestuurde encryptie, zou het onbedoeld gegevensverlies vrijwel moeten voorkomen geheel. Het maakt niet uit of een medewerker een schijf met gevoelige gegevens erop kwijtraakt, want zelfs als iemand hem zou vinden en proberen toegang te krijgen tot die informatie, zonder de juiste toegangscode zouden ze de gegevens volkomen onleesbaar vinden.

Kingston heeft ook andere maatregelen getroffen om te voorkomen dat toegang wordt verkregen tot die gegevens, zoals een maximaal aantal wachtwoordinvoer om te voorkomen brute-force hacking en mogelijkheden voor wissen op afstand – iets dat sommige opzettelijke lekken van ontevreden of ex-werknemers.

“We hebben beheersoftware en wat dat mogelijk maakt is de geolocatie van schijven, de mogelijkheid om de schijven te controleren om te zien wat er op staat, en het afdwingen van complexe wachtwoorden”, zegt Lugo. “Als iemand het bedrijf zou verlaten, zou worden ontslagen of ontevreden was, bestaat de mogelijkheid om een ​​bericht naar de schijf te sturen om deze onbruikbaar te maken en de schijf schoon te vegen.”

Controle van het eindpunt

De fysieke media zelf zijn echter slechts een onderdeel van de bescherming van de gegevens van een bedrijf. Iets waar een aantal effectenbedrijven, waaronder dergelijke, van houden Symantec, MalwareBytes, En McAfee, die zich de afgelopen jaren hebben ontwikkeld, is eindpuntbescherming.

Eindpuntbeveiliging is de praktijk waarbij een netwerk wordt beveiligd op het verbindingspunt door een apparaat. Hoewel dat meestal kan zijn wanneer een nieuwe laptop of smartphone is aangesloten op een systeem, kan het ook worden toegepast op fysieke schijven zoals USB-apparaten. Dat is iets dat volgens Kingston bedrijven als IBM zouden kunnen gebruiken om een ​​deel van de gegevensdiefstal te voorkomen die het met zijn regelrechte verbod wil dwarsbomen.

“[Eindpuntbescherming] stelt de administratie, IT en iedereen die betrokken is bij cyberbeveiliging in staat om te herkennen wie toegang nodig heeft tot USB-poorten, wie toegang nodig heeft tot X-, Y-, Z-gegevens”, aldus Lugo. “Dan kunnen ze daadwerkelijk een gebruikersprofiel bouwen, een gebruikersgroep om vervolgens slechts één specifieke USB-drive toe te staan, of het nu een Kingston-drive is of andere, zodat wanneer die gebruiker een ander willekeurig USB-station aansluit, de eindpuntbeveiliging ernaar zal kijken en zal herkennen dat het geen uitgegeven USB-station is drijfveer. Hierdoor kan de gebruiker geen gegevens heen en weer naar die schijf transporteren.”

Door controle over de fysieke media zelf en het contactpunt dat deze heeft met het interne netwerk, heeft een bedrijf veel meer controle over de gegevens die in en uit zijn beschermde systemen stromen, dan door, althans ogenschijnlijk, het gebruik van alle fysieke media.

Een deel van het nieuwe Wetgeving Algemene Verordening Gegevensbescherming die onlangs is ingevoerd, houdt in dat bedrijven echte verantwoordelijkheid moeten dragen voor gegevens, moeten controleren wie er toegang toe heeft en hoe deze worden opgeslagen. Het hebben van een beleid om geen fysieke media te gebruiken maakt het voor IBM onmogelijk om echt verantwoordelijk te zijn als iemand een dergelijk beleid aan zijn laars lapt en eventuele interne beveiligingen die het bedrijf ertegen heeft, omzeilt.

De combinatie van een gecodeerde schijf en sterke eindpuntbeveiliging zou krachtige audits van fysieke apparaten mogelijk maken, waardoor de gebruik van ongeautoriseerde fysieke media en het beschermen van gegevens die uit een netwerk worden verwijderd door deze voor iedereen behalve gevalideerd onleesbaar te maken partijen.

AVG en verder

Nu de AVG is geïmplementeerd en volledig afdwingbaar is voor alle entiteiten die zaken doen met de EU klanten moeten meer bedrijven dan ooit aandacht besteden aan de manier waarop zij met digitaal omgaan informatie. Een regelrecht verbod op USB-apparaten zou een zekere mate van bescherming kunnen bieden tegen enkele van de zwaardere boetes en arbitragesystemen die er zijn, maar zoals Lugo opmerkt, geven ze bedrijven niet de controle die ze nodig hebben om hun gegevens en die van hun werknemers echt te beschermen. gebruikers.

Wat IBM betreft, hoopt Lugo dat Kingston de recente beleidswijzigingen kan omdraaien en is daar al mee bezig.

“IBM is een geweldig bedrijf”, zei hij. “[Maar] een deel van ons verkoopteam heeft er momenteel [contact mee], dus we zullen zien hoe dat gaat.”

Het vergroten van het bewustzijn over de alternatieven voor het IBM-verbod is ook belangrijk onder de medewerkers. Zoals Bustamante van MalwareBytes ons heeft benadrukt, is de beste manier om een ​​netwerk te beveiligen een combinatiestrategie brengt mensen, hardware en software samen om belangrijke gegevens en de netwerken die daarin zijn opgeslagen volledig af te sluiten op.

“Bedrijven moeten ervoor zorgen dat ze over de juiste interne processen beschikken om met een inbreuk om te gaan en ervoor zorgen dat hun personeel regelmatig wordt beveiligd training – uw medewerkers vormen immers uw eerste verdedigingslinie, dus rust ze uit met de kennis om een ​​onbetrouwbare e-mail of bijlage te kunnen herkennen”, luidt het gezegd. “Het beste veiligheidsbeleid combineert mensen, processen en technologie; de één bestaat niet zonder de andere twee.”