(em) Seguro é uma coluna semanal que se aprofunda no tópico em rápida escalada da segurança cibernética.
Conteúdo
- Uma solução rápida para um grande problema
- Controlando a mídia
- Controlando o ponto final
- GDPR e além
Apesar do amplo uso de serviços em nuvem como o Dropbox, às vezes uma unidade USB antiga e prática é a maneira mais rápida de transferir grandes quantidades de dados de um computador para outro. Mas imagine se um dia você fosse trabalhar e descobrisse que todos os drives USB foram banidos do local? Foi o que aconteceu recentemente na IBM.
Um memorando recentemente vazado indicava que a IBM estaria proibindo todos os funcionários de usar unidades USB. Esse tipo de reação pode ser compreensível dado o estado atual da segurança cibernética, mas será essa realmente a estratégia mais eficaz?
Uma solução rápida para um grande problema
“Essa é a maneira mais fácil de cobrir seu traseiro: faça um anúncio de que você está proibindo tudo para mostrar que você implementou uma política”, disse o gerente estratégico de marketing de produto da Kingston, Ruben Lugo, à Digital Tendências. Na realidade, disse ele, este tipo de políticas pode prejudicar muito mais uma empresa do que ajudá-la.
“As pessoas começarão a usar seu próprio Dropbox, seu próprio Google Drive, e então você começará a contornar seu próprio firewall.”
“As empresas não procuram aplicar os recursos certos desde o início”, disse ele. “É sempre ‘qual é a solução rápida? Eu realmente preciso fazer alguma coisa?’ E geralmente isso gira em torno de proibir coisas […] Descobrimos que isso na verdade, prejudica a produtividade e a eficiência que a força de trabalho móvel precisa enquanto está no local. campo."
Nos últimos anos, assistimos a alguns dos maiores roubos e violações de dados de sempre, deixando centenas de milhões de indivíduos vulnerável ao roubo de identidade, exploração e até mesmo manipulação política. Isso levou muitas empresas e indivíduos a levarem mais a sério a privacidade e a segurança de dados online e até trouxe políticos à mesa para discutir como isso pode ser melhorado. Mas nem todas as práticas para fazer isso são necessariamente recomendadas. A proibição de unidades USB é apenas um exemplo dessa prática.
O patinho de borracha USB
Banir unidades USB pode parecer uma maneira fácil de impedir vazamentos. Isso torna o roubo de dados muito mais difícil quando as pessoas que trabalham com os dados não conseguem removê-los fisicamente de onde estão armazenados. Mas alguns argumentariam que tal política apenas abre empresas como a IBM a novas vias de ataque e não chega à raiz do problema: a vulnerabilidade dos dados não protegidos.
Esse sentimento é ecoado pelo vice-presidente de produtos e pesquisa da Malwarebytes, Pedro Bustamante, que nos disse que “desconectar os sistemas do acesso à Internet também seria altamente eficaz. Simplesmente não é prático na maioria dos casos. Com a evolução da tecnologia e da velocidade da Internet, as unidades USB representam um risco relativamente pequeno neste momento. A frustração para os usuários finais (ou seus funcionários) provavelmente não compensará a pequena melhoria em sua postura de segurança.”
Diz-se que a razão para a proibição do armazenamento removível da IBM é reduzir os casos de vazamentos e perda de dados, seja vazamento deliberado de informações ou através de hardware extraviado. Entramos em contato com a IBM para comentar a proibição, mas não recebemos resposta.
De qualquer forma, Lugo, da Kingston, acredita que proibir unidades externas não impedirá as pessoas de obterem dados da empresa se quiserem ou precisarem.
“Onde há vontade, há um caminho”, disse ele. “As pessoas simplesmente começarão a usar seus próprios Dropbox, seu próprio Google Drive e então você começa a contornar seu próprio firewall, sua própria proteção e isso está apenas criando outro problema.”
Controlando a mídia
Na opinião de Lugo, seria muito melhor para a IBM e empresas semelhantes controlarem os meios físicos e os dados que contêm, em vez de tentarem proibir completamente os dispositivos. Ele recomenda o uso de unidades como A própria Ironkey de Kingston dispositivos, que combinam proteções físicas como carcaças de metal e revestimentos epóxi para a unidade placa de circuito, com criptografia controlada por hardware que torna os dados digitais completamente ilegíveis para olhos curiosos.
“Quando esse usuário conectar outra unidade USB aleatória, a segurança dos endpoints analisará e reconhecerá que não é uma unidade emitida.”
O Ironkey está no extremo dos produtos que a Kingston oferece, mas seja qual for a marca ou fabricante do dispositivo, desde que aproveite a criptografia baseada em hardware, deverá evitar a perda de dados não intencional quase inteiramente. Não importa se um funcionário perde uma unidade com dados confidenciais, porque mesmo que alguém encontre e tentarem acessar essas informações, sem a senha correta eles achariam os dados completamente ilegíveis.
A Kingston também implementou outras medidas para evitar que os dados sejam acessados, como um número máximo de entradas de senha para evitar recursos de hacking de força bruta e limpeza remota – algo que poderia impedir alguns vazamentos deliberados de pessoas descontentes ou ex-funcionários.
“Temos software de gerenciamento e o que isso permite é a localização geográfica das unidades, a capacidade de auditar as unidades para ver o que está lá, impor senhas complexas”, disse Lugo. “Se alguém sair da empresa ou for demitido ou insatisfeito, existe a capacidade de enviar uma mensagem para a unidade para torná-la inútil e limpar a unidade.”
Controlando o ponto final
A própria mídia física, porém, é apenas uma parte da proteção dos dados de uma empresa. Algo que uma série de empresas de valores mobiliários, incluindo empresas como Symantec, MalwareBytes, e McAfee, vêm desenvolvendo nos últimos anos, é a proteção de endpoints.
“As melhores políticas de segurança combinam pessoas, processos e tecnologia; um não existe sem os outros dois.”
A proteção de endpoint é a prática de proteger uma rede no ponto de conexão por um dispositivo. Embora normalmente isso possa acontecer quando um novo laptop ou Smartphone está conectado a um sistema, também pode ser aplicado a unidades físicas como dispositivos USB. Isso é algo que Kingston acredita que empresas como a IBM poderiam usar para evitar alguns dos roubos de dados que pretende impedir com sua proibição total.
“[A proteção de endpoint] permite que a administração, a TI e qualquer pessoa envolvida com segurança cibernética reconheçam quem precisa de acesso às portas USB, quem precisa de acesso aos dados X, Y, Z”, disse Lugo. “Então eles podem criar um perfil de usuário, um grupo de usuários para permitir apenas uma unidade USB específica, seja uma unidade Kingston ou outro, para que quando o usuário conectar outra unidade USB aleatória, a segurança dos endpoints irá examiná-la e reconhecer que não é um problema dirigir. Assim, não permitindo que o usuário transporte quaisquer dados para essa unidade.”
Ao controlar o próprio meio físico e o ponto de contato que ele tem com a rede interna, uma empresa tem um controle muito maior sobre os dados que entram e saem de seus sistemas protegidos do que, pelo menos ostensivamente, proibindo o uso de todos os recursos físicos meios de comunicação.
Demonstração de ataque de queda de USB - Blackhat USA 2016
Parte do novo Legislação do Regulamento Geral de Proteção de Dados que foi promulgada recentemente envolve que as empresas tenham uma responsabilidade real pelos dados, controlem quem tem acesso a eles e como são armazenados. Ter uma política de ausência de meios físicos torna impossível para a IBM ser verdadeiramente responsável caso alguém desrespeite tal política e contorne quaisquer salvaguardas internas que tenha contra ela.
A combinação de uma unidade criptografada e uma forte segurança de endpoint permitiria uma auditoria poderosa de dispositivos físicos, evitando o uso de mídia física não autorizada e proteção de dados removidos de uma rede, tornando-os ilegíveis para todos, exceto os validados festas.
GDPR e além
Agora que o GDPR foi implementado e é totalmente aplicável a quaisquer entidades que façam negócios com a UE clientes, mais empresas do que nunca precisam prestar atenção à maneira como lidam com o digital Informação. A proibição total de dispositivos USB pode oferecer alguma medida de proteção contra algumas das multas mais severas e sistemas de arbitragem em vigor, mas, como aponta Lugo, eles não dão às empresas o controle necessário para proteger verdadeiramente seus dados e os de seus funcionários e Usuários.
Quanto à IBM, Lugo espera que a Kingston consiga dar a volta por cima nas suas recentes mudanças políticas e já está no processo de tentar fazê-lo.
O que é o RGPD? E por que eu deveria me importar?
“A IBM é uma empresa incrível”, disse ele, “[mas] parte de nossa equipe de vendas está [em contato com ela] no momento, então veremos como isso acontece”.
Aumentar a consciencialização sobre as alternativas à proibição da IBM também é importante entre os seus funcionários. Como Bustamante da MalwareBytes nos destacou, a melhor maneira de proteger uma rede é com uma estratégia combinada que reúne pessoas, hardware e software para bloquear de forma abrangente dados importantes e as redes em que estão armazenados sobre.
“As empresas precisam garantir que possuem os processos internos corretos para lidar com uma violação e garantir que os funcionários recebam segurança regular treinamento – afinal, seus funcionários são sua primeira linha de defesa, portanto, equipe-os com o conhecimento para serem capazes de identificar um e-mail ou anexo duvidoso”, disse. “As melhores políticas de segurança combinam pessoas, processos e tecnologia; um não existe sem os outros dois.”
