Aký efektívny je zákaz USB diskov od IBM v skutočnosti?

(in) Bezpečné je týždenný stĺpček, ktorý sa ponorí do rýchlo eskalujúcej témy kybernetickej bezpečnosti.

Napriek širokému využívaniu cloudových služieb, ako je Dropbox, je niekedy šikovný starý USB disk najrýchlejším spôsobom, ako dostať veľké množstvo dát z jedného počítača do druhého. Predstavte si však, že by ste jedného dňa išli do práce a zistili by ste, že všetky USB disky boli zakázané v priestoroch? To sa nedávno stalo v IBM.

Nedávna uniknutá správa naznačila, že IBM bude zákaz všetkým zamestnancom používať USB disky. Takáto reakcia môže byť pochopiteľná vzhľadom na súčasný stav kybernetickej bezpečnosti, ale je to skutočne tá najúčinnejšia stratégia?

Rýchla oprava veľkého problému

„Toto je najjednoduchší spôsob, ako si zakryť zadok: Oznámte, že zakazujete všetko zobrazovať že ste zaviedli politiku,“ povedal pre Digital manažér strategického marketingu produktov Kingston Ruben Lugo Trendy. V skutočnosti, povedal, tieto druhy politík môžu spoločnosti oveľa viac brániť, ako jej pomáhajú.

„Spoločnosti sa od začiatku nesnažia použiť správne zdroje,“ povedal. „Vždy je to ‚čo je rýchle riešenie? Naozaj musím niečo urobiť?‘ A zvyčajne sa to točí okolo zakazovania vecí […] Zistili sme, že toto v skutočnosti bráni produktivite a efektivite, ktorú mobilná pracovná sila potrebuje, kým je vonku lúka."

V posledných rokoch sme zaznamenali jedny z najväčších krádeží a narušení údajov vôbec, zanechávajú stovky miliónov jednotlivcov zraniteľné voči krádeži identity, vykorisťovaniu a dokonca politická manipulácia. To viedlo k tomu, že mnohé spoločnosti a jednotlivci brali súkromie a bezpečnosť údajov online vážnejšie a dokonca priviedli politikov k rokovaniu, aby diskutovali o tom, ako to možno zlepšiť. Ale nie všetky postupy, ako to urobiť, sú nevyhnutne odporúčané. Zákaz jednotiek USB je len jedným z príkladov takejto praxe.

Zakázanie jednotiek USB sa môže zdať ako jednoduchý spôsob, ako zastaviť úniky. Odcudzenie údajov je oveľa zložitejšie, keď ľudia pracujúci s údajmi ich nemôžu fyzicky odstrániť z miesta, kde sú uložené. Niektorí by však tvrdili, že takáto politika iba otvára spoločnostiam ako IBM nové možnosti útoku a nepríde ku koreňu problému: k zraniteľnosti nezabezpečených údajov.

Tento názor potvrdzuje aj viceprezident pre produkty a výskum spoločnosti Malwarebytes Pedro Bustamante, ktorý nám povedal, že „odpojenie systémov od prístupu na internet by bolo tiež vysoko efektívne. Vo väčšine prípadov to nie je praktické. S vývojom technológie a rýchlosti internetu predstavujú USB disky v tomto bode relatívne malé riziko. Frustrácia koncových používateľov (alebo vašich zamestnancov) pravdepodobne nebude stáť za malé zlepšenie vašej bezpečnostnej pozície.“

Dôvodom zákazu vymeniteľného úložiska zo strany IBM bolo údajne znížiť počet únikov a straty údajov, či už ide o úmyselný únik informácií alebo o nesprávne umiestnený hardvér. Požiadali sme IBM o komentár k zákazu, ale nedostali sme odpoveď.

Či tak alebo onak, Lugo zo spoločnosti Kingston verí, že zákaz externých diskov nezabráni ľuďom v získavaní údajov zo spoločnosti, ak chcú alebo potrebujú.

"Kde je vôľa, tam je cesta," povedal. „Ľudia jednoducho začnú používať svoje vlastné Dropbox, ich vlastný Disk Google a potom začnete obchádzať svoj vlastný firewall, svoju vlastnú ochranu a v skutočnosti to len vytvára ďalší problém.“

Ovládanie médií

Podľa Luga by bolo pre IBM a jej podobné spoločnosti oveľa lepšie kontrolovať fyzické médiá a údaje, ktoré obsahujú, než sa pokúšať zariadenia priamo zakázať. Odporúča používať pohony ako Kingstonov vlastný Ironkey zariadenia, ktoré kombinujú fyzickú ochranu, ako sú kovové kryty a epoxidové nátery pohonov obvodová doska s hardvérovo riadeným šifrovaním, vďaka ktorému sú digitálne údaje úplne nečitateľné zvedavými očami.

Ironkey je na extrémnom konci produktov, ktoré Kingston ponúka, bez ohľadu na značku alebo značku zariadenia, pokiaľ využíva hardvérovo riadené šifrovanie, malo by takmer zabrániť neúmyselnej strate údajov úplne. Nezáleží na tom, či zamestnanec nesprávne umiestni disk s citlivými údajmi, pretože aj keby ho niekto našiel a pokúsiť sa získať prístup k týmto informáciám, bez správneho prístupového kódu by považovali údaje za úplne nečitateľné.

Spoločnosť Kingston má zavedené aj ďalšie opatrenia na zabránenie prístupu k týmto údajom, ako je napríklad maximálny počet zadaní hesiel, ktorým je potrebné zabrániť brute-force hacking a možnosti vzdialeného vymazania – niečo, čo by mohlo zabrániť niektorým zámerným únikom z nespokojnosti alebo bývalých zamestnancov.

„Máme softvér na správu a to, čo umožňuje, je geografické umiestnenie diskov, schopnosť auditovať disky, aby sme videli, čo sa tam nachádza, a vynucovanie zložitých hesiel,“ povedal Lugo. "Ak by niekto opustil spoločnosť alebo bol prepustený alebo nespokojný, existuje možnosť poslať správu na jednotku, aby bola zbytočná a vymazať disk."

Ovládanie koncového bodu

Samotné fyzické médium je však len jednou časťou ochrany údajov spoločnosti. Niečo, čo má množstvo cenných papierov, vrátane podobných Symantec, MalwareBytes, a McAfee, ktoré sa v posledných rokoch vyvíjajú, je ochrana koncových bodov.

Ochrana koncového bodu je prax zabezpečenia siete v bode pripojenia zariadením. Aj keď zvyčajne to môže byť, keď nový notebook alebo smartfón je pripojený k systému, možno ho použiť aj na fyzické disky, ako sú zariadenia USB. To je niečo, čo Kingston verí, že spoločnosti ako IBM by mohli použiť na zabránenie krádeži údajov, ktoré sa snaží prekaziť priamym zákazom.

„[Ochrana koncového bodu] umožňuje administratíve, IT, komukoľvek, kto sa zaoberá kybernetickou bezpečnosťou, rozpoznať, kto potrebuje prístup k portom USB, kto potrebuje prístup k údajom X, Y, Z,“ povedal Lugo. „Potom môžu skutočne vytvoriť používateľský profil, skupinu používateľov, ktorá potom povolí iba jeden konkrétny USB disk, či už je to disk Kingston alebo iné, takže keď používateľ pripojí inú náhodnú jednotku USB, zabezpečenie koncových bodov sa na ňu pozrie a rozpozná, že nejde o riadiť. Používateľovi tak neumožníte prenášať žiadne dáta tam a späť na tento disk.“

Kontrolou samotného fyzického média a bodu kontaktu, ktorý má s internou sieťou, má podnik oveľa väčšiu kontrolu nad údajmi, ktoré prúdia do a z jej chránených systémov, než sa to stáva, aspoň zdanlivo, zákazom používania všetkých fyzických médiá.

Časť nového Všeobecné právne predpisy o ochrane údajov ktorá bola nedávno prijatá, zahŕňa spoločnosti, ktoré majú skutočnú zodpovednosť za údaje, kontrolujú, kto k nim má prístup a ako sú uchovávané. Zásady nepoužívania fyzických médií znemožňujú spoločnosti IBM, aby bola skutočne zodpovedná, ak by niekto porušil takúto politiku a obišiel akékoľvek interné záruky, ktoré proti nej má.

Kombinácia šifrovaného disku a silného zabezpečenia koncového bodu by umožnila výkonný audit fyzických zariadení, čím by sa zabránilo používanie nepovolených fyzických médií a ochrana údajov, ktoré sú odstránené zo siete, tým, že sú nečitateľné pre všetkých okrem overených strany.

GDPR a ďalšie

Teraz, keď je GDPR implementované a je plne vymožiteľné so všetkými subjektmi, ktoré obchodujú s EÚ zákazníkov, viac spoločností ako kedykoľvek predtým musí venovať pozornosť spôsobu, akým narábajú s digitálom informácie. Úplné zákazy zariadení USB môžu poskytnúť určitú mieru ochrany proti niektorým prísnejším pokutám a zavedeným arbitrážnym systémom, ale ako zdôrazňuje Lugo, nedávajú spoločnostiam kontrolu, ktorú potrebujú na skutočnú ochranu svojich údajov a údajov svojich zamestnancov a používateľov.

Pokiaľ ide o IBM, Lugo dúfa, že Kingston to dokáže zmeniť v súvislosti so svojimi nedávnymi zmenami politiky a už sa o to pokúša.

"IBM je úžasná spoločnosť," povedal "[Ale] niektorí z nášho obchodného tímu sú s ňou momentálne [v kontakte], takže uvidíme, ako to pôjde."

Zvyšovanie povedomia o alternatívach k zákazu IBM je dôležité aj medzi jej zamestnancami. Ako nám MalwareBytes' Bustamante zdôraznil, najlepší spôsob, ako zabezpečiť sieť, je kombinovaná stratégia, ktorá spája ľudí, hardvér a softvér s cieľom komplexne uzamknúť dôležité údaje a siete, ktoré sú v nich uložené na.

„Firmy sa musia uistiť, že majú zavedené správne interné procesy na riešenie narušenia a zabezpečiť, aby zamestnanci dostávali pravidelné bezpečnostné opatrenia. školenie – vaši zamestnanci sú predsa vašou prvou obrannou líniou, preto ich vybavte vedomosťami, aby boli schopní rozpoznať pochybný e-mail alebo prílohu,“ povedal. „Najlepšie bezpečnostné politiky kombinujú ľudí, procesy a technológie; jeden bez druhých dvoch neexistuje."