(v) Varno je tedenska rubrika, ki se potopi v hitro naraščajočo temo kibernetske varnosti.
Vsebina
- Hitra rešitev velike težave
- Nadzorovanje medijev
- Nadzor končne točke
- GDPR in naprej
Kljub široki uporabi storitev v oblaku, kot je Dropbox, je včasih priročen stari pogon USB najhitrejši način za prenos velikih količin podatkov iz enega računalnika v drugega. Toda predstavljajte si, da bi nekega dne šli v službo in ugotovili, da so vsi USB-pogoni prepovedani v prostorih? To se je nedavno zgodilo v IBM-u.
Nedavno pricurljalo obvestilo je pokazalo, da bo IBM vsem zaposlenim prepoveduje uporabo pogonov USB. Takšna reakcija je morda razumljiva glede na trenutno stanje kibernetske varnosti, toda ali je to res najučinkovitejša strategija?
Hitra rešitev velike težave
»To je najlažji način, da pokrijete svoj zadnji del: objavite, da prepovedujete vse pokazati da ste uvedli politiko,« je za Digital povedal vodja strateškega trženja izdelkov pri Kingstonu Ruben Lugo Trendi. V resnici, je dejal, lahko tovrstne politike podjetje veliko bolj ovirajo kot pomagajo.
"Ljudje bodo preprosto začeli uporabljati svoj Dropbox, svoj Google Drive, nato pa začnete zaobiti svoj lastni požarni zid."
"Podjetja ne želijo uporabiti pravih virov od začetka," je dejal. »Vedno je 'kaj je hitra rešitev?' Ali moram res kaj storiti?’ In običajno se to vrti okoli prepovedi stvari […] Ugotovili smo, da dejansko ovira produktivnost in učinkovitost, ki ju mobilna delovna sila potrebuje, ko je tam zunaj polje."
V zadnjih nekaj letih smo bili priča nekaterim največjim krajam in vdorom podatkov doslej, zapušča na stotine milijonov posameznikov ranljivi za krajo identitete, izkoriščanje in celo politična manipulacija. To je pripeljalo do tega, da so številna podjetja in posamezniki zasebnost in varnost podatkov na spletu jemali resneje, za mizo pa so celo privabili politike, da bi razpravljali o tem, kako bi to lahko izboljšali. Niso pa nujno priporočljive vse prakse za to. Prepoved pogonov USB je le en primer takšne prakse.
Gumijasta račka USB
Prepoved pogonov USB se morda zdi preprost način za zaustavitev uhajanja. Kraja podatkov je veliko težja, ko jih ljudje, ki delajo s podatki, fizično ne morejo odstraniti z mesta, kjer so shranjeni. Toda nekateri bi trdili, da takšna politika podjetjem, kot je IBM, zgolj odpira nove poti napadov in ne pride do bistva problema: ranljivosti nezavarovanih podatkov.
To mnenje je ponovil podpredsednik Malwarebytes za izdelke in raziskave, Pedro Bustamante, ki nam je povedal, da bi bila "tudi prekinitev dostopa sistemov do interneta zelo učinkovita." V večini primerov preprosto ni praktično. Z razvojem tehnologije in internetnih hitrosti USB pogoni na tej točki predstavljajo relativno majhno tveganje. Razočaranje končnih uporabnikov (ali vaših zaposlenih) verjetno ne bo vredno majhnega izboljšanja vaše varnostne drže.«
Razlog za IBM-ovo prepoved izmenljivega pomnilnika naj bi bil zmanjšanje primerov uhajanja in izgube podatkov, ne glede na to, ali gre za namerno uhajanje informacij ali zaradi napačno postavljene strojne opreme. Za komentar o prepovedi smo se obrnili na IBM, vendar nismo prejeli odgovora.
Kakor koli že, Lugo iz Kingstona verjame, da prepoved zunanjih pogonov ljudem ne bo preprečila, da bi dobili podatke iz podjetja, če to želijo ali potrebujejo.
"Kjer je volja, je tudi pot," je dejal. »Ljudje bodo šele začeli uporabljati svoje Dropbox, njihov lastni Google Drive in potem začnete zaobiti svoj lastni požarni zid, lastno zaščito in to v resnici samo ustvarja novo težavo.«
Nadzorovanje medijev
Po Lugovem mnenju bi bilo veliko bolje, da bi IBM in njemu podobna podjetja nadzorovali fizične medije in podatke, ki jih vsebujejo, namesto da bi poskušali naprave dokončno prepovedati. Priporoča uporabo pogonov, kot je Kingstonov lastni Ironkey naprave, ki združujejo fizične zaščite, kot so kovinska ohišja in epoksidni premazi za pogone vezja s šifriranjem, ki ga poganja strojna oprema, zaradi česar so digitalni podatki popolnoma neberljivi radovedne oči.
"Ko ta uporabnik priključi drug naključni pogon USB, ga bo varnost končnih točk pogledala in prepoznala, da ni izdan pogon."
Ironkey je na skrajnem koncu izdelkov, ki jih ponuja Kingston, vendar ne glede na znamko ali proizvajalca naprava, če uporablja šifriranje na podlagi strojne opreme, bi morala skoraj preprečiti nenamerno izgubo podatkov popolnoma. Ni pomembno, če zaposleni izgubi pogon z občutljivimi podatki, kajti tudi če bi nekdo našel in poskušajo dostopati do teh informacij, brez pravilnega gesla bi se jim podatki zdeli popolnoma neberljivi.
Kingston ima tudi druge ukrepe za preprečevanje dostopa do teh podatkov, kot je največje število vnosov gesel za preprečevanje vdiranje na silo in zmožnosti brisanja na daljavo – nekaj, kar bi lahko preprečilo nekaj namernih uhajanj nezadovoljnih ali bivši zaposleni.
"Imamo programsko opremo za upravljanje in to omogoča geografsko lociranje pogonov, možnost revizije pogonov, da vidimo, kaj je tam, uveljavitev zapletenih gesel," je dejal Lugo. "Če bi nekdo zapustil podjetje ali bil odpuščen ali nezadovoljen, obstaja možnost, da pogonu pošljete sporočilo, da postane neuporaben, in disk izbriše."
Nadzor končne točke
Sam fizični medij pa je le en del zaščite podatkov podjetja. Nekaj, kar številna podjetja za vrednostne papirje, vključno s podobnimi Symantec, MalwareBytes, in McAfee, ki se razvijajo v zadnjih letih, je zaščita končne točke.
»Najboljše varnostne politike združujejo ljudi, procese in tehnologijo; eden ne obstaja brez drugih dveh.”
Zaščita končne točke je praksa varovanja omrežja na točki povezave z napravo. Čeprav je to običajno, ko nov prenosni računalnik ali pametni telefon je povezan s sistemom, ga je mogoče uporabiti tudi za fizične pogone, kot so naprave USB. To je nekaj, za kar Kingston verjame, da bi lahko podjetja, kot je IBM, uporabila za preprečitev nekaterih kraj podatkov, ki jih želi preprečiti s svojo popolno prepovedjo.
»[Zaščita končne točke] omogoča administraciji, IT-ju, vsem, ki se ukvarjajo s kibernetsko varnostjo, da prepoznajo, kdo potrebuje dostop do vrat USB, kdo potrebuje dostop do podatkov X, Y, Z,« je dejal Lugo. »Potem lahko dejansko ustvarijo uporabniški profil, uporabniško skupino, ki nato dovoli samo en določen pogon USB, pa naj bo to pogon Kingston ali drugo, tako da ko ta uporabnik priključi drug naključni pogon USB, ga bo varnost končnih točk pogledala in prepoznala, da ni izdan pogon. Tako uporabniku ne dovolite prenašanja podatkov naprej in nazaj na ta pogon.«
Z nadzorom samega fizičnega medija in kontaktne točke, ki jo ima z notranjim omrežjem, ima podjetje veliko večji nadzor nad podatki, ki tečejo v njegove zaščitene sisteme in iz njih, kot pa tako, da vsaj navidezno prepove uporabo vseh fizičnih mediji.
Predstavitev napada s padcem USB - Blackhat USA 2016
Del novega Splošna zakonodaja o varstvu podatkov ki je bil pred kratkim sprejet, vključuje podjetja, ki imajo dejansko odgovornost za podatke, nadzor nad tem, kdo ima dostop do njih in kako so shranjeni. Politika brez fizičnih medijev IBM-u onemogoča, da bi bil resnično odgovoren, če bi se kdo izognil taki politiki in se izognil kakršnim koli notranjim varovalom, ki jih ima proti temu.
Kombinacija šifriranega pogona in močne varnosti končne točke bi omogočila zmogljivo revizijo fizičnih naprav, kar bi preprečilo uporaba nepooblaščenih fizičnih medijev in zaščita podatkov, ki so odstranjeni iz omrežja, tako da postanejo neberljivi za vse, razen potrjenih stranke.
GDPR in naprej
Zdaj, ko je GDPR implementirana in je v celoti izvršljiva za vse subjekte, ki poslujejo z EU strank, mora biti več podjetij kot kdaj koli prej pozorno na način, kako ravnajo z digitalnim informacije. Popolna prepoved naprav USB bi lahko ponudila določeno mero zaščite pred nekaterimi strožjimi globami in arbitražnimi sistemi, vendar kot poudarja Lugo, podjetjem ne dajejo nadzora, ki ga potrebujejo za resnično zaščito svojih podatkov in podatkov svojih zaposlenih ter uporabniki.
Kar zadeva IBM, Lugo upa, da bo Kingston lahko spremenil svoje nedavne spremembe politike in že poskuša to storiti.
Kaj je GDPR? In zakaj bi me moralo skrbeti?
"IBM je neverjetno podjetje," je dejal, "[vendar] je nekaj naše prodajne ekipe trenutno [v stiku z njim], tako da bomo videli, kako bo s tem."
Ozaveščanje o alternativah IBM-ovi prepovedi je pomembno tudi med zaposlenimi. Kot nam je poudaril Bustamante iz MalwareBytes, je najboljši način za zavarovanje omrežja kombinirana strategija, ki združuje ljudi, strojno in programsko opremo za celovito zaklepanje pomembnih podatkov in omrežij, ki so shranjeni na.
»Podjetja morajo zagotoviti, da imajo vzpostavljene prave notranje postopke za obravnavo kršitve in zagotoviti, da je osebje redno varovano usposabljanje – navsezadnje so vaši zaposleni vaša prva obrambna linija, zato jih opremite z znanjem, da bodo lahko opazili lažno e-pošto ali prilogo,« rekel. »Najboljše varnostne politike združujejo ljudi, procese in tehnologijo; eden ne obstaja brez drugih dveh.”
