Hur effektivt är IBM: s USB-enhetsförbud egentligen?

Hög med USB-minnen
Pixabay

(i) Säker är en veckokolumn som dyker in i det snabbt eskalerande ämnet cybersäkerhet.

Innehåll

  • En snabb lösning för ett stort problem
  • Styr media
  • Kontroll av slutpunkten
  • GDPR och vidare

Trots den breda användningen av molntjänster som Dropbox, är ibland en behändig gammal USB-enhet det snabbaste sättet att få stora mängder data från en dator till en annan. Men tänk om du en dag gick till jobbet och fick reda på att alla USB-enheter hade förbjudits från lokalerna? Det är vad som hände på IBM nyligen.

Ett nyligen läckt memo indikerade att IBM skulle vara det förbjuda alla anställda att använda USB-enheter. Den typen av reaktion kan vara förståelig med tanke på det nuvarande tillståndet för cybersäkerhet, men är det verkligen den mest effektiva strategin?

En snabb lösning för ett stort problem

"Det är det enklaste sättet att täcka din baksida: Gör ett meddelande att du förbjuder allt att visa att du har satt en policy på plats, säger Kingstons strategiska produktmarknadschef, Ruben Lugo, till Digital Trender. I själva verket, sa han, kan den här typen av policyer hindra ett företag mycket mer än de hjälper det.

"Folk kommer bara att börja använda sin egen Dropbox, sin egen Google Drive, och sedan börjar du kringgå din egen brandvägg."

"Företag är inte ute efter att använda rätt resurser från början," sa han. "Det är alltid" vad är den snabba lösningen? Behöver jag verkligen göra något?’ Och vanligtvis handlar det om att förbjuda saker […] Vi har upptäckt att det är det hindrar faktiskt produktiviteten och effektiviteten som den mobila arbetsstyrkan behöver när de är där ute fält."

De senaste åren har sett några av de största datastölderna och intrången någonsin, lämnar hundratals miljoner individer sårbara för identitetsstöld, exploatering och till och med politisk manipulation. Det har lett till att många företag och individer tar sekretess och datasäkerhet online på större allvar och till och med fört politiker till bordet för att diskutera hur det kan förbättras. Men inte alla metoder för att göra det rekommenderas nödvändigtvis. Att förbjuda USB-enheter är bara ett exempel på en sådan praxis.

USB Rubber Ducky

En reklam för USB Rubber Ducky, ett verktyg som används för att utföra en USB-attack.

Att förbjuda USB-enheter kan tyckas vara ett enkelt sätt att stoppa läckor. Det gör datastöld mycket svårare när personerna som arbetar med datan inte fysiskt kan ta bort den där den lagras. Men vissa skulle hävda att en sådan policy bara öppnar upp företag som IBM för nya attackvägar och inte går till roten av problemet: sårbarheten hos osäkrad data.

Den känslan återspeglas av Malwarebytes VP för produkter och forskning, Pedro Bustamante, som sa till oss att "att koppla bort system från att ha tillgång till internet skulle också vara mycket effektivt. Det är bara inte praktiskt i de flesta fall. Med utvecklingen av teknik och internethastigheter utgör USB-enheter en relativt liten risk vid denna tidpunkt. Frustrationen för slutanvändare (eller dina anställda) är sannolikt inte värt den lilla förbättringen av din säkerhetsställning."

Ruben Lugo, strategisk produktmarknadschef för Kingston.Kingston

Anledningen till IBM: s förbud mot flyttbar lagring sägs vara att minska fall av läckor och dataförlust, oavsett om det är avsiktligt läckage av information eller genom felplacerad hårdvara. Vi kontaktade IBM för kommentarer om förbudet, men har inte fått något svar.

Hur som helst, Kingstons Lugo tror att förbud mot externa enheter inte kommer att hindra människor från att få ut data från företaget om de vill eller behöver.

"Där det finns en vilja finns det en väg", sa han. "Folk kommer bara att börja använda sina egna Dropbox, deras egen Google Drive och sedan börjar du kringgå din egen brandvägg, ditt eget skydd och det skapar egentligen bara ett annat problem."

Styr media

I Lugos åtanke skulle det vara mycket bättre för IBM och liknande företag att kontrollera fysiska medier och den data de innehåller, snarare än att försöka förbjuda enheterna direkt. Han rekommenderar användning av enheter som Kingstons egen Ironkey enheter, som kombinerar fysiska skydd som metallhöljen och epoxibeläggningar för drivenheterna kretskort, med hårdvarudriven kryptering som gör den digitala datan helt oläslig för nyfikna ögon.

"När den användaren kopplar in en annan slumpmässig USB-enhet kommer slutpunktssäkerheten att titta på den och inse att det inte är en utfärdad enhet."

The Ironkey är i den yttersta änden av de produkter som Kingston erbjuder, men oavsett märke eller märke enhet, så länge den utnyttjar hårdvarudriven kryptering, bör den nästan förhindra oavsiktlig dataförlust helt. Det spelar ingen roll om en anställd tar bort en enhet med känslig data på, för även om någon skulle hitta det och försöka få åtkomst till den informationen, utan rätt lösenord skulle de hitta data helt oläsliga.

Kingston har också andra åtgärder på plats för att förhindra att data nås, till exempel ett maximalt antal lösenordsinmatningar för att förhindra brute-force hacking och fjärrspolning – något som kan förhindra vissa avsiktliga läckor från missnöjda eller före detta anställda.

Kingston

"Vi har hanteringsmjukvara och det som möjliggör geolokalisering av enheter, möjligheten att granska enheterna för att se vad som finns där, upprätthålla komplexa lösenord," sa Lugo. "Om någon skulle lämna företaget eller fick sparken eller missnöjd, finns det en möjlighet att skicka ett meddelande till enheten för att göra den oanvändbar och rengöra enheten."

Kontroll av slutpunkten

Det fysiska mediet i sig är dock bara en del av att skydda ett företags data. Något som ett antal värdepappersbolag, inklusive sådana som Symantec, MalwareBytes, och McAfee, har utvecklats under de senaste åren, är endpoint-skydd.

“De bästa säkerhetspolicyerna kombinerar människor, processer och teknik; den ena existerar inte utan de andra två.”

Ändpunktsskydd är metoden att säkra ett nätverk vid anslutningspunkten av en enhet. Medan det vanligtvis kan vara när en ny bärbar dator eller smartphone är ansluten till ett system, kan den även appliceras på fysiska enheter som USB-enheter. Det är något Kingston tror att företag som IBM skulle kunna använda för att förhindra en del av datastölden som man vill förhindra med sitt direkta förbud.

"[Endpunktsskydd] tillåter administrationen, IT, vem som än är inblandad i cybersäkerhet, att känna igen vem som behöver tillgång till USB-portar, vem som behöver tillgång till X, Y, Z-data," sa Lugo. "Då kan de faktiskt bygga en användarprofil, en användargrupp för att sedan bara tillåta en specifik USB-enhet, vare sig det är en Kingston-enhet eller annat, så att när den användaren ansluter en annan slumpmässig USB-enhet kommer slutpunktssäkerheten att titta på det och inse att det inte är ett problem kör. På så sätt låter användaren inte transportera någon data fram och tillbaka till den enheten."

Genom att kontrollera de fysiska medierna i sig och den kontaktpunkt den har med det interna nätverket har ett företag mycket större kontroll över data som flödar in och ut ur dess skyddade system än vad den gör genom att, till synes åtminstone, förbjuda användningen av alla fysiska media.

USB drop attack demo - Blackhat USA 2016

En del av det nya Allmän lagstiftning om dataskyddsförordningen som nyligen antogs innebär att företag har verkligt ansvar för data, kontrollerar vem som har tillgång till den och hur den lagras. Att ha en policy om inga fysiska medier gör det omöjligt för IBM att vara verkligt ansvarig om någon struntar i en sådan policy och kringgår alla interna skyddsåtgärder som den har mot den.

Kombinationen av en krypterad enhet och stark slutpunktssäkerhet skulle möjliggöra kraftfull granskning av fysiska enheter, vilket förhindrar användning av obehöriga fysiska medier och skydd av data som tas bort från ett nätverk genom att göra den oläsbar för alla utom validerade partier.

GDPR och vidare

Nu när GDPR har implementerats och är fullt verkställbar med alla enheter som gör affärer med EU kunder behöver fler företag än någonsin vara uppmärksamma på hur de hanterar digitalt information. Direkta förbud mot USB-enheter kan erbjuda ett visst mått av skydd mot några av de hårdare böter och skiljedomssystem som finns, men som Lugo påpekar, ger de inte företag den kontroll de behöver för att verkligen skydda sin och sina anställdas data. användare.

När det gäller IBM så hoppas Lugo att Kingston kan vända på sina senaste policyändringar och är redan i färd med att försöka göra det.

Vad är GDPR? Och varför skulle jag bry mig?

"IBM är ett fantastiskt företag", sa han, "[Men] en del av vårt säljteam är [i kontakt med det] för tillfället, så vi får se hur det går."

Att öka medvetenheten om alternativen till IBM: s förbud är också viktigt bland dess anställda. Som MalwareBytes Bustamante framhöll för oss är det bästa sättet att säkra ett nätverk med en kombinationsstrategi som sammanför människor, hårdvara och mjukvara för att på ett omfattande sätt låsa ned viktig data och nätverken den är lagrad på.

"Företag måste se till att de har rätt interna processer på plats för att hantera ett intrång och se till att personalen ges regelbunden säkerhet utbildning – dina anställda är trots allt din första försvarslinje, så utrusta dem med kunskapen för att kunna upptäcka ett tvivelaktigt e-postmeddelande eller en bilaga. sa. “De bästa säkerhetspolicyerna kombinerar människor, processer och teknik; den ena existerar inte utan de andra två.”