La disabilitazione della scrittura su USB è in realtà un modo efficace per prevenire la perdita di dati?

31

Nella mia organizzazione esiste un criterio di gruppo che impedisce agli utenti di scrivere dati su una chiavetta USB. Mi è sempre sembrata una PITA un po 'inutile, solo "una delle quelle cose ...". Mi dimentico spesso perché non posso scaricare i dati da la mia pen drive quando ne ho bisogno (lo ricordo solo quando tento di portare un file a casa).

Recentemente, le mie responsabilità sono state ampliate per includere la partecipazione allo stato e all'ampliamento; audit federali e ho notato una qualche forma del seguente il punto elenco è di solito una funzione altamente pubblicizzata quando si afferma la conformità:

  • Users cannot download sensitive data to a USB drive.

In realtà questo è un miglioramento della sicurezza?

Ci sono ancora un numero significativo di modi per estrarre dati dal dominio della società (ho sicuramente usato più di un intervento pratico semplicemente per comodità.)

All'inizio ho pensato che si potesse sostenere che impedisce attacchi a bassa frequenza e ad alta frequenza. Ma con la proliferazione di strumenti personali per la condivisione di file (che possono o meno hanno bisogno di essere sbloccati dai criteri aziendali - ad esempio un utente ha sia un account GitHub personale che aziendale) questo tipo di politica fornisce ancora ulteriori sicurezza? O è solo un placebo per auditor minimamente istruiti?

    
posta Peter Vandivier 09.06.2016 - 19:08
fonte

5 risposte

53

Uno dei motivi principali alla base del divieto di scrivere dati su unità USB (questo mi è stato spiegato una volta) è non per impedire ai dipendenti di di rubare informazioni sensibili. Se volessero fare quello , non avrebbero alcuna soluzione alternativa, fino alla stampa di codici QR su fogli A4.

Piuttosto, è per impedire ai dipendenti di salvare informazioni sensibili su unità USB in buona fede, solo per avere quelle unità USB perse o rubate .

Spesso in questi casi scoprirai che è OK salvare i dati su specifiche chiavette crittografate che non possono essere decifrate in caso di furto o perdita: ad es. drive biometrici (*) o file system crittografati che saranno "visti" come fisici hard disk fissi invece di rimovibili hard disk, aggirando così un "impossibile scrivere su rimovibili" guida "la politica di sicurezza.

Windows 7+ ha impostazioni esplicite che abilitano trattamento di dispositivi BitLocked (possibilmente con chiavi aziendali) in modo diverso dai normali dispositivi USB .

(Nel mio caso, che era Windows XP Pro SP3 un po 'di tempo fa, avevo una chiave USB con un volume TrueCrypt su di esso, e mi è stato permesso di fare un po' di lavoro a casa su di esso. I era agli ordini di non copiare i file da nessun'altra parte e di non utilizzare l'unità USB per altri scopi.Questo tipo di precauzioni è chiaramente diretto contro perdite accidentali, non intenzionali).

Per gli stessi motivi, alcuni popolari siti di condivisione file, o siti e app che potrebbero consentire la condivisione di file, potrebbero essere bloccati dai firewall aziendali. Ancora una volta, non tanto per fermare lo spionaggio, ma per evitare che le persone diventino troppo negligenti (almeno nelle opinioni del potere) con le informazioni aziendali.

(*) Nota

Le unità thumb lock biometrici e (soprattutto) i dischi rigidi non sono necessariamente sicuri - o persino crittografati, o crittografato correttamente . Se la memoria può essere fisicamente separata dalla parte di blocco (facile per la maggior parte degli HDD, pensabile per molte chiavette USB) qualcuno può provare a leggerlo direttamente, forse solo per "reclamare" la memoria stessa. Dopo tutto, in caso di fallimento il cercatore avrà appena perso un po 'di tempo. Una volta che lui o lei avrà le mani sul ricordo leggibile, potrebbe essere sufficiente una semplice curiosità per dare una sbirciatina e magari anche provare a decodificarlo prima di riformattarlo e riproporlo. Con fortuna, il dispositivo è vulnerabile e solo googling della sua marca e modello consentirà a qualcuno di recuperare gli strumenti e / o le conoscenze necessarie.

    
risposta data 09.06.2016 - 19:21
fonte
5

Oltre a quanto affermato da Iserni, le memory stick in questi giorni possono contenere enormi quantità di dati.

Spostare 64 GB di dati sensibili a un provider di servizi cloud potrebbe richiedere molto tempo e potrebbe attivare le regole del firewall impostate per cercare caricamenti eccessivi. In ogni caso, i caricamenti verranno registrati.

Il download di 64 GB su una memory stick USB3 sarà molto più veloce e non si avvicinerà a nessun firewall aziendale. Quando la memory stick è piena, può essere semplicemente infilato in una tasca. La società non saprà nemmeno cosa è stato fatto fino a quando i dati non verranno utilizzati contro di loro o ai loro clienti.

    
risposta data 10.06.2016 - 00:12
fonte
1

In molti casi, tale politica è abbinata all'uso di alcune forme di censura per bloccare l'accesso a un elenco noto di provider di servizi di cloud storage e siti webmail, oltre a bloccare le porte per ftp (e trasferimento di file tramite IM).

Ovviamente è abbastanza semplice eseguire il rollover: avevo un server ftp in esecuzione sulla porta 80 a casa per qualche giorno una volta; la webmail del mio hosting provider non è molto conosciuta; e sono sicuro che ci sono soluzioni off-the-shelf per consentire il caricamento su http. Come dici tu, l'uso aziendale di GitHub è una preoccupazione (anche se molti datori di lavoro sono diffidenti nei suoi confronti e possono essere sbloccati per utente solo agli sviluppatori, riducendo la superficie delle minacce). Non tutte le fonti di perdita di dati (anche intenzionale) sono molto sofisticate e le fonti accidentali possono essere le persone con il livello di competenza più basso con accessi.

    
risposta data 10.06.2016 - 11:41
fonte
1

Molte grandi organizzazioni hanno restrizioni come questa. Sono stato in grado di bypassare tutti quelli che ho testato.

L'intenzione è che gli utenti non possano estrarre dati in blocco. Resta inteso che le persone possono esaltare piccole quantità di dati fotografando il loro schermo, o anche solo memorizzandolo. Ma c'è una differenza tra l'esaltazione di alcuni dettagli e il furto di un database di 10 gb di dati personali. Penso che sia una buona intenzione, ma non può mai essere fatta perfettamente.

Per farlo in modo sicuro, un buon inizio è:

  • Blocca tutti i supporti rimovibili locali: USB, masterizzatori CD, schede di memoria, firewire, eSATA e forse di più.
  • Limita l'espulsione della rete: di solito ciò avviene bloccando tutti i servizi di posta elettronica e di condivisione file sul proxy. Inoltre, configurando i laptop in modo che quando sono fuori dall'organizzazione, tutto ciò che faranno sarà il ritorno alla base della VPN.

Di solito riesco a bypassare l'estrazione della rete caricando file sul mio sito web. Non è noto al proxy come un sito di condivisione file, quindi passa attraverso. Un'altra tecnica consiste nel connettere il laptop di un'organizzazione esterna alla rete dell'ufficio e copiare direttamente dal computer dell'azienda al laptop esterno, ignorando il proxy. Inoltre, il sistema di posta elettronica aziendale consente quasi sempre un bypass, sebbene il rischio sia ridotto dai limiti e dalla registrazione delle dimensioni del file. In caso contrario, ottieni i diritti di amministratore sul computer e disabilita le restrizioni.

Se l'organizzazione ha un sistema di lavoro remoto in stile Citrix - quando è possibile connettersi dal proprio computer di casa - molto spesso questo può essere usato per estrarre i dati. Ne ricordo uno che bloccava le unità locali, il che era un buon inizio, ma consentiva l'uso di USB remoto, quindi puoi collegare una chiavetta USB al tuo computer di casa e farla montare sul server Citrix - permettendoti di rubare i dati in blocco.

Uno dei problemi con questa configurazione è che le persone hanno esigenze legittime di chiavette USB, CD scrivibili, ecc. L'approccio semplice consiste nell'avere un processo in cui le persone con necessità aziendali vengono aggiunte a un elenco di eccezioni. Un approccio più avanzato è Data Loss Prevention (DLP), una tecnologia molto interessante. Discutendo che più probabilmente è meglio per un'altra domanda.

    
risposta data 10.06.2016 - 12:38
fonte
0

Non sottovalutiamo l'impatto dei vettori di minacce che si basano sull'USB per l'introduzione in una rete - ("StuxNet" chiunque?)   Detto questo, è "efficiente"? - IMHO, sì, richiede poco sforzo ostacolare le masse che potrebbero sneaker segreti fuori dalla porta.   Ma è efficace ? solo per le masse non sofisticate. Gli amministratori locali intelligenti continueranno a percorrere i segreti. La crittografia dei dati sensibili in rete è molto più efficace.

    
risposta data 10.06.2016 - 20:29
fonte

Leggi altre domande sui tag