Modifica della politica per consentire le unità USB. Perché dovrei provare a fermarlo?

Le unità USB consentono la propagazione dei dati senza il controllo del firewall di rete, quindi qualsiasi motivo per cui un firewall è stato impostato in primo luogo è una buona ragione per vietare le unità USB.

Non vedo come si potrebbe applicare una politica di utilizzo non privato. Le persone useranno le unità USB per trasferire dati privati, se solo le ultime fotografie del loro cane, e c'è ben poco che si possa fare per evitarlo, a patto che le unità USB funzionino affatto per gli utenti. Per applicare una politica di sicurezza, è necessario disporre di almeno uno dei seguenti elementi:

Gli utenti
• non hanno alcun interesse immediato in una soluzione alternativa economica (ad esempio, il supporto USB è stato rimosso dal sistema operativo, quindi collegare un'unità USB non renderà nulla di utile per un utente);
• utenti capiscono perché la politica è stata impostata e si conformano volentieri (fatalità su questo);
• le protezioni tecnologiche sono impostate (ma potresti avere difficoltà a creare uno strumento automatico che distingua i dati aziendali da quelli privati);
• i non-complier sono puniti con la massima severità (ma se gli utenti stessi non considerano le unità USB potenzialmente dannose, non coopereranno, rendendo così molto costose le operazioni di polizia USB).

Se si desidera consentire l'uso di chiavette USB, suggerirei di impostarlo su una macchina dedicata, che esegue un sistema simile a Unix (quindi immune ai virus Windows e MacOS) per una maggiore sicurezza, mirare a una configurazione riservata, es. NetBSD su un vecchio hardware MacIntosh basato su PowerPC), esegue automaticamente il software antivirus ed esporta il contenuto dell'unità (verificata) USB tramite un protocollo di rete (ad es. CIFS, o forse un semplice server HTTP locale). Almeno questo eviterà problemi con dispositivi USB che fungono da tastiere. Probabilmente, questo potrebbe richiedere agli utenti di scambiare dati attraverso la rete, eliminando la necessità di unità USB in quella situazione.

Per quanto riguarda i pericoli dei dispositivi USB, puoi citare ad esempio il "PSJailbreak" che è il più comune sistema di rottura PS3 a metà 2010 (che era prima della scoperta dell'enorme abbaglio di Sony per quanto riguarda l'ECDSA) ). PSJailbreak si presenta come una chiave USB, ma internamente funge da hub USB con quattro dispositivi virtuali, che sfruttano un buffer overflow nel kernel.

Ho costruito un caso aziendale, ottenuto finanziamenti e implementato controlli multimediali rimovibili presso una grande banca. Ho scritto delle mie lezioni apprese qui .

I motivi principali per cui hai bisogno di controlli multimediali rimovibili:

• Prevenzione della perdita di dati - se perdi un dispositivo rimovibile con un sacco di dati preziosi su di esso non ricevi alcuna sanzione da parte del regolatore, affronta la segnalazione dei dati e perdi la faccia con le parti interessate . Controlla datalossdb.org per alcuni incidenti reali £ / $ inclusa la massiccia perdita di HMRC.

• Prevenzione della perdita di dati : chiudi uno dei modi più semplici e massimi in termini di volume in cui il personale può rubare le tue informazioni, ad es. quando partono per un concorrente. Questo è facile da capire per il senior management perché di solito è il più grande colpevole di aver bisogno di prendere dati "personali". Sì, ci sono altri modi come l'email, ma le persone selezionano il più conveniente, chiudendoli uno alla volta o almeno criptandoli e monitorandoli in modo da sapere cosa viene copiato

• Malware - come hai detto. L'esempio di HBGary è buono, molti altri. Inizialmente non avevo questo driver come il nostro desktop AV sembrava essere efficace. Ma se implementassi ora, spingerò sicuramente a limitare l'accesso in lettura su USB, così come l'AV non è efficace contro le minacce emergenti rapide.

La tua politica sembra ragionevole, ma ti suggerisco le seguenti modifiche:

• Qualsiasi dato pubblico non memorizzato su USB e supporti rimovibili deve essere crittografato. Questo è molto più facile da fare per le persone e per te condurre una campagna di sensibilizzazione piuttosto che chiedere alle persone di classificare i dati che sono notoriamente cattivi a fare

• Solo le unità USB aziendali devono essere utilizzate su dispositivi aziendali. Semplice. Suggerirei di usare un disco crittografato come un Ironkey e semplicemente di bloccare tutto il resto.

• L'accesso in lettura e scrittura ai supporti rimovibili è fornito solo con un motivo commerciale ed è approvato dal proprio manager di linea. L'accesso deve essere ricontrollato ogni trimestre. Alcune aziende rilasciano l'accesso USB 24 ore su 24 o 1 volta, ma ritengo che quanto sopra fornisca un migliore equilibrio tra rischio e convenienza

• Qualsiasi attività di copia una tantum verrà eseguita dal supporto di Help-desk / Desktop. Avranno le chiavi USB approvate per questa attività. Tutti i dati da copiare saranno approvati dal gestore di linea e dalle Risorse umane / conformità se riguardano la copia di dati aziendali per uso personale, ad es. lasciando l'azienda.

Inoltre, è necessario un processo di eccezione efficace per la politica, in cui il rischio dell'eccezione viene esaminato dalla sicurezza IT e approvato dall'azienda.

Anche se le chiavi USB hanno dei rischi per la sicurezza, sono anche utili. Aumentano la produttività. Posso capire completamente perché un'organizzazione potrebbe voler consentire l'uso di chiavette USB ma applicare alcune attenuazioni per cercare di mitigare il rischio il più possibile, senza perdita di utilità / produttività.

In questo senso, un suggerimento per la politica sarebbe: assicurati che l'autorun sia disattivato nella tua organizzazione. Un altro suggerimento è di usare il software anti-virus su tutta la macchina Windows e assicurarsi che il software anti-virus sia configurato per eseguire automaticamente la scansione del contenuto della chiavetta USB quando viene inserito (o per scansionare il contenuto di quei file su richiesta quando / prima di accedervi).

Per trasferire file da una macchina all'altra, potresti prendere in considerazione l'uso incoraggiante di CD-R e DVD di sola scrittura (non la varietà riscrivibile). Questo è certamente meno conveniente, anche se per cercare di renderlo più conveniente, si potrebbe provare a mantenere forniture di CD-R / DVD vuoti in luoghi facilmente accessibili. Non so se i benefici per la sicurezza (che sono modesti) valgono comunque la pena.