Sfondo:
La mia organizzazione deve trovare una soluzione di archiviazione rimovibile. Tuttavia, è a mia conoscenza che il DOD è piuttosto rigido sulle unità flash a causa di considerazioni di sicurezza.
Domanda:
I miei utenti avranno sempre la connessione a Internet, ma a volte potrebbero non essere sulla nostra rete. Esistono alternative alle unità flash?
Se dovessimo consentire le unità flash, quali misure devono essere adottate per mitigare il rischio di malware?
Si desidera distribuire autonomamente le unità flash e vietare l'uso di qualsiasi unità flash che non sia stata "approvata". Motivo: ci sono dispositivi là fuori, che assomigliano a unità flash, ma, una volta inseriti, comunicano al computer che sono veramente tastiere e iniziano a digitare le cose in modo selvaggio.
Se solo le unità flash originali vengono mai inserite nei computer che si desidera proteggere, si dovrebbe essere in grado di gestire il malware, con una percentuale di successo "ragionevole", attraverso i soliti strumenti (antivirus e co). Il rischio di malware può essere drasticamente ridotto applicando l'uso di un sistema operativo resiliente al malware, ad es. NetBSD (la resilienza viene raggiunta principalmente dalla rarità - gli sviluppatori di malware non si preoccupano di indirizzare NetBSD). Ma gli utenti potrebbero obiettare ...
Tieni presente che qualunque cosa tu faccia, gli utenti inseriranno dispositivi USB casuali in macchine a cui hanno accesso fisico, a meno che non versi la colla nelle porte USB. La migliore difesa è probabilmente una combinazione di sistemi operativi aggiornati, un buon rilevatore di antivirus / malware e, più importante di ogni altra cosa, una formazione sulla consapevolezza della sicurezza. sarà infetto a un certo punto - ma puoi sperare in un basso tasso di infezioni riuscite se gli utenti, in media, fanno attenzione.
Un rischio con le unità flash è che possono fungere da vettore per la diffusione del malware (ad es. virus).
Ecco come il malware facilita la diffusione del malware. Se un'unità flash pulita viene inserita in una macchina compromessa, la macchina compromessa potrebbe scrivere malware nell'unità flash. Se l'unità flash ora infetta viene successivamente inserita in un secondo computer, i dati dannosi sull'unità flash potrebbero sfruttare una vulnerabilità di sicurezza sul secondo computer e compromettere il secondo computer. Le unità Flash possono anche diffondere malware attraverso l'ingegneria sociale (AngelinaJolie.jpg, che in realtà contiene un file .exe che, una volta fatto clic, avvia malware). Questo rischio è particolarmente pronunciato se utilizzi un'unità flash che hai ottenuto da un estraneo o da un estraneo.
Un possibile modo per mitigare parzialmente questo rischio è utilizzare solo i supporti rimovibili internamente - non consentire mai a nessuno di inserire un'unità flash ottenuta da una fonte esterna o durante il viaggio. Tuttavia, questa politica potrebbe essere più difficile da comunicare, sorvegliare e garantire la conformità rispetto a una più semplice politica "le unità flash sono vietate".
Un altro modo possibile per mitigare parzialmente il rischio è usare supporti di sola scrittura (ad esempio, CD-R, DVD-R) per trasferire file di grandi dimensioni tra macchine. Se i dati dannosi vengono memorizzati sul supporto, la natura in scrittura una sola volta non ti aiuterà. Tuttavia, il modo in cui i supporti di sola scrittura aiutano è che rimuove il potenziale che l'inserimento di supporti puliti in una macchina compromessa potrebbe infettare il supporto. Pertanto, i supporti in scrittura una volta non sono una panacea, ma potrebbe essere un modo per ridurre un po 'il rischio.
Una terza possibilità è incoraggiare le persone a utilizzare soluzioni di rete per condividere file, ad esempio attraverso un sito Web sicuro (protetto con HTTPS e con scansione anti-virus per tutti i file caricati) o tramite e-mail protetta (con scansione anti-virus su il tuo gateway di posta elettronica.
Le preoccupazioni sulle unità flash sono le seguenti:
Vedi quanto segue per le minacce:
Per gestire il problema dei furti di dati e il problema dei cattivi dispositivi USB, alcuni posti che non consentono le unità flash, consentono comunque altri supporti come i CD, poiché se non ci sono masterizzatori, è possibile ottenere i dati ma non uscire .
Per gestire il problema del malware, come identificato da Tom Leek, utilizzare un obiettivo di minaccia improbabile, come FreeBSD, e / o prendere in considerazione l'utilizzo di un certo tipo di sistema hardened (possibilmente stand-alone, cioè non connesso a nulla). Quindi virus esegue la scansione dei file e quindi copia i dati nel sistema su cui è necessario utilizzarli. Si potrebbe desiderare di utilizzare lo stesso supporto o masterizzare i file su un CD per rimuovere alcuni possibili rischi (come un file system impacciato o altri file non validi). Un file .lnk di stuxnet che finisce in qualche modo sul dispositivo). Oppure potresti implementare in qualche modo che questo sistema abbia accesso solo a un server ftp su cui può caricare i file, che può essere quindi accessibile dal resto della rete.
Il paragrafo precedente potrebbe essere eccessivo per te, quindi la soluzione più semplice è solo assicurarti che Autoplay sia spento e scansiona l'unità per rilevare malware prima di aprire la cartella con Windows Explorer.
Se non sono nella tua rete, possono VPN? Disponi di un percorso sicuro dove caricare i file?
Se sei un negozio Windows, tramite GPO puoi creare un elenco di flash USB consentiti per produttore, numero di serie, modello, ecc. Quindi i tuoi utenti non saranno in grado di utilizzare nessun altro flash USB (assicurati che siano non hanno diritti di amministratore).
Questo però non impedirà il malware, ti darà solo più controllo su quale flash USB i tuoi utenti possano usare.
Devi assicurarti che la riproduzione automatica non sia attiva e che i tuoi AV siano aggiornati così come i tuoi sistemi, incluse app di terze parti (Java, Flash, ecc.)
Il DoD consente le unità flash, ma solo quelle specifiche (credo Ironkey). Se si desidera consentire solo unità flash specifiche, il software di sicurezza sul computer dell'utente dovrebbe supportare questo e attivare o disattivare l'accesso in base al dispositivo inserito.
A lungo termine, qualcosa succederà e sarà pronto per questo quando lo farà.
Leggi altre domande sui tag usb-drive