Lettura Scrittura Esegui su unità pollice infette

Naviga le tue risposte
1

C'è un dibattito in corso tra i miei colleghi. Con opinioni divergenti in merito al rischio su pen drive infetto con politiche di limitazione impostate su di esso.

La domanda è ancora possibile ottenere un'infezione con accesso di sola lettura, disabilitare la scrittura su thumbdrives. Che ne dici di disabilitare solo l'accesso di esecuzione.

La mia opinione è che se disabiliti scrivi. Rischio maggiore in quanto l'AV non può pulire le pen drive ma è comunque possibile ottenere un'infezione dalle unità di sola lettura. Disabilitare execute riduce il rischio ma l'infezione può ancora verificarsi. Il lato positivo è AV può pulire / mettere in quarantena se necessario. La funzione di sola lettura non ha alcuno scopo se non quello di impedire la scrittura di file sulle thumbdrive.

Pensieri?

    
posta Lester T. 25.08.2018 - 16:38
fonte

3 risposte

1

Si dovrebbe anche essere consapevoli che se la pen drive è malevola (al contrario di avere malware su di essa), allora si dovrebbe essere a conoscenza di attacchi non malware che impersonano diversi tipi di dispositivi USB. Ad esempio, potrebbe fingere di essere una tastiera e digitare comandi sul sistema.

Se si riesce a impedire in modo affidabile l'esecuzione di qualsiasi file ospitato nell'unità, sarebbe una soluzione ragionevolmente efficace. La prevenzione dell'esecuzione di sedi non attendibili (ad esempio download, AppData, ecc.) Non è affatto al 100%, ma è in realtà abbastanza efficace per attirare vari exploit automatizzati e attacchi di massa sul mercato.

    
risposta data 25.08.2018 - 18:10
fonte
0

Per prima cosa chiarisci il tuo punto sul blocco della scrittura: i rischi delle unità USB sono in entrambi i modi, non sono gli unici rischi da PC a unità USB.

  1. Rischi dalle unità USB al PC: le unità USB potrebbero essere dannose e le minacce potrebbero essere più di quanto pensiamo. Può essere usato come centro di controllo remoto / controllo per gli hacker. Caso simile si è verificato nel caso "Stuxnet".
  2. Rischi da PC a USB / altri PC: il PC potrebbe essere infetto e potrebbe trasferire codice dannoso all'USB collegato. Si diffonderà attraverso altri nodi della rete quando questa USB è collegata ad altri nodi.

Pertanto, la mitigazione / i controlli delle minacce delle unità USB dovrebbero essere selezionati sulla base di entrambi i rischi. Di seguito potrebbero essere alcuni dei possibili modi per mitigare questi rischi:

  • Assicurarsi che ciascun PC disponga degli scanner di sicurezza richiesti (ad esempio: Aniti Virus Scanner, Malicious Scanner, ecc.) e aggiornato con gli ultimi aggiornamenti.
  • Assicurarsi che le unità USB siano pre-scansionate prima di essere connesse alla rete. A questo scopo potresti avere un nodo di scansione separato.
  • Implementare un criterio per impedire che le unità USB dell'ufficio siano state utilizzate per scopi domestici o per connettersi a qualsiasi altro nodo al di fuori della rete dell'ufficio.
  • Implementare i controlli sui file trasferiti su unità USB (ad esempio evitare il trasferimento di file exe su unità USB).

Quindi solo limitare la scrittura non sarà adeguato per mitigare i rischi delle unità thump.

    
risposta data 25.08.2018 - 20:57
fonte
0

Stai solo tenendo in considerazione le unità USB di archiviazione o cose come il Rubber Ducky? Il Ducky agisce come una tastiera e sempre un avversario per fare qualsiasi cosa che una persona con una tastiera potrebbe normalmente realizzare.

La risposta alla tua domanda originale è sì, puoi essere infettato da un'unità di sola lettura.

La maggior parte delle persone non esegue le cose dalle unità USB stesse, spostano i dati e quindi li eseguono, ignorando la disattivazione dell'esecuzione. Imposta le unità per non intraprendere alcuna azione e scansionarle con l'anti-virus prima di fare qualsiasi cosa con loro.

Utilizza un firewall per limitare le connessioni in uscita quando possibile.

Questo non è a prova di proiettile, ma a mia conoscenza nessuna soluzione di sicurezza è al 100%.

    
risposta data 26.08.2018 - 11:15
fonte

Leggi altre domande sui tag

Come faccio a fare da intermediario per due parti che non si fidano l'una dell'altra? RelativeDistinguishedName ha permesso di impostare gli elementi