¿Es el rechazo de la escritura a USB realmente una forma eficiente de evitar la fuga de datos?

Navega tus respuestas
31

En mi organización, existe una política de grupo que evita que los usuarios escriban datos en una memoria USB. Esto siempre me pareció un poco inútil para PITA, solo "una de esas cosas ...". Lo olvido tan a menudo como no, ya que puedo descargar los datos de de mi unidad flash cuando lo necesito (solo lo recuerdo de nuevo cuando intento llevar un archivo a casa).

Recientemente, mis responsabilidades se ampliaron para incluir la participación en state & Las auditorías federales y me he dado cuenta de que la siguiente viñeta suele ser una característica altamente promocionada al afirmar el cumplimiento:

  
  • Los usuarios no pueden descargar datos confidenciales a una unidad USB.
    •   

¿Esto es realmente una mejora de la seguridad por sí sola?

Todavía hay una gran cantidad de formas de extraer datos del dominio de la empresa (ciertamente, he usado más de unos pocos arreglos simplemente por conveniencia).

Al principio, pensé que quizás se podría argumentar que previene los ataques de baja frecuencia y de baja capacitación. Pero con la proliferación de herramientas de uso compartido de archivos personales (que pueden o no necesitar ser desbloqueadas por la política de la compañía, por ejemplo, un usuario tiene una cuenta de GitHub corporativa y personal. ¿seguridad? ¿O es solo un placebo para auditores mínimamente alfabetizados?

    
pregunta Peter Vandivier 09.06.2016 - 19:08
fuente

5 respuestas

53

Una de las razones principales detrás de la prohibición de escribir datos en unidades USB (me lo explicaron una vez) es no para evitar que los empleados roben información confidencial. Si quisieran hacer eso , no tendrían fin de soluciones, hasta imprimir códigos QR en hojas A4.

Más bien, es para evitar que los empleados guarden información confidencial en las unidades USB de buena fe, solo para perder o robar esas unidades USB .

A menudo, en tales casos, encontrará que está bien guardar datos en unidades de pulgar encriptadas específicas que no se pueden descifrar en caso de robo o pérdida: por ejemplo, Unidades de bloqueo biométrico (*) o sistemas de archivos cifrados que se "verán" como físicos en los discos duros fijos en lugar de en los extraíbles , lo que evita el "no se puede escribir en los extraíbles". unidades "política de seguridad.

Windows 7+ tiene configuraciones explícitas que habilitan que trata los dispositivos BitLocked (posiblemente con claves corporativas) de manera diferente a los dispositivos USB simples .

(En mi caso, eso era Windows XP Pro SP3 hace algún tiempo, tenía una llave USB con un volumen TrueCrypt y me permitieron trabajar en casa. estaba

Por las mismas razones, algunos sitios populares para compartir archivos, o sitios y aplicaciones que podrían permitir el intercambio de archivos, podrían estar bloqueados por los firewalls de la compañía. Nuevamente, no tanto para detener el espionaje, sino para evitar que las personas se vuelvan demasiado descuidadas (al menos en la opinión de los poderes) con información corporativa.

(*) Nota

Las unidades de bloqueo biométricas y (especialmente) los discos duros no son necesariamente seguros , ni siquiera están encriptados, o cifrado correctamente . Si la memoria se puede separar físicamente de la parte de bloqueo (fácil para la mayoría de las carcasas de HDD, concebible para muchas unidades USB), alguien puede intentar leerla directamente, tal vez solo para "reclamar" la propia memoria. Después de todo, en caso de fallo, el buscador habrá perdido algún tiempo. Una vez que él o ella tiene las manos en la memoria legible, una simple curiosidad puede ser suficiente para echar un vistazo y tal vez incluso intentar descifrarlo antes de reformatear y reutilizar. Con suerte, el dispositivo es vulnerable y simplemente googlear su marca y modelo permitirá que alguien recupere las herramientas y / o conocimientos necesarios.

    
respondido por el LSerni 09.06.2016 - 19:21
fuente
5

Además de lo que ha dicho Iserni, las tarjetas de memoria en estos días pueden contener grandes cantidades de datos.

Cambiar 64GB de datos confidenciales a un proveedor en la nube puede llevar mucho tiempo y puede activar reglas de firewall configuradas para buscar cargas excesivas. En cualquier caso, las subidas serán registradas.

La descarga de 64 GB en una memoria USB3 será mucho más rápida y no se acercará a ningún firewall de la empresa. Cuando la tarjeta de memoria está llena, simplemente se puede deslizar en un bolsillo. La compañía ni siquiera sabrá qué se ha hecho hasta que los datos se usen contra ellos o sus clientes.

    
respondido por el Simon B 10.06.2016 - 00:12
fuente
1

En muchos casos, esta política se combina con el uso de algún tipo de censor para bloquear el acceso a una lista conocida de proveedores de almacenamiento en la nube y sitios de correo web, junto con el bloqueo de los puertos para ftp (y la transferencia de archivos a través de IM).

Por supuesto, es lo suficientemente simple como para desarrollar su propia solución: tuve un servidor ftp ejecutándose en el puerto 80 en casa por unos días una vez; el webmail de mi proveedor de alojamiento no es ampliamente conocido; y estoy seguro de que hay soluciones disponibles para permitir la carga a través de http. Como usted dice, el uso corporativo de GitHub es una preocupación (aunque muchos empleadores lo desconfían, y puede ser desbloqueado por usuario solo para los desarrolladores, reduciendo la superficie de amenaza). No todas las fuentes de fuga de datos (incluso deliberadas) son muy sofisticadas, y las fuentes accidentales pueden ser las personas menos cualificadas con inicios de sesión.

    
respondido por el Chris H 10.06.2016 - 11:41
fuente
1

Muchas organizaciones grandes tienen restricciones como esta. He podido omitir todos los que he probado.

La intención es que los usuarios no puedan extraer datos de forma masiva. Se entiende que las personas pueden intercambiar pequeñas cantidades de datos al fotografiar su pantalla, o incluso simplemente memorizarla. Pero hay una diferencia entre la exflitración de algunos detalles y el robo de una base de datos de datos personales de 10 GB. Creo que esta es una buena intención, pero nunca se puede hacer a la perfección.

Para hacer esto de manera segura, un buen comienzo es:

  • Bloquee todos los medios extraíbles locales: USB, grabadores de CD, tarjetas de memoria, firewire, eSATA y tal vez más.
  • Restringir la exflitración de la red: esto generalmente se hace bloqueando todos los servicios de correo electrónico y uso compartido de archivos en el proxy. También configura las computadoras portátiles para que cuando estén fuera de la organización, todo lo que harán sea VPN a la base.

Por lo general, puedo omitir la exfiltración de la red subiendo archivos a mi propio sitio web. No es conocido por el proxy como un sitio para compartir archivos, por lo que llega a través. Otra técnica es conectar la computadora portátil de una organización externa a la red de la oficina y copiar directamente desde la computadora de la empresa a la computadora portátil externa, sin pasar por el proxy. Además, el sistema de correo electrónico corporativo casi siempre permite una derivación, aunque el riesgo se reduce por los límites de tamaño de archivo y el registro. Si falla, obtenga los derechos de administrador en la computadora y desactive las restricciones.

Si la organización tiene un sistema de trabajo remoto estilo Citrix, cuando puede conectarse desde la computadora de su hogar, muy a menudo se puede usar para filtrar datos. Recuerdo una que bloqueaba las unidades locales, que era un buen comienzo, pero permitía el uso de USB remoto, por lo que podría conectar una memoria USB a la computadora de su casa y montarla en el servidor Citrix, lo que le permite robar datos de forma masiva. p>

Uno de los problemas con esta configuración es que las personas tienen necesidades legítimas de memorias USB, CD grabables, etc. El enfoque simple es tener un proceso donde las personas con una necesidad comercial se agreguen a una lista de excepciones. Un enfoque más avanzado es Data Loss Prevention (DLP), que es una tecnología muy interesante. Discutir que más es probablemente lo mejor para otra pregunta.

    
respondido por el paj28 10.06.2016 - 12:38
fuente
0

No descartemos el impacto de los vectores de amenaza que dependen de USB para la introducción a una red - (¿"StuxNet" a alguien?)   Dicho esto, ¿es "eficiente"? - En mi humilde opinión, sí, requiere poco esfuerzo para Stymie las masas que podrían esconder secretos en la puerta.   Pero, ¿es efectivo ? Sólo para las masas poco sofisticadas. Los administradores locales inteligentes todavía andarán por los secretos. El cifrado de datos confidenciales en la red es mucho más efectivo.

    
respondido por el Joe 10.06.2016 - 20:29
fuente

Lea otras preguntas en las etiquetas

¿Se puede destruir un disco duro por ahogamiento? Chrome: su conexión es privada pero alguien podría cambiar el aspecto de la página