Situación actual:
Actualmente estoy empleado en un hospital y, con el peligro creciente de ransomware, etc., distribuidos por unidades USB, decidimos bloquear todos los puertos USB (solo alrededor de 600 clientes / Windows solamente) a través de Symantec Endpoint Protection. Este bloqueo puede determinar si un dispositivo es un dispositivo HID (usamos teclados con tarjeta inteligente, ratones con huellas dactilares y grabadores de voz que dependen del USB en áreas cruciales donde estos dispositivos deben funcionar, los dispositivos de entrada como ratones y teclados normales son en su mayoría PS / 2) o un dispositivo de almacenamiento. Si es algo más que un dispositivo HID, el puerto se bloquea. También puede otorgar privilegios de USB para ciertos Usuarios / Computadoras donde son absolutamente necesarios (PC de administración, PC de técnico, etc.)
Problema actual:
Es una práctica común que los usuarios (médicos, empleados administrativos) vengan con sus memorias USB privadas para importar datos, como estudios médicos, presentaciones, imágenes, etc. y quieran que se importen en el sistema (simplemente decir que no es desafortunadamente no es una opción) lo que obviamente es un riesgo de seguridad bastante grande
Solución actual:
Hay una computadora específica que se encuentra en una red completamente separada donde los usuarios ponen sus unidades y se escanean por SEP. Si la verificación salió bien, un administrador coloca la unidad en su PC (!) Y copia los archivos a la red que comparten las necesidades del usuario. Obviamente, esto tampoco es muy seguro, no solo confiamos en SEP para la protección, sino que también este método es propenso a los ataques BadUSB, etc.
Lo que quería hacer
Para integrar de forma segura estas memorias USB extrañas, pensé en una combinación de diferentes enfoques:
Paso 1 El usuario tiene que ir físicamente a un empleado de soporte de primer nivel que usa una Raspberry Pi (encerrado en una caja con bloqueos de alta seguridad que solo las posiciones de administración de TI tienen acceso a las teclas) donde CIRClean, ( enlace ) un" Desinfectante USB "de Código Abierto creado por el Gobierno de Luxemburgo, se ejecutaría y los puertos USB se ubicarán en el exterior de la Caja. Esta distro de Raspberry Pi debería eliminar todos los archivos de cosas "peligrosas" como Makros en Word / Excel Files o Convertir archivos PDF a HTML (y eliminar posiblemente Javascript incrustado) y copiar estos archivos "desinfectados" en otra unidad USB que ahora se considera "probablemente segura" .
Después de este paso, el usuario puede recuperar su Unidad y otros pasos de trabajo que realiza el Partidario de Primer Nivel. Este primer paso debería deshacerse de ataques más "no sofisticados", como BadUSB, makro-virus y así sucesivamente.
Paso 2 (AirGap1)
The First Level Supporter lleva la memoria USB "probablemente segura" a una máquina que ejecuta Qubes-OS ( enlace ) que está configurado por lo que el controlador USB es una máquina virtual separada. Esta máquina luego verificará automáticamente la unidad USB con varias aplicaciones antivirus diferentes. Esto debería permitirnos comprobar si hay ataques más sofisticados como buenos rootkits programados. Después de que la secuencia de comandos automatizada que ejecuta varios AV-Checks, el First Level Supporter toma el ahora "conocido" como USB Stick seguro y llega a una tercera máquina
Paso 3 (AirGap2)
Esta máquina es una PC normal de Windows que está en la red de hospitales. SEP se instala y realiza otra verificación de seguridad en la unidad antes de que se monte. Luego, el empleado simplemente arrastra los archivos al destino que el usuario deseaba y terminó. .
Por qué estoy aquí
Desafortunadamente, CIRCLean suena como una buena herramienta, pero no pude encontrar una versión que se ejecute correctamente (no estoy solo con eso, no puedo publicar más de 2 enlaces, solo miro los problemas en Git).
Así que después de toda esta historia de fondo, cuando vengo a mi pregunta:
¿Cómo se garantiza que las unidades USB extrañas estén seguras? ¿Mi enfoque es bueno y, de ser así, cómo "cambiaría" la parte de CIRClean que no funciona ?