Cambio de política para permitir unidades USB. ¿Por qué debería intentar detenerlo?

8

Actualmente estamos en el proceso de permitir memorias USB, pero con una política más estricta. Algunos puntos clave en la política son:

  • Todos los datos confidenciales almacenados en la unidad USB deben estar encriptados
  • Mantenga siempre su unidad USB con usted o en un lugar seguro si contiene datos confidenciales
  • Las unidades USB que se usan en situaciones de trabajo nunca deben usarse para ningún objetivo privado (no comercial).

He leído sobre amenazas de seguridad en este artículo en wikipedia: Usb_flash_drive # Security_threats , pero tengo Algunos problemas para explicar exactamente cómo y por qué permitir memorias USB es peligroso. Algunos puntos que he mencionado:

  • Menos atento a los peligros que podrían estar escondidos en una unidad USB cuando sea más aceptado para usarlos en el negocio. Es posible que las personas tampoco piensen dos veces en conectar un USB que encontraron en su escritorio.
  • Posible propagación de malware. Es bastante común que el malware se propague a través de unidades USB.
  • Las posibles vulnerabilidades se pueden ejecutar automáticamente a través de una unidad USB. El ejemplo es conectar una unidad USB que responde como un teclado. Una vez conectado, envía los comandos de teclado necesarios para recuperar un archivo en línea y ejecutarlo.

¿Alguien tiene algún otro argumento sobre por qué es peligroso usar unidades USB, y quizás alguna sugerencia sobre políticas si necesitamos permitirlas?

    
pregunta Chris Dale 24.05.2011 - 23:50
fuente

3 respuestas

10

Las unidades USB permiten la propagación de datos sin control desde el firewall de la red, por lo que cualquier razón por la cual se haya establecido dicho firewall es una buena razón para prohibir las unidades USB.

No veo cómo podría aplicar una política de uso no privado. People usará unidades USB para transferir datos privados, aunque solo sean las últimas fotografías de su perro, y hay muy poco que puedas hacer para evitarlo, siempre y cuando las unidades USB funcionen para los usuarios. Para aplicar una política de seguridad, debe tener al menos uno de los siguientes:

  • los usuarios no tienen interés inmediato en una solución alternativa barata (por ejemplo, la compatibilidad con USB se ha eliminado del sistema operativo, por lo que conectar un dispositivo USB no hará nada útil para un usuario);
  • los usuarios entienden por qué se estableció la política y cumplen de buena gana (gran posibilidad en eso);
  • las protecciones tecnológicas están configuradas (pero es posible que tenga dificultades para crear una herramienta automatizada que distinga los datos comerciales de los datos privados);
  • los no cumplidores son castigados con la mayor severidad (pero si los propios usuarios no consideran las unidades USB como potencialmente dañinas, no cooperarán, lo que hace que las operaciones de la policía con USB sean muy caras).

Si desea permitir el uso de memorias USB, sugeriría configurarlo en una máquina dedicada, que ejecute un sistema similar a Unix (por lo tanto, inmune a los virus de Windows y MacOS, para mayor seguridad, busque una configuración confidencial, p. ej., NetBSD en un antiguo hardware MacIntosh basado en PowerPC), ejecuta automáticamente el software antivirus y exporta el contenido de la unidad USB (verificada) a través de un protocolo de red (p. ej., CIFS, o tal vez un simple servidor HTTP local). Al menos esto evitará problemas con los dispositivos USB que actúan como teclados. Posiblemente, esto puede hacer que los usuarios intercambien datos a través de la red, eliminando la necesidad de unidades USB en esa situación.

En cuanto a los peligros de los dispositivos USB, puede citar como ejemplo el "PSJailbreak", que es el sistema de ruptura de PS3 más común a mediados de 2010 (que fue antes del descubrimiento del tremendo error de Sony con respecto a ECDSA). ). El PSJailbreak se parece a una llave USB, pero actúa internamente como un concentrador USB con cuatro dispositivos virtuales, que explotan un desbordamiento de búfer en el kernel.

    
respondido por el Thomas Pornin 25.05.2011 - 03:16
fuente
8

He creado un caso de negocios, obtuve fondos e implementé controles de medios extraíbles en un gran banco. Escribí sobre mis lecciones aprendidas aquí .

Las razones clave por las que necesita controles de medios extraíbles:

  • Prevención de pérdida de datos : si pierde un dispositivo extraíble con una gran cantidad de datos valiosos, el regulador no lo multará, se enfrentará a los informes de nalgas y perderá cara con sus partes interesadas . Consulte datalossdb.org para conocer algunos incidentes reales de £ / $, incluida la pérdida masiva de HMRC.

  • Prevención de fuga de datos : cierra una de las formas más fáciles y de mayor volumen en que su personal puede robar su información, por ejemplo. cuando salen para un competidor. Esto es fácil de entender para la alta gerencia porque, en general, es el principal culpable de tener que tomar datos "personales". Sí, hay otras formas como el correo electrónico, pero las personas seleccionarán la más conveniente, las cerrarán de una en una o al menos las cifrarán y supervisarán para que sepa qué se está copiando

  • Malware - como mencionaste. El ejemplo de HBGary es bueno, muchos otros. Originalmente no tenía esto como controlador ya que nuestro AV de escritorio parecía ser efectivo. Pero si la implementación ahora definitivamente presionaría para limitar el acceso de lectura en USB y AV simplemente no es efectivo contra amenazas emergentes rápidas.

Su política parece razonable pero sugeriría los siguientes cambios:

  • Todos los datos no públicos almacenados en USB y medios extraíbles deben estar cifrados. Esto es mucho más fácil para las personas y para que usted realice una campaña de concientización en lugar de pedirle a las personas que clasifiquen los datos que son notoriamente malos haciendo

  • Solo los dispositivos USB provistos por la empresa deben usarse en equipos corporativos. Sencillo. Sugeriría usar una unidad de hardware encriptada como un Ironkey y simplemente bloquear todo lo demás.

  • El acceso de lectura y escritura a los medios extraíbles solo se proporcionará con un motivo comercial y será aprobado por su gerente de línea. El acceso deberá ser re-certificado cada trimestre. Algunas empresas emiten acceso USB de 24 horas o uno, pero creo que lo anterior proporciona un mejor equilibrio entre riesgo y conveniencia

  • Las actividades de copia de una sola vez se llevarán a cabo por el servicio de asistencia / escritorio. Tendrán llaves USB aprobadas para esta actividad. Cualquier dato que se copiará será aprobado por su gerente de línea y RH / Cumplimiento si se trata de la copia de datos corporativos para uso personal, por ejemplo. Al salir de la empresa.

También necesita un proceso de excepción efectivo para la política, donde el riesgo de la excepción es revisado por la seguridad de TI y aprobado por la empresa.

    
respondido por el Rakkhi 25.05.2011 - 12:14
fuente
5

Si bien las memorias USB tienen riesgos de seguridad, también son útiles. Aumentan la productividad. Puedo entender completamente por qué una organización puede permitir el uso de memorias USB, pero aplicar algunas mitigaciones para intentar mitigar el riesgo tanto como sea posible, sin pérdida de utilidad / productividad.

En ese sentido, una sugerencia para la política sería: asegúrese de que la ejecución automática esté desactivada en su organización. Otra sugerencia es utilizar un software antivirus en todas sus máquinas Windows y asegurarse de que el software antivirus esté configurado para escanear automáticamente el contenido de la memoria USB cuando se inserta (o para escanear el contenido de esos archivos a pedido). cuando / antes de que se acceda a ellos).

Para transferir archivos de una máquina a otra, podría considerar el fomento del uso de CD-R y DVD de una sola escritura (no de la variedad regrabable). Esto es ciertamente menos conveniente, aunque para intentar hacerlo más conveniente, puede intentar mantener los CD-R / DVD en blanco en lugares de fácil acceso. Sin embargo, no sé si los beneficios de seguridad (que son modestos) valen la pena.

    
respondido por el D.W. 06.06.2012 - 05:53
fuente

Lea otras preguntas en las etiquetas