web-dev-qa-db-fra.com

Modification de la politique pour permettre aux lecteurs USB. Pourquoi devrais-je essayer de l'arrêter?

Nous sommes actuellement en train de permettre des bâtons de mémoire USB, mais avec une politique plus stricte. Certains points clés de la politique sont les suivants:

  • Toute données confidentielles stockées sur le lecteur USB doit être cryptée
  • Gardez toujours votre clé USB avec vous ou dans un endroit sûr s'il contient des données sensibles
  • Les lecteurs USB utilisés dans la situation de travail ne doivent jamais être utilisés pour un objectif privé (non commercial).

J'ai lu sur les menaces de sécurité dans cet article sur Wikipedia: SB_Flash_Drive # Security_theats , mais j'ai eu des problèmes pour expliquer exactement comment et pourquoi permettre aux bâtons USB est dangereux. Quelques points que j'ai soulevés:

  • Moins attentif aux dangers qui pourraient se cacher sur une clé USB lorsqu'il devient plus accepté de les utiliser dans l'entreprise. Les gens pourraient également ne pas réfléchir à deux fois à brancher une USB qu'ils ont trouvé sur leur bureau.
  • Épandre potentiel des logiciels malveillants. Il est assez courant que les logiciels malveillants se propagent par le biais de lecteurs USB.
  • Les exploits potentiels doivent être autorouins via le lecteur USB. L'exemple consiste à brancher un lecteur USB qui répond comme clavier. Une fois qu'il est branché, il envoie les commandes de clavier nécessaires pour rechercher un fichier en ligne et l'exécuter.

Quelqu'un a-t-il d'autres arguments pourquoi il est dangereux d'utiliser des lecteurs USB et peut-être des suggestions sur la politique si nous devons leur permettre?

corporate-policyusb-drive
8
Chris Dale

Les lecteurs USB permettent la propagation des données sans contrôle du pare-feu réseau - de sorte qu'une raison pour laquelle une telle pare-feu a été définie en premier lieu est une bonne raison d'interdire les lecteurs USB.

Je ne vois pas comment vous pourriez faire respecter une politique d'utilisation no-privée. Personnes volonté Utilisez des lecteurs USB pour transférer des données privées, si seulement les dernières photographies de leur chien, et que vous puissiez faire très peu de choses pour empêcher cela, tant que les entraînements USB fonctionnent du tout pour les utilisateurs. Pour faire respecter une politique de sécurité, vous devez avoir au moins l'une des opérations suivantes:

  • les utilisateurs n'ont aucun intérêt immédiat dans une solution de contournement bas bon marché (par exemple, la prise en charge USB a été supprimée du système d'exploitation, de sorte que la brancher un lecteur USB ne fera rien d'utile pour un utilisateur);
  • les utilisateurs comprendre Pourquoi la stratégie a été définie et de respecter volontiers (graisse de la chance de cela);
  • les sauvegardes technologiques sont configurées (mais vous pouvez avoir du mal à créer un outil automatisé qui distingue les données commerciales des données privées);
  • les non-responsables sont punis avec la plus grande sévérité (mais si les utilisateurs eux-mêmes ne considèrent pas les lecteurs USB comme potentiellement nocifs, ils ne coopéreront pas, ainsi que des opérations de police USB très coûteuses).

Si vous souhaitez autoriser l'utilisation des bâtons USB, je vous suggère de la définir sur une machine dédiée, qui exécute un système de type UNIX (donc à l'abri des virus Windows et MacOS - pour une sécurité supplémentaire, viser une configuration confidentielle, par exemple Netbsd sur Un ancien matériel Macintosh basé sur PowerPC), exécute automatiquement le logiciel antivirus et exporte le contenu du lecteur USB (vérifié) via un protocole réseau (par exemple, CIFS ou peut-être un simple serveur HTTP local). Au moins, cela évitera des problèmes avec des périphériques USB qui agissent en tant que claviers. Cela peut éventuellement, cela peut inciter les utilisateurs à échanger des données via le réseau, en supprimant la nécessité de lecteurs USB dans cette situation.

En ce qui concerne les dangers des périphériques USB, vous pouvez citer comme exemple le "PSJailbreak" qui est le système de casse PS3 le plus courant à la mi-2010 (c'était avant la découverte de la formidable gaffe de Sony en ce qui concerne la CSDSA). Le PSJailbreak ressemble à une clé USB, mais agit en interne comme hub USB avec quatre appareils virtuels, qui exploite un débordement tampon dans le noyau.

10
Thomas Pornin

J'ai construit une analyse de rentabilisation, obtenu des fonds et mis en œuvre des contrôles de médias amovibles à une grande banque. J'ai écrit sur mes leçons apprises ici .

Les principales raisons de la raison pour laquelle vous avez besoin de contrôles de support amovibles:

  • Prévention de la perte de données - Si vous perdez un périphérique amovible avec de nombreuses données précieuses sur celui-ci, vous ne vous engagez pas à une amende par le régulateur, signalez la présentation de la culasse des données et perdre le visage avec vos intervenants. Vérifiez Datalossdb.org pour des incidents d'£/$ réels, y compris la perte massive de HMRC.

  • Prévention des fuites de données - Vous fermez l'une des méthodes les plus faciles et les plus élevées que votre personnel puisse voler vos informations par exemple. quand ils partent pour un concurrent. Ceci est facile pour la haute direction de comprendre car ils sont généralement le plus gros coupable de devoir prendre des données "personnelles". Oui, il existe d'autres façons, comme le courrier électronique, mais les gens sélectionneront les plus pratiques, les fermeront une à une heure ou au moins chiffrer et surveiller afin que vous sachiez ce qui est copié

  • Malware - Comme vous l'avez mentionné. L'exemple Hbgary est un bon, beaucoup d'autres. À l'origine, je n'avais pas cela comme conducteur que notre bureau AV semblait être efficace. Mais si la mise en œuvre maintenant, je pousserais certainement à limiter l'accès à la lecture sur USB ainsi qu'IV n'est tout simplement pas efficace contre les menaces émergentes rapides.

Votre politique semble raisonnable mais je suggérerais les modifications suivantes:

  • Toute données non publiques stockées sur USB et les supports amovibles doivent être cryptés. C'est beaucoup plus facile pour les gens de postuler et pour vous faire une campagne de sensibilisation plutôt que de demander aux gens de classer les données qu'ils sont notoirement mauvaises à faire

  • Seule une entreprise fournie par les entreprises USB doit être utilisée sur les équipements d'entreprise. Simple. Je suggérerais d'utiliser un lecteur crypté matériel comme une fer d'idèche et simplement bloquer tout le reste.

  • Lire et écrire l'accès au support amovible ne doit être fourni qu'avec une raison commerciale et être approuvé par votre responsable de ligne. L'accès doit être ré-certifié tous les trimestres. Certaines entreprises émettent une fois 24 heures sur 24 ou une utilisation USB, mais je pense que ce qui précède fournit un meilleur équilibre de risque et de commodité

  • Toutes les activités de copie à une fois seront effectuées par le support de bureau/du bureau. Ils auront des clés USB approuvées pour cette activité. Toute données à copier sera approuvée par votre gestionnaire de lignes et HR/Conformité s'il s'agit de la copie des données d'entreprise pour une utilisation personnelle par exemple. en quittant la société.

Vous avez également besoin d'un processus d'exception effectif bien sûr de la politique, où le risque d'exception est examiné par la sécurité informatique et approuvé par l'entreprise.

8
Rakkhi