Interdire l'écriture sur USB est-il réellement un moyen efficace de prévenir les fuites de données?
Dans mon organisation, il existe une stratégie de groupe qui empêche les utilisateurs d'écrire des données sur une clé USB. Cela m'a toujours semblé un peu un PITA inutile, juste "une de ces choses ...". Je l'oublie aussi souvent qu'autrement car je peux télécharger des données de ma clé USB quand j'en ai besoin (je ne m'en souviens que lorsque j'essaye de ramener un fichier à la maison).
Récemment, mes responsabilités ont été élargies pour inclure la participation aux audits étatiques et fédéraux et j'ai remarqué qu'une forme de ce qui suit, le point est généralement une fonction très promue lors de la vérification de la conformité:
- Les utilisateurs ne peuvent pas télécharger de données sensibles sur une clé USB.
S'agit-il en fait d'une amélioration de la sécurité en soi?
Il existe encore un nombre important de façons d'extraire des données du domaine de l'entreprise (j'ai certainement utilisé plus de quelques solutions simplement pour des raisons de commodité.)
Au début, je pensais qu'on pourrait peut-être prétendre que cela empêche les attaques à haute fréquence et peu qualifiées. Mais avec la prolifération des outils de partage de fichiers personnels (qui peuvent ou non besoin d'être débloqués par la politique de l'entreprise - par exemple, un utilisateur possède à la fois un compte GitHub personnel et d'entreprise), ce type de politique offre-t-il encore une sécurité supplémentaire ? Ou s'agit-il simplement d'un placebo pour les auditeurs peu alphabétisés?
L'une des principales raisons de l'interdiction d'écrire des données sur des clés USB (je me suis fait expliquer cela une fois) n'est pas pour empêcher les employés de voler des informations sensibles. S'ils voulaient faire ça, ils n'auraient pas de fin de contournement, jusqu'à l'impression de codes QR sur des feuilles A4.
Il s'agit plutôt d'empêcher les employés d'enregistrer de bonne foi des informations sensibles sur des clés USB, uniquement pour que ces clés USB soient perdues ou volées.
Souvent, dans de tels cas, vous constaterez qu'il est OK d'enregistrer des données sur des clés USB chiffrées spécifiques qui ne peuvent pas être déchiffrées en cas de vol ou de perte: par ex. lecteurs à verrouillage biométrique (*) ou systèmes de fichiers chiffrés qui seront "vus" comme physiques disques durs fixes au lieu de amovibles disques durs, contournant ainsi un " ne peut pas écrire sur la politique de sécurité des disques amovibles.
Windows 7+ a paramètres explicites qui permettent de traiter les périphériques BitLocked (éventuellement avec des clés d'entreprise) différemment des périphériques USB ordinaires .
(Dans mon cas, c'était Windows XP Pro SP3 il y a quelque temps, j'avais une clé USB avec un volume TrueCrypt dessus, et on m'a permis de prendre un peu de travail à la maison dessus. Je était sous ordre de ne pas copier les fichiers ailleurs et de ne pas utiliser la clé USB à d'autres fins. Ce type de précautions est clairement dirigé contre les fuites accidentelles, pas intentionnelles).
Pour les mêmes raisons, certains sites de partage de fichiers populaires, ou sites et applications qui pourraient autoriser le partage de fichiers, peuvent être bloqués par les pare-feu de l'entreprise. Encore une fois, pas tellement pour arrêter l'espionnage, mais pour empêcher les gens de devenir trop insouciants (du moins de l'avis du pouvoir en place) avec les informations de l'entreprise.
(*) Remarque
Les clés USB à verrouillage biométrique et (en particulier) les disques durs ne sont pas nécessairement sécurisés - ni même chiffrés, ou chiffrés correctement . Si la mémoire peut être physiquement séparée de la partie de verrouillage (facile pour la plupart des boîtiers de disques durs, envisageable pour de nombreuses clés USB), quelqu'un peut essayer de la lire directement, peut-être juste pour "récupérer" la mémoire elle-même. Après tout, en cas d'échec, le Finder vient de perdre du temps. Une fois qu'il ou elle a les mains sur la mémoire lisible, une simple curiosité peut suffire pour jeter un coup d'œil et peut-être même essayer de la décrypter avant de reformater et de réutiliser. Avec de la chance, l'appareil est vulnérable et juste googler sa marque et son modèle permettra à quelqu'un de récupérer les outils et/ou les connaissances nécessaires.
En plus de ce qu'Iserni a dit, les clés USB peuvent de nos jours contenir d'énormes quantités de données.
Le transfert de 64 Go de données sensibles vers un fournisseur de cloud peut prendre beaucoup de temps et peut bien déclencher des règles de pare-feu définies pour rechercher des téléchargements excessifs. Dans tous les cas, les téléchargements seront enregistrés.
Le téléchargement de 64 Go sur une clé USB3 sera beaucoup plus rapide et ne s'approchera d'aucun pare-feu d'entreprise. Lorsque la clé USB est pleine, elle peut simplement être glissée dans une poche. L'entreprise ne saura même pas ce qui a été fait tant que les données ne seront pas utilisées contre eux ou leurs clients.
Dans de nombreux cas, une telle politique est associée à l'utilisation d'une certaine forme de censure pour bloquer l'accès à une liste connue de fournisseurs de stockage en nuage et de sites de messagerie Web, ainsi que le blocage des ports pour ftp (et le transfert de fichiers sur IM).
Bien sûr, il est assez simple de lancer votre propre solution de contournement: j'avais un serveur ftp fonctionnant sur le port 80 à la maison pendant quelques jours une fois; le webmail de mon hébergeur n'est pas très connu; et je suis sûr qu'il existe des solutions standard pour permettre le téléchargement via http. Comme vous le dites, l'utilisation en entreprise de GitHub est une préoccupation (bien que de nombreux employeurs s'en méfient, et il peut être débloqué par utilisateur uniquement pour les développeurs, ce qui réduit la surface des menaces). Toutes les sources de fuites de données (même délibérées) ne sont pas très sophistiquées, et les sources accidentelles peuvent être les personnes les moins qualifiées disposant de connexions.
De nombreuses grandes organisations ont des restrictions comme celle-ci. J'ai pu contourner tous ceux que j'ai testés.
L'intention est que les utilisateurs ne puissent pas extraire des données en masse. Il est entendu que les gens peuvent exfliter de petites quantités de données en photographiant leur écran, ou même en le mémorisant. Mais il y a une différence entre exfolier quelques détails et voler une base de données de 10 Go de données personnelles. Je pense que c'est une bonne intention, mais cela ne peut jamais être fait parfaitement.
Pour ce faire en toute sécurité, un bon début est:
- Bloquez tous les supports amovibles locaux: USB, graveurs de CD, cartes mémoire, firewire, eSATA et peut-être plus encore.
- Restreindre l'exflitration du réseau: cela se fait généralement en bloquant tous les services de messagerie Web et de partage de fichiers sur le proxy. Configurer également les ordinateurs portables de sorte que lorsqu'ils sont en dehors de l'organisation, tout ce qu'ils feront, c'est VPN à la base.
Habituellement, je peux contourner l'exfiltration du réseau en téléchargeant des fichiers sur mon propre site Web. Il n'est pas connu par le proxy comme un site de partage de fichiers, donc il passe. Une autre technique consiste à connecter l'ordinateur portable d'une organisation externe au réseau du bureau et à copier directement de l'ordinateur de l'entreprise vers l'ordinateur portable externe - en contournant le proxy. En outre, le système de messagerie d'entreprise permet presque toujours un contournement, bien que le risque soit réduit par les limites de taille de fichier et la journalisation. À défaut, obtenez les droits d'administrateur sur l'ordinateur et désactivez les restrictions.
Si l'organisation dispose d'un système de travail à distance de style Citrix - lorsque vous pouvez vous connecter à partir de votre ordinateur personnel - très souvent, cela peut être utilisé pour exfiltrer des données. Je me souviens d'un qui a bloqué les disques locaux, ce qui était un bon début, mais permettait l'USB à distance, de sorte que vous pouviez brancher une clé USB sur votre ordinateur personnel et la faire monter sur le serveur Citrix - vous permettant de voler des données en masse.
L'un des problèmes de cette configuration est que les gens ont des besoins légitimes de clés USB, de CD inscriptibles, etc. L'approche simple est d'avoir un processus où les personnes ayant des besoins professionnels sont ajoutées à une liste d'exceptions. Une approche plus avancée est la prévention de la perte de données (DLP), qui est une technologie très intéressante. Il est probablement préférable d'en discuter davantage pour une autre question.
Ne négligeons pas l'impact des vecteurs de menaces qui s'appuient sur l'USB pour être introduits dans un réseau "StuxNet" n'importe qui?) Cela dit, est-ce "efficace"? - À mon humble avis, oui, il faut peu d'efforts pour contrecarrer les masses qui pourraient révéler des secrets à la porte. Mais, est-ce --- (efficace? seulement pour les masses peu sophistiquées. Des administrateurs locaux intelligents découvriront toujours les secrets. Le chiffrement des données sensibles en réseau est beaucoup plus efficace.