Pytanie:
Czy odmowa zapisu na USB jest rzeczywiście skutecznym sposobem zapobiegania wyciekowi danych?
Peter Vandivier
2016-06-09 22:08:35 UTC
view on stackexchange narkive permalink

W mojej organizacji istnieją zasady grupy, które uniemożliwiają użytkownikom zapisywanie danych na pamięci USB. To zawsze wydawało mi się bezsensownym PITA, po prostu „jedna z tych rzeczy ...”. Zapominam o tym tak często, jak nie, ponieważ w razie potrzeby mogę pobrać dane z mojego pendrive'a (pamiętam to ponownie tylko wtedy, gdy próbuję zabrać plik do domu).

Ostatnio moje obowiązki zostały rozszerzone o udział w stanowych audytach federalnych & i zauważyłem, że pewna forma następującego wypunktowania jest zazwyczaj bardzo promowaną funkcją podczas zapewniania zgodności:

  • Użytkownicy nie mogą pobierać poufnych danych na dysk USB.

Czy jest to samo w sobie poprawa bezpieczeństwa?

Nadal istnieje znacząca wiele sposobów na wyodrębnienie danych z domeny firmy (z pewnością użyłem więcej niż kilku obejść tylko dla wygody).

Na początku pomyślałem, że można by się spierać, że uniemożliwia to osobom o niskich kwalifikacjach , ataki o wysokiej częstotliwości. Jednak wraz z rozprzestrzenianiem się osobistych narzędzi do udostępniania plików (które mogą, ale nie muszą być muszą być odblokowane przez politykę firmy - np. Użytkownik ma zarówno osobiste konto firmowe & na GitHubie), czy tego rodzaju zasady nadal zapewniają dodatkowe bezpieczeństwo ? A może to tylko placebo dla audytorów o minimalnej piśmienności?

To jest pytanie oparte na opiniach, nieodpowiednie dla tego forum.Jest zbyt wiele czynników do rozważenia, zanim ktoś będzie mógł zadeklarować, czy zapewnia dodatkowe bezpieczeństwo.Należy również wziąć pod uwagę, czy Twoja organizacja działa w branży, która wymaga dodatkowych środków ostrożności.
Zwróć uwagę, że jeśli wysyłasz skradzione dane z pracy do usługi online, jest znacznie bardziej prawdopodobne, że zostaną one poddane audytowi, ponieważ nie możesz sformatować serwera tak jak komputera stacjonarnego.
@dandavis Rozważałem to, ale nadal * straciłeś dane * dla atakującego.Dobrze wiedzieć, * kto * go ukradł, ale jeśli wykonujesz tyle pracy, dane były prawdopodobnie na tyle cenne, że wolałbyś, aby nie zostały skradzione.
oczywiście wolą, aby nie został skradziony, ale w wielu miejscach oprócz alarmów antywłamaniowych jest dodatkowo nagrywanie wideo w nocy;z tego samego powodu.O wiele trudniej jest powstrzymać eksfiltrację w sieci niż jej monitorowanie, ale motywacji może być wiele, sugeruję zapytać osoby, które opracowały tę politykę ...
Trololo - mam ... kilka razy (właściwie za każdym razem, gdy proszę o zwolnienie ...) i podany powód to „Z powodu powodów”.Posiadamy szereg środków nadzoru i środków bezpieczeństwa dotyczących fizycznego dostępu;ale wydaje mi się, że samo blokowanie USB nie dodaje niczego pod względem bezpieczeństwa - poza oczywiście zmniejszeniem prawdopodobieństwa * przypadkowej * utraty, jak opisano w [Iserni] (http://security.stackexchange.com/users/11144/ lserni) [odpowiedź poniżej] (http://security.stackexchange.com/a/126598/113967).Dlatego przyjąłem odpowiedź.
Jak stwierdza nasza [help / on-topic], „Bezpieczeństwo to temat bardzo kontekstualny: zagrożenia, które są uważane za ważne w Twoim środowisku, mogą być nieistotne dla kogoś innego i na odwrót. [...] Aby uzyskać najbardziej pomocne odpowiedzi,powinien nam powiedzieć: jakie aktywa próbujesz chronić kto korzysta z zasobu, który próbujesz chronić, i kto Twoim zdaniem może chcieć go wykorzystać (i dlaczego) jakie kroki już podjąłeś, aby chronić ten zasób jakie ryzyko Twoim zdaniem nadal musisz złagodzić ”Zachęcam do edycji pytania w celu przedstawienia dodatkowego kontekstu w tym zakresie.
@PeterVandivier "_ale nadal straciłeś dane dla atakującego. Dobrze wiedzieć, kto je ukradł_" Z drugiej strony, jeśli osoba wie, że firma może dowiedzieć się, kto ukradł dane, _ może_ sprawić, że zastanowi się dwa razy, zanim to zrobiwięc: częścią ścieżki audytu jest odstraszenie ludzi przed pojawieniem się na nich!
Należy pamiętać, że nawet dostęp tylko do odczytu do urządzenia USB nie jest wystarczający, aby zapobiec wyciekowi danych.Możesz podłączyć urządzenie z systemem plików logowania, a następnie wykonać (sekwencję) żądań dla nieistniejących folderów, których nazwa jest ciągiem danych zakodowanym w base64, które chcesz eksfiltrować ...
Nasza wymuszona przez GPO blokada bitów na dowolnym podłączonym napędzie USB.Działa dobrze, umożliwiając nam swobodne poruszanie się po dysku, a także zapewnia szyfrowanie dysku na wypadek jego zgubienia.
Pięć odpowiedzi:
LSerni
2016-06-09 22:21:57 UTC
view on stackexchange narkive permalink

Jednym z głównych powodów zakazu zapisywania danych na dyskach USB (raz mi to wyjaśniłem) jest nie zapobieganie kradzieży poufnych informacji przez pracowników. Gdyby chcieli to , nie mieliby końca obejść, aż do drukowania kodów QR na arkuszach A4.

Chodzi raczej o to, aby pracownicy nie zapisywali poufnych informacji na Dyski USB w dobrej wierze, tylko po to, aby zgubić lub skradzić te dyski USB .

Często w takich przypadkach okaże się, że można zapisać dane na określonych zaszyfrowanych dyskach nie mogą zostać odszyfrowane w przypadku kradzieży lub zgubienia: np dyski z blokadą biometryczną (*) lub zaszyfrowane systemy plików, które będą „postrzegane” jako fizyczne stałe dyski twarde zamiast wymiennych dysków twardych, omijając w ten sposób „nie można zapisywać na wymiennych Dyski ”.

Windows 7+ ma jawne ustawienia, które umożliwiają traktowanie urządzeń z funkcją BitLocked (prawdopodobnie z kluczami firmowymi) inaczej niż zwykłych urządzeń USB.

(W moim przypadku był to Windows XP Pro SP3 jakiś czas temu, miałem klucz USB z woluminem VeraCrypt i pozwolono mi zająć się tym w domu. otrzymał zakaz kopiowania plików nigdzie indziej i nieużywania dysku USB do jakichkolwiek innych celów. Tego rodzaju środki ostrożności są wyraźnie skierowane przeciwko przypadkowym wyciekom, a nie celowym).

Z tych samych powodów niektóre popularne witryny do udostępniania plików lub witryny i aplikacje, które mogłyby zezwalać na udostępnianie plików, mogą być blokowane przez firmowe zapory sieciowe. Ponownie, nie tyle po to, by powstrzymać szpiegostwo, ale żeby ludzie nie stali się zbyt nieostrożni (przynajmniej w opinii władz) dzięki informacjom korporacyjnym.

(*) Uwaga

Pendrive'y z blokadą biometryczną i (zwłaszcza) dyski twarde niekoniecznie są bezpieczne - ani nawet są zaszyfrowane lub poprawnie zaszyfrowane. Jeśli pamięć może być fizycznie oddzielona od części zamykającej (łatwe w przypadku większości obudów dysków twardych, możliwe w przypadku wielu pendrive'ów USB), ktoś może spróbować ją odczytać bezpośrednio, może po prostu „odzyskać” samą pamięć. W końcu w przypadku awarii szukacz straci tylko trochę czasu. Gdy już zdobędzie czytelną pamięć, może wystarczyć zwykła ciekawość, aby zerknąć, a może nawet spróbować ją odszyfrować przed ponownym formatowaniem i zmianą przeznaczenia. Przy odrobinie szczęścia urządzenie jest podatne na ataki i po prostu wyszukanie w Google jego marki i modelu pozwoli komuś odzyskać niezbędne narzędzia i / lub wiedzę.

Moim ulubionym zajęciem jest wysłanie go do karty dźwiękowej ... modem z połączeniem audio do telefonu FTW!Chciałbym zwrócić uwagę, że zapobiega to również infekcjom w inny sposób z urządzeń USB, co powinno być równie ważne, ogólnie rzecz biorąc, nie polecam żadnego USB (lub pioruna i firewire, które są znacznie gorsze).
Ale dyski z blokadą biometryczną nie są szyfrowane?Czy ktoś z odpowiednimi narzędziami nie może ominąć kontrolera i bezpośrednio odczytać pamięć flash?
Słuszna uwaga, @Mehrdad.Często * są *, ale niekoniecznie, a nawet wtedy mogą wystąpić problemy z implementacją szyfrowania.Odpowiedź korygująca.
@ewanm89 kto potrzebuje modemu?Z pewnością wejście audio smartfona mogłoby to zrobić - nawet z kablem z portu wyjścia liniowego, aby Twoi koledzy nie słyszeli (lub szczelina powietrzna> 20 kHz).Nawet jeśli smartfon tylko nagrywa, a część demonstracyjna jest wykonywana poza siedzibą.
@ChrisH, który nadal jest modemem.Modulujesz sygnał na fali dźwiękowej i demodulujesz go na drugim końcu.
@ewanm89, prawda, moje pytanie było błędne - prawdopodobnie powinienem był powiedzieć „kto potrzebuje telefonu?”.Obwiniam czas, jaki upłynął od ostatniego użycia modemu POTS.
W zależności od bezpieczeństwa fizycznego może to utrudnić odwiedzającym kradzież danych.Możesz włożyć USB i przeciągnąć i upuścić folder plików szybciej niż mogę wpisać ten komentarz.Mógłbyś to zrobić, gdy ktoś na chwilę odwraca się plecami, żeby odebrać telefon.Jeśli ta sytuacja jest niepokojąca, zablokowanie zapisu na USB nie jest lekarstwem na wszystko, ale warto to zrobić.
Istnieją również ataki AutoPlay, w których po prostu podłączenie klucza uruchomi ukrytą aplikację do zrzutu.
Myślę, że ta odpowiedź jest trafna, chodzi o przypadkową utratę pendrive'a, nic więcej.Dopóki możesz po prostu uruchomić inicjator iSCSI, wszelkie obawy dotyczące kradzieży danych przez pracowników są absurdalne.Nieraz przywracałem dane z mojej prywatnej kopii zapasowej, ponieważ dyrektor ds. Informatyki był zbyt głupi, próbując „naprawić” problem z aliasami pocztowymi, najpierw usuwając całe skrzynki pocztowe (z danymi z dwóch lat SD) z serwera, a następnie usuwając lokalną pamięć podręczną, także.Migracja na nowy laptop również nigdy nie jest właściwa, więc lepiej przechowuj ważne dane na dysku, którego nie mogą dotknąć.
Simon B
2016-06-10 03:12:57 UTC
view on stackexchange narkive permalink

Oprócz tego, co powiedział Iserni, pendrive'y w dzisiejszych czasach mogą pomieścić ogromne ilości danych.

Przeniesienie 64 GB wrażliwych danych do dostawcy chmury może zająć dużo czasu i może spowodować uruchomienie reguł zapory ustawione na szukanie nadmiernej liczby przesyłanych plików. W każdym razie przesyłanie zostanie zarejestrowane.

Pobieranie 64 GB na pendrive USB3 będzie o wiele szybsze i nie będzie zbliżać się do żadnej firmowej zapory. Gdy pendrive jest pełny, można go po prostu włożyć do kieszeni. Firma nie będzie nawet wiedziała, co zostało zrobione, dopóki dane nie zostaną wykorzystane przeciwko nim lub ich klientom.

Chodzi mi o to, że nawet dysk flash 128 MB miałby ten sam problem, prawda?To nie tak, że dyskryminują na podstawie rozmiaru.
@Mehrdad sterowniki urządzeń są uniwersalne i nie ujawniają rozmiaru, więc rozróżnienie rozmiaru oznaczałoby zmodyfikowanie lub w jakiś sposób zhakowanie sterownika.Zatem: zablokuj wszystkie pamięci masowe USB.
@Mehrdad Tak, nawet pendrive 128M wystarczyłby do kradzieży kilku dokumentów.
@Mehrdad Chodzi o to, że kradzież danych poprzez przesyłanie do sieci jest o wiele bardziej ograniczona pod względem ilości danych, które można ukraść przed wzbudzeniem podejrzeń, w porównaniu z dyskiem USB.Tak więc, blokując dyski USB, skutecznie ograniczasz maksymalną ilość danych, które można ukraść za jednym razem, do maksymalnego rozmiaru przesyłania dozwolonego przez zaporę.
@Mehrdad: Rozróżnianie na podstawie rozmiaru bardzo szybko by się skomplikowało, ponieważ napastnik / idiota o dobrych intencjach mógłby pojawić się z kieszenią dysków flash o pojemności 128 MB i kopią pliku „split”.Narzędzia do monitorowania sieci mogą z czasem zbudować obraz, którego odtworzenie wymagałoby znacznie więcej wysiłku niż zwykłe wyłączenie całości za pomocą ustawienia polityki.
Chris H
2016-06-10 14:41:46 UTC
view on stackexchange narkive permalink

W wielu przypadkach taka polityka jest połączona z użyciem jakiejś formy oprogramowania cenzurującego, aby blokować dostęp do znanej listy dostawców usług przechowywania w chmurze i witryn poczty internetowej, a także blokować porty dla ftp (i przesyłania plików przez komunikatory).

Oczywiście łatwo jest zastosować własne obejście: miałem raz serwer ftp działający na porcie 80 w domu przez kilka dni; poczta internetowa mojego dostawcy usług hostingowych nie jest powszechnie znana; i jestem pewien, że istnieją gotowe rozwiązania umożliwiające przesyłanie za pośrednictwem protokołu http. Jak powiedziałeś, korporacyjne korzystanie z GitHub jest zmartwieniem (chociaż wielu pracodawców obawia się go i można go odblokować na poziomie użytkownika tylko dla programistów, zmniejszając powierzchnię zagrożenia). Nie każde źródło (nawet celowego) wycieku danych jest bardzo wyrafinowane, a przypadkowymi źródłami mogą być osoby o najniższych umiejętnościach z logowaniem.

W pewnym momencie miałem znajomego, który pracował w miejscu, które zezwalało tylko na dostęp do kilku stron z białej listy, ale nie blokowało wychodzących żądań ping ... Więc napisał sobie usługę proxy, która przesyła dane za pomocą żądań echa i odpowiedziaby mógł na bieżąco śledzić swoje konta w grach online w okresach braku aktywności.
Wikipedia jako pastebin (szyfrowanie + base64 na stronie użytkownika)?
To zadziałałoby w przypadku przesyłania danych, ale opóźnienie byłoby dość wysokie przy próbie użycia go jako protokołu proxy.
paj28
2016-06-10 15:38:15 UTC
view on stackexchange narkive permalink

Wiele dużych organizacji ma takie ograniczenia. Udało mi się ominąć wszystkie testowane przeze mnie.

Celem jest to, aby użytkownicy nie mogli zbiorczo wyodrębniać danych. Zrozumiałe jest, że ludzie mogą wydobywać niewielkie ilości danych, fotografując swój ekran, a nawet po prostu zapamiętując go. Jest jednak różnica między wyodrębnieniem kilku szczegółów a kradzieżą 10-gigabajtowej bazy danych danych osobowych. Myślę, że to dobry zamiar, ale nigdy nie można tego zrobić idealnie.

Aby zrobić to bezpiecznie, dobrym początkiem jest:

  • Zablokuj wszystkie lokalne nośniki wymienne: USB , Nagrywarki CD, karty pamięci, firewire, eSATA i może więcej.
  • Ogranicz eksflitrację sieci: Zwykle odbywa się to poprzez blokowanie całej poczty internetowej i usług udostępniania plików na serwerze proxy. Konfiguruję również laptopy, aby gdy znajdowały się poza organizacją, wszystko, co robią, to VPN z powrotem do bazy.

Zwykle mogę ominąć eksfiltrację sieci, przesyłając pliki do własnej witryny internetowej. Nie jest znany przez proxy jako witryna do udostępniania plików, więc przechodzi. Inną techniką jest podłączenie laptopa zewnętrznej organizacji do sieci biurowej i kopiowanie bezpośrednio z komputera firmowego na laptop zewnętrzny - z pominięciem proxy. Ponadto firmowy system poczty e-mail prawie zawsze umożliwia ominięcie, chociaż ryzyko jest zmniejszane przez limity rozmiaru plików i rejestrowanie. Jeśli to się nie powiedzie, uzyskaj uprawnienia administratora na komputerze i wyłącz ograniczenia.

Jeśli organizacja ma system pracy zdalnej w stylu Citrix - kiedy możesz połączyć się z komputera domowego - bardzo często można to wykorzystać do eksfiltracji dane. Pamiętam taki, który blokował dyski lokalne, co było dobrym początkiem, ale pozwalało na zdalne USB, więc można było podłączyć pamięć USB do komputera domowego i zamontować ją na serwerze Citrix - co pozwala na masową kradzież danych.

Jednym z problemów związanych z tą konfiguracją jest to, że ludzie mają uzasadnione zapotrzebowanie na pamięci USB, dyski CD z możliwością zapisu itp. Prostym podejściem jest utworzenie procesu, w którym osoby z potrzebami biznesowymi są dodawane do listy wyjątków. Bardziej zaawansowanym podejściem jest Data Loss Prevention (DLP), która jest bardzo interesującą technologią. Dyskusja na ten temat prawdopodobnie najlepiej będzie odpowiadać na inne pytanie.

Prawa administratora lokalnego nie pomogą w naruszeniu zasad bezpieczeństwa.
@DmitryGrigoryev - Tak, robią.Administrator lokalny może wprowadzać poprawki w rejestrze, które zastępują zasady grupy.Zrobiłem to z powodzeniem wiele razy.
Joe
2016-06-10 23:29:45 UTC
view on stackexchange narkive permalink

Nie pomijajmy wpływu wektorów zagrożeń, które opierają się na USB przy wprowadzaniu do sieci - (ktoś „StuxNet”?) To powiedziawszy, czy jest to „wydajne”? - IMHO, tak, to wymaga niewielkiego wysiłku, aby schwytać masy, które mogą wyjawić tajemnice tenisówek za drzwiami. Ale czy jest skuteczny ? tylko dla nieskomplikowanych mas. sprytni lokalni administratorzy wciąż będą chodzić po sekretach. Szyfrowanie danych wrażliwych w sieci jest znacznie skuteczniejsze.

Właściwie dla celów tego pytania powinniśmy to zdyskontować.Wspomniane maszyny są określone jako zdolne do odczytywania dysków USB.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...