USB adattárolók használatának letiltása

usbmalware.pngPár napig téma volt, hogy az IBM letiltotta az USB adattároló eszközök (pendrive, diszk) csatlakoztatási lehetőségét, azaz, hogy az IBM világában élő munkavállalók már semmilyen USB adattárolót nem tudnak használni a munkaállomásaikon.

Elég vegyes reakciók és kommentek jelentek meg a témában, úgyhogy azt gondoltam, talán nem ártana megnézni egy kicsit szakmai szemmel az esetet, nem feltétlenül GDPR szemüvegen keresztül, de sokkal inkább információ- és IT biztonság vonatkozásában.

Milyen kockázatai vannak a külső, USB (adattároló) eszközöknek?

Adatszivárgás

Talán a legvilágosabban látható probléma, hogy a munkavállalók arra használják ezeket az eszközöket, amire valók: adatokat tárolnak el rajtuk.

Rendeltetésszerű használat során a felhasználók adatokat mentenek ki ezekre az eszközökre, amelyeket aztán hordozhatnak, áthelyezhetnek más munkaállomásokra, elvihetnek szervezeten kívülre, de akár besörözve el is hagyhatnak (Megvan még, hogy valaki elhagyta a pendrive eszközét, rajta a Heathrow reptér biztonsági intézkedéseivel, tervrajzaival, stb.? Ha nincs: https://www.cnet.com/news/usb-stick-detailing-heathrow-airport-security-found-in-london-street/)

Nyilván elsőre műszaki védelmi intézkedésként az adatszivárgás-elleni védelem jön szóba, a védelmi rendszer ismerje fel, hogy az adott fájl vagy adat kimásolható-e ARRA az USB adattároló eszközre (azaz az adott információt az adott felhasználó az adott USB eszközre kimásolhatja-e?).

Aztán ott van a titkosítás, ha az információ szenzitív (GDPR, személyes adat, ugye?), csak titkosított USB eszközre másolható ki, vagy pedig másolás során magát az adatot kell a rendszernek titkosítottan tároltatni az adathordozón, pontosan azért, hogy ha a kimásolás szabályok szerint történik és engedélyezett, attól még illetéktelen személyeknek nem szabad a kitárolt adathoz hozzáférnie (nem feltétlenül az volt a baj, hogy valaki kimásolta a reptéri adatokat, hiszen lehet, hogy arra jogosult volt, viszont nem lett volna szabad az eszközt vagy a rámásolt adatokat titkosítás nélkül hagyni, hogy bárki hozzáférhessen).

IBM-szinten egy végponti DLP rendszer költsége számunkra nem értelmezhető, százezernyi munkaállomásról van szó, csak a szoftverlicensz költségek millió dollárokra rúghatnak, és akkor még nem beszéltünk arról, hogy a komponenseket telepíteni kell a munkaállomásokra, és minden újabb agent/komponens problémát okoz: lassulások, összeakadások (pl. DLP vs vírusvédelem) – ha csak 4-5% munkaállomás esetében lép fel probléma, ekkora kliensszámnál az már kezelhetetlen és óriási költséget emészthet fel.

Ha eleve titkosított adattárolókat kell beszerezni, a projekt (kinek kell egyáltalán, milyet vegyenek, mekkora tárkapacitással, szoftveres vagy hardveres titkosítás, stb.) szintén borzasztóan költséges projekt lett volna az IBM esetében.

Összefoglalva, a védelmi intézkedés – a külső adattárolók használatának letiltása – nullára csökkenti az adathordozókon keresztül bekövetkezhető adatszivárgás kockázatát, gyakorlatilag nulla bevezetési költség mellett (jó, annak is volt költsége, hogy letiltották a munkaállomásokon, de az elenyésző a komplett DLP projekt költsége mellett).

Ilyen intézkedés mellett azonban nem szabad elfeledkezni arról, hogy csak akkor szabad meglépni ezt a „drasztikus” lépést, ha az adatcserékre (ki- és bejövő oldalon) alternatív, és jól kontrollálható lehetőséget biztosít a szervezet.

Malware

Malware védelmi szempontból is indokolható az IBM lépése. Az USB adathordozókon behurcolt állományokat csak a végpontvédelmi rendszer (vírusvédelem) ellenőrzi egyetlen AV/AM motorral, amely a jelenlegi malware-helyzetben igen csak kevésnek bizonyul.

Egyetlen motor sem képes az összes malware felismerésére, nem véletlen, hogy a vállalati malware védelem több motorra is támaszkodik (jó esetben), a jobb (?) tűzfalrendszerekben is működik átjáró-szintű malware védelem (tehát egy webről letöltött állományt a tűzfal/webszűrő, illetve a végpontvédelem motorja is ellenőriz, lehetőleg ugye két különböző vírusvédelmi gyártó két, különböző motorja).

Aztán a fejlettebb szervezeteknél működhetnek még sandbox-rendszerek, APT védelem, szóval ki lehet mondani, hogy legalább 2-3-4 vírus és malware-védelmi rétegen halad keresztül a belépő állomány.

Ha az USB adathordozók csatlakoztatása letiltásra kerül, az igen hatékony védelem, hiszen nem lehet semmiféle állományt bemásolni a munkaállomásra, az USB csatornán keresztül tehát nem juthat malware a munkaállomásra.

Összefoglalva, a védelmi intézkedés – a külső adattárolók használatának letiltása – nullára csökkenti az adathordozókon keresztül bekövetkezhető malware fertőzés kockázatát, végpontvédelmi szempontból tehát az egyik legköltséghatékonyabb és legbiztonságosabb intézkedésnek minősül.

Shadow IT

A nagyobb szervezeteknél meglehetősen erős szoftver-policy működik (már ahol, ugye), azaz a felhasználók csak a szervezet által engedélyezett, támogatott szoftvereket használhatják, amelyeket csak az IT/admin/szoftvergazda személyek vagy csoportok telepíthetnek a munkaállomásokra.

A shadow IT probléma a portable alkalmazásokkal együtt jelent meg, azaz egy csomó alkalmazást nem szükséges már telepíteni, olyan összeállításban is elérhetők, amelyeket egyáltalán nem szükséges telepíteni (Photoshoptól kezdve a szinkronizáló klienseken keresztül lassan már minden elérhető portable formában).

Ez indikálja a shadow IT megjelenését, azaz olyan alkalmazások megjelenését a szervezeten belül, amelyek a szoftverszabályozáson kívül léteznek, jellemzően a szervezet tudta, akarata és ellenőrzése nélkül.

USB adathordozókon kiválóan behozhatók ilyen alkalmazások, míg webről letölteni (jó esetben) nem lehet futtatható állományokat, addig az adathordozókról nem csak bemásolni, de elindítani is el lehet őket.

Erre ugyan megoldást jelenthetne az applikáció-szűrés (application control), amikor olyan biztonsági eszköz működik a szervezeten belül, amely csak az engedélyezett állományokat engedi elindítani – de az ilyen projektek költsége és erőforrás-szükséglete a DLP bevezetésen is túlmutathat (brutális).

Szintén lenne lehetőség arra, hogy a megfelelő végpontvédelmi szoftver ne engedjen futtatható állományt külső adathordozóról bemásolni a munkaállomásra (filetype control), de ezek az eszközök viszonylag könnyen kijátszhatók (pl. jelszóvédett zip – amelyet sokkal nehezebb letiltani, lévén, hogy a legtöbb helyen teljesen normális üzleti folyamat, ha titkosítással védett információval dolgoznak a felhasználók).

Összefoglalva, a védelmi intézkedés – a külső adattárolók használatának letiltása – igen költséghatékonyan, nullára csökkenti az adathordozókon keresztül bemásolt portable alkalmazások használatából eredő kockázatot (amennyiben ezek letiltásra kerülnek az email és web határvédelemben).

Speciális USB-alapú fenyegetettségek

Az egyetlen terület, ahol a külső adattárolók használatának letiltása nem jelent védelmet, a BAD USB-jellegű fenyegetettségek, azaz olyan támadó eszközök csatlakoztatása a munkaállomáshoz, amelyek USB eszközöknek álcázzák magukat.

Erre a legjobb példák a Rubber Ducky és társai, olyan eszközök, amelyek USB billentyűzetnek álcázzák magukat, de a beépített tárolójukról támadó scripteket küldenek billentyűzet leütésenként a munkaállomásnak, amelyet aztán a szerencsétlen gép végre is fog hajtani. Szintén jó példa a Mouse Jack/Key Jack támadás, ahol egy pár dolláros drónvezérlő vagy SDR eszközzel lehet machinálni a wireless egereket és billentyűzeteket, hasonló eredménnyel, mint a Rubber Ducky.

Mivel csak az USB storage/tároló eszközök kerültek letiltásra, a BAD USB-attack továbbra is fenyegetést jelent, ez ellen az intézkedés nem tud védelmet nyújtani.

Konklúzió

A példákat végig nézve, és az egyes kockázatok elleni alternatív intézkedési lehetőségeket megvizsgálva kimondható, hogy ha az adatcserére és adatmozgatásra az IBM egyéb lehetőségeket kínált a felhasználóinak, akkor a legköltséghatékonyabb és legegyszerűbben implementálható védelmi intézkedést hajtotta végre, amely a legtöbb, USB adattároló-alapú kockázatot hatékonyan és olcsón mitigálta.