web-dev-qa-db-ja.com

USBドライブを許可するポリシーを変更します。なぜそれをやめようとするのですか?

現在、USBメモリスティックを許可する処理を行っていますが、より厳しいポリシーが適用されます。このポリシーの重要なポイントは次のとおりです。

  • USBドライブに保存されている機密データはすべて暗号化する必要があります
  • 機密データが含まれている場合は、USBドライブを常に携帯するか、安全な場所に保管してください
  • 仕事の状況で使用されるUSBドライブは、プライベート(ビジネス以外)の目的で使用しないでください。

ウィキペディアのこの記事でセキュリティの脅威について読みました: sb_flash_drive#Security_threats ですが、USBスティックを許可することがどのように、なぜ危険なのかを正確に説明するのに問題があります。私が挙げたいくつかのポイント:

  • USBドライブがビジネスでの使用に受け入れられるようになると、USBドライブに隠れている可能性のある危険に注意を向けなくなります。人々はまた、机の上に横になっているUSBを差し込むことを二度と考えないかもしれません。
  • マルウェアの拡散の可能性。マルウェアがUSBドライブを介して繁殖することは非常に一般的です。
  • USBドライブを介して自動実行される潜在的なエクスプロイト。例として、キーボードとして応答しているUSBドライブを接続します。プラグインされると、オンラインでファイルをフェッチして実行するために必要なキーボードコマンドを送信します。

USBドライブを使用することが危険である理由について他の議論はありますか?それらを許可する必要がある場合は、ポリシーに関する提案がありますか?

corporate-policyusb-drive
8
Chris Dale

USBドライブを使用すると、ネットワークファイアウォールからの制御なしにデータを伝播できます。そのため、このようなファイアウォールが最初に設定された理由は、USBドライブを禁止する正当な理由です。

非私的使用のポリシーをどのように施行できるかはわかりません。人々意志犬の最新の写真でさえあれば、USBドライブを使用して個人データを転送します。ユーザーがUSBドライブを使用できる限り、それを防ぐためにできることはほとんどありません。セキュリティポリシーを適用するには、少なくとも次のいずれかが必要です。

  • ユーザーは安価な回避策にすぐには関心がありません(たとえば、USBサポートがOSから削除されているため、USBドライブを接続してもユーザーには何も役立ちません)。
  • users nderstandポリシーが設定された理由、および喜んで遵守する(その可能性は高い)。
  • 技術的な保護手段が設定されています(ただし、ビジネスデータとプライベートデータを区別する自動ツールを作成するのに苦労する場合があります)。
  • 非準拠者は極度の深刻度で罰せられます(ただし、ユーザー自身がUSBドライブを潜在的に有害であると見なさない場合、それらは協力しないため、USB警察の操作は非常に高価になります)。

USBスティックの使用を許可したい場合は、Unixのようなシステムを実行する専用のマシンに設定することをお勧めします(したがって、WindowsおよびMacOSウイルスの影響を受けません-さらなるセキュリティのために、機密設定(NetBSDなど)を目指してください)古いPowerPCベースのMacintoshハードウェア)、アンチウイルスソフトウェアを自動的に実行し、(検証済みの)USBドライブの内容をネットワークプロトコル(CIFSなどの単純なローカルHTTPサーバーなど)を介してエクスポートします。少なくともこれは、キーボードとして機能するUSB​​デバイスの問題を回避します。おそらく、これにより、ユーザーはネットワークを介してデータを交換するように求められ、そのような状況ではUSBドライブが不要になります。

USBデバイスの危険性については、2010年半ばの時点で最も一般的なPS3破壊システムである「PSJailbreak」を例として挙げることができます(ECDSAに関してソニーの途方もない大失敗が発見される前でした)。 PSJailbreakはUSBキーのように見えますが、内部では4つの仮想デバイスを持つUSBハブとして機能し、カーネルのバッファオーバーフローを悪用します。

10
Thomas Pornin

私はビジネスケースを構築し、資金を得て、大規模な銀行でリムーバブルメディアコントロールを実装しました。私は学んだ教訓について ここ について書きました。

リムーバブルメディアコントロールが必要な主な理由:

  • データ損失の防止-貴重なデータがたくさん含まれているリムーバブルデバイスを紛失した場合、規制当局に罰金を科せられず、データ漏洩報告に直面し、あなたの利害関係者との顔を失う。大規模なHMRC損失を含む実際の£/ $インシデントについてdatalossdb.orgを確認してください。

  • データ漏洩防止-スタッフがあなたの情報を盗むことができる最も簡単で最大の方法の1つを閉じます。彼らが競争相手のために去るとき。これは通常、「個人的な」データを取得する必要がある最大の原因であるため、上級管理者が理解するのは簡単です。はい、メールのような他の方法がありますが、人々は最も便利なものを選択し、一度に1つずつ閉じるか、少なくとも暗号化して監視することで、何がコピーされているかを把握します

  • マルウェア-あなたが言ったように。 HBGaryの例は良い例ですが、他にもたくさんあります。もともと私は、デスクトップAVが効果的であるように思われたので、ドライバーとしてこれを持っていませんでした。しかし、今実装した場合、USBとAVの読み取りアクセスを制限するために間違いなくプッシュすることは、急速に出現している脅威に対しては効果的ではありません。

あなたのポリシーは妥当なようですが、以下の変更を提案します。

  • USBおよびリムーバブルメディアに保存されている非公開データは暗号化する必要があります。これは、人々が悪用していることで有名なデータを分類するように依頼するよりも、人々が申請し、あなたが意識向上キャンペーンを実施する方がはるかに簡単です。

  • 企業が提供するUSB​​ドライブのみが企業の機器で使用されます。シンプル。 Ironkeyのようなハードウェアで暗号化されたドライブを使用し、他のすべてを単純にブロックすることをお勧めします。

  • リムーバブルメディアへの読み取りおよび書き込みアクセスは、ビジネス上の理由でのみ提供され、ラインマネージャーによって承認されるものとします。アクセスは四半期ごとに再認証されます。一部の企業は24時間または1つの使用USBアクセスを発行しますが、上記はリスクと利便性のバランスがより良いと思います

  • ヘルプデスク/デスクトップのサポートにより、1回限りのコピーアクティビティが実行されます。彼らはこの活動のために承認されたUSBキーを持っています。個人用の企業データのコピーに関する場合、コピーするデータはラインマネージャーと人事/コンプライアンスによって承認されます。会社を辞めたとき。

もちろん、ポリシーの効果的な例外プロセスも必要です。例外のリスクはITセキュリティによってレビューされ、ビジネスによって承認されます。

8
Rakkhi

USBスティックにはセキュリティ上のリスクがありますが、便利です。彼らは生産性を向上させます。組織がUSBスティックの使用を許可する理由を完全に理解できますが、ユーティリティ/生産性を失うことなく、リスクを可能な限り軽減するためにいくつかの緩和策を適用します。

その意味で、ポリシーの1つの提案は、組織全体で自動実行がオフになっていることを確認することです。もう1つの提案は、すべてのWindowsマシンでウイルス対策ソフトウェアを使用し、ウイルス対策ソフトウェアが挿入時にUSBスティックの内容を自動的にスキャンするように(またはオンデマンドでこれらのファイルの内容をスキャンするように)構成されていることを確認することです。いつ/前にアクセスされたか)。

あるマシンから別のマシンにファイルを転送する場合は、追記型CD-RとDVD(書き換え可能ではない)の使用を推奨することができます。これは確かに便利ではありませんが、より便利にするために、簡単にアクセスできる場所に空のCD-R/DVDを用意しておくこともできます。ただし、セキュリティ上の利点(控えめなもの)がその価値があるかどうかはわかりません。

5
D.W.