it-swarm.com.de

Ist das Verbot des Schreibens auf USB tatsächlich ein effizienter Weg, um Datenlecks zu verhindern?

In meiner Organisation gibt es eine Gruppenrichtlinie, die verhindert, dass Benutzer Daten auf einen USB-Stick schreiben. Dies schien mir immer eine sinnlose PITA zu sein, nur "eines von diesen Dingen ...". Ich vergesse es so oft wie nicht, da ich Daten herunterladen kann von meinem USB-Stick, wenn ich muss (ich erinnere mich nur wieder daran, wenn ich versuche, eine Datei mit nach Hause zu nehmen).

Vor kurzem wurde meine Zuständigkeit um die Teilnahme an staatlichen und bundesstaatlichen Audits erweitert, und ich habe festgestellt, dass der Aufzählungspunkt in der Regel eine stark beworbene Funktion ist, wenn die Einhaltung der Vorschriften geltend gemacht wird:

  • Benutzer können keine vertraulichen Daten auf ein USB-Laufwerk herunterladen.

Ist dies tatsächlich eine Verbesserung der Sicherheit für sich?

Es gibt immer noch eine beträchtliche Anzahl von Möglichkeiten, Daten aus der Unternehmensdomäne zu extrahieren (ich habe sicherlich mehr als nur ein paar Workarounds verwendet, um dies zu vereinfachen.)

Zuerst dachte ich, es könnte vielleicht argumentiert werden, dass es gering qualifizierte Hochfrequenzangriffe verhindert. Mit der zunehmenden Verbreitung persönlicher Fileshare-Tools (die möglicherweise müssen von der Unternehmensrichtlinie entsperrt werden müssen - z. B. wenn ein Benutzer sowohl ein persönliches als auch ein Unternehmens-GitHub-Konto hat) bietet diese Art von Richtlinie dennoch zusätzliche Sicherheit ? Oder ist es nur ein Placebo für Auditoren mit minimalen Kenntnissen?

31
Peter Vandivier

Einer der Hauptgründe für das Verbot, Daten auf USB-Laufwerke zu schreiben (das wurde mir einmal erklärt), ist nicht, um zu verhindern, dass Mitarbeiter stehlen vertrauliche Informationen. Wenn sie das tun wollten, hätten sie kein Ende der Problemumgehungen, bis sie QR-Codes auf A4-Blätter drucken.

Vielmehr soll verhindert werden, dass Mitarbeiter vertrauliche Informationen in gutem Glauben auf USB-Laufwerken speichern, nur um diese USB-Laufwerke verloren zu gehen oder zu stehlen.

In solchen Fällen ist es häufig in Ordnung, Daten auf bestimmten verschlüsselten USB-Sticks zu speichern, die bei Diebstahl oder Verlust nicht entschlüsselt werden können: z. Biometric-Lock-Laufwerke (*) oder verschlüsselte Dateisysteme, die als physisch feste Festplatten anstelle von entfernbar Festplatten "angesehen" werden, wodurch ein " Sicherheitsrichtlinie kann nicht auf Wechseldatenträger geschrieben werden.

Windows 7+ verfügt über explizite Einstellungen , mit denen BitLocked-Geräte (möglicherweise mit Unternehmensschlüsseln) anders behandelt werden können als normale USB-Geräte .

(In meinem Fall war das Windows XP Pro SP3 vor einiger Zeit hatte ich einen USB-Stick mit einem TrueCrypt-Volume darauf und durfte zu Hause daran arbeiten. I. was unter dem Befehl, die Dateien nirgendwo anders zu kopieren und das USB-Laufwerk nicht für andere Zwecke zu verwenden. Diese Art von Vorsichtsmaßnahmen richtet sich eindeutig gegen versehentliche Lecks, nicht gegen absichtliche).

Aus den gleichen Gründen werden einige beliebte Websites für die Dateifreigabe oder Websites und Apps, die könnte die Dateifreigabe zulassen, möglicherweise von Firewalls des Unternehmens blockiert. Wiederum nicht so sehr, um Spionage zu stoppen, sondern um zu verhindern, dass Menschen (zumindest nach Meinung der Machthaber) mit Unternehmensinformationen zu nachlässig werden.

(*) Hinweis

USB-Sticks mit biometrischer Sperre und (insbesondere) Festplatten sind nicht unbedingt sicher - oder sogar verschlüsselt oder korrekt verschlüsselt . Wenn der Speicher physisch vom Verriegelungsteil getrennt werden kann (für die meisten Festplattengehäuse einfach, für viele USB-Sticks denkbar), kann jemand versuchen, ihn direkt zu lesen, möglicherweise nur, um den Speicher selbst "zurückzugewinnen". Schließlich hat der Finder im Fehlerfall nur einige Zeit verloren. Sobald er oder sie das lesbare Gedächtnis in den Händen hat, kann eine einfache Neugier ausreichen, um einen Blick darauf zu werfen und es vielleicht sogar zu entschlüsseln, bevor es neu formatiert und neu verwendet wird. Mit etwas Glück ist das Gerät anfällig und nur Googeln seiner Marke und seines Modells ermöglicht es jemandem, die erforderlichen Werkzeuge und/oder Kenntnisse wiederherzustellen .

54
LSerni

Zusätzlich zu dem, was Iserni gesagt hat, können Memory Sticks heutzutage riesige Datenmengen enthalten.

Das Verschieben von 64 GB vertraulicher Daten an einen Cloud-Anbieter kann lange dauern und möglicherweise Firewall-Regeln auslösen, die nach übermäßigen Uploads suchen. In jedem Fall werden die Uploads protokolliert.

Das Herunterladen von 64 GB auf einen USB3-Speicherstick ist viel schneller und geht nicht in die Nähe einer Unternehmensfirewall. Wenn der Memory Stick voll ist, kann er einfach in eine Tasche gesteckt werden. Das Unternehmen wird nicht einmal wissen, was getan wurde, bis die Daten gegen sie oder ihre Kunden verwendet werden.

5
Simon B

In vielen Fällen wird eine solche Richtlinie mit der Verwendung einer Zensurware kombiniert, um den Zugriff auf eine bekannte Liste von Cloud-Speicheranbietern und Webmail-Sites zu blockieren und die Ports für FTP (und die Dateiübertragung über IM) zu blockieren.

Natürlich ist es einfach genug, eine eigene Problemumgehung durchzuführen: Ich hatte einmal ein paar Tage lang einen FTP-Server auf Port 80 zu Hause; Die Webmail meines Hosting-Anbieters ist nicht allgemein bekannt. und ich bin sicher, dass es Standardlösungen gibt, die das Hochladen über http ermöglichen. Wie Sie sagen, ist die Verwendung von GitHub durch Unternehmen ein Problem (obwohl viele Arbeitgeber diesbezüglich vorsichtig sind und es nur für Entwickler auf Benutzerbasis entsperrt werden kann, wodurch die Bedrohungsfläche verringert wird). Nicht jede Quelle (auch absichtlicher) Datenlecks ist sehr hoch entwickelt, und die versehentlichen Quellen können die am wenigsten qualifizierten Personen mit Anmeldungen sein.

1
Chris H

Viele große Organisationen haben solche Einschränkungen. Ich konnte jeden, den ich getestet habe, umgehen.

Die Absicht ist, dass Benutzer keine Daten in großen Mengen extrahieren können. Es versteht sich, dass Menschen kleine Datenmengen durch Fotografieren ihres Bildschirms oder sogar nur auswendig lernen können. Es gibt jedoch einen Unterschied zwischen dem Auslesen einiger Details und dem Diebstahl einer 10-GB-Datenbank mit persönlichen Daten. Ich denke, das ist eine gute Absicht, aber es kann nie perfekt gemacht werden.

Um dies sicher zu tun, ist ein guter Anfang:

  • Blockieren Sie alle lokalen Wechselmedien: USB, CD-Brenner, Speicherkarten, Firewire, eSATA und möglicherweise mehr.
  • Netzwerkexflitration einschränken: Dies erfolgt normalerweise durch Blockieren aller Webmail- und Dateifreigabedienste auf dem Proxy. Wenn Sie Laptops so konfigurieren, dass sie sich außerhalb des Unternehmens befinden, müssen Sie lediglich VPN zurück zur Basis senden.

Normalerweise kann ich die Netzwerkexfiltration umgehen, indem ich Dateien auf meine eigene Website hochlade. Es ist dem Proxy nicht als Dateifreigabeseite bekannt, daher kommt es durch. Eine andere Technik besteht darin, den Laptop einer externen Organisation mit dem Büronetzwerk zu verbinden und direkt vom Firmencomputer auf den externen Laptop zu kopieren - unter Umgehung des Proxys. Außerdem erlaubt das Unternehmens-E-Mail-System fast immer eine Umgehung, obwohl das Risiko durch Dateigrößenbeschränkungen und Protokollierung verringert wird. Andernfalls erhalten Sie Administratorrechte auf dem Computer und deaktivieren Sie die Einschränkungen.

Wenn die Organisation über ein Remote-Arbeitssystem im Citrix-Stil verfügt und Sie von Ihrem Heimcomputer aus eine Verbindung herstellen können, kann dies sehr häufig zum Exfiltrieren von Daten verwendet werden. Ich erinnere mich an eines, das lokale Laufwerke blockierte, was ein guter Anfang war, aber Remote-USB erlaubte, sodass Sie einen USB-Stick an Ihren Heimcomputer anschließen und auf dem Citrix-Server mounten konnten, sodass Sie Daten in großen Mengen stehlen konnten.

Eines der Probleme bei diesem Setup besteht darin, dass Benutzer berechtigte Anforderungen an USB-Sticks, beschreibbare CDs usw. haben. Der einfache Ansatz besteht darin, einen Prozess zu erstellen, bei dem Personen mit geschäftlichen Anforderungen zu einer Ausnahmeliste hinzugefügt werden. Ein weiter fortgeschrittener Ansatz ist Data Loss Prevention (DLP), eine sehr interessante Technologie. Mehr darüber zu diskutieren ist wahrscheinlich am besten für eine andere Frage.

1
paj28

Lassen Sie uns die Auswirkungen von Bedrohungsvektoren, die für die Einführung in ein Netzwerk auf USB angewiesen sind, nicht außer Acht lassen "StuxNet" jemand?) Das heißt, ist es "effizient"? - IMHO, ja, es erfordert wenig Mühe, die Massen zu unterdrücken, die Geheimnisse aus der Tür schleichen könnten. Aber ist es --- (effektiv? nur für die ungekünstelten Massen. Kluge lokale Admins werden immer noch die Geheimnisse lüften. Die netzwerkinterne Datenverschlüsselung ist weitaus effektiver.

0
Joe