it-swarm.com.de

Wie kann ich nicht vertrauenswürdige Datenquellen sicher verarbeiten?

Hier ist das Rätsel: In meinem derzeitigen Unternehmen verarbeiten wir physische Datenträger aus zahlreichen Quellen von Drittanbietern und extrahieren die Daten daraus, um sie in unser eigenes System aufzunehmen. Obwohl wir im Allgemeinen den Quellen vertrauen können, möchten wir nicht das Risiko eingehen, Malware in unsere internen Netzwerke und Systeme einzuführen. Gibt es eine Möglichkeit, diese Discs ohne zusätzlichen Aufwand (oder ohne zusätzlichen Aufwand) sicher zu verarbeiten?

Unser aktueller Prozess ist:

  • Der Mitarbeiter erhält eine CD und legt sie in seine Workstation ein.
  • Der Mitarbeiter extrahiert Daten von der Disc
  • Der Mitarbeiter lädt extrahierte Daten in unser internes System hoch

Wenn im aktuellen Format eine kompromittierte Disc in die Workstation eines Mitarbeiters eingelegt wird, kann das gesamte Netzwerk möglicherweise innerhalb von Minuten infiziert werden. Nicht ideal.

Eine vorgeschlagene Lösung bestand darin, die Disc vor der Verarbeitung mit einem Gerät mit Luftspalt zu überprüfen. Dies wirft jedoch Probleme auf. Wie können wir dann zuverlässig (oder neue) Malware auf diesem Computer erkennen? Außerdem wird dem Prozess ein zusätzlicher, zeitintensiver Schritt hinzugefügt, da die Discs zweimal extrahiert werden müssten.

Eine andere Lösung besteht darin, einen Computer in einem isolierten Subnetz mit unserem Netzwerk zu verbinden, auf dem ein AV installiert ist, und WAN Zugriff beschränkt, um AV-Updates zuzulassen nur. Discs können remote auf diesem Computer von der Workstation eines Mitarbeiters eingelegt und extrahiert werden, und dann werden die Daten (irgendwie; vielleicht ein Proxy?) In das System aufgenommen.

Was wäre die sicherste, kostengünstigste und zeitsparendste Methode zur Durchführung dieser Operation? Wenn es einen empfohlenen Industriestandard gibt, was ist das und wo kann ich ihn nachlesen?

EDIT :

Die Discs sind DICOM-kompatibel Discs, sodass sie mehrere Bilder (.tiff oder .dcm) enthalten, aber (normalerweise) auch eine Viewer-Anwendung (eine .exe) zum Anzeigen dieser Bilder. Die Sorge hier ist mehr, dass eine dieser Dateien einen Trojaner enthalten könnte, denke ich. CyberSec ist noch ziemlich jung. Verzeihen Sie mir, wenn ich einige Aspekte falsch verstehe!

19
Stuart H

Es hängt alles davon ab, was Sie tatsächlich mit den Daten machen. Ein paar Bits auf einer Festplatte sind genau das: ein paar Bits. Es muss irgendwie ausgeführt werden, um Malware zu werden und eine Bedrohung für Ihr Netzwerk darzustellen.

Dies kann auf verschiedene Arten geschehen:

  • windows ermöglicht die automatische Ausführung auf Wechselmedien. Mitigation : Ändern Sie die Ingestion-Maschine auf Linux oder konfigurieren Sie Windows sorgfältig
  • manuelle Ausführung: Mitarbeiter können dies versehentlich tun. Mitigation : Mitarbeiter-Konto einschränken, z. B. die Dateien standardmäßig schreibgeschützt machen. Dies schützt nicht vor böswilligen Handlungen, sondern nur vor versehentlichen.
  • Daten auf der Festplatte können eine Sicherheitsanfälligkeit in Dateisystemtreibern ausnutzen. Dies ist ziemlich unwahrscheinlich, Dateisystemtreiber werden ziemlich gut getestet und jede Sicherheitslücke hier ist kritisch und würde einen sehr teuren 0-Tag bedeuten (daher würde sie nicht gegen Sie verwendet werden). Mitigation : Sie sollten Sicherheitsupdates automatisch installieren. Eine andere Möglichkeit, sich davor zu schützen, ist die Verwendung von User-Space-Dateisystemtreibern. AFAIK Sie sind weniger gut getestet, weniger stabil und weniger leistungsfähig, aber jede erfolgreiche Ausnutzung ermöglicht einen Zugriff auf Benutzerebene (und nicht auf Kernelebene). Sie müssten selbst über diesen Kompromiss nachdenken.
  • Schließlich können die Daten Schwachstellen in anderer Software ausnutzen, mit der Sie die Dateien verarbeiten. Dies ist die wahrscheinlichste Option. In Software wie PDF-Readern werden regelmäßig Sicherheitslücken bei der Ausführung von willkürlichem Code entdeckt. Schadensbegrenzung : Halten Sie Ihre Software auf dem neuesten Stand und konfigurieren Sie sie mit hoher Sicherheit (lassen Sie keine Makros in MS Office usw. zu).

Darüber hinaus können Sie jeden Dateiverarbeitungsschritt in einem VM] enthalten und ihn nach jedem Arbeitstag auf den bekannten guten Zustand zurücksetzen. Dies wäre ziemlich unpraktisch, bietet jedoch zusätzlichen Schutz, insbesondere wenn Sie das Netzwerk deaktivieren auf der VM.

Ich würde mir keine Hoffnungen auf Virenschutzmittel machen, wenn Sie die bereitgestellten Dateien nicht aktiv ausführen, da sie nicht viel Schutz bieten.

24
Andrew Morozko

Ich habe Erfahrung mit der Sicherung von DICOM in einer identischen Situation, daher werde ich mich darauf konzentrieren.

Angenommen, Sie verwenden eine ordnungsgemäß konfigurierte Umgebung (Autorun deaktiviert, häufig aktualisierte Antimalware usw.), sind CDs relativ sicher. Dies gilt nicht für USB-Laufwerke. Wir haben einen Brenner-PC für USB-Laufwerke verwendet.

Diese Discs werden normalerweise von einem PACS-System (Bildarchivierungs- und Kommunikationssystem) erstellt. Die meisten PACS verwenden beim Brennen von Discs für die externe Anzeige eine proprietäre Software zusätzlich zum Standard-DICOM-Format. Ich habe eine Handvoll gesehen, die eine proprietäre Software verwenden nd proprietäres Format, für das Sie die Software starten müssen und " Speichern unter "DICOM - In diesen Fällen haben wir den Brenner-PC verwendet.

Andernfalls verfügen alle Standard-DICOM-Formate über eine DICOMDIR -Datei mit dem erforderlichen Dateisystem und den erforderlichen DICOM-Metadaten, um alle damit verbundenen "Bilder" zu extrahieren. Wir haben ein Extraktionsprogramm entwickelt, das bei der Disc-Montage ausgeführt wird, alle DICOMDIR-Dateien liest und nur DICOMDIR und Bilder an einen Staging-Speicherort extrahiert. Ein Datensatztechniker überprüft dann die Bilder mit einem Anzeigetool eines Drittanbieters und stellt fest, dass es sich um die erwarteten Datensätze handelt, und sendet sie dann zur Verarbeitung an einen Kollegen. Dies verhinderte jegliche Interaktion des "Betriebssystems" mit den Daten und reduzierte die Angriffsfläche erheblich.

Der Brenner-PC war ein Ersatzcomputer mit eingeschränktem Netzwerkzugriff. Der Techniker lud die Daten, identifizierte die Quelle als sicher, lud die DICOM-Bilder in ein Programm und DICOM übertrug sie an einen Peer - wobei nur die DICOM-Peer- und AV-Updates im eingeschränkten Netzwerk zulässig waren.

Sobald die DICOM-Bilder (unter Verwendung eines AE_Title) an den Peer übertragen wurden, konnten sie die Bilder zum Drucken, Brennen von Discs oder Laden in eine Krankenakte auf dem Hauptsystem senden.

Die Ladesysteme, der Peer und das Haupt-PACS waren alle im Netzwerk und in der Firewall getrennt. Sie konnten nur mit ihren jeweiligen Whitelists unter Verwendung ihrer jeweiligen Protokolle (DICOM, Http, AV-Updates usw.) sprechen.

Die endgültige Risikominderung bestand aus regelmäßigen Sicherungen und Überprüfungen der Sicherungen sowie einem umfassenden Notfallwiederherstellungsplan.

Zusammenfassung

Wir haben die Netzwerkgeräte, die mit DICOM-Images verwendet wurden, auf die Kommunikation mit einer Whitelist beschränkt und so viele "Betriebssystem" -Interaktionen wie möglich entfernt, sodass nur hochspezifische, aber erforderliche Protokolle als Risikofaktoren übrig blieben. Dies deckte eine große Angriffsfläche ab, sodass nur unsere proprietären DICOM-Systeme einem direkten Risiko ausgesetzt waren. Dies wurde durch eine ordnungsgemäße Netzwerksegregation, Sicherungen und Notfallwiederherstellung verringert.

Der Brenner-PC wird ersetzt, wenn er fehlschlägt. Unsere offizielle Richtlinie bestand darin, jeden Computer physisch durch erkannte Malware zu ersetzen.

Ich hatte einen großartigen PACS-Administrator, der sich mit unserem Prozess abgefunden hatte, und im Gegenzug versorgte ich ihn mit vielen Gummibändern mit CD-Brennerantrieb.


Edit : Ich möchte darauf hinweisen, dass die meisten DICOM-Bilder, die wir erhalten haben, von bekannten Entitäten stammen. Das heißt, Patienten würden Bilder von Schwesterkrankenhäusern oder Bildgebungseinrichtungen bereitstellen, mit denen unsere Diagnoseabteilung zusammengearbeitet hatte - einige sogar zuvor bei. Meine größte Sorge galt generischen Würmern (USB Autorun usw.) und nicht so sehr den Exploits proprietärer Software (PACS/DICOM). Ein proprietärer Exploit würde auf einen gezielten Angriff hinweisen, normalerweise von einem Unternehmen, mit dem wir bereits Verträge hatten - ein höchst unwahrscheinliches Ereignis.

21
Nathan Goings

Ein dedizierter Computer auf einem separaten VLAN mit Internetzugang zum Aktualisieren von Virendefinitionen. Dann SFTP auf ein dediziertes Linux VM, auf dem auch eine AV-Instanz ausgeführt wird, und wenn Sie können ihm möglicherweise sogar mehrere verschiedene AVs wie ESET + CLAM helfen. Dann, nachdem es erneut gescannt und sauber validiert wurde, um diese Daten zu pushen oder die Daten in Ihr Hauptsystem zu ziehen. Jedes System sollte über Antivirus verfügen und ordnungsgemäß konfiguriert sein und nicht ausschließen Alle diese Elemente auf den Datenträgern. Da die Sicherheit überlagert ist, sollte der Rest Ihrer Infrastruktur gehärtet sein und über Gruppenrichtlinienobjekte in AD verfügen, um zu verhindern, dass Personen unachtsam vorgehen.

Ich habe die Erfahrung gemacht, dass Unternehmen, die Informationen von Drittanbietern austauschen, Verträge über Schadensersatz für den Fall abgeschlossen haben, dass sie Sie versehentlich infizieren. Stellen Sie daher aus rechtlicher Sicht sicher, dass Sie in beiden Richtungen geschützt sind. Wenn diese Verträge vorhanden sind, kann die Flexibilität der Quelle bedingungslos vertrauen, wenn Sie nicht alle anderen Vorsichtsmaßnahmen oder Sicherheitsvorkehrungen benötigen. Denken Sie daran, dass es entweder sicher ist und Benutzer es nicht verwenden können OR die Benutzer können es verwenden, aber es ist NICHT sicher. Sie können nicht beides haben, es ist nur eine gleitende Skala zwischen ihnen. Ich habe Einige Unternehmen drängten auf Sicherheit, so dass nur wenige Menschen in der Lage sind, Dinge zu tun, während andere möchten, dass alle Benutzer mit Administratorrechten arbeiten, damit sie tun können, was sie wollen, bis etwas Katastrophales passiert, und dann ihre Meinung ändern.

2
Brad