USBへの書き込みを禁止することは、実際にデータ漏洩を防ぐ効率的な方法ですか?
私の組織では、ユーザーがUSBスティックにデータを書き込めないようにするグループポリシーが存在します。これは、私にとっては常に意味のないPITAのように思えました。「(それらのことの1つ...」だけです。データをダウンロードできるので、忘れることはほとんどありませんfrom必要なときにサムドライブを使用します(ファイルを家に持ち帰ろうとしたときだけ、もう一度記憶します)。
最近、私の責任は州および連邦の監査への参加を含むように拡大され、次の箇条書きのいくつかの形式は通常、コンプライアンスを主張するときに非常に促進される機能であることに気付きました。
- ユーザーは機密データをUSBドライブにダウンロードできません。
これは実際にそれ自体でセキュリティの改善ですか?
会社のドメインからデータを抽出する方法は数多くあります(便宜上、いくつかの回避策を使用したことは確かです)。
最初は、それが低スキルで高頻度の攻撃を防ぐと主張できるかもしれないと思った。しかし、個人用ファイル共有ツールの急増(それが必要であるかどうかにかかわらず、企業ポリシーによってブロックが解除される-たとえば、ユーザーが個人と企業の両方のGitHubアカウントを持っている)でも、この種のポリシーは追加のセキュリティを提供します?それとも、最低限の読み書きができる監査人のための単なる偽薬ですか?
USBドライブへのデータの書き込みを禁止する主な理由の1つ(これについては一度説明しました)はnot従業員による機密情報の盗用を防止するためですstealing。thatを実行したい場合、A4シートにQRコードを印刷するまでの回避策はありません。
むしろ、従業員がUSBドライブに機密情報を誠意を持って保存するのを防ぐためです。これらのUSBドライブを紛失したり盗まれたりするだけです。
このような場合、盗難や紛失時に復号化できない特定の暗号化されたサムドライブにデータを保存しても問題がないことがよくあります。removableハードドライブの代わりにphysical固定ハードドライブとして「認識」される生体認証ロックドライブ(*)または暗号化ファイルシステム。これにより、「リムーバブルドライブに書き込めません」というセキュリティポリシー。
Windows 7+は 明示的な設定 を有効にします プレーンなUSBデバイスとは異なるBitLockedデバイス(おそらく企業キーで)の扱い を有効にします。
(私の場合、それはWindowsでしたXP Pro SP3少し前に、TrueCryptボリュームが付いたUSBキーを持っていて、自宅で仕事をすることが許可されていました。私はwas他の目的でファイルをコピーしたり、USBドライブを他の目的で使用したりしないようにという命令のもとで。
同じ理由で、人気のあるファイル共有サイト、またはcouldがファイル共有を許可するサイトとアプリは、会社のファイアウォールによってブロックされる場合があります。繰り返しになりますが、スパイ活動を停止するためではなく、企業情報を使って人々が不注意に(少なくとも権力者の意見では)成長しすぎないようにします。
(*) 注意
バイオメトリックロックサムドライブと(特に)ハードディスク必ずしも安全ではありません-または暗号化、または 正しく暗号化 。メモリをロック部分から物理的に分離できる場合(ほとんどのHDDエンクロージャでは簡単で、多くのUSBサムドライブで考えられます)、誰かが直接メモリを読み取ろうとする可能性があります。結局のところ、障害が発生した場合、Finderは少し時間を失っているだけです。彼または彼女が読み取り可能なメモリを手に入れたら、単純な好奇心でピークをたどり、場合によっては再フォーマットして転用する前にそれを解読することさえできます。運が良ければ、デバイス 脆弱性あり と その製造元とモデルをグーグルする だけで、必要なツールや知識を回復できます。
イゼルニが言ったことに加えて、最近のメモリースティックは大量のデータを保持できます。
64GBの機密データをクラウドプロバイダーにシフトすると、長い時間がかかる可能性があり、ファイアウォールルールセットをトリガーして過度のアップロードを探す可能性があります。いずれの場合も、アップロードはログに記録されます。
64GBをUSB3メモリスティックにダウンロードする方がはるかに高速で、会社のファイアウォールの近くに行くことはありません。メモリースティックがいっぱいになったら、ポケットに入れるだけです。同社は、データが顧客または顧客に対して使用されるまで、何が行われたかさえ知りません。
多くの場合、そのようなポリシーは、クラウドストレージプロバイダーおよびウェブメールサイトの既知のリストへのアクセスをブロックするとともに、ftp(およびIMを介したファイル転送)のポートをブロックするために、何らかの形の検閲ウェアの使用と組み合わせられます。
もちろん、ご自身の回避策を実行するのに十分簡単です。私は、自宅のポート80でFTPサーバーを数日間一度実行していました。私のホスティングプロバイダーのウェブメールは広く知られていません。そして、http経由でアップロードできる既製のソリューションがあると確信しています。あなたが言うように、GitHubの企業での使用は心配です(ただし、多くの雇用者はGitHubを警戒しており、ユーザーごとに開発者のみがブロックを解除できるため、脅威の表面を減らすことができます)。 (故意であっても)データ漏洩のすべてのソースが非常に洗練されているわけではありません。偶発的なソースは、ログオンの最もスキルの低い人である可能性があります。
多くの大規模組織には、このような制限があります。私はテストしたすべてをバイパスすることができました。
意図は、ユーザーがデータを一括で抽出できないことです。人々は、自分の画面を写真に撮るか、または単にそれを記憶することによって、少量のデータを興奮させることができると理解されています。しかし、いくつかの詳細を解読することと、個人データの10GBデータベースを盗むことの間には違いがあります。これはいい意図だと思いますが、完璧にできることは決してありません。
これを安全に行うには、まずは次のようにします。
- USB、CDライター、メモリカード、firewire、eSATAなど、ローカルのリムーバブルメディアをすべてブロックします。
- ネットワークの拡大を制限する:これは通常、プロキシ上のすべてのWebメールおよびファイル共有サービスをブロックすることによって行われます。また、ラップトップを構成して、組織の外にいる場合でも、VPNをベースに戻すだけです。
通常、私は自分のWebサイトにファイルをアップロードすることにより、ネットワークへの流出を回避できます。プロキシではファイル共有サイトとして認識されていないため、通過します。別の手法は、外部組織のラップトップをオフィスネットワークに接続し、会社のコンピューターから外部ラップトップに直接コピーすることです-プロキシをバイパスします。また、企業の電子メールシステムでは、ほとんどの場合バイパスが許可されますが、ファイルサイズの制限とログ記録によってリスクは軽減されます。失敗した場合は、コンピューターの管理者権限を取得して、制限を無効にしてください。
組織にCitrixスタイルのリモート作業システムがある場合(自宅のコンピューターから接続できる場合)、これを使用してデータを抽出することができます。ローカルドライブをブロックしたのは良いスタートでしたが、リモートUSBは許可されたので、USBスティックを自宅のコンピューターに接続してCitrixサーバーにマウントすると、データを一括で盗むことができます。
このセットアップの問題の1つは、USBスティックや書き込み可能なCDなどに対する正当なニーズがあることです。単純なアプローチは、ビジネスニーズを持つ人々を例外リストに追加するプロセスを持つことです。より高度なアプローチは、非常に興味深いテクノロジーであるデータ損失防止(DLP)です。もっと議論することはおそらく別の質問に最適です。
ネットワークへの導入をUSBに依存する脅威ベクトルの影響を軽視しないでください「StuxNet」は誰ですか?)それは「効率的」ですか? -私見、はい、それはスニーカーがドアから秘密を漏らすかもしれない大衆を怒らせるためにほとんど努力を必要としません。しかし、それは---(有効ですか?洗練されていない大衆だけのために。賢いローカル管理者はまだ秘密を歩きます。ネットワーク内の機密データの暗号化ははるかに効果的です。