web-dev-qa-db-ja.com

ネットワークに追加する前に、外部USBドライブを適切に確認するにはどうすればよいですか?提示されたアプローチは「安全」と見なされていますか?

現在の状況:

私は現在病院で働いており、ランサムウェアなどの危険性が高まっているため、USBドライブに感染し、Symantec Endpoint Protectionを介してすべてのUSBポート(約600クライアント/ Windowsのみ)をブロックすることにしました。このブロッキングは、デバイスがHIDデバイスであるかどうかを判別できます(これらのデバイスが機能する必要がある重要な領域でUSBに依存するスマートカードキーボード、指紋マウス、ボイスレコーダーを使用します。通常のマウスやキーボードなどの入力デバイスはほとんどですPS/2)またはストレージデバイス。 HIDデバイス以外の場合、ポートはロックされます。また、絶対に必要な特定のユーザー/コンピューター(管理用PC、技術者用PCなど)にUSB特権を付与することもできます。

現在の問題:

ユーザー(医師、従業員の管理者)がプライベートUSBスティックを使用して、医学研究、プレゼンテーション、写真などのデータをインポートし、システムにインポートすることをお勧めします(これはオプションがないことを意味します)残念ながら)これは明らかに非常に大きなセキュリティリスクです

現在の解決策:

完全に分離されたネットワークにある特定のコンピューターがあり、ユーザーがドライブを挿入し、SEPによってスキャンされます。チェックが正常に行われた場合、管理者がドライブをに挿入しますPC(!)およびユーザーが必要とするネットワーク共有にファイルをコピーします。明らかに、これも非常に安全ではありません。保護のためにSEPのみに依存しているだけでなく、この方法はBadUSB攻撃などを起こしやすいです。

やりたいこと

これらの外部USBスティックを安全に統合するために、さまざまなアプローチの組み合わせを考えました。

ステップ1ユーザーは、ラズベリーを使用する第1レベルのサポート従業員に物理的に行く必要がありますPi(IT管理職のみがキーにアクセスできる高セキュリティロック付きのボックスにロックされています)ここで、CIRClean、( https://github.com/CIRCL/Circlean )オープンソース「USBルクセンブルグ政府によって作成されたサニタイザー」が実行され、USBポートはボックスの外側に配置されます。このRaspberry Piディストリビューションは、Word/ExcelファイルのMakrosなどの「危険な」ものからすべてのファイルを削除するか、PDFファイルをHTMLに変換(および埋め込まれたJavaScriptを削除)して)、これらの「無害化された」ファイルを別のUSBドライブが「おそらく安全」と見なされました。

このステップの後、ユーザーは自分のドライブを取り戻すことができ、第1レベルのサポーターがさらに作業ステップを行います。この最初のステップでは、BadUSB、マクロウイルスなど、より「洗練されていない」攻撃を取り除く必要があります。

ステップ2(AirGap1)

First Level Supporterは、Qubes-OS( https://www.qubes-os.org )を実行しているマシンに「おそらく安全」なUSBスティックを取得します。これは、USBコントローラーが別のVM。このマシンは、さまざまなアンチウイルスアプリケーションを使用してUSBドライブを自動的にチェックします。これにより、適切にプログラムされたルートキットなどのより高度な攻撃をチェックできます。自動化されたスクリプトがさまざまなAVチェックを実行した後、第1レベルのサポーターは、現在「既知」の安全なUSBスティックを取り、3番目のマシンに到達します。

ステップ3(AirGap2)

このマシンは、病院のネットワークにある通常のWindows PCです。SEPがインストールされ、ドライブがマウントされる前に別のセキュリティチェックを実行します。その後、従業員がファイルを宛先にドラッグするだけです。ユーザーはそれらを望んで終了しました。

なぜここにいるのか

残念ながらCIRCLeanはきちんとしたツールのように聞こえますが、適切に実行されるバージョンを見つけることができませんでした(私はそれだけではなく、2つを超えるリンクを投稿することはできませんが、Gitの問題を確認するだけです)。

だからこのすべての背景の話の後、私の質問に来るところ:

外部USBドライブが安全であることをどのように保証しますか?私のアプローチは適切ですか、そうである場合、機能していないCIRCleanパーツをどのように「切り替え」ますか?

10
architekt

ラズベリールートに行くことをお勧めします。ただし、管理者にアクションの実行を要求する代わりに、これをセルフサービスステーションとして構築することもできます。もちろん、安全性の高いロックなどでロックします。

Raspberry Piはx86ではないため、Windows、Linux、Mac PC向けのマルウェアを実行することはできません。悪意のあるスクリプトを実行する可能性がありますが、それは別のことであり、ブロックされる可能性があります。

Raspberry Piをタッチスクリーンに設定して、ユーザーが必要なファイルを選択できるようにし、すべてのキーボードアクセスをブロックするようにします。

次に、これを完全に安全にするトリックについて説明します。

1:最初に、特定の許可されたファイル形式のファイルのみを表示するようにインターフェイスを制限します。たとえば(jpg、png、gif、tiff、svg、bmp)(doc、pptpなど)。

2:写真の場合、Gdを使用してすべての既知の画像形式をPNGに変換できます(PNG-> PNGも可)。メタデータではなく生の画像データのみがコピーされるため、これらのファイルに含まれる可能性のある悪意のあるデータはすべて取り除かれます。 (最初に画像をプレーンなGdオブジェクトに変換する必要があることに注意してください)

3:Officeファイルの場合、マクロストリッパーを使用してマクロデータを取り除き、ドキュメントコンバーターを使用してDOC-> DOC、PPTP-> PPTPなどから変換します。CIRCleanを使用する必要はありません。使用可能なマクロストリッパー。

コンバーターを使用してソース形式と同じ形式に変換する必要がある理由は、そのような変換ではファイルにその形式の有効なデータが含まれている必要があるためです。この場合、空の出力ファイルをレンダリングします。

これにより、ファイルが完全に消去されます。また、キーボード入力を受け付けないようにRaspberry Piを構成している限り、これは「BadUSB」攻撃の影響を受けません。マウス入力はタッチスクリーンにマッピングされ、ファイルを選択するための非常に限られたインターフェースを持っています。

悪意のあるUSBが秘密データを漏らすのを防ぐために、USBからホームディレクトリへの一方向のコピーのみを許可し、その逆は許可しないことをお勧めします。

だからここに完全なアイデアがあります:

ユーザーはセルフサービスのUSBターミナル(病院内に散らばっている)に近づきます。 USBを挿入し、タッチスクリーンで、ユーザーは必要なファイルを選択します。許可されたファイルタイプのファイルのみを表示できます。その後、選択されたファイルはクレンジングされ、彼の「ホームフォルダ」にコピーされます。ログインはスマートカードで行うことができます。

9