USB存儲設備:便捷的安全噩夢
人們不可否認USB存儲設備的便利性。從硬盤驅動器、閃存驅動器到各種各樣的其他設備,它們提供了一種快速簡單的方式來傳輸、共享和存儲數據。但是,從業務安全的角度來看,它們的高度可訪問性和可移植性使其成為一場噩夢,數據泄漏、盜竊和丟失都是所有常見的情況。
廣泛的遠程工作似乎使這些問題更加復雜。根據一項新的研究,自從疫情發生以來,員工下載到USB存儲介質上的數據量增加了123%,這表明許多人已經使用這種設備將大量數據帶回家。因此,在任何給定的時間,都有數百TB的潛在敏感、未加密的企業數據到處移動,將顯著增加了嚴重數據丟失的風險。
幸運的是,有效地實施USB控制和加密可以顯著降低這種風險。
什么是USB控制和加密?
USB控制和加密是指用于確保設備對USB端口的訪問安全的一組技術和實踐。這樣的技術和實踐構成端點安全性的關鍵部分,并有助于保護計算機系統和敏感數據資產免受丟失,以及可以通過物理插入式USB設備部署的安全威脅(例如惡意軟件)的侵害。
USB控制和加密可以通過多種方式實現。最權威的方法是通過物理覆蓋端點USB端口或禁用整個操作系統中的USB適配器來完全阻止USB設備的使用。盡管這肯定是有效的,但鑒于絕大多數依賴USB端口運行的外圍設備(例如鍵盤、充電器、打印機等),對于大多數企業而言,這根本不是一個可行的方法。
取而代之的是,一種更實用的方法是將不太嚴苛的物理措施與使用可保護敏感數據本身的加密相結合,這意味著即使包含此類數據的閃存驅動器丟失或被盜,其內容仍將保持安全。最簡單(通常也是最昂貴)的方法是購買已經內置了強大加密算法的設備。
成本更低(但較難管理)的替代方案是實施和實施用于管理USB設備使用的特定IT策略。這可能是只允許員工使用某些“經過身份驗證”的USB設備(其文件系統已手動加密)的設備,或者是規定單個文件必須先加密,然后才能傳輸到USB存儲設備。
更好的控制意味著更好的安全性
作為大多數操作系統的一部分提供的默認USB端口控件在功能方面趨于十分有限。安全團隊可以選擇使其完全打開,將其指定為只讀或完全禁用它們。但是,對于那些希望使用更細微差別的方法的人,可以借助第三方安全應用程序和/或解決方案來實現更高級別的粒度控制。例如,要求每個插入的USB設備將連接協議中的確切設備告知操作系統。
借助USB控制應用程序,管理員可以使用此信息來限制或阻止特定終結點端口上的某些類型的USB設備。一個很好的例子是允許通過端口使用連接USB的鼠標,但禁止對USB安全造成更大威脅的存儲設備,例如USB記憶棒。
一些控制應用程序走得更遠,允許安全團隊制定規則以將USB端口控制到單個級別。這包括確切指定可以通過特定USB端口復制或傳輸的文件類型,或指定特定端口只能由預先批準的白名單中的設備使用(基于其序列號)。這樣的控件在防止未經授權的數據外流以及惡意操作(例如嘗試通過未經授權的USB閃存上傳惡意軟件)方面非常有效。
集中控制的解決方案避免了重大的后勤問題
值得注意的是,一個普通的商業網絡可以包含數百個甚至數千個端點,每個端點都有一個或多個USB端口。這樣,可以集中管理而不是單獨管理的控制和加密解決方案非常容易實現和管理。在當前時間點尤其如此,因為遠程工作協議使得幾乎不可能以任何其他方式有效地管理設備。
盡管便攜式USB驅動器和設備被員工視為一種快速,便捷的方式來傳輸或存儲數據,但它們通常使安全專業人員感到頭疼。
幸運的是,實施USB控制和加密解決方案可以極大地改善安全團隊可使用的工具以應對此類挑戰,并確保網絡和敏感企業數據始終受到保護。
