使用可移除式的USB儲存裝置,已成為網路之外最主要的資料存取與交換方式,便利之餘,卻同時衍生平時不容易發現的危機,例如只靠一隻隨身碟或一片記憶卡,就可以快速複製大量的文件,甚至是一整個資料庫檔案,直接就能帶離公司;而日益猖獗的USB病毒更是另一項嚴重的威脅。要解決這些問題,你就必須要面對封鎖USB。
來源網址:http://www.ithome.com.tw/itadm/article.php?c=48641&s=6
文/楊啟倫 (記者) 2008-04-28
由研究機構Forrester Research提出的「Data Loss Prevention and Endpoint Security:Survey Findings」報告中指出,過去兩年,有52%的機密資料外洩事件與隨身碟一類的USB儲存裝置有關,高居所有機密資料外洩原因當中的第一名。而賽門鐵克日前發表的最新一期全球網路安全威脅報告,也不約而同地表示,隨身碟等含有儲存空間的裝置是造成機密資料外洩的重要原因。
妥善控管USB埠,防止資安事件發生
USB是造成企業機密資料外洩的主要原因,同時也是現今病毒入侵的熱門管道,企業應針對USB埠的控管做好把關,以免造成資安事件,危害到企業營運。因此,控管電腦周邊如果不夠嚴密,將演變成安全大漏洞。
病毒氾濫也是企業主動管理USB埠的原因之一
除了機密資料的外洩防護,近來常見的USB病毒,也是企業針對USB埠採取管理的一項重要原因。而常見的容易造成機密資料外洩的USB週邊裝置包括隨身碟、數位相機、讀卡機、外接式硬碟等。
自己動手做!企業封鎖USB埠的12種方法
企業可以利用許多方式管理員工使用電腦上的USB埠,大體來說,我們可以將所有的做法分類成為3個類別,第一種是透過實體方式,從硬體著手,停用USB埠的功能;其次則是以修改系統設定的方式來達成管理USB埠的目的;最後一種則是結合第三方的應用程式,控管員工電腦上的USB埠。
看企業如何控管USB埠
經驗1:某半導體設計公司
選擇適當的做法,實際去管理內部員工電腦的USB埠使用是必要的,然而能否禁止員工將機密資料複製到隨身碟之類的USB儲存裝置,同時又不會造成工作上的諸多困擾,仍是重點所在。某半導體設計公司採用BIOS的方式及週邊裝置控管,但仍有其不足之處。
經驗2:某購物電視臺
這間購物電視台主要是整合公司內部的Windows AD伺服器,禁止網域下的一部分電腦使用USB埠存取隨身碟,控管範圍包括經常接觸客戶資料的客服中心(Call Center),以及經手信用卡資訊的金融單位。
妥善控管USB埠,防止資安事件發生 | |||||||||||||||||||||||||||||||||||||||||
根據2007年1月,由研究機構Forrester Research提出的「Data Loss Prevention and Endpoint Security:Survey Findings」報告中指出,過去兩年,有52%的機密資料外洩事件與隨身碟一類的USB儲存裝置有關,高居所有機密資料外洩原因當中的第一位。而賽門鐵克日前發表的最新一期全球網路安全威脅報告,也不約而同地表示,隨身碟等含有儲存空間的裝置是造成機密資料外洩的重要原因,同時也是今後需要持續觀察的重點項目。 從以上兩份報告來看,我們不難了解在企業內部隨處可見的USB埠,對於機密資料安全所造成的相當威脅。 除了隨身碟等USB儲存裝置之外,會造成企業機密資料外洩的USB周邊,還包括了無線網卡(Wi-Fi、3.5G),以及藍牙接收器等不具備資料儲存能力,但可以連接外部的無線網路,或者與周圍其他裝置建立連線的方式將資料傳送出去的裝置。 造成機密資料透過USB埠外洩的原因,除了蓄意盜取,儲存裝置的遺失也很常見。邁格數位技術顧問顧新貽表示,以前曾經聽過某家廠商的技術人員將存有機密資料的隨身碟遺留在客戶公司,雖然事後經由客戶通知,而將隨身碟取回,不過裡頭的資料是否因此而被人盜取,就不得而知了;另外,也有案例是因為使用者將含有機密資料的USB儲存裝置插入含有惡意程式的電腦,導致機密資料被惡意程式複製上傳。 不光是USB埠,網路也是造成機密資料外洩的主要原因之一,不過這個部分比較容易管理,稍具規模的企業,一般會在網路閘道端部署各種不同功能的資安設備,像是郵件過濾(稽核),或者是即時通訊側錄設備,目的除了防止垃圾郵件、病毒等含有不當內容的資料進入企業內部造成破壞之外,也能記錄進出網路的所有訊息。有鑒於此,對於真正想要偷取機密資料,而不想被被企業有所察覺的人來說,就會避免使用網路做為傳送資料的管道;相形之下,較難有效管理,而且能夠外接多種不同類型裝置的USB埠,就成為外流機密資料的最佳管道。 需兼顧使用上的便利與安全 對於企業來說,管理USB埠的難題,往往在於不知該如何兼顧使用上的便利與安全──既要開放使用USB埠的權限,同時又不讓機密資料可以透過USB埠流出,以免造成企業營運上的損失。 要防止機密資料透過USB埠從企業內部流出,技術上並不困難,最簡單的做法,是使用熱熔膠等填充物阻塞電腦的USB埠,或者在主機板的BIOS設定中,直接停用USB埠的功能,並且設定BIOS的管理密碼,防止使用者日後進入BIOS自行啟用這項功能。 從效果來看,類似這種停用硬體功能的做法,的確可以遏止機密資料透過USB埠流出,不過管理上卻欠缺彈性。一旦實施之後,不僅是隨身碟這類可能導致機密資料外洩的儲存裝置,就連印表機、鍵盤這些理論上不具備資料儲存功能的裝置也同樣無法使用。 為了不造成內部員工日常工作上的困擾,常見的解決方式,就是在需要外接裝置的電腦上開放USB埠的功能,不過這麼一來,又會因為員工可能在電腦上使用USB儲存裝置而產生資料外洩的疑慮,導致企業對於USB埠的管理變得有名無實。 達友科技資訊安全顧問林皇興表示,有一些企業在做法上,是以政策公告的方式取代實際的封鎖控管,在開放USB埠的使用權限之餘,同時告知員工不可以透過USB埠將機密資料複製外流;對於使用者來說,這樣的管理方式並沒有強制性的約束力,資料依舊可以不受限制地隨意複製,因此林皇興建議,如果IT預算許可,導入相關的資安產品,輔助企業管理USB埠的使用會是比較理想的方式。 密網資安技術經理王鴻明認為,隨身碟的容量增加,也是造成機密資料容易透過USB埠外流的原因。他說,以前的隨身碟容量有限,需要分成多次才能將所有的機密資料從企業內部完整帶走,而現在的隨身碟容量動輒從2GB、4 GB起跳,甚至有容量達16 GB的產品出現,而且價格上也愈來愈便宜,因此可以將所有的機密資料一次從企業內部攜出,使得被企業察覺的機率減少了。事實上,就連體積龐大的資料庫檔案也無法倖免,現在也可以輕而易舉複製到隨身碟,一併帶走。 依據需求選擇適合的管理方式 有許多做法可以幫助企業管理內部電腦上的USB埠,除了先前提到的兩種之外,位於園區的許多高科技製造業,會在訪客攜帶的筆記型電腦上黏貼易碎貼紙(大多用在電器用品上,做為維修保固時的憑證,或作為局部防拆識別之用,有些貼紙甚至會注明「撕毀無效」、「拆封無效等字眼」),以便確認訪客進入企業內部之後,是否曾經使用USB埠存取資料。 修改作業系統設定的方式是經常使用到的一種,IT人員可以刪除Windows系統內建的USB儲存裝置驅動程式,讓USB儲存裝置無法在員工電腦上讀取,另外,也可以修改登錄機碼(Registry),禁止員工在自己電腦上使用USB儲存裝置,或者只開放唯讀權限,無法寫入資料,不過對於熟稔電腦操作的員工來說,這種做法的效果顯得十分有限,員工可以將機碼的設定值回復成預設值,讓電腦可以正常存取USB儲存裝置。 對於電腦數量眾多的環境,我們可以透過整合Windows AD的方式,利用設定群組原則的方式,限定電腦僅能連接特定周邊,除了隨身碟之外,也能支援光碟機、軟碟機、以及LS-120磁碟機等裝置。
|
沒有留言:
張貼留言