2012年6月14日 星期四

[FK]封鎖USB埠


使用可移除式的USB儲存裝置,已成為網路之外最主要的資料存取與交換方式,便利之餘,卻同時衍生平時不容易發現的危機,例如只靠一隻隨身碟或一片記憶卡,就可以快速複製大量的文件,甚至是一整個資料庫檔案,直接就能帶離公司;而日益猖獗的USB病毒更是另一項嚴重的威脅。要解決這些問題,你就必須要面對封鎖USB。 


來源網址:http://www.ithome.com.tw/itadm/article.php?c=48641&s=6



文/楊啟倫 (記者) 2008-04-28


由研究機構Forrester Research提出的「Data Loss Prevention and Endpoint Security:Survey Findings」報告中指出,過去兩年,有52%的機密資料外洩事件與隨身碟一類的USB儲存裝置有關,高居所有機密資料外洩原因當中的第一名。而賽門鐵克日前發表的最新一期全球網路安全威脅報告,也不約而同地表示,隨身碟等含有儲存空間的裝置是造成機密資料外洩的重要原因。 

妥善控管USB埠,防止資安事件發生 
USB是造成企業機密資料外洩的主要原因,同時也是現今病毒入侵的熱門管道,企業應針對USB埠的控管做好把關,以免造成資安事件,危害到企業營運。因此,控管電腦周邊如果不夠嚴密,將演變成安全大漏洞。 

病毒氾濫也是企業主動管理USB埠的原因之一 
除了機密資料的外洩防護,近來常見的USB病毒,也是企業針對USB埠採取管理的一項重要原因。而常見的容易造成機密資料外洩的USB週邊裝置包括隨身碟、數位相機、讀卡機、外接式硬碟等。 

自己動手做!企業封鎖USB埠的12種方法 
企業可以利用許多方式管理員工使用電腦上的USB埠,大體來說,我們可以將所有的做法分類成為3個類別,第一種是透過實體方式,從硬體著手,停用USB埠的功能;其次則是以修改系統設定的方式來達成管理USB埠的目的;最後一種則是結合第三方的應用程式,控管員工電腦上的USB埠。 

看企業如何控管USB埠 
經驗1:某半導體設計公司 
選擇適當的做法,實際去管理內部員工電腦的USB埠使用是必要的,然而能否禁止員工將機密資料複製到隨身碟之類的USB儲存裝置,同時又不會造成工作上的諸多困擾,仍是重點所在。某半導體設計公司採用BIOS的方式及週邊裝置控管,但仍有其不足之處。 

經驗2:某購物電視臺 
這間購物電視台主要是整合公司內部的Windows AD伺服器,禁止網域下的一部分電腦使用USB埠存取隨身碟,控管範圍包括經常接觸客戶資料的客服中心(Call Center),以及經手信用卡資訊的金融單位。



妥善控管USB埠,防止資安事件發生
根據2007年1月,由研究機構Forrester Research提出的「Data Loss Prevention and Endpoint Security:Survey Findings」報告中指出,過去兩年,有52%的機密資料外洩事件與隨身碟一類的USB儲存裝置有關,高居所有機密資料外洩原因當中的第一位。而賽門鐵克日前發表的最新一期全球網路安全威脅報告,也不約而同地表示,隨身碟等含有儲存空間的裝置是造成機密資料外洩的重要原因,同時也是今後需要持續觀察的重點項目。

從以上兩份報告來看,我們不難了解在企業內部隨處可見的USB埠,對於機密資料安全所造成的相當威脅。

除了隨身碟等USB儲存裝置之外,會造成企業機密資料外洩的USB周邊,還包括了無線網卡(Wi-Fi、3.5G),以及藍牙接收器等不具備資料儲存能力,但可以連接外部的無線網路,或者與周圍其他裝置建立連線的方式將資料傳送出去的裝置。

造成機密資料透過USB埠外洩的原因,除了蓄意盜取,儲存裝置的遺失也很常見。邁格數位技術顧問顧新貽表示,以前曾經聽過某家廠商的技術人員將存有機密資料的隨身碟遺留在客戶公司,雖然事後經由客戶通知,而將隨身碟取回,不過裡頭的資料是否因此而被人盜取,就不得而知了;另外,也有案例是因為使用者將含有機密資料的USB儲存裝置插入含有惡意程式的電腦,導致機密資料被惡意程式複製上傳。

不光是USB埠,網路也是造成機密資料外洩的主要原因之一,不過這個部分比較容易管理,稍具規模的企業,一般會在網路閘道端部署各種不同功能的資安設備,像是郵件過濾(稽核),或者是即時通訊側錄設備,目的除了防止垃圾郵件、病毒等含有不當內容的資料進入企業內部造成破壞之外,也能記錄進出網路的所有訊息。有鑒於此,對於真正想要偷取機密資料,而不想被被企業有所察覺的人來說,就會避免使用網路做為傳送資料的管道;相形之下,較難有效管理,而且能夠外接多種不同類型裝置的USB埠,就成為外流機密資料的最佳管道。

需兼顧使用上的便利與安全
對於企業來說,管理USB埠的難題,往往在於不知該如何兼顧使用上的便利與安全──既要開放使用USB埠的權限,同時又不讓機密資料可以透過USB埠流出,以免造成企業營運上的損失。

要防止機密資料透過USB埠從企業內部流出,技術上並不困難,最簡單的做法,是使用熱熔膠等填充物阻塞電腦的USB埠,或者在主機板的BIOS設定中,直接停用USB埠的功能,並且設定BIOS的管理密碼,防止使用者日後進入BIOS自行啟用這項功能。

從效果來看,類似這種停用硬體功能的做法,的確可以遏止機密資料透過USB埠流出,不過管理上卻欠缺彈性。一旦實施之後,不僅是隨身碟這類可能導致機密資料外洩的儲存裝置,就連印表機、鍵盤這些理論上不具備資料儲存功能的裝置也同樣無法使用。

為了不造成內部員工日常工作上的困擾,常見的解決方式,就是在需要外接裝置的電腦上開放USB埠的功能,不過這麼一來,又會因為員工可能在電腦上使用USB儲存裝置而產生資料外洩的疑慮,導致企業對於USB埠的管理變得有名無實。

達友科技資訊安全顧問林皇興表示,有一些企業在做法上,是以政策公告的方式取代實際的封鎖控管,在開放USB埠的使用權限之餘,同時告知員工不可以透過USB埠將機密資料複製外流;對於使用者來說,這樣的管理方式並沒有強制性的約束力,資料依舊可以不受限制地隨意複製,因此林皇興建議,如果IT預算許可,導入相關的資安產品,輔助企業管理USB埠的使用會是比較理想的方式。

密網資安技術經理王鴻明認為,隨身碟的容量增加,也是造成機密資料容易透過USB埠外流的原因。他說,以前的隨身碟容量有限,需要分成多次才能將所有的機密資料從企業內部完整帶走,而現在的隨身碟容量動輒從2GB、4 GB起跳,甚至有容量達16 GB的產品出現,而且價格上也愈來愈便宜,因此可以將所有的機密資料一次從企業內部攜出,使得被企業察覺的機率減少了。事實上,就連體積龐大的資料庫檔案也無法倖免,現在也可以輕而易舉複製到隨身碟,一併帶走。

依據需求選擇適合的管理方式
有許多做法可以幫助企業管理內部電腦上的USB埠,除了先前提到的兩種之外,位於園區的許多高科技製造業,會在訪客攜帶的筆記型電腦上黏貼易碎貼紙(大多用在電器用品上,做為維修保固時的憑證,或作為局部防拆識別之用,有些貼紙甚至會注明「撕毀無效」、「拆封無效等字眼」),以便確認訪客進入企業內部之後,是否曾經使用USB埠存取資料。

修改作業系統設定的方式是經常使用到的一種,IT人員可以刪除Windows系統內建的USB儲存裝置驅動程式,讓USB儲存裝置無法在員工電腦上讀取,另外,也可以修改登錄機碼(Registry),禁止員工在自己電腦上使用USB儲存裝置,或者只開放唯讀權限,無法寫入資料,不過對於熟稔電腦操作的員工來說,這種做法的效果顯得十分有限,員工可以將機碼的設定值回復成預設值,讓電腦可以正常存取USB儲存裝置。

對於電腦數量眾多的環境,我們可以透過整合Windows AD的方式,利用設定群組原則的方式,限定電腦僅能連接特定周邊,除了隨身碟之外,也能支援光碟機、軟碟機、以及LS-120磁碟機等裝置。

USB的兩大風險
風險1:USB病毒
是一種利用USB自動播放功能,或者透過使用者讀取USB儲存裝置內容的時候,將病毒由USB儲存裝置複製到電腦運作的攻擊手法。目前常見的USB病毒檔案包括kavo.exe、ntdelect.com、kavo1.dll,以及ubs.exe等數種,可能造成使用者無法正常讀取各磁碟機內容,或者無法顯示系統內容的隱藏檔案,以免病毒被發現清除。除了將USB埠的功能設定成禁用之外,我們可以將USB自動播放的功能設定為關閉,藉此初步防範USB病毒對於電腦所造成的危害。
風險2:資料外洩
除了隨身碟之外,可以將機密資料複製外流的USB儲存裝置還包括手機、數位相機,MP3隨身聽等數種,除此之外,像是本身不具備資料儲存能力,但可以將資料傳送出去的藍牙、3G無線網卡,以及一般常見的Wi-Fi無線網卡也是可能造成機密資料外洩的媒介。不單只是技術資料、程式碼等過去經常被盜取的機密資料,由於隨身碟容量的不斷增加,到了2009年,一張記憶卡所能儲存的最高資料量,即將到達128GB,過去被視為不容易被複製外流的資料庫檔案也不再安全,現今也有可能被複製到隨身碟,一併攜出企業內部。


USB資安大事簿
●2007年5月
美國運輸安全局(Transportation Security Agency,TSA)遺失了一個內含100,000筆,在2002年1月到2005年8月任職於TSA的員工資料,據了解,這份名單包含的內容除了員工的姓名之外,還 有生日、社會安全碼、銀行帳戶,以及薪資等資料。●2007年3月
兩位軍官分別將存有「漢光演習」與「博勝案」機密資料的隨身碟攜回家中使用,結果被植入在電腦裡的中國木馬程式盜取上傳,造成機密資料外洩。
●2006年2月
兩位荷蘭人撿拾到一個遺失的隨身碟,當他們使用這個隨身碟準備從一臺電腦複製資料時發現,裝置裡頭存有軍方的機密資料,在此之前,荷蘭政府在2006年也發生過一次類似事件,當時是在一臺租來的汽車裡發現了一個遺留下來的硬碟,結果導致一位荷蘭空軍軍官因此而遭到解職。



 病毒氾濫也是企業主動管理USB埠的原因之一除了機密資料的外洩防護,近來常見的USB病毒,也是企業針對USB埠採取管理的一項重要原因。

賽門鐵克資深技術顧問莊添發表示,USB病毒的氾濫,使得執行檔成為亞太地區最大宗的惡意程式感染路徑,使用者往往只要將中毒的隨身碟連接到電腦,或者開啟瀏覽USB儲存裝置中的內容,病毒就會自動複製到作業系統運作,令人防不勝防。

可能造成機密資料外洩的USB周邊裝置
 
隨身碟:
隨身碟是造成USB資料外洩事件的主要原因,除了容量愈來愈大之外,還可以整合到手錶、原子筆等個人日常配件,讓企業難以防範。
數位相機:數位相機可以透過傳輸線將機密資料傳輸到記憶卡存放,不僅如此,對於一些只能在螢幕閱覽的資料,更是能夠直接拍成照片,從企業內部攜出。
讀卡機:可插入多種規格的記憶卡,功能與一般的隨身碟無異,手機使用的MS記憶卡,尺寸相當迷你,具有容易攜出企業內部的好處。外接式硬碟:外接式硬碟的容量是所有USB儲存裝置中最大的一種,具備一次將所有資料複製外流的能力,不過 由於體積較大,容易被發覺。
手機:
型號較新的手機產品,都可以插入記憶卡儲存資料,可透過傳輸線將資料輕易地複製到記憶卡中存放,不但如此,多數產品也具備照相功能。
MP3隨身聽:
這類裝置身內含一顆Flash記憶體顆粒,或者是固態硬碟,儲存容量相當介於隨身碟或者更大。
手持式遊樂器:像是PSP、NDSL一類的手持式遊樂器 ,可以連接記憶卡,同樣能將資料透過傳輸線複製外流。無線、3G網卡:裝置本身不具備儲存資料的能力,但可以連接外部的無線 區域網路、甚至是無線寬頻網路將資料傳送外流。
 

CD-RW/DVD-RW:這類可讀寫式光碟機可以將電腦裡頭的資料燒錄成光碟,但裝置的體積較大,在複製資料的過程中,企業容易察覺。
藍牙接收器:又被稱之為PAN( Personal Area Network),可將資料傳送到同樣具備藍牙模組的手機,或者是筆記型電腦。




自己動手做!企業實際執行USB埠封鎖的12種方法
想要控管USB埠這個管道,我們收集了目前可行的所有做法,總共歸納出3大類、12種方式。

第1大類是實體封鎖,又可細分成完全禁用、彈性禁用,以及貼標籤稽核;第2是修改系統設定,從Windows環境著手修改;第3種手段更全面,如果企業想獲得最高的控管彈性,利用專屬的周邊控管解決方案,或搭配其他資安方案的管制措施聯合控管,即可達到要求。要特別注意,是否需要大量個人端電腦控管與事件檢視能力,答案如果是肯定的,企業多半須花錢購買、建置。

1.停用BIOS的相關設定 ●優點:設定容易,做法簡單
●缺點:BIOS的管理密碼可能被破解

在主機板BIOS設定裡,我們可以將USB埠的功能,設定為停用。由於設定上十分容易,做法簡單,因此成為企業經常用來管理USB埠使用的方式。為了防止員工自行進入BIOS重新啟用USB埠的功能,一般在完成設定之後,IT人員會同時設定BIOS的管理密碼,往後只有IT人員才能進入、更改設定。

要注意的是,BIOS與USB埠相關的項目名稱與位置,往往隨不同品牌的電腦/主機板,而有些許差異,甚至沒有這方面的選項。

BIOS的管理密碼並非設定之後,就無法解開。只要執行主機板放電的程序,也就是將主機板電池取出之後、再重新放回,BIOS密碼就會回復成出廠預設值,而員工就可以趁機進入BIOS更改設定。不過,在企業內部,一般來說,都不允許使用者拆裝公司所配發的硬體設備,因此只要非IT部門的人員,在執行類似的動作,就十分容易引起附近員工的注意,在機密資料外洩事件發生時,這個人就會成為公司重點清查的可疑對象。

在主機板BIOS設定裡,我們可以將USB埠的功能,設定為停用。


2.黏上易碎貼紙
●優點:從肉眼就可以分辨電腦的USB埠有無使用過的跡象
●缺點:貼紙不小心破裂時,容易引起誤會

經常見於園區的許多高科技產業,適用對象對半是外來訪客,較少使用在內部的員工電腦。

訪客將筆記型電腦攜入之前,大門口的管理人員會在該臺電腦的USB埠與網路埠,黏貼一張易碎貼紙,確認訪客在進入企業內部的這段時間,是否曾經透過這些連接埠連接周邊裝置,或者存取資料。

用易碎貼紙控管USB埠,好處在於只要透過肉眼,就可以分辨電腦的連接埠是否曾經使用過,可是,一旦貼紙因為各種原因而產生破裂,就很容易造成誤會。這時,IT人員有權開啟訪客的電腦,檢查硬碟裡是否存放機密資料,確認無異狀之後,才會放行讓訪客攜出企業內部。

3.移除主機板上的跳接器
●優點:使USB埠功能達到真正的完全失效。
●缺點:管理上欠缺彈性,日後重新啟用USB埠功能的時候,需要打開電腦機殼,插回跳接器。

移除主機板上的跳接器(Jumper),同樣是為了停用主機板上的USB埠功能。不同於在BIOS將USB埠功能設定停用,移除跳接器之後,USB埠的功能達到真正的完全失效,不但無法讀取USB裝置,同時不會透過USB埠供電給連接在電腦上的USB周邊裝置。

當企業因為使用上的需求,而必須啟用USB埠功能的時候,就必須先將電腦機殼打開、將跳接器插回,做法上較為麻煩。

4.用熱熔膠堵住
●優點:可確實封鎖USB埠
●缺點:USB埠硬體隨之損壞,無法使用

也有許多企業,尤其是政府、軍方單位,經常是以熱熔膠等填充物堵住電腦的USB埠,不讓員工使用,一旦封鎖之後,即無法再連接任何的USB周邊裝置。

這是一種破壞性的封鎖方式,當填充物灌入USB埠接孔時,USB埠介面也會隨之損壞,而永久無法使用。

5.插上專用介面卡或硬體鎖
●優點:重新啟用時,不需要拆掉細部硬體,或者重新開機,原本的操作方式不會因此中斷或改變
●缺點:管理彈性較差

有一些現成的硬體產品,能夠幫助企業管理USB埠的使用。市面上有一種介面卡型式的產品,裝在主機板上的PCI插槽之後,USB等周邊連接埠的功能就會失效。產品本身附有一個搖控器,如果日後還有使用USB埠的需求,只要按下搖控器上的按鈕,連接埠的功能就會開放,同時不影響電腦目前正在執行中的工作。

另外一種是硬體鎖,可堵住電腦面板上的連接埠接孔,但可視使用需求而取下,恢復USB埠的功能,不像使用熱熔膠灌入USB埠接孔時,會造成硬體介面的損壞。某些品牌電腦的廠商就推出這樣子設計的產品,讓習於採購同廠牌電腦的企業作為配件選購;另外,在一些電子賣場也能找到具有類似功能的產品。

6.利用群組原則集中控管
●優點:適用於大量電腦環境,可批次強制實施,統一設定
●缺點:管理彈性較差

員工人數稍有規模的企業,一般都會在內部架設Windows Active Directory(AD)伺服器,並將所有電腦加入網域,以便實施統一控管。有了這樣的集中管理環境,IT人員就可以在一臺電腦中處理完所有員工電腦的控管措施,不用像前面幾種方式一樣,需要到每一臺電腦手動設定。

企業可以透過設定群組原則物件原則(GPO)的方式,在AD伺服器的管理介面執行相關的設定,接著將政策派送到內部的所有員工電腦,就可以關閉周邊裝置的使用權限。不只是USB儲存裝置,企業也可以使用相同方式控管光碟機、LS-120,以及軟碟機的使用。

7.修改電腦內的特定登錄機碼
●優點:設定簡單
●缺點:對於了解電腦操作的人來說,效果有限

對於連接過USB儲存裝置的電腦,可以利用修改登錄機碼設定的方式,禁止員工在電腦上使用USB儲存裝置。開啟Windows的登錄編輯程式,在「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\USBSTOR」的項目下找到Start數值,點選開啟之後,將數值由預設的3,修改為4,就能將USB儲存裝置設定為禁用。此種做法,對於知道如何修改登錄機碼的員工來說,隨時可以將機碼設定回復成預設值,繼續在電腦上使用USB儲存裝置。 如果企業有使用Windows Vista,則可以群組原則設定中,將卸除式磁碟機的項目設定為拒絕授予存取權。

直接修改電腦內的特定登陸機碼,也可以達到USB埠禁用的效果,適合少量電腦的封鎖規模。


8.刪除USB儲存裝置的驅動程式
●優點:可針對不同USB裝置個別控管
●缺點:僅能針對先前未曾連接USB儲存裝置的電腦

適用於未曾連接過任何USB儲存裝置的電腦。在「C:\WINDOWS\inf」路徑下,可以找到usbstor.inf、usbstor.PNF兩個安裝資訊檔案,這是Windows系統用來辨識USB儲存裝置的驅動程式。

我們可以針對這兩個檔案設定存取權限,修改檔案名稱,或者直接刪除檔案,就可以讓讓員工無法在自己電腦上使用USB儲存裝置。相同的做法,也能用於印表機、網路攝影機等USB裝置的管理。

我們可以針對USB儲存裝置的驅動程式設定存取權限,修改檔案名稱,或者直接刪除檔案,就可以讓讓員工無法在自己電腦上使用USB儲存裝置。


9.採用周邊裝置控管產品的解決方案
●優點:可視需求開放一部分的功能,具備良好的管理彈性
●缺點:無法防止員工以變造修改的方式將機密資料外流

企業對於USB埠的管理需求往往不只是單純的開與關而己,而是希望根據實際需求來決定要開放什麼樣的功能,在此種情況下,就需要導入周邊裝置的控管產品來達成這項目的。

這類產品通常會透過安裝在使用者電腦上的代理程式實施管理,而且能夠整合Windows AD、LDAP等目錄服務,讓同一部門、相同群組的電腦套用相同的政策做管理,省去個別調整設定的麻煩。

除了設定開關之外,這類產品對於周邊的連接埠,可以提供相當精細的管理功能,對於USB儲存裝置,可以設定成唯讀屬性,只能閱覽隨身碟裡的資料,但不可以執行寫入的動作,對於智慧型手機,這類員工工作上經常使用到的裝置,透過某些這類型的產品,可以只允許電腦與手機之間交換通訊錄,與行事曆,但不能將電腦裡的資料複製到手機上頭的記憶卡。

企業可以在員工將資料寫入USB儲存裝置的時候,可以備份到指定的儲存空間,供企業日後稽查檢查之用,不過也有企業為了避免資料儲存上的麻煩,只是記錄檔案的傳輸動作,將此臺電腦何時傳送了什麼樣的檔案記錄起來,不過這樣一來,對於員工以變造修改的方式將機密資料外流的做法,產品就無法有效地加以管理。

除了市面上的產品之外,網路上也有許多免費版本的USB控管軟體,舉例來說,像是USB Blocker,不過,也要注意某些工具有可能是廣告軟體或間諜軟體。

和付費產品相比,這一類控管產品的功能比較陽春,採用與否,需視企業實際需求與部署規模而定。

10.將重要檔案予以加密
●優點:可讓員工正常使用USB埠,並能防止裝置遺失
●缺點:一旦金鑰遺失,就無法開啟隨身碟裡的檔案

控管的對象以檔案為主,而非USB埠本身,當資料寫入USB儲存裝置的時候,可以透過應用程式執行加密,限制擁有解密金鑰的人才能開啟該檔案,防止USB儲存裝置遺失之後,裡頭存放的機密資料遭到盜取。

11.藉助SSL VPN或終端服務
●優點:可防止機密資料透過網路複製到遠端電腦的磁碟機
●缺點:防護範圍有限

幾家廠商的SSL VPN設備提供一種稱為虛擬桌面的應用服務,當員工從外部網路連接上線之後,電腦上的螢幕畫面就會自動切換成虛擬桌面,任何存取或修改資料的動作都必須在此區域進行。

而Windows Server的終端機服務,是一種可供多人同時執行遠端伺服器上的應用程式環境,這類型解決方案有一項功能是允許連線階段,將員工端本機電腦上的磁碟機、印表機等裝置自動連線,成為遠端電腦上的網路磁碟機,有可能會因此形成機密外洩管道。該怎麼防護?我們可以在本地端電腦設定相關的本機群組原則──關閉磁碟重新導向的功能,禁止員工將遠端電腦上的機密資料下載。

12.建置DLP解決方案
●優點:可以有效防止機密資料透過各種途徑外流,同時無需封鎖USB埠功能
●缺點:對於非Windows平臺的控管效果較差

DLP是更進一步的機密資料安全保護方案,功能上不但包含周邊裝置控管的功能,更結合資料過濾的方式,從檔案內容著手,在不影響USB埠功能的情況下,將含有機密內容的資料攔阻下來,不允許複製到USB儲存裝置,或者透過網路傳送出去。

看企業如何控管USB埠
企業對於選擇適當的做法管理內部的USB埠,是非常在意的。目前可行的相關做法雖然琳琅滿目,但除了能夠禁止員工將機密資料複製到隨身碟之類的USB儲存裝置,降低工作上的諸多困擾,仍是許多企業考量相關控管措施所關切的,甚至他們願意為了強化使用上的彈性,不得不一再嘗試,以便找出能夠兼顧便利與控管的各種解決方案。

經驗1:某半導體設計公司
為了解決記錄檔資料過大的問題,從資產管理系統改用DLP
位於園區,從事半導體設計、製造的A公司(他們不願意公開所屬企業名稱),從5年前,公司剛成立的時候,就開始針對員工電腦上的USB埠實施控管。

起初,該公司是透過設定BIOS的方式,停用員工電腦上的USB埠,但由於公司人數較多,有百人以上之多,IT人員到每臺電腦逐一完成設定,做法上並不是很方便,而且很耗費時間和人力,因此A公司後來決定購買了一套資產盤點系統,利用產品內含的功能管理員工電腦上的各種連接埠。

對於USB埠的使用,IT部門並沒有強制封鎖所有員工的電腦,禁止使用可移除式周邊裝置,他們可以在企業內部使用隨身碟之類的裝置儲存資料,不過,一旦系統察覺到插入的員工電腦隨身碟有寫入的動作,安裝在電腦上的代理程式,就會將這個事件回報給盤點系統主控臺所在的伺服器,記錄這臺電腦將特定資料儲存到隨身碟,記錄的範圍包括時間與儲存的檔案名稱。

當早期公司規模較小,員工數量在200~300人左右的時候,該套產品的運作上,一切都很正常,沒有出現效能上的問題;隨著這套系統的使用時間愈來愈久,儲存在資料庫裡的事件記錄一直增加,加上員工人數一直成長到將近1,000人時,每天需要寫入資料庫的記錄流量,比起過去要明顯大了許多,因此產生了運作效能上的瓶頸。

IT部門發現,資料庫由於效能上有問題,導致員工電腦與盤點系統主控臺之間的連線會時常中斷,使得IT人員無法有效管理內部所有的員工電腦,因此有必要重新尋找其他廠商的產品,做為替代。

幾經測試,最後該公司決定購買DLP(Data Loss Prevention)類型的產品,以便控管內部機密資料的流向。其實,A公司先前還測試過2、3家廠商的同類型產品,功能上都很相近,不過,由於A公司本身需要控管的機密資料中,有很大一部分是程式碼,而某些DLP產品的做法,會在機密資料加上一段標籤做為識別,造成工作上的困擾,因此最後A公司決定購買不會破壞檔案原始結構的產品。

以目前的部署範圍來說,A公司內部並非所有的電腦都已安裝DLP產品的代理程式。整體的控管範圍以RD研發以及FAE使用的電腦為主,總共須負責的數量約為500臺。

一般來說,DLP可以在員工複製機密資料到隨身碟的時候,就切斷傳輸,並且出現訊息予以警告,不過A公司並沒有啟用這項保護機制,主要是為了避免誤判,而干擾員工的日常工作。講到這裡,當我們問到是否可能因為這樣的做法,導致機密資料被複製外流,而企業無法即時攔阻的現象發生,根據接受我們訪問的該公司IT人員表示,的確是有這樣的可能性,不過從DLP產品導入至今還沒有發生過,公司方面過去也思考過這個問題,因此曾經開會討論,最後仍然決定維持原有的做法,也就是仍舊採用記錄事件的方式,由各部門主管定期閱覽報表(每周一次),了解部門內部近期是否有洩密事件發生。

一般高科技製造業會透過內、外兩層關卡,防止員工及外來訪客將機密資料流出公司內部。對於A公司的內部員工來說,主要就是透過DLP的解決方案;至於訪客,則透過NAC(網路存取控制)的端點安全防護技術,限制訪客攜帶的筆記型電腦無法任意存取企業網路資源,而且,訪客在內部活動時,需有公司員工全程陪同,以免對方趁無人監視的情況下,趁機透過網路以外的方式,盜取電腦上的機密資料。



經驗2:某購物電視臺
用AD控管USB埠成效有限,目前正在小規模測試,評估端點安全防護方案
另外一家同樣不願具名的B公司,以從事電視購物為主,IT部門大約是在1年多之前,開始針對公司電腦的USB埠實施控管。

目前B公司主要是整合公司內部的Windows AD伺服器,禁止網域下的一部分電腦使用USB埠存取隨身碟,控管範圍包括經常接觸客戶資料的客服中心(Call Center),以及經手信用卡資訊的金融單位。

至於其他像是需要攜帶工作資料拜訪客戶的業務單位,以及IT部門等,就沒有特別加以管理,這些員工仍然可以將公司電腦上的資料複製到隨身碟儲存。不過,為了降低機密資料外洩事件發生的可能性,B公司計畫停用更多電腦存取隨身碟的權限。

據他們表示,透過AD控管使用者電腦上的USB埠,整體來說,效果算是不錯,但實際操作上,也遇到過一些管理上的問題。舉例來說,當一臺電腦曾經由兩位分別屬於不同部門員工登入之後,就有可能產生政策更新上的錯亂──使得原本具有存取隨身碟權限的員工,無法在自己的電腦上使用隨身碟。

為了解決剛才提到的這個問題,目前B公司計畫透過防毒軟體來實施USB埠的控管,該項計畫正交由IT部門著手,開始實施小規模的測試。測試過程中,也遇過一些使用上的問題,像是USB滑鼠無法正常使用,這些狀況,B公司正與原廠積極聯繫,尋求出妥善的解決方式,因此尚未全面將這套系統部署到到公司內部。

企業封鎖USB經驗談
案例 1竹科某半導體設計公司案例 2某購物電視臺
應用規模:以RD研發、FAE部門為主應用規模:以客服中心、金融單位為主
● 先前使用的方法:1. BIOS
● 成效:可以徹底停用電腦USB埠功能
● 不足之處:IT人員需要在每臺電腦逐一設定,管理上較為不易。
2.周邊裝置控管
● 成效:搭配資產管理系統的內建功能控管員工電腦的USB埠,當有資料寫入隨身碟時,電腦上的代理程式會將此事件回報給盤點系統主控臺所在的伺服器。
● 不足之處:當儲存的資料量太大,資料庫會出現效能瓶頸,導致員工電腦與盤點系統主控臺之間的連線會時常中斷。
● 曾經用過的方法:整合Windows AD
● 成效:由於員工電腦均已加入網域,可在Windows AD主控臺透過群組規則的方式做管理,可有效限制電腦連接隨身碟。
● 經驗:當不同部門的部分員工先後使用過同一臺電腦,產生政策更新上的錯亂。
● 目前用過的方法:DLP● 成效:以事件稽核為主,不會在機密檔案內容加入標籤,保存原始結構。● 不足之處:價格較貴,僅先針對部分電腦實施控管。● 未來使用的方法:
由於公司目前使用中的防毒軟體有提供周邊裝置控管的功能,因此這方面的控管將會交由防毒軟體來執行。● 成效:由IT人員測試中。
● 經驗:某些測試過的版本會有一些使用上的問題,例如設定好員工電腦禁止使用USB儲存裝置的同時,連帶會使得USB滑鼠也無法使用,諸如此類的問題,他們已經反應給原廠,正在處理中,待一切測試沒有問題,才會取代Windows AD管理員工電腦上的USB埠。

沒有留言:

張貼留言

Related Posts Plugin for WordPress, Blogger...