Sebuah studi baru oleh Honeywell menemukan bahwa drive USB yang dapat dilepas "tiba-tiba" menimbulkan ancaman, digambarkan sebagai "signifikan dan disengaja," untuk melindungi jaringan kontrol proses industri.
Laporan tersebut menyatakan bahwa setidaknya 44% dari drive USB yang dianalisis terdeteksi dan diblokir setidaknya satu file yang mengancam keamanan. Seperempat (26%) dari file yang terdeteksi mampu menyebabkan kerusakan serius, akibatnya operator dapat kehilangan kemampuan untuk melihat atau mengelola kemajuan operasi. Di antara ancaman yang terdeteksi adalah seperti TRITON, Mirai, berbagai bentuk cacing Stuxnet. Analisis komparatif juga menunjukkan bahwa alat perlindungan malware tradisional tidak dapat mendeteksi hingga 11% dari ancaman yang terdeteksi.
Menimbang bahwa tugas melindungi dan membatasi akses ke jaringan perusahaan secara tradisional lebih diperhatikan daripada kontrol perangkat, kerentanan organisasi dari drive USB yang dapat dilepas menjadi semakin jelas.
Dan seringkali perhatian terlalu sedikit diberikan. Jadi, salah satu topik sensasional yang menyertai pemilihan presiden AS 2016 adalah meretas server surat Partai Demokrat (DNC) dengan pencurian sejumlah besar korespondensi. Menurut Demokrat dan pejabat, peretasan dilakukan dari Rumania, dan peretas Rusia atau layanan khusus berpartisipasi dalam kasus ini, dan ini dilakukan demi mencoba ikut campur dalam pemilihan - dan semua versi lain tidak lebih dari "teori konspirasi".
Sebuah studi alternatif tentang latar belakang teknis skandal itu dilakukan oleh kelompok independen ahli yang memenuhi syarat dengan pengalaman dalam intelijen, forensik dan forensik. Kesimpulan para ahli didasarkan pada penilaian jumlah materi yang diduga diretas dan kecepatan transfer data. Analisis metadata menunjukkan bahwa pada malam 5 Juli 2016, 1976 megabita data diunduh dari server DNC. Operasi ini memakan waktu 87 detik, yang berarti kecepatan transfer data 22,7 MB / s. Pada saat yang sama, tidak satu pun penyedia layanan Internet yang dapat digunakan oleh seorang hacker pada tahun 2016 diizinkan untuk mentransfer data dengan kecepatan seperti itu, dan bahkan melalui transfer trans-Atlantik ke Rumania. Rata-rata kecepatan ISP tertinggi pada paruh pertama 2016 dicapai oleh penyedia Xfinity dan Cox Communications dan rata-rata 15,6 dan 14,7 MB / s. Kecepatan puncak dengan kecepatan lebih tinggi direkam secara intermiten, tetapi masih belum mencapai 22,7 megabita per detik yang dibutuhkan. Ini berarti bahwa kecepatan yang diperlukan untuk peretasan eksternal masih tidak dapat dicapai, yang membantah teori peretasan server surat dari luar.
Pada saat yang sama, 23 MB / s adalah kecepatan transfer khas saat menggunakan USB 2 flash drive! Selain itu, para ahli percaya bahwa jumlah data yang dicuri terlalu besar untuk pengiriman melalui Internet. Semua ini memungkinkan kita untuk menyimpulkan bahwa pencurian data dari server surat DNC ββdilakukan oleh orang yang memiliki akses fisik ke server dengan mentransfer data ke drive USB eksternal.
Belum lama berselang, penelitian lain yang sangat menarik diterbitkan oleh para ahli Australia dari University of Adelaide. Mereka menguji lebih dari 50 komputer dan hub USB eksternal dan menemukan bahwa lebih dari 90 persen di antaranya mentransfer informasi ke perangkat USB eksternal yang bukan tujuan langsung untuk transfer data. " Diyakini bahwa karena informasi ditransmisikan hanya secara langsung antara perangkat USB dan komputer, itu dilindungi dari perangkat yang berpotensi dikompromikan ," kata Yuval Yarom, " Tetapi penelitian kami telah menunjukkan bahwa jika perangkat jahat terhubung ke port tetangga pada satu dan hub USB eksternal atau internal yang sama, informasi sensitif ini dapat dibajak oleh perangkat jahat . " Para peneliti telah menemukan bahwa crosstalk bocor di dalam hub USB, mirip dengan penyebaran air dalam pipa, yang berarti Anda dapat menggunakan port tetangga di hub USB untuk mencuri data dengan jahat. Sebagai tes untuk mengkonfirmasi hipotesis, para peneliti menggunakan perangkat murah yang dimodifikasi dengan konektor USB plug-in untuk membaca setiap keystroke dari antarmuka keyboard USB tetangga, setelah itu data yang dicegat dikirim melalui Bluetooth ke komputer lain.
Baik penelitian di universitas Australia dan analisis kebocoran korespondensi surat dari server DNC secara langsung menunjukkan bahwa kecenderungan dalam beberapa tahun terakhir untuk melupakan dan meremehkan tingkat kebocoran data yang terkait dengan penggunaan perangkat USB sangat salah dan bahkan berbahaya. Ya, pengirim pesan instan dan penyimpanan cloud sedang digunakan saat ini, tetapi antarmuka USB lama yang bagus dan flash drive primitif untuk beberapa gigabyte masih tersedia untuk setiap penyerang potensial di organisasi mana pun, yang berarti bahwa menggunakannya untuk mencuri informasi rahasia masih relevan, dan terlebih lagi, masih banyak lebih sederhana dan lebih efektif daripada menyerang melalui perimeter eksternal atau membuang data melalui cloud dan mail. Selain itu, kemungkinan serangan malware dari USB drive yang dapat dilepas juga harus diingat sebagai ancaman potensial.
Beberapa organisasi yang telah mengabaikan ancaman USB selama bertahun-tahun masih mendapatkan masalah. Seperti yang mereka katakan, lebih baik terlambat daripada tidak sama sekali. Jadi, pada musim semi 2018, IBM melarang karyawannya menggunakan perangkat penyimpanan yang dapat dilepas. Dalam arahan untuk karyawan Global CIO, Shamla Naidoo mengatakan perusahaan " memperluas praktik pelarangan transfer data ke semua perangkat penyimpanan portabel yang dapat dilepas (USB, kartu SD, flash drive) ." Kerusakan keuangan dan reputasi yang mungkin dari kehilangan atau penggunaan yang salah dari perangkat penyimpanan yang dapat dilepas dikutip sebagai argumen. Pendekatan radikal adalah dengan hanya melarang USB. Pada saat yang sama, pengembang disarankan untuk menggunakan sinkronisasi cloud mereka sendiri dan layanan pertukaran untuk penyimpanan dan transmisi data.
Monster lain dari ekonomi global, Amazon.com, pengecer online, atas nama memerangi penipuan oleh karyawan yang membocorkan informasi internal kepada penjual independen, kemudian memberhentikan karyawan yang dicurigai di Amerika Serikat dan India karena diduga mendapatkan akses secara ilegal ke data orang dalam. Untuk mencegah penipuan dan kebocoran, Amazon telah membatasi kemampuan staf dukungan teknis untuk mencari di basis data internal, dan juga telah melarang penggunaan port USB.
Kami tidak tahu metode dan sarana apa untuk memblokir USB yang dipilih oleh IBM dan Amazon, tetapi mengingat informasi yang dipikirkan IBM tentang kemungkinan memberikan pengecualian ketika memblokir port USB untuk masing-masing karyawan, ini bukanlah produk DLP yang lengkap.
Sayangnya, banyak solusi yang diposisikan sebagai DLP masih berfungsi dengan antarmuka USB dan terhubung melaluinya di tingkat Device Manager, cukup melepaskan perangkat di tingkat aplikasi, atau mencegah driver perangkat memulai. "Perlindungan" semacam itu tidak hanya lemah, tetapi juga berpotensi berbahaya, karena menciptakan rasa aman yang salah - dan tentu saja tidak mencegah malware menyerang komputer dari USB flash drive.
Netralisasi ancaman secara kualitatif terkait dengan penggunaan antarmuka USB dicapai melalui kombinasi fleksibel fungsi pengawasan dan kontrol akses untuk perangkat yang terhubung melalui antarmuka USB dan kontrol antarmuka USB itu sendiri untuk mengendalikan perangkat yang tidak diklasifikasikan oleh OS sebagai perangkat penyimpanan, tetapi merupakan saluran kebocoran potensial penetrasi data atau malware.
Sebagai kesimpulan, saya ingin mencatat bahwa produk DeviceLock DLP kami, sejak versi DeviceLock 5.5, diterbitkan kembali pada tahun 2003, menyediakan kontrol penuh port USB dan FireWire. Menggunakan DeviceLock DLP mencegah pencurian informasi oleh pengganggu internal melalui perangkat USB, drive yang dapat dilepas, disk dan perangkat eksternal yang terhubung lainnya, serta saluran cetak, email, pesan instan, layanan berbagi file dan saluran transfer data lainnya. Selain itu, dukungan untuk pencatatan kejadian dan penyalinan bayangan di DeviceLock DLP menyediakan dokumentasi hukum dan bukti upaya akses dan fakta penyalinan data tertentu.