霍尼韦尔(Honeywell)的一项新研究发现,可移动USB驱动器“突然”构成了威胁,被描述为“重要且刻意”,以保护工业过程控制网络。
该报告指出,至少有44%的分析USB驱动器检测到并阻止了至少一个威胁安全的文件。 检测到的文件中有四分之一(26%)能够造成严重损坏,因此操作员可能会失去查看或管理操作进度的能力。 在检测到的威胁中,例如TRITON,Mirai和各种形式的Stuxnet蠕虫。 一项比较分析还显示,传统的恶意软件防护工具最多无法检测到11%的检测到的威胁。
考虑到保护和限制对公司网络访问的任务传统上比设备控制更加受关注,因此组织对可移动USB驱动器的脆弱性变得更加明显。
通常,注意力太少了。 因此,伴随2016年美国总统大选引起轰动的主题之一就是黑客窃取了大量信件,从而入侵了民主党的邮件服务器(DNC)。 据民主党人和官员称,黑客攻击是从罗马尼亚进行的,俄罗斯黑客或特殊服务人员参与了此案,这样做是为了试图干预选举-所有其他版本仅是“阴谋论”。
由在情报,法证和法证方面有经验的合格专家组成的独立小组对丑闻的技术背景进行了替代研究 。 专家的结论是基于对据称被盗材料的数量和数据传输速率的评估。 对元数据的分析表明,在2016年7月5日晚上,从DNC服务器下载了1976 MB的数据。 该操作花费了87秒,这意味着22.7 MB / s的数据传输速率。 同时,没有一个黑客可以在2016年使用的单一互联网服务提供商以这种速度甚至通过跨大西洋向罗马尼亚传输数据来传输数据。 Xfinity和Cox Communications提供商在2016年上半年实现了最高的平均ISP速度,分别平均为15.6 MB / s和14.7 MB / s。 间歇地记录了具有较高速度的峰值速度,但仍未达到所需的每秒22.7兆字节。 这意味着仍然无法获得外部黑客攻击所需的速度,这驳斥了从外部对邮件服务器进行黑客攻击的理论。
同时,使用USB 2闪存驱动器时,典型的传输速率为23 MB / s! 此外,专家认为,被窃取的数据量太大,无法通过Internet传输。 所有这些使我们可以得出结论,从DNC邮件服务器盗窃数据是由将数据传输到外部USB驱动器对服务器具有物理访问权的人员执行的。
不久前,阿德莱德大学的澳大利亚专家发表了另一篇非常有趣的研究 。 他们测试了50多台计算机和外部USB集线器,发现其中90%以上将信息传输到外部USB设备,该设备不是直接进行数据传输的目的地。 Yuval Yarom说:“ 据信,由于信息仅在USB设备和计算机之间直接传输,因此可以防止受到潜在威胁的设备的侵害, 但是我们的研究表明,如果恶意设备连接到一个设备上的相邻端口,并且在相同的外部或内部USB集线器上,此敏感信息可能会被恶意设备劫持 。” 研究人员发现,串扰正在USB集线器内部泄漏,这类似于管道中的水扩散,这意味着您可以使用USB集线器上的相邻端口来恶意窃取数据。 为了验证该假设,研究人员使用了一种经过改进的廉价设备,该设备带有插入式USB连接器,可以从相邻的USB键盘接口读取每个击键,然后将所截获的数据通过蓝牙发送到另一台计算机。
澳大利亚大学的研究和对DNC服务器中邮件通信泄漏的分析都直接表明,近年来趋向于忘记和低估与使用USB设备相关的数据泄漏的水平是绝对错误的,甚至是有害的。 是的,当今已经使用即时通讯工具和云存储,但是任何组织中的每个潜在攻击者仍然可以使用良好的旧USB接口和几GB的原始闪存驱动器,这意味着使用它们来窃取机密信息仍然很重要,而且,比通过外部边界进行攻击或通过云和邮件转储数据更简单,更有效。 此外,还应牢记从可移动USB驱动器进行恶意软件攻击的可能性作为潜在威胁。
一些多年来一直忽略USB威胁的组织仍然遇到了问题。 正如他们所说,总比没有好。 因此,在2018年春季, IBM禁止其员工使用可移动存储设备。 在针对全球CIO员工的指令中,Shamla Naidoo表示,该公司“ 正在扩大禁止向所有可移动便携式存储设备(USB,SD卡,闪存驱动器)传输数据的做法 。” 有人认为,由于丢失或错误使用可移动存储设备而可能造成的财务和声誉损失。 根本的方法是简单地禁止USB。 同时,建议开发人员使用自己的云同步和交换服务进行数据存储和传输。
全球经济的另一个怪物-在线零售商Amazon.com继续开除美国和印度涉嫌以涉嫌非法获取内部数据为目的的员工,以打击员工通过向独立卖方泄露内部信息的欺诈行为为名。 为了防止欺诈和泄漏, Amazon限制了技术支持人员搜索内部数据库的能力,并且还禁止使用USB端口。
我们不知道IBM和Amazon选择了哪种方法和方法来阻止USB,但是鉴于IBM认为有可能在为单个员工阻止USB端口时提供例外的信息,因此这几乎不是完整的DLP产品。
不幸的是,许多定位为DLP的解决方案仍然可以与USB接口一起使用,并在设备管理器级别通过USB接口连接,仅在应用程序级别断开设备连接,或者阻止设备驱动程序启动。 坦白说,这种“保护”不仅脆弱,而且具有潜在的危险,因为它会产生错误的安全感-并且当然不会以任何方式阻止恶意软件从USB闪存驱动器攻击计算机。
通过对通过USB接口连接的设备的监视和访问控制功能以及对USB接口本身的控制的灵活组合,可以实现与USB接口使用相关的威胁的高质量消除,以控制未被OS归类为存储设备但属于潜在泄漏通道的设备数据或恶意软件渗透。
最后,我想指出,自2003年发布的DeviceLock 5.5版本以来,我们的DeviceLock DLP产品可以完全控制USB和FireWire端口。 使用DeviceLock DLP可以防止内部入侵者通过USB设备,可移动驱动器,磁盘和其他连接的外部设备以及打印通道,电子邮件,即时通讯程序,文件共享服务和其他数据传输通道来盗窃信息。 此外,DeviceLock DLP中对事件日志记录和卷影复制的支持还提供了法律文档以及访问尝试和复制特定数据的事实的证据。