FineArt News

外接裝置控管分類(外接裝置/模擬裝置的威脅)

邁入2020 年,資安的議題還是不斷蔓延,不論是駭客透過病毒肆虐感染資料、或是常見的投槍帶靠將機密外洩等事件屢屢皆是,每天都有大大小小的資安事件發生,企業對於資安防守層面越來越大、越來越廣,是否應該仔細思考資安管理層面,好好的面對資訊安全議題呢!

 

【外接裝置】

資安難以一次到位,很難永遠都打出超前部署的勝仗,面對外面這麼多的威脅,可以循序整頓企業內部資料流通機制。以下簡單討論一些常見的外接儲存媒體,透過一些資安觀點,建議大家可以由簡做起,陸續將資安循序漸進補好補滿。

首先,平常隨手可得的USB,是資料交換最普遍的媒介,隨著USB Storage空間越做越大,價格越來越便宜,所攜帶的檔案越來越多的情況,應該要好好制定USB的使用管制。假設從未進行過資安管制或是完全無法從何處下手,我們建議可以由USB管制先進行下手,至少在USB的資料傳遞間會留下使用者的操作記錄及檔案備份,而對於非公司認可的USB裝置也可以有效禁止使用,減少企業機密資料的損失。

由於USB裝置的方便使用、價格便宜、空間很大,光碟機這個裝置已經越來越少使用,甚至連現在比較新的筆記型電腦都已不標配光碟機這個裝置。但往往少用,而忽略到光碟裝置的威脅,USB光碟機也很普遍,體積也不大,使用者如果發現公司並未管制光碟機裝置,偷偷放在包包帶進公司,也是可以將檔案輕易帶走。不論被竊資料是多是寡,如果不進行控管,也是企業的重大損失。我們可以透過禁用光碟機,或是禁用燒錄軟體來達到簡易的控管,減少不必要的資安漏洞。

再來就是企業內部非常常見的印表機,可能有些人會說實體印表機都有進行管制,要有權限的人才能進行列印,但別忘了,也是還有虛擬印表機的存在,對於印表機的控管,可能有些企業當印表機一多,就疏忽掉了管制作業。又加上虛擬印表機安裝簡單,資料完全不用實體列印出來,就可以將資料輕鬆帶走,對於實體印表機或虛擬印表機的行為威脅,實體印表機可以透過列印浮水印、列印記錄/備份、列印張數限制;將虛擬印表機全數禁用,來達到完整的控管。

 

【模擬裝置】

以上都是屬於比較常見的外接裝置,使用者非常聰明,網路資訊非常發達的情況下,也是會遇到一些特殊模擬裝置挑戰企業內部資安,簡單介紹幾種比較特殊的模擬裝置的行為。

聽到模擬裝置可能大家會覺得感到陌生,但提到樹莓派可能就眾所皆知,這類型裝置特色就是體積非常的小,因為體積小放在口袋、包包中不會有人察覺異常,輕鬆帶進公司內部。隨著科技技術演變,上面功能越來越多了,可以外接儲存媒體(例如Micro SD卡)、外接螢幕、外接鍵盤/滑鼠、WiFi網路…等。

如果遇到稍微有點編程技術的使用者,透過些SSH指令,讓這塊小板子連上公司WiFi,開始盜取公司內部資料。如果企業資安不夠扎實,對於這種行為應該是無法招架。特殊裝置層出不窮,如果我們掌握裝置的行為,其實可以透過一些CMD或PowerShell方式,記錄使用者對模擬裝置下達的一些指令,作為日後的稽核與查證。

而此類型裝置,還有可能本身自帶一套小的OS系統,透過USB接上電腦,在電腦主機進入Windows OS前,完全閃躲過資安軟體,即可進入到模擬裝置的OS,進行肆虐。對於此類型裝置,可以透過硬體裝置的比對來進行標準化,若當有非標準硬體裝置接接入時,可以第一時間來禁用此裝置,降低不當裝置為所欲為。

 

【管控方式比較表】

 

Mass Storage

MTP傳輸

人因(HID)裝置

模擬網卡

WiFi AP分享

自帶OS啟用服務

開機(Boot)

藍芽、紅外線

控管方式

 禁用,或保留使用記錄 

 禁用,或保留使用記錄 

 不控管 

 禁止新增硬體裝置 

 禁用未知WiFi AP 

 網址連結記錄 

 硬碟加密 

 禁用裝置、傳輸 

隨身碟、SD卡

V

             

手機

V

V

   

V

V

   

4G/WiFi AP USB

V

     

V

     

Win PE USB

           

V

 

藍芽、紅外線、傳輸線

             

V

其他特殊裝置

               

Teensy

   

V

         

Bush Bunny

   

V

         

Pi Zero(W)

     

V

 

V

   

Ninja

   

V

如模仿鍵盤輸入行為,
並呼叫cmd,
建議保留cmd執行記錄