根據資誠聯合會計師事務所2022年發布的《全球數位信任洞察報告》,調查發現在過去三年中,全球有27%的企業因發生資料外洩事件而遭受財務損失,損失金額多落在100萬至2,000萬美元區間,甚至更多。由此可知,防止資料外洩是近幾年企業不可忽視的重要議題。
常見的資料外洩管道,通常分為網路及周邊裝置二大類。今天要探討的是周邊裝置的洩密管道的防護。一些周邊設備如隨身碟、記憶卡(SD、TF 卡)、手機、外接硬碟、印表機、USB 無線網路卡、藍牙、USB 資料接線…等,都是容易資料外洩的管道。企業需要額外的DLP(資料防洩密) 的軟體,才能達到方便的使用及有效的管制。
X-FORT 是一套DLP(資料防洩密) 的企業資安軟體。擁有資產管理、資料防洩密和資料保護三大主軸。在資料防洩密的部分,有裝置控管、網路存取、應用程式控管、檔案傳輸控管、內容過濾等模組,此篇著重在裝置控管的討論。
電腦可以連接的周邊設備種類非常多、不同的周邊設備有不同的用途及使用方法,相對應的控管的方式也有所不同。X-FORT提供了多樣化的控管方案,控管周邊裝置分成以下幾個類型。
- 儲存裝置
- 列印裝置
- 藍牙裝置
- 無線網卡裝置
- 輸入裝置
- 其他裝置
以下針對這6項裝置類型,X-FORT 可以做到的控管及記錄說明如下
- 儲存裝置:
這類裝置會在檔案總管下新增一個磁碟代號或路徑,可以將檔案複製到裝置中。
此類裝置包含隨身碟、外接硬碟、光碟機、手機等,控管方式說明如下。- 隨身碟、外接硬碟
- 控管功能:
- 禁用: 禁止使用該裝置
- 唯讀: 檔案可以從裝置複製到電腦硬碟,檔案無法從電腦硬碟複製到裝置
- 明文寫出: 檔案可以用明文方式複製到裝置
- 密文寫出: 檔案複製到裝置會自動加密,當檔案複製回有裝X-FORT Agent 的電腦,會自動解密
※ 這是兼具資料安全性及設備便利性的最佳做法 - 審核寫出: 檔案需要主管的審核後才能複製到裝置
- 記錄:檔案寫出記錄、寫出檔案備份
- 控管功能:
- 光碟機
- 控管方式: 禁用、唯讀、明文燒錄、密文燒錄、審核燒錄
- 記錄:燒錄記錄、燒錄內容備份
- 手機
- 控管方式: 禁用、唯讀、明文寫出
- 記錄:檔案寫出記錄、寫出檔案備份
- 隨身碟、外接硬碟
- 列印裝置
包含本機印表機、網路印表機、虛擬印表機- 控管方式: 禁用、印表機白名單、加入浮水印、限制列印張數
- 記錄: 列印記錄、列印內容備份
- 藍牙裝置
- 控管方式: 禁用、禁止傳檔
- 控管方式: 禁用、禁止傳檔
- 無線網卡裝置
-
- 控管方式: 禁用、無線基地台白名單
- 無線基地台白名單: 無線網卡裝置只能連結白名單的無線基地台,其他基地台拒絕連線。
- 記錄:無線基地台連線或阻擋記錄
-
- 輸入裝置
- 裝置有滑鼠、手寫板、網路攝影機、掃描機…等。此類裝置資料外洩的風險低。
- 控管方式: 禁用
- 其他裝置:
周邊設備除了上述的幾個常用類型外,尚有其他各種裝置,例如Type-C Hub,USB 資料傳輸線、智慧卡讀卡機…等。對於已知或未知的新類型設備,X-FORT 的控管方式如下說明。
連結Windows的裝置,相同裝置類型會有相同裝置類別的GUID,如下圖
如果要管制網路介面卡,只要將該裝置的類別GUID 禁用,所有的網路介面卡都會被禁用。
除了類別GUID之外,裝置還有其他的屬性可以設定條件,例如公司已經認可PID_XXXX及VID_YYYY的外接USB 網路介面卡無資安疑慮,就可以開放該USB 網路介面卡,且限制其他未列管的網路介面卡。要注意的是,控管依照PID_XXXX及VID_YYYY的屬性,無法判斷是公司提供的,還是私人帶來的裝置。
以上大致介紹了周邊設備控管的幾個方案,導入X-FORT 的周邊控管,有以下的幾個好處。
- 可以大幅度的降低由端點的周邊設備洩密的風險,保障企業的核心價值
- 周邊設備控管範圍大,政策彈性多
- 多樣化的控管方法,合乎各類型的周邊裝置
- 符合ISO 27001中儲存裝置的規範。
- 符合資安法及營業秘密法的外接儲存規範。
周邊控管是資訊安全政策的一環,控管好周邊設備的外洩管道,可以提高企業的整體資安,大幅降低資安的風險。