У опытных CIO есть политики, защищающие их сети от зараженных USB-флэшек. Специалисты по ИТ знают, какой ущерб может быть причинен в результате подключения такого устройства. Например, утверждают, что Stuxnet, один из наиболее совершенных видов кибероружия, получил доступ к целевым системам с помощью найденной кем-то USB-флэшки. Однако, разработать политику и добиться ее осуществления — две совершенно разные задачи.
В ходе проведенного на недавней конференции RSA Conference 2013 опроса 200 специалистов по ИТ, многие из которых были экспертами в области безопасности, 78% респондентов признались, что подключали обнаруженную ими флэшку. Что еще хуже, многие находившиеся на этих носителях данные содержали вирусы, руткиты и исполняемые файлы.
Сходная картина вскрылась, когда министерство внутренней безопасности США решило проверить, насколько трудно хакеру получить доступ к компьютерным системам. Сотрудники министерства тайно подбросили флэшки на парковки у правительственных зданий и офисов частных подрядчиков. 60% из тех, кто их подобрал, подключили флэшки к офисным компьютерам, очевидно, с целью посмотреть, что на них находится. Если флэшки имели официальный логотип, то они устанавливались в 90% случаев.
“Даже зная о возможных последствиях, люди считают, что любопытство — не порок, — сказал Брайан Лейинг, занимавший пост вице-президента в компании AhnLab, которая специализируется на безопасности ИТ и проводила опрос на конференции RSA. — Политики полезны, но не приводят к успеху без их принудительного осуществления”.
Помимо того, что они заражают системы, USB-флэшки, выполняющие функции современных дискет, хорошо подходят для обмена файлами, а следовательно, для кражи данных и производственных секретов. Более ранний опрос 743 специалистов по ИТ и информационной безопасности, проведенный институтом Ponemon, показал, что 70% респондентов выявляли хищение конфиденциальной или секретной информации с помощью USB-флэшек. Действительно, Эдвард Сноуден будто бы использовал для кражи файлов Агентства национальной безопасности USB-флэшку, хотя политика запрещала применение таких устройств.
“АНБ могло установить ПО, блокирующее порты USB, чтобы ограничить и отслеживать подключение к ним устройств, — говорит Дэвид Дживанс, председатель правления компании Marble Security и группы по борьбе с фишингом (APWG). — Хотя у АНБ была политика, не разрешавшая использование таких устройств, агентство не установило защитное ПО, чтобы предотвращать это или допускать применение только надежных устройств”.
Конечно, такая утрата данных может произойти, если устройство потеряно или украдено. Однако, 55% случаев, выявленных Ponemon в ходе опроса, респонденты связывали с заражением устройств вредоносным кодом, который проникал в корпоративные сети. Тем не менее, тот факт, что многие не следуют политике в отношении USB-устройств, не является причиной отказа от такой политики, считают эксперты по безопасности. Вот список лучших предложений экспертов по эффективному управлению USB-флэшками:
- важный первый шаг — повысить информированность сотрудников, говорит Себастиан Попло, эксперт проекта Honeynet по USB. “Большинство пользователей компьютеров не знают, что подключаемые к порту USB устройства хранения могут представлять риск для их машины, — отмечает он. — Поэтому важно заняться обучением пользователей”;
- размеры файлов увеличились, а электронная почта не всегда позволяет обмениваться большими файлами. Если вы хотите свести к минимуму или ограничить использование сотрудниками USB-устройств, предоставьте им удобный альтернативный способ обмена файлами внутри компании;
- ограничьте применение USB-флэшек санкционированными компанией устройствами. Не позволять сотрудникам пользоваться на рабочих машинах принесенными с собой USB-носителями — простой способ избежать вредоносного кода, источником которого могут стать зараженный домашний ПК, копировальный центр и т. д.;
- допускайте применение USB-флэшек только в том случае, если они подключаются к системе удаленного управления, которая позволит вам отслеживать их использование, блокировать устройства или удалять с них данные;
- в некоторых компаниях имеются выделенные машины или специально обученные сотрудники, которые работают с запоминающими USB-устройствами, когда необходимо перенести данные извне в корпоративную среду. Существуют специализированные системы, часто это особые варианты Linux, в которых есть инструменты для сканирования USB-устройств. Но при этом сами системы не становятся объектами типичных атак;
- установите контролирующее порты решение на всех корпоративных компьютерах, имеющих доступ в вашу сеть, говорит Дживанс из APWG. Это не позволит использовать любые не санкционированные USB-устройства для копирования данных с ваших компьютеров или из сети. Кроме того, разрешите применять только те USB-устройства, которые шифруют записанные на них данные и у которых шифрование всегда включено. Лучшими являются USB-устройства с аппаратным шифрованием, поскольку его нельзя отключить;
- помните, что iPhone, iPad и устройства под управлением Android совместимы с USB и способны хранить до 64 Гб данных. Обеспечьте управление этими устройствами;
- рассмотрите возможность включения Ghost в ваш инструментарий защиты от вредоносного ПО. Ghost (находится в свободном доступе) представляет собой компонент для обнаружения вредоносного кода. Он симулирует подключение USB-устройства. “Если в системе находится вредоносный код, распространяющийся через USB-носители, — говорит генеральный директор проекта Honeynet Кристиан Сейферт, — вредоносный код попытается скопировать себя на мнимое USB-устройство, а это позволит Ghost подать сигнал тревоги”.
Опасности, исходящие от зараженной USB-флэшки, конечно, не новы. Но прежде это приводило просто к повреждению файлов или дисков, делая их неработоспособными. Теперь же, говорит Лейинг, когда киберпреступники стремятся извлечь финансовую выгоду, дела обстоят не столь просто. “Сейчас это могут быть супервирусы или постоянные изощренные угрозы (advanced persistent threat, APT). Они способны выполнять любые функции — собирать биографическую информацию о пользователе, выявлять файлы, содержащие интеллектуальную собственность (планы, например) и сведения о кредитных картах, или производить разрушения, как Stuxnet”, — поясняет Лейинг.
Трудно переоценить возможные угрозы, исходящие от бесконтрольного использования портов USB, говорит Дживанс из APWG. Возьмем для примера вредоносное ПО Conficker, заразившее свыше 15 млн. компьютеров и десятки тысяч компаний. Причина? Несанкционированная USB-флэшка с “червем”. Для борьбы с ним потребовались согласованные усилия SRI и множества специализирующихся на защите фирм всего мира, напоминает Дживанс. “Если авторы Conficker когда-нибудь адаптируют свой вредоносный код к iPhone или Android, — предупреждает он, — это может вызвать чудовищную эпидемию”.
Политики полезны, но если не осуществлять их принудительно, они не позволят успешно предотвращать вторжения вредоносного кода и мошенничество с бизнес-информацией.