Honeywellの新しい研究では、リムーバブルUSBドライブが、「重要かつ意図的な」と言われる脅威を「突然」もたらし、産業プロセス制御ネットワークを保護することがわかりました。
レポートでは、分析されたUSBドライブの少なくとも44%が少なくとも1つのセキュリティリスクファイルを検出してブロックしたと述べています。 検出されたファイルの4分の1(26%)は深刻な損害を引き起こす可能性があり、その結果、オペレーターは操作の進行状況を表示または管理する能力を失う可能性がありました。 検出された脅威の中には、TRITON、Mirai、Stuxnetワームのさまざまな形態などがありました。 また、比較分析により、従来のマルウェア対策ツールでは、検出された脅威の最大11%を検出できなかったことが示されました。
従来、企業ネットワークへのアクセスを保護および制限するタスクは、デバイス制御よりも注目されてきたため、リムーバブルUSBドライブからの組織の脆弱性はさらに明白になります。
そして、あまりにも多くの注意が払われていません。 したがって、2016年の米国大統領選挙に伴うセンセーショナルなトピックの1つは、大量の通信の盗難で民主党(DNC)メールサーバーをハッキングすることでした。 民主党と役人によると、ハッキングはルーマニアから行われ、ロシアのハッカーや特別なサービスが事件に参加しました。これは選挙に干渉しようとするために行われました。
スキャンダルの技術的背景の代替研究は、知性、法医学、法医学の経験を持つ有資格の専門家の独立したグループによって実施されました。 専門家の結論は、ハッキングされたとされる資料の量とデータ転送率の評価に基づいていました。 メタデータの分析によると、2016年7月5日の夕方、1976メガバイトのデータがDNCサーバーからダウンロードされました。 操作には87秒かかりました。これは、22.7 MB / sのデータ転送速度を意味します。 同時に、2016年のハッカーが使用できる単一のインターネットサービスプロバイダーは、そのような速度でデータを送信することを許可していませんでした。 2016年上半期の最高平均ISP速度は、XfinityおよびCox Communicationsプロバイダーによって達成され、それぞれ平均15.6および14.7 MB /秒でした。 より高速のピーク速度が断続的に記録されましたが、それでも必要な1秒あたり22.7メガバイトに達していません。 これは、外部ハッキングに必要な速度がまだ達成できないことを意味し、外部からメールサーバーをハッキングする理論に反論します。
同時に、USB 2フラッシュドライブを使用する場合の一般的な転送速度は23 MB /秒です! さらに、専門家は、盗まれたデータの量がインターネット上での伝送には大きすぎると考えています。 これにより、DNCメールサーバーからのデータの盗難は、外部USBドライブにデータを転送することでサーバーに物理的にアクセスできる人によって行われたと結論付けることができます。
少し前に、別の非常に興味深い研究がアデレード大学のオーストラリアの専門家によって発表されました。 50を超えるコンピューターと外部USBハブをテストした結果、90パーセント以上がデータ転送の直接の宛先ではない外部USBデバイスに情報を転送していることがわかりました。 「 情報はUSBデバイスとコンピュータ間で直接送信されるため、侵害される可能性のあるデバイスから保護されていると考えられていました 」とYuval Yarom氏は述べています。同じ外部または内部USBハブ、この機密情報は悪意のあるデバイスによってハイジャックされる可能性があります 。 研究者は、パイプ内の水の広がりと同様に、USBハブ内でクロストークが漏れていることを発見しました。これは、USBハブの隣接ポートを使用して悪意を持ってデータを盗むことができることを意味します。 仮説を確認するためのテストとして、研究者は、プラグインUSBコネクターを備えた修正された安価なデバイスを使用して、隣接するUSBキーボードインターフェイスから各キーストロークを読み取り、その後、傍受したデータをBluetooth経由で別のコンピューターに送信しました。
オーストラリアの大学での研究とDNCサーバーからのメール通信の漏洩の分析の両方は、近年のUSBデバイスの使用に関連するデータ漏洩のレベルを忘れて過小評価する傾向が、カテゴリに誤りがあり、有害でさえあることを直接示しています。 はい、インスタントメッセンジャーとクラウドストレージは現在使用されていますが、古き良きUSBインターフェイスと数ギガバイトのプリミティブフラッシュドライブは、あらゆる組織の潜在的な攻撃者が引き続き利用できます。外部境界を介して攻撃したり、クラウドやメールを介してデータをダンプしたりするよりも簡単で効果的です。 さらに、リムーバブルUSBドライブからのマルウェア攻撃の可能性も潜在的な脅威として留意する必要があります。
長年USBの脅威を無視してきた一部の組織は、依然として問題を抱えています。 彼らが言うように、遅くなることはありません。 そのため、2018年の春に、 IBMは従業員がリムーバブルストレージデバイスを使用することを禁止しました。 Shamla Naidooは、グローバルCIO従業員向けの指令で、同社は「 すべてのリムーバブルポータブルストレージデバイス(USB、SDカード、フラッシュドライブ)へのデータ転送を禁止する慣行を拡大している」と述べました。 リムーバブルストレージデバイスの紛失または誤用による金銭的および評判上の損害の可能性が議論として引用されました。 急進的なアプローチは、単にUSBを禁止することでした。 同時に、開発者は、データの保存と送信に独自のクラウド同期および交換サービスを使用することをお勧めしました。
世界経済のもう1つの怪物、オンライン小売業者であるAmazon.comは、インサイダー情報を独立した売り手に漏らしている従業員による詐欺と戦うために、インサイダーデータへの不正アクセスの疑いで米国およびインドの従業員を解雇しました。 詐欺や漏洩を防ぐため、 Amazonはテクニカルサポートスタッフが内部データベースを検索する能力を制限し、 USBポートの使用も禁止しています。
IBMとAmazonがUSBをブロックするための方法と手段を選択したかどうかはわかりませんが、IBMが個々の従業員のUSBポートをブロックするときに例外を提供する可能性について考える情報を考えると、これは本格的なDLP製品ではありません。
残念ながら、DLPとして位置付けられている多くのソリューションは、USBインターフェイスで動作し、デバイスマネージャーレベルで接続され、単にアプリケーションレベルでデバイスを切断するか、デバイスドライバーの起動を妨げます。 このような「保護」は、率直に言って弱いだけでなく、潜在的に危険でもあります。これは、誤ったセキュリティ感覚を生み出し、マルウェアがUSBフラッシュドライブからコンピューターを攻撃することを決して防ぐものではありません。
USBインターフェイスの使用に関連する脅威の定性的中和は、USBインターフェイス経由で接続されたデバイスの監視およびアクセス制御機能とUSBインターフェイス自体の制御の柔軟な組み合わせにより達成され、OSによってストレージデバイスとして分類されていないが潜在的なリークチャネルであるデバイスを制御しますデータまたはマルウェアの侵入。
結論として、2003年に発行されたDeviceLock 5.5以降のバージョンのDeviceLock DLP製品は、USBおよびFireWireポートを完全に制御できることに注意してください。 DeviceLock DLPを使用すると、USBデバイス、リムーバブルドライブ、ディスク、その他の接続された外部デバイス、および印刷チャネル、電子メール、インスタントメッセンジャー、ファイル共有サービス、その他のデータ転送チャネルを介した内部侵入者による情報の盗難を防ぎます。 さらに、DeviceLock DLPでのイベントロギングとシャドウコピーのサポートにより、特定のデータのコピーの法的文書とアクセス試行および事実の証拠が提供されます。