USB флаш паметите, преносимите твърди дискове и картите с памет са станали толкова често срещани, че често се отнасяме към тях като към обикновени химикалки. Тези малки устройства се побират във всеки джоб, но могат да отворят вратата за кражба на данни, инфекции със зловреден софтуер и целенасочени атаки срещу вашия бизнес или личен компютър.Ето защо, ако ги използвате ежедневно у дома, в университета или в организация, е важно да се грижите сериозно за тяхната сигурност.
Освен това, в свят, където има все повече обществени зарядни станции и споделени компютри, USB портовете са се превърнали в основна цел за киберпрестъпниците. Независимо дали става въпрос за разпространение на вируси, кражба на информация или заключване на системи с ransomware, добрата новина е, че с няколко технически и разумни мерки рискът може да бъде значително намален.
Реални рискове от злонамерени USB устройства и защо са толкова опасни
Сменяемите устройства са изключително практични за предаване на доклад, споделяне на материали с колега или изнасяне на презентации на клиент, но... Лесното им преместване от един компютър на друг ги прави идеален вектор за атака за тихо разпространение на зловреден софтуер.Много инфекции се случват, без потребителят да подозира нищо, просто чрез включване на USB устройство на най-лошото възможно място.
В корпоративна среда, Едно единствено заразено USB устройство може да компрометира цяла мрежа, да криптира сървъри с ransomware или да изтече поверителни данни.Освен това съществува риск от загуба. Загубата на устройство с памет, съдържащо чувствителна информация, може да доведе до сериозно нарушение на сигурността на данните, правни санкции и значителни щети за репутацията на организацията.
Инцидентите не винаги са случайни. Има умишлени атаки, които разчитат на „подаръчни“ USB устройства, рекламни устройства или дори техники като военно корабоплаване.където се изпращат на пръв поглед безобидни устройства, които всъщност съдържат компоненти, предназначени да атакуват мрежата, когато някой се свърже с тях.
Трябва да вземем предвид и атаки от типа „Juice Jacking“ в обществените товарни пристанищаКогато свържете мобилния си телефон или таблет към подправена USB зарядна станция, каналът за данни на кабела може да бъде използван за инсталиране на злонамерен софтуер или копиране на информация от устройството без ваше знание.
И накрая, има човешки фактор, който не може да бъде забравен: Невежеството и прекалената самоувереност водят много потребители свързване на намерени флаш устройства на улицата, от приятели или семейство, без никакви предпазни меркиТози на пръв поглед невинен обичай е входната точка за голяма част от зловредния софтуер, който циркулира „офлайн“.
Вътрешни политики и най-добри практики за работа с преносими устройства
Във всяка компания или институция, първата стъпка за контролиране на този проблем е да има ясна политика за използване на външни устройства за съхранение, позната и приета от всички служителиНе е достатъчно да инсталирате антивирусна програма: трябва да определите как, кога и кой може да използва USB устройства и други сменяеми носители.
Тази политика следва да посочва най-малкото, дали е разрешено използването на лични USB устройства, какъв тип информация може да се съхранява и какви мерки за сигурност са задължителни. (например, криптиране, пароли или регистриране на устройства). Оставянето на това „по преценка на всеки отделен човек“ е покана за проблеми.
Силно препоръчителна добра практика е поддържайте инвентар на всички корпоративни USB устройстваВсяка единица трябва да има идентификатор, да бъде присвоена на лице или отдел и да се проверява периодично, за да се потвърди физическото ѝ местоположение и съдържание. Това позволява бързото откриване на липсващи предмети или злоупотреба.
В екипи, които боравят с изключително чувствителна документация (лични данни, финансова информация, интелектуална собственост и др.), Има смисъл да блокирате напълно USB портовете. или ги ограничете само до оторизирани корпоративни устройстваТова може да се постигне чрез политики на операционната система, централизирани решения за управление или инструменти за DLP.
Как да разпознаете заразено USB устройство и защо трябва да деактивирате автоматичното стартиране
Един от класическите симптоми на инфекция със зловреден софтуер на USB устройства е появата на всички файлове и папки като преки пътища, които отварят черен прозорец (конзола), който се затваря самАко видите нещо подобно, когато свържете USB устройство, най-вероятно то е замърсено.
Този тип зловреден код обикновено тайно се копира на всяко сменяемо устройство, свързано с вече заразен компютърОсвен това, в корена на устройството се създава самоизпълним файл, обикновено наричан „autorun.inf“, който Windows използва, за да реши какво действие да предприеме, когато носителят бъде поставен.
Ако функцията за автоматично стартиране е активирана, Системата може да стартира зловредния софтуер веднага щом USB устройството бъде свързано, без потребителят да кликва върху каквото и да било.Именно затова деактивирането на функцията за автоматично стартиране на сменяеми носители в Windows е една от най-основните и ефективни мерки за защита.
Когато компютърът няма антивирусен софтуер или има изтекъл или остарял софтуер, Всяко свързано USB устройство е изложено на висок риск от заразяване и превръщане в средство за разпространение на вируса към други компютри.След това, когато го занесете у дома, в офиса или в компютърната зала, проблемът се умножава.
Ако подозирате, че USB устройство е преминало през съмнително устройство, Преди да го включите в друг компютър, трябва да го свържете само към „защитен“ компютър с актуална антивирусна програма и защита от автоматично стартиране, за да го сканирате обстойно.Пропускането на тази стъпка и продължаването на нормалната употреба може да причини верижни инфекции.
Ключови технически мерки за защита на вашето оборудване
Основният стълб на защитата остава Имайте добра, актуална антивирусна програма, за предпочитане такава със специфични функции за сканиране и „ваксиниране“ на USB устройства.Както платените търговски решения, така и многото безплатни, вече предлагат достатъчно ниво на защита за повечето потребители.
Повечето от тези програми могат Автоматично сканира всяко свързано USB устройство, блокира опитите за автоматично стартиране и предлага опцията за създаване на безвреден файл autorun.inf, който предотвратява замяната му от злонамерен софтуер.Препоръчително е всички тези функции да се поддържат активирани, когато е възможно.
В по-напредналите корпоративни мрежи е обичайно да се комбинира антивирусна програма с DLP (Data Loss Prevention - Предотвратяване на загуба на данни) решения и добре конфигурирани защитни стени. Решения, които контролират трафика и прехвърлянето на файлове към външни устройства. Това намалява както риска от инфекция, така и изтичане на данни.
Нито пък бива да забравяме Поддържайте операционната си система, браузърите и приложенията актуални с техните корекции за сигурностЗловредният софтуер и ransomware често използват уязвимости в остарял софтуер, за да получат достъп до системата, когато файл се отвори от USB устройство или се стартира заразена програма.
Накрая, активна и правилно конфигурирана защитна стена помага за Откриване и блокиране на подозрителни комуникации, които злонамерен софтуер може да се опита да установи, след като е проникнал в компютъра чрез преносимо устройствоТова не е безупречна бариера, но добавя още един полезен слой защита.
Ваксинация и разширена защита на USB устройства
В допълнение към разчитането на антивирусен софтуер, е възможно да се направи още една крачка напред и Ръчно защитете USB устройствата, за да затрудните вирусите да се копират в корена на паметтаТези методи са малко по-технически, но са много ефективни.
Една техника се състои от Форматирайте паметта в NTFS и премахнете разрешенията за запис в главната директория, като запазите една вътрешна директория (например „Container“) с пълни права за контрол.По този начин, никой зловреден софтуер няма да може да създава файлове директно в главната директория, където обикновено се инсталират.
Процесът включва предварително архивиране на цялата информация, форматиране на устройството в NTFS, Променете раздела „Защита“ на устройството, за да разрешите достъп само за четене до главната директория, след което предоставете пълни разрешения за папката „Контейнер“.От този момент нататък файловете могат да се запазват само в тази папка, никога в главната директория.
Недостатъкът е очевиден: Няма да можете да копирате нищо директно в главната директория на USB устройството, а само в определената папка.Въпреки че това е значително ограничение, в замяна получавате много стабилна защита срещу най-често срещаните вируси, базирана на автоматично стартиране и скрити файлове.
Друга възможност е да се използват малки скриптове или пакетни файлове (.BAT) за Създайте празен файл autorun.inf със специални атрибути (скрит, само за четене и системен) в корена на USB устройството.Това предотвратява лесното му заместване от друг злонамерен файл със същото име.
Тези скриптове, които някои антивирусни програми могат погрешно да маркират като подозрителни, защото са изпълними, Те изтриват всеки съществуващ файл autorun.inf и генерират нов, защитен.Можете да ги стартирате от вашия компютър, като посочите буквата на устройството, което ще бъде сканирано. Или да ги копирате на самото USB устройство и да ги стартирате оттам, за да се сканират сами.
Използване на „замразено“ оборудване и най-добри практики при споделяне на USB устройства
В някои среди, като например компютърни лаборатории или интернет кафенета, се използват „замразени“ системи: системи, конфигурирани така, че при рестартиране винаги да се връщат в предварително определено чисто състояниеТова значително намалява риска от трайно внедряване на зловреден софтуер в компютъра.
Въпреки това, дори и в тези сценарии, USB устройствата могат да се заразят, докато компютърът е включен, и след това да разпространят инфекцията към други компютри.Ето защо защитата на USB устройствата остава важна. Само защото системата е замръзнала, не означава, че можете да бъдете самодоволни.
Когато свържете паметта си с компютър, чиято сигурност не контролирате (университет, библиотека, къща на приятел и др.), Винаги го третирайте като потенциален източник на инфекция и сканирайте устройството на надежден компютър, преди да го използвате нормално отново.Този малък навик предотвратява много неприятни изненади.
Друга златна препоръка е напълно избягвайте използването на „неизвестни“ или забравени USB устройства на обществени местаМного експерименти и атакуващи кампании разчитат именно на това любопитство на потребителите да видят „какво има вътре“ в намерено USB устройство.
Също така е разумно да бъдете предпазливи с USB устройства от приятели или семейство, особено ако са били използвани на споделени или лошо защитени компютриСамо защото някой е надежден, не означава, че паметта му е без зловреден софтуер. Еднократно свързване с вашия компютър може да е достатъчно, за да го зарази.
Блокиране на USB данни и атаки за кражба на сок
Когато говорим за злонамерени USB портове, не бива да мислим само за флаш памети. Обществените зарядни станции, инсталирани на летища, в търговски центрове, градски транспорт или кафенета, също могат да бъдат манипулирани за извършване на атаки с „Juice Jacking“..
При този вид атака, Портът за зареждане едновременно действа като порт за данни, позволявайки инсталирането на зловреден софтуер или тихото копиране на информация от вашия смартфон или таблет.Простото свързване на устройството със стандартен USB кабел ще го разкрие, ако точката за зареждане е била компрометирана.
За да се предпазите в тези ситуации, се използва т.нар. USB блокер на данни, известен още като „USB презерватив“Това е малък адаптер, който се поставя между кабела и порта за зареждане и който позволява само преминаването на електричество, блокирайки напълно линиите за данни.
USB връзката използва предимно четири вътрешни проводника: Двама отговарят за захранването, а другите двама за обмена на данни.Блокировчикът деактивира тези връзки, така че устройството само получава захранване, но никога не установява комуникация на данни с общественото зарядно устройство.
Тези адаптери са много компактни, лесни за носене на ключодържател или в чанта и обикновено са доста евтини (можете да ги намерите за много малко пари в много онлайн магазини). За тези, които пътуват често или често използват зарядни станции на трети страни, те са силно препоръчителен допълнителен слой сигурност..
Защита на поверителни данни и криптиране на USB устройства
Освен зловредния софтуер, един от най-големите рискове на USB устройствата е физическата им загуба. Тъй като са толкова малки, е лесно да ги оставите в заседателна зала, в градския транспорт или в дома на някой друг.Ако вътре има чувствителна информация, проблемът може да е сериозен.
Ето защо е от съществено значение Избягвайте да съхранявате прекалено чувствителни данни на USB устройства, освен ако не е абсолютно необходимо.Ако няма друг вариант освен да ги носите със себе си, те винаги трябва да бъдат криптирани и защитени с парола, така че някой, който намери устройството, да не може да прочете съдържанието му.
В света на бизнеса е добра идея да се установи Политики за класифициране на информацията и определяне на това какви типове данни могат да бъдат копирани на сменяеми носители и при какви условияДокументите с високо ниво на поверителност трябва да бъдат ограничени или винаги криптирани по подразбиране.
Механизмите за контрол на достъпа също са ключови: присвояване на разрешения според ролите, регистриране на достъпа до чувствителни файлове и наблюдение на подозрителни прехвърляния към външни устройстваМного DLP решения предлагат отчети и предупреждения, когато засекат този тип поведение.
Накрая, струва си да се помни, че криптирането не трябва да се прилага само към данни „в покой“ вътре в USB устройството. Винаги, когато се прехвърля чувствителна информация по мрежи, е препоръчително да се използват криптирани канали (HTTPS, VPN и др.), особено ако оборудването може да бъде компрометирано от злонамерено устройство..
Обучение, одит и непрекъснато усъвършенстване на използването на USB
Никоя техническа мярка не работи добре, ако хората, използващи системите, не разбират причината за правилата. Обучението и осведомеността на персонала са един от стълбовете за намаляване на инцидентите, свързани с преносими устройства..
Препоръчително е да се организира поне веднъж годишно, Специализирани обучителни сесии относно рисковете, свързани с USB, примери за реални инциденти и най-добри практики за работа с данни и устройстваКогато служителите видят конкретни случаи, те осъзнават много повече проблема.
Допълнете обучението с Симулациите на фишинг и упражненията по социално инженерство помагат на потребителите да се научат да бъдат предпазливи към подозрителни прикачени файлове или „подаръчни“ карти с памет.Тези упражнения ни позволяват да идентифицираме слабости и да засилим обучението, където е необходимо.
Политиките за сигурност трябва да бъдат ясни, лесни за разбиране и достъпни. Няма смисъл да имате перфектен документ, ако никой не го чете или ако е написан на неразбираем правен език.Обяснението на правилата по ясен и достъпен начин насърчава спазването им.
Освен това е необходимо да се извърши периодични одити за проверка на спазването на политиката за използване на сменяеми устройстваПрегледът на регистрационните файлове за дейности, анализът на инциденти и наблюдението на портфолиата от устройства помагат за откриване на рискови модели и тяхното своевременно коригиране.
Киберпейзажът на заплахите се развива непрекъснато, така че Политиките и контролите относно USB устройствата трябва да се преглеждат и актуализират непрекъснато.Да бъдеш в крак с новите техники за атака, да се консултираш с експерти и да коригираш процедурите е единственият начин да се гарантира, че те остават ефективни.
Защитата от злонамерени USB устройства не е просто да инсталирате антивирусна програма и да я забравите. Това включва комбиниране на технологии, ясни процедури и отговорни навици: от деактивиране на автоматичното стартиране и използване на USB презервативи при зареждане на телефона на улицата, до криптиране на чувствителна информация, обучение на потребителите и периодичен одит на начина, по който се използват тези устройства.С този глобален подход, USB устройствата, външните твърди дискове и портовете за зареждане престават да бъдат постоянна заплаха и се превръщат в полезните инструменти, които трябва да бъдат.
