2008-04-29

IT實戰!封鎖USB埠

IT實戰!封鎖USB埠
文/楊啟倫 (記者) 2008-04-28

使用可移除式的USB儲存裝置,已成為網路之外最主要的資料存取與交換方式,便利之餘,卻同時衍生平時不容易發現的危機,例如只靠一隻隨身碟或一片記憶 卡,就可以快速複製大量的文件,甚至是一整個資料庫檔案,直接就能帶離公司;而日益猖獗的USB病毒更是另一項嚴重的威脅。要解決這些問題,你就必須要面 對封鎖USB。



由研究機構Forrester Research提出的「Data Loss Prevention and Endpoint Security:Survey Findings」報告中指出,過去兩年,有52%的機密資料外洩事件與隨身碟一類的USB儲存裝置有關,高居所有機密資料外洩原因當中的第一名。而賽門 鐵克日前發表的最新一期全球網路安全威脅報告,也不約而同地表示,隨身碟等含有儲存空間的裝置是造成機密資料外洩的重要原因。

妥善控管USB埠,防止資安事件發生
USB是造成企業機密資料外洩的主要原因,同時也是現今病毒入侵的熱門管道,企業應針對USB埠的控管做好把關,以免造成資安事件,危害到企業營運。因此,控管電腦周邊如果不夠嚴密,將演變成安全大漏洞。

病毒氾濫也是企業主動管理USB埠的原因之一
除了機密資料的外洩防護,近來常見的USB病毒,也是企業針對USB埠採取管理的一項重要原因。而常見的容易造成機密資料外洩的USB週邊裝置包括隨身碟、數位相機、讀卡機、外接式硬碟等。

自己動手做!企業封鎖USB埠的12種方法
企業可以利用許多方式管理員工使用電腦上的USB埠,大體來說,我們可以將所有的做法分類成為3個類別,第一種是透過實體方式,從硬體著手,停用 USB埠的功能;其次則是以修改系統設定的方式來達成管理USB埠的目的;最後一種則是結合第三方的應用程式,控管員工電腦上的USB埠。

看企業如何控管USB埠
經驗1:某半導體設計公司
選擇適當的做法,實際去管理內部員工電腦的USB埠使用是必要的,然而能否禁止員工將機密資料複製到隨身碟之類的USB儲存裝置,同時又不會造成工作上的諸多困擾,仍是重點所在。某半導體設計公司採用BIOS的方式及週邊裝置控管,但仍有其不足之處。

經驗2:某購物電視臺
這間購物電視台主要是整合公司內部的Windows AD伺服器,禁止網域下的一部分電腦使用USB埠存取隨身碟,控管範圍包括經常接觸客戶資料的客服中心(Call Center),以及經手信用卡資訊的金融單位。

妥善控管USB埠,防止資安事件發生 根據2007年1月,由研究機構Forrester Research提出的「Data Loss Prevention and Endpoint Security:Survey Findings」報告中指出,過去兩年,有52%的機密資料外洩事件與隨身碟一類的USB儲存裝置有關,高居所有機密資料外洩原因當中的第一位。而賽門 鐵克日前發表的最新一期全球網路安全威脅報告,也不約而同地表示,隨身碟等含有儲存空間的裝置是造成機密資料外洩的重要原因,同時也是今後需要持續觀察的 重點項目。

從以上兩份報告來看,我們不難了解在企業內部隨處可見的USB埠,對於機密資料安全所造成的相當威脅。

除了隨身碟等USB儲存裝置之外,會造成企業機密資料外洩的USB周邊,還包括了無線網卡(Wi-Fi、3.5G),以及藍牙接收器等不具備資料儲存能力,但可以連接外部的無線網路,或者與周圍其他裝置建立連線的方式將資料傳送出去的裝置。

造成機密資料透過USB埠外洩的原因,除了蓄意盜取,儲存裝置的遺失也很常見。邁格數位技術顧問顧新貽表示,以前曾經聽過某家廠商的技術人員將存 有機密資料的隨身碟遺留在客戶公司,雖然事後經由客戶通知,而將隨身碟取回,不過裡頭的資料是否因此而被人盜取,就不得而知了;另外,也有案例是因為使用 者將含有機密資料的USB儲存裝置插入含有惡意程式的電腦,導致機密資料被惡意程式複製上傳。

不光是USB埠,網路也是造成機密資料外洩的主要原因之一,不過這個部分比較容易管理,稍具規模的企業,一般會在網路閘道端部署各種不同功能的資 安設備,像是郵件過濾(稽核),或者是即時通訊側錄設備,目的除了防止垃圾郵件、病毒等含有不當內容的資料進入企業內部造成破壞之外,也能記錄進出網路的 所有訊息。有鑒於此,對於真正想要偷取機密資料,而不想被被企業有所察覺的人來說,就會避免使用網路做為傳送資料的管道;相形之下,較難有效管理,而且能 夠外接多種不同類型裝置的USB埠,就成為外流機密資料的最佳管道。

需兼顧使用上的便利與安全
對於企業來說,管理USB埠的難題,往往在於不知該如何兼顧使用上的便利與安全──既要開放使用USB埠的權限,同時又不讓機密資料可以透過USB埠流出,以免造成企業營運上的損失。

要防止機密資料透過USB埠從企業內部流出,技術上並不困難,最簡單的做法,是使用熱熔膠等填充物阻塞電腦的USB埠,或者在主機板的BIOS設定中,直接停用USB埠的功能,並且設定BIOS的管理密碼,防止使用者日後進入BIOS自行啟用這項功能。

從效果來看,類似這種停用硬體功能的做法,的確可以遏止機密資料透過USB埠流出,不過管理上卻欠缺彈性。一旦實施之後,不僅是隨身碟這類可能導致機密資料外洩的儲存裝置,就連印表機、鍵盤這些理論上不具備資料儲存功能的裝置也同樣無法使用。

為了不造成內部員工日常工作上的困擾,常見的解決方式,就是在需要外接裝置的電腦上開放USB埠的功能,不過這麼一來,又會因為員工可能在電腦上使用USB儲存裝置而產生資料外洩的疑慮,導致企業對於USB埠的管理變得有名無實。

達友科技資訊安全顧問林皇興表示,有一些企業在做法上,是以政策公告的方式取代實際的封鎖控管,在開放USB埠的使用權限之餘,同時告知員工不可 以透過USB埠將機密資料複製外流;對於使用者來說,這樣的管理方式並沒有強制性的約束力,資料依舊可以不受限制地隨意複製,因此林皇興建議,如果IT預 算許可,導入相關的資安產品,輔助企業管理USB埠的使用會是比較理想的方式。

密網資安技術經理王鴻明認為,隨身碟的容量增加,也是造成機密資料容易透過USB埠外流的原因。他說,以前的隨身碟容量有限,需要分成多次才能將 所有的機密資料從企業內部完整帶走,而現在的隨身碟容量動輒從2GB、4 GB起跳,甚至有容量達16 GB的產品出現,而且價格上也愈來愈便宜,因此可以將所有的機密資料一次從企業內部攜出,使得被企業察覺的機率減少了。事實上,就連體積龐大的資料庫檔案 也無法倖免,現在也可以輕而易舉複製到隨身碟,一併帶走。

依據需求選擇適合的管理方式
有許多做法可以幫助企業管理內部電腦上的USB埠,除了先前提到的兩種之外,位於園區的許多高科技製造業,會在訪客攜帶的筆記型電腦上黏貼易碎貼 紙(大多用在電器用品上,做為維修保固時的憑證,或作為局部防拆識別之用,有些貼紙甚至會注明「撕毀無效」、「拆封無效等字眼」),以便確認訪客進入企業 內部之後,是否曾經使用USB埠存取資料。

修改作業系統設定的方式是經常使用到的一種,IT人員可以刪除Windows系統內建的USB儲存裝置驅動程式,讓USB儲存裝置無法在員工電腦 上讀取,另外,也可以修改登錄機碼(Registry),禁止員工在自己電腦上使用USB儲存裝置,或者只開放唯讀權限,無法寫入資料,不過對於熟稔電腦 操作的員工來說,這種做法的效果顯得十分有限,員工可以將機碼的設定值回復成預設值,讓電腦可以正常存取USB儲存裝置。

對於電腦數量眾多的環境,我們可以透過整合Windows AD的方式,利用設定群組原則的方式,限定電腦僅能連接特定周邊,除了隨身碟之外,也能支援光碟機、軟碟機、以及LS-120磁碟機等裝置。

USB的兩大風險

風險1:USB病毒
是一種利用USB自動播放功能,或者透過使用者讀取USB儲存裝置內容的時候,將病毒由USB儲存裝置複製到電腦運作的攻擊手法。目前常見的USB病毒檔 案包括kavo.exe、ntdelect.com、kavo1.dll,以及ubs.exe等數種,可能造成使用者無法正常讀取各磁碟機內容,或者無法 顯示系統內容的隱藏檔案,以免病毒被發現清除。

除了將USB埠的功能設定成禁用之外,我們可以將USB自動播放的功能設定為關閉,藉此初步防範USB病毒對於電腦所造成的危害。

風險2:資料外洩
除了隨身碟之外,可以將機密資料複製外流的USB儲存裝置還包括手機、數位相機,MP3隨身聽等數種,除此之外,像是本身不具備資料儲存能力,但可以將資料傳送出去的藍牙、3G無線網卡,以及一般常見的Wi-Fi無線網卡也是可能造成機密資料外洩的媒介。

不單只是技術資料、程式碼等過去經常被盜取的機密資料,由於隨身碟容量的不斷增加,到了2009年,一張記憶卡所能儲存的最高資料量,即將到達128GB,過去被視為不容易被複製外流的資料庫檔案也不再安全,現今也有可能被複製到隨身碟,一併攜出企業內部。



USB資安大事簿

●2007年5月
美 國運輸安全局(Transportation Security Agency,TSA)遺失了一個內含100,000筆,在2002年1月到2005年8月任職於TSA的員工資料,據了解,這份名單包含的內容除了員工 的姓名之外,還 有生日、社會安全碼、銀行帳戶,以及薪資等資料。

●2007年3月
兩位軍官分別將存有「漢光演習」與「博勝案」機密資料的隨身碟攜回家中使用,結果被植入在電腦裡的中國木馬程式盜取上傳,造成機密資料外洩。

●2006年2月
兩位荷蘭人撿拾到一個遺失的隨身碟,當他們使用這個隨身碟準備從一臺電腦複製資料時發現,裝置裡頭存有軍方的機密資料,在此之前,荷蘭政府在2006年也發生過一次類似事件,當時是在一臺租來的汽車裡發現了一個遺留下來的硬碟,結果導致一位荷蘭空軍軍官因此而遭到解職。


病毒氾濫也是企業主動管理USB埠的原因之一 除了機密資料的外洩防護,近來常見的USB病毒,也是企業針對USB埠採取管理的一項重要原因。

賽門鐵克資深技術顧問莊添發表示,USB病毒的氾濫,使得執行檔成為亞太地區最大宗的惡意程式感染路徑,使用者往往只要將中毒的隨身碟連接到電腦,或者開啟瀏覽USB儲存裝置中的內容,病毒就會自動複製到作業系統運作,令人防不勝防。

可能造成機密資料外洩的USB周邊裝置

 

隨身碟:

隨身碟是造成USB資料外洩事件的主要原因,除了容量愈來愈大之外,還可以整合到手錶、原子筆等個人日常配件,讓企業難以防範。

數位相機:

數位相機可以透過傳輸線將機密資料傳輸到記憶卡存放,不僅如此,對於一些只能在螢幕閱覽的資料,更是能夠直接拍成照片,從企業內部攜出。

讀卡機:

可插入多種規格的記憶卡,功能與一般的隨身碟無異,手機使用的MS記憶卡,尺寸相當迷你,具有容易攜出企業內部的好處。

外接式硬碟:

外接式硬碟的容量是所有USB儲存裝置中最大的一種,具備一次將所有資料複製外流的能力,不過 由於體積較大,容易被發覺。

手機:

型號較新的手機產品,都可以插入記憶卡儲存資料,可透過傳輸線將資料輕易地複製到記憶卡中存放,不但如此,多數產品也具備照相功能。

MP3隨身聽:

這類裝置身內含一顆Flash記憶體顆粒,或者是固態硬碟,儲存容量相當介於隨身碟或者更大。

手持式遊樂器:

像是PSP、NDSL一類的手持式遊樂器 ,可以連接記憶卡,同樣能將資料透過傳輸線複製外流。

無線、3G網卡:

裝置本身不具備儲存資料的能力,但可以連接外部的無線 區域網路、甚至是無線寬頻網路將資料傳送外流。
 


CD-RW/DVD-RW:

這類可讀寫式光碟機可以將電腦裡頭的資料燒錄成光碟,但裝置的體積較大,在複製資料的過程中,企業容易察覺。

藍牙接收器:

又被稱之為PAN( Personal Area Network),可將資料傳送到同樣具備藍牙模組的手機,或者是筆記型電腦。


自己動手做!企業實際執行USB埠封鎖的12種方法 想要控管USB埠這個管道,我們收集了目前可行的所有做法,總共歸納出3大類、12種方式。

第1大類是實體封鎖,又可細分成完全禁用、彈性禁用,以及貼標籤稽核;第2是修改系統設定,從Windows環境著手修改;第3種手段更全面,如果企業想 獲得最高的控管彈性,利用專屬的周邊控管解決方案,或搭配其他資安方案的管制措施聯合控管,即可達到要求。要特別注意,是否需要大量個人端電腦控管與事件 檢視能力,答案如果是肯定的,企業多半須花錢購買、建置。

1.停用BIOS的相關設定
●優點:設定容易,做法簡單
●缺點:BIOS的管理密碼可能被破解

在主機板BIOS設定裡,我們可以將USB埠的功能,設定為停用。由於設定上十分容易,做法簡單,因此成為企業經常用來管理USB埠使用的方式。 為了防止員工自行進入BIOS重新啟用USB埠的功能,一般在完成設定之後,IT人員會同時設定BIOS的管理密碼,往後只有IT人員才能進入、更改設 定。

要注意的是,BIOS與USB埠相關的項目名稱與位置,往往隨不同品牌的電腦╱主機板,而有些許差異,甚至沒有這方面的選項。

BIOS的管理密碼並非設定之後,就無法解開。只要執行主機板放電的程序,也就是將主機板電池取出之後、再重新放回,BIOS密碼就會回復成出廠 預設值,而員工就可以趁機進入BIOS更改設定。不過,在企業內部,一般來說,都不允許使用者拆裝公司所配發的硬體設備,因此只要非IT部門的人員,在執 行類似的動作,就十分容易引起附近員工的注意,在機密資料外洩事件發生時,這個人就會成為公司重點清查的可疑對象。

在主機板BIOS設定裡,我們可以將USB埠的功能,設定為停用。


2.黏上易碎貼紙
●優點:從肉眼就可以分辨電腦的USB埠有無使用過的跡象
●缺點:貼紙不小心破裂時,容易引起誤會

經常見於園區的許多高科技產業,適用對象對半是外來訪客,較少使用在內部的員工電腦。

訪客將筆記型電腦攜入之前,大門口的管理人員會在該臺電腦的USB埠與網路埠,黏貼一張易碎貼紙,確認訪客在進入企業內部的這段時間,是否曾經透過這些連接埠連接周邊裝置,或者存取資料。

用易碎貼紙控管USB埠,好處在於只要透過肉眼,就可以分辨電腦的連接埠是否曾經使用過,可是,一旦貼紙因為各種原因而產生破裂,就很容易造成誤會。這時,IT人員有權開啟訪客的電腦,檢查硬碟裡是否存放機密資料,確認無異狀之後,才會放行讓訪客攜出企業內部。

3.移除主機板上的跳接器
●優點:使USB埠功能達到真正的完全失效。
●缺點:管理上欠缺彈性,日後重新啟用USB埠功能的時候,需要打開電腦機殼,插回跳接器。

移除主機板上的跳接器(Jumper),同樣是為了停用主機板上的USB埠功能。不同於在BIOS將USB埠功能設定停用,移除跳接器之後,USB埠的功能達到真正的完全失效,不但無法讀取USB裝置,同時不會透過USB埠供電給連接在電腦上的USB周邊裝置。

當企業因為使用上的需求,而必須啟用USB埠功能的時候,就必須先將電腦機殼打開、將跳接器插回,做法上較為麻煩。

4.用熱熔膠堵住
●優點:可確實封鎖USB埠
●缺點:USB埠硬體隨之損壞,無法使用

也有許多企業,尤其是政府、軍方單位,經常是以熱熔膠等填充物堵住電腦的USB埠,不讓員工使用,一旦封鎖之後,即無法再連接任何的USB周邊裝置。

這是一種破壞性的封鎖方式,當填充物灌入USB埠接孔時,USB埠介面也會隨之損壞,而永久無法使用。

5.插上專用介面卡或硬體鎖
●優點:重新啟用時,不需要拆掉細部硬體,或者重新開機,原本的操作方式不會因此中斷或改變
●缺點:管理彈性較差

有一些現成的硬體產品,能夠幫助企業管理USB埠的使用。市面上有一種介面卡型式的產品,裝在主機板上的PCI插槽之後,USB等周邊連接埠的功 能就會失效。產品本身附有一個搖控器,如果日後還有使用USB埠的需求,只要按下搖控器上的按鈕,連接埠的功能就會開放,同時不影響電腦目前正在執行中的 工作。

另外一種是硬體鎖,可堵住電腦面板上的連接埠接孔,但可視使用需求而取下,恢復USB埠的功能,不像使用熱熔膠灌入USB埠接孔時,會造成硬體介 面的損壞。某些品牌電腦的廠商就推出這樣子設計的產品,讓習於採購同廠牌電腦的企業作為配件選購;另外,在一些電子賣場也能找到具有類似功能的產品。

6.利用群組原則集中控管
●優點:適用於大量電腦環境,可批次強制實施,統一設定
●缺點:管理彈性較差

員工人數稍有規模的企業,一般都會在內部架設Windows Active Directory(AD)伺服器,並將所有電腦加入網域,以便實施統一控管。有了這樣的集中管理環境,IT人員就可以在一臺電腦中處理完所有員工電腦的 控管措施,不用像前面幾種方式一樣,需要到每一臺電腦手動設定。

企業可以透過設定群組原則物件原則(GPO)的方式,在AD伺服器的管理介面執行相關的設定,接著將政策派送到內部的所有員工電腦,就可以關閉周邊裝置的使用權限。不只是USB儲存裝置,企業也可以使用相同方式控管光碟機、LS-120,以及軟碟機的使用。

7.修改電腦內的特定登錄機碼
●優點:設定簡單
●缺點:對於了解電腦操作的人來說,效果有限

對於連接過USB儲存裝置的電腦,可以利用修改登錄機碼設定的方式,禁止員工在電腦上使用USB儲存裝置。開啟Windows的登錄編輯程式,在 「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\USBSTOR」的項目下找到Start 數值,點選開啟之後,將數值由預設的3,修改為4,就能將USB儲存裝置設定為禁用。此種做法,對於知道如何修改登錄機碼的員工來說,隨時可以將機碼設定 回復成預設值,繼續在電腦上使用USB儲存裝置。 如果企業有使用Windows Vista,則可以群組原則設定中,將卸除式磁碟機的項目設定為拒絕授予存取權。

直接修改電腦內的特定登陸機碼,也可以達到USB埠禁用的效果,適合少量電腦的封鎖規模。


8.刪除USB儲存裝置的驅動程式
●優點:可針對不同USB裝置個別控管
●缺點:僅能針對先前未曾連接USB儲存裝置的電腦

適用於未曾連接過任何USB儲存裝置的電腦。在「C:\WINDOWS\inf」路徑下,可以找到usbstor.inf、usbstor.PNF兩個安裝資訊檔案,這是Windows系統用來辨識USB儲存裝置的驅動程式。

我們可以針對這兩個檔案設定存取權限,修改檔案名稱,或者直接刪除檔案,就可以讓讓員工無法在自己電腦上使用USB儲存裝置。相同的做法,也能用於印表機、網路攝影機等USB裝置的管理。

我們可以針對USB儲存裝置的驅動程式設定存取權限,修改檔案名稱,或者直接刪除檔案,就可以讓讓員工無法在自己電腦上使用USB儲存裝置。


9.採用周邊裝置控管產品的解決方案
●優點:可視需求開放一部分的功能,具備良好的管理彈性
●缺點:無法防止員工以變造修改的方式將機密資料外流

企業對於USB埠的管理需求往往不只是單純的開與關而己,而是希望根據實際需求來決定要開放什麼樣的功能,在此種情況下,就需要導入周邊裝置的控管產品來達成這項目的。

這類產品通常會透過安裝在使用者電腦上的代理程式實施管理,而且能夠整合Windows AD、LDAP等目錄服務,讓同一部門、相同群組的電腦套用相同的政策做管理,省去個別調整設定的麻煩。

除了設定開關之外,這類產品對於周邊的連接埠,可以提供相當精細的管理功能,對於USB儲存裝置,可以設定成唯讀屬性,只能閱覽隨身碟裡的資料, 但不可以執行寫入的動作,對於智慧型手機,這類員工工作上經常使用到的裝置,透過某些這類型的產品,可以只允許電腦與手機之間交換通訊錄,與行事曆,但不 能將電腦裡的資料複製到手機上頭的記憶卡。

企業可以在員工將資料寫入USB儲存裝置的時候,可以備份到指定的儲存空間,供企業日後稽查檢查之用,不過也有企業為了避免資料儲存上的麻煩,只 是記錄檔案的傳輸動作,將此臺電腦何時傳送了什麼樣的檔案記錄起來,不過這樣一來,對於員工以變造修改的方式將機密資料外流的做法,產品就無法有效地加以 管理。

除了市面上的產品之外,網路上也有許多免費版本的USB控管軟體,舉例來說,像是USB Blocker,不過,也要注意某些工具有可能是廣告軟體或間諜軟體。

和付費產品相比,這一類控管產品的功能比較陽春,採用與否,需視企業實際需求與部署規模而定。

10.將重要檔案予以加密
●優點:可讓員工正常使用USB埠,並能防止裝置遺失
●缺點:一旦金鑰遺失,就無法開啟隨身碟裡的檔案

控管的對象以檔案為主,而非USB埠本身,當資料寫入USB儲存裝置的時候,可以透過應用程式執行加密,限制擁有解密金鑰的人才能開啟該檔案,防止USB儲存裝置遺失之後,裡頭存放的機密資料遭到盜取。

11.藉助SSL VPN或終端服務
●優點:可防止機密資料透過網路複製到遠端電腦的磁碟機
●缺點:防護範圍有限

幾家廠商的SSL VPN設備提供一種稱為虛擬桌面的應用服務,當員工從外部網路連接上線之後,電腦上的螢幕畫面就會自動切換成虛擬桌面,任何存取或修改資料的動作都必須在此區域進行。

而Windows Server的終端機服務,是一種可供多人同時執行遠端伺服器上的應用程式環境,這類型解決方案有一項功能是允許連線階段,將員工端本機電腦上的磁碟機、 印表機等裝置自動連線,成為遠端電腦上的網路磁碟機,有可能會因此形成機密外洩管道。該怎麼防護?我們可以在本地端電腦設定相關的本機群組原則──關閉磁 碟重新導向的功能,禁止員工將遠端電腦上的機密資料下載。

12.建置DLP解決方案
●優點:可以有效防止機密資料透過各種途徑外流,同時無需封鎖USB埠功能
●缺點:對於非Windows平臺的控管效果較差

DLP是更進一步的機密資料安全保護方案,功能上不但包含周邊裝置控管的功能,更結合資料過濾的方式,從檔案內容著手,在不影響USB埠功能的情況下,將含有機密內容的資料攔阻下來,不允許複製到USB儲存裝置,或者透過網路傳送出去。

看企業如何控管USB埠 企業對於選擇適當的做法管理內部的USB埠,是非常在意的。目前可行的相關做法雖然琳琅滿目,但除了能夠禁止員工將機密資料複製到隨身碟之類的USB儲存 裝置,降低工作上的諸多困擾,仍是許多企業考量相關控管措施所關切的,甚至他們願意為了強化使用上的彈性,不得不一再嘗試,以便找出能夠兼顧便利與控管的 各種解決方案。

經驗1:某半導體設計公司
為了解決記錄檔資料過大的問題,從資產管理系統改用DLP
位於園區,從事半導體設計、製造的A公司(他們不願意公開所屬企業名稱),從5年前,公司剛成立的時候,就開始針對員工電腦上的USB埠實施控管。

起初,該公司是透過設定BIOS的方式,停用員工電腦上的USB埠,但由於公司人數較多,有百人以上之多,IT人員到每臺電腦逐一完成設定,做法 上並不是很方便,而且很耗費時間和人力,因此A公司後來決定購買了一套資產盤點系統,利用產品內含的功能管理員工電腦上的各種連接埠。

對於USB埠的使用,IT部門並沒有強制封鎖所有員工的電腦,禁止使用可移除式周邊裝置,他們可以在企業內部使用隨身碟之類的裝置儲存資料,不 過,一旦系統察覺到插入的員工電腦隨身碟有寫入的動作,安裝在電腦上的代理程式,就會將這個事件回報給盤點系統主控臺所在的伺服器,記錄這臺電腦將特定資 料儲存到隨身碟,記錄的範圍包括時間與儲存的檔案名稱。

當早期公司規模較小,員工數量在200~300人左右的時候,該套產品的運作上,一切都很正常,沒有出現效能上的問題;隨著這套系統的使用時間愈 來愈久,儲存在資料庫裡的事件記錄一直增加,加上員工人數一直成長到將近1,000人時,每天需要寫入資料庫的記錄流量,比起過去要明顯大了許多,因此產 生了運作效能上的瓶頸。

IT部門發現,資料庫由於效能上有問題,導致員工電腦與盤點系統主控臺之間的連線會時常中斷,使得IT人員無法有效管理內部所有的員工電腦,因此有必要重新尋找其他廠商的產品,做為替代。

幾經測試,最後該公司決定購買DLP(Data Loss Prevention)類型的產品,以便控管內部機密資料的流向。其實,A公司先前還測試過2、3家廠商的同類型產品,功能上都很相近,不過,由於A公司 本身需要控管的機密資料中,有很大一部分是程式碼,而某些DLP產品的做法,會在機密資料加上一段標籤做為識別,造成工作上的困擾,因此最後A公司決定購 買不會破壞檔案原始結構的產品。

以目前的部署範圍來說,A公司內部並非所有的電腦都已安裝DLP產品的代理程式。整體的控管範圍以RD研發以及FAE使用的電腦為主,總共須負責的數量約為500臺。

一般來說,DLP可以在員工複製機密資料到隨身碟的時候,就切斷傳輸,並且出現訊息予以警告,不過A公司並沒有啟用這項保護機制,主要是為了避免 誤判,而干擾員工的日常工作。講到這裡,當我們問到是否可能因為這樣的做法,導致機密資料被複製外流,而企業無法即時攔阻的現象發生,根據接受我們訪問的 該公司IT人員表示,的確是有這樣的可能性,不過從DLP產品導入至今還沒有發生過,公司方面過去也思考過這個問題,因此曾經開會討論,最後仍然決定維持 原有的做法,也就是仍舊採用記錄事件的方式,由各部門主管定期閱覽報表(每周一次),了解部門內部近期是否有洩密事件發生。

一般高科技製造業會透過內、外兩層關卡,防止員工及外來訪客將機密資料流出公司內部。對於A公司的內部員工來說,主要就是透過DLP的解決方案; 至於訪客,則透過NAC(網路存取控制)的端點安全防護技術,限制訪客攜帶的筆記型電腦無法任意存取企業網路資源,而且,訪客在內部活動時,需有公司員工 全程陪同,以免對方趁無人監視的情況下,趁機透過網路以外的方式,盜取電腦上的機密資料。



經驗2:某購物電視臺 用AD控管USB埠成效有限,目前正在小規模測試,評估端點安全防護方案
另外一家同樣不願具名的B公司,以從事電視購物為主,IT部門大約是在1年多之前,開始針對公司電腦的USB埠實施控管。

目前B公司主要是整合公司內部的Windows AD伺服器,禁止網域下的一部分電腦使用USB埠存取隨身碟,控管範圍包括經常接觸客戶資料的客服中心(Call Center),以及經手信用卡資訊的金融單位。

至於其他像是需要攜帶工作資料拜訪客戶的業務單位,以及IT部門等,就沒有特別加以管理,這些員工仍然可以將公司電腦上的資料複製到隨身碟儲存。不過,為了降低機密資料外洩事件發生的可能性,B公司計畫停用更多電腦存取隨身碟的權限。

據他們表示,透過AD控管使用者電腦上的USB埠,整體來說,效果算是不錯,但實際操作上,也遇到過一些管理上的問題。舉例來說,當一臺電腦曾經由兩位分 別屬於不同部門員工登入之後,就有可能產生政策更新上的錯亂──使得原本具有存取隨身碟權限的員工,無法在自己的電腦上使用隨身碟。

為了解決剛才提到的這個問題,目前B公司計畫透過防毒軟體來實施USB埠的控管,該項計畫正交由IT部門著手,開始實施小規模的測試。測試過程 中,也遇過一些使用上的問題,像是USB滑鼠無法正常使用,這些狀況,B公司正與原廠積極聯繫,尋求出妥善的解決方式,因此尚未全面將這套系統部署到到公 司內部。

企業封鎖USB經驗談

案例 1

竹科某半導體設計公司

案例 2

某購物電視臺

應用規模:

以RD研發、FAE部門為主

應用規模:

以客服中心、金融單位為主

● 先前使用的方法:

1. BIOS
● 成效:可以徹底停用電腦USB埠功能

● 不足之處:IT人員需要在每臺電腦逐一設定,管理上較為不易。

2.周邊裝置控管

● 成效:搭配資產管理系統的內建功能控管員工電腦的USB埠,當有資料寫入隨身碟時,電腦上的代理程式會將此事件回報給盤點系統主控臺所在的伺服器。

● 不足之處:當儲存的資料量太大,資料庫會出現效能瓶頸,導致員工電腦與盤點系統主控臺之間的連線會時常中斷。

● 曾經用過的方法:

整合Windows AD
● 成效:由於員工電腦均已加入網域,可在Windows AD主控臺透過群組規則的方式做管理,可有效限制電腦連接隨身碟。

● 經驗:當不同部門的部分員工先後使用過同一臺電腦,產生政策更新上的錯亂。

● 目前用過的方法:DLP

● 成效:以事件稽核為主,不會在機密檔案內容加入標籤,保存原始結構。

● 不足之處:價格較貴,僅先針對部分電腦實施控管。

● 未來使用的方法:
由於公司目前使用中的防毒軟體有提供周邊裝置控管的功能,因此這方面的控管將會交由防毒軟體來執行。

● 成效:由IT人員測試中。

● 經驗:某些測試過的版本會有一些使用上的問題,例如設定好員工電腦禁止使用USB儲存裝置的同時,連帶會使得USB滑鼠也無法使用,諸如此類的問題,他們 已經反應給原廠,正在處理中,待一切測試沒有問題,才會取代Windows AD管理員工電腦上的USB埠。



--
[垃圾桶] 裡沒有會話群組?

沒有留言: