人們不可否認(rèn)USB存儲設(shè)備的便利性。從硬盤驅(qū)動(dòng)器、閃存驅(qū)動(dòng)器到各種各樣的其他設(shè)備，它們提供了一種快速簡單的方式來傳輸、共享和存儲數(shù)據(jù)。但是，從業(yè)務(wù)安全的角度來看，它們的高度可訪問性和可移植性使其成為一場噩夢，數(shù)據(jù)泄漏、盜竊和丟失都是所有常見的情況。

[[334367]]

廣泛的遠(yuǎn)程工作似乎使這些問題更加復(fù)雜。根據(jù)一項(xiàng)新的研究，自從疫情發(fā)生以來，員工下載到USB存儲介質(zhì)上的數(shù)據(jù)量增加了123%，這表明許多人已經(jīng)使用這種設(shè)備將大量數(shù)據(jù)帶回家。因此，在任何給定的時(shí)間，都有數(shù)百TB的潛在敏感、未加密的企業(yè)數(shù)據(jù)到處移動(dòng)，將顯著增加了嚴(yán)重?cái)?shù)據(jù)丟失的風(fēng)險(xiǎn)。

幸運(yùn)的是，有效地實(shí)施USB控制和加密可以顯著降低這種風(fēng)險(xiǎn)。

什么是USB控制和加密?

USB控制和加密是指用于確保設(shè)備對USB端口的訪問安全的一組技術(shù)和實(shí)踐。這樣的技術(shù)和實(shí)踐構(gòu)成端點(diǎn)安全性的關(guān)鍵部分，并有助于保護(hù)計(jì)算機(jī)系統(tǒng)和敏感數(shù)據(jù)資產(chǎn)免受丟失，以及可以通過物理插入式USB設(shè)備部署的安全威脅(例如惡意軟件)的侵害。

USB控制和加密可以通過多種方式實(shí)現(xiàn)。最權(quán)威的方法是通過物理覆蓋端點(diǎn)USB端口或禁用整個(gè)操作系統(tǒng)中的USB適配器來完全阻止USB設(shè)備的使用。盡管這肯定是有效的，但鑒于絕大多數(shù)依賴USB端口運(yùn)行的外圍設(shè)備(例如鍵盤、充電器、打印機(jī)等)，對于大多數(shù)企業(yè)而言，這根本不是一個(gè)可行的方法。

取而代之的是，一種更實(shí)用的方法是將不太嚴(yán)苛的物理措施與使用可保護(hù)敏感數(shù)據(jù)本身的加密相結(jié)合，這意味著即使包含此類數(shù)據(jù)的閃存驅(qū)動(dòng)器丟失或被盜，其內(nèi)容仍將保持安全。最簡單(通常也是最昂貴)的方法是購買已經(jīng)內(nèi)置了強(qiáng)大加密算法的設(shè)備。

成本更低(但較難管理)的替代方案是實(shí)施和實(shí)施用于管理USB設(shè)備使用的特定IT策略。這可能是只允許員工使用某些“經(jīng)過身份驗(yàn)證”的USB設(shè)備(其文件系統(tǒng)已手動(dòng)加密)的設(shè)備，或者是規(guī)定單個(gè)文件必須先加密，然后才能傳輸?shù)経SB存儲設(shè)備。

更好的控制意味著更好的安全性

作為大多數(shù)操作系統(tǒng)的一部分提供的默認(rèn)USB端口控件在功能方面趨于十分有限。安全團(tuán)隊(duì)可以選擇使其完全打開，將其指定為只讀或完全禁用它們。但是，對于那些希望使用更細(xì)微差別的方法的人，可以借助第三方安全應(yīng)用程序和/或解決方案來實(shí)現(xiàn)更高級別的粒度控制。例如，要求每個(gè)插入的USB設(shè)備將連接協(xié)議中的確切設(shè)備告知操作系統(tǒng)。

借助USB控制應(yīng)用程序，管理員可以使用此信息來限制或阻止特定終結(jié)點(diǎn)端口上的某些類型的USB設(shè)備。一個(gè)很好的例子是允許通過端口使用連接USB的鼠標(biāo)，但禁止對USB安全造成更大威脅的存儲設(shè)備，例如USB記憶棒。

一些控制應(yīng)用程序走得更遠(yuǎn)，允許安全團(tuán)隊(duì)制定規(guī)則以將USB端口控制到單個(gè)級別。這包括確切指定可以通過特定USB端口復(fù)制或傳輸?shù)奈募愋?，或指定特定端口只能由預(yù)先批準(zhǔn)的白名單中的設(shè)備使用(基于其序列號)。這樣的控件在防止未經(jīng)授權(quán)的數(shù)據(jù)外流以及惡意操作(例如嘗試通過未經(jīng)授權(quán)的USB閃存上傳惡意軟件)方面非常有效。

集中控制的解決方案避免了重大的后勤問題

值得注意的是，一個(gè)普通的商業(yè)網(wǎng)絡(luò)可以包含數(shù)百個(gè)甚至數(shù)千個(gè)端點(diǎn)，每個(gè)端點(diǎn)都有一個(gè)或多個(gè)USB端口。這樣，可以集中管理而不是單獨(dú)管理的控制和加密解決方案非常容易實(shí)現(xiàn)和管理。在當(dāng)前時(shí)間點(diǎn)尤其如此，因?yàn)檫h(yuǎn)程工作協(xié)議使得幾乎不可能以任何其他方式有效地管理設(shè)備。

盡管便攜式USB驅(qū)動(dòng)器和設(shè)備被員工視為一種快速，便捷的方式來傳輸或存儲數(shù)據(jù)，但它們通常使安全專業(yè)人員感到頭疼。

幸運(yùn)的是，實(shí)施USB控制和加密解決方案可以極大地改善安全團(tuán)隊(duì)可使用的工具以應(yīng)對此類挑戰(zhàn)，并確保網(wǎng)絡(luò)和敏感企業(yè)數(shù)據(jù)始終受到保護(hù)。