Hochriskant: USB-Massenspeicher und der Faktor-Mensch
Data Loss Prevention – sinnvoll einschränken, produktiv bleiben!
USB-Ports sind offen für Alles – das macht aber nix
Mit Data Loss Prevention (DLP) oder Endpoint-Security reglementieren Sie die Nutzung u.a. von USB-Ports und damit verbundene externe Geräte. Obwohl DLP noch mehr kann, fokussiert sich dieser Artikel auf die Möglichkeiten von Data Loss Prevention Lösungen in Zusammenhang mit USB-Geräten.
Am Anfang steht hierbei die Identifizierung von externen Geräten über Merkmale wie USB-Geräteklasse, Hersteller- und Produktangaben sowie eindeutiger Seriennummer zur eingeschränkten Freigabe bzw. kompletten Blockade von USB-Ports und angeschlossenen Endgeräten. Hierbei spielt zunächst die USB-Geräteklasse des jeweiligen USB-Endgeräts eine entscheidende Rolle.
Damit Hersteller von USB-Geräten nicht für jedes Device einen neuen Treiber entwickeln müssen, sind USB-Geräteklassen in den USB-Spezifikationen der USB-IF vorgesehen worden. Dadurch können USB-Geräte generische Treiber nutzen und die Funktionsfähigkeit der angeschlossenen Endgeräte ist meist sofort gegeben. Aktuell gibt es 20 eindeutige USB-Geräteklassen.
Die Angabe der Geräteklassen ist im Device-Deskriptor fest eingetragen. In Fällen in denen ein externes USB-Endgerät mehreren Klassen angehört, z.B. bei einem CD-ROM Laufwerk oder einer Digitalkamera (hier Geräteklassen Bilder sowie Massenspeicher wegen der integrierten SD-Karte) sind alle zutreffenden Geräteklassen im Interface-Deskriptor hinterlegt.
Geräteklasse, VID und PID
Neben Geräteklasse sind VID (Vendor ID) und PID (Product ID) weitere wichtige Merkmale zur eindeutigen Identifizierung von USB-Geräten.
Jeder Hersteller bekommt von USB Implementers Forum Inc. (USB-IF) eine eindeutige, 16-bit lange Hersteller ID (VID) zugeteilt. Voraussetzung hierbei ist, die Vorgaben der USB-IF, u.a. eine PID für jedes Produkt, zu erfüllen. Viele Low-Cost Anbieter verzichten jedoch darauf – entsprechend schwierig bis unmöglich ist die eindeutige und sichere Identifizierung von USB-Geräten.
Namhafte Hersteller wie Kingston und Cardwave dagegen vergeben eindeutige PIDs. Aus Sicht der IT-Sicherheit lohnt es sich also, wenn Unternehmen USB-Geräte namhafter Hersteller einsetzen.
Im Umkehrschluss ist es wichtig, den Wildwuchs-Einsatz privater und meist kostengünstiger USB-Massenspeicher wirkungsvoll zu unterbinden.
USB-Geräteklasse HID – es menschelt
Human Interface Device (HID) ist die Standard-Klasse für Eingabegeräte wie u.a. Maus und Tastatur, die heute fast ausschließlich per USB-Port mit dem Host-Computer verbunden sind. Und auch Drucker, Digitalkameras, Bluetooth Adapter, Chipkartenlesegeräte u.a. werden über diese universelle Schnittstelle angebunden – ohne wäre also produktives Arbeiten unmöglich.
Jedes USB-Gerät lässt sich einer oder mehreren bestimmten Klasse(n) zuordnen. (Aufs Bild klicken, um es zu vergrößern)
Black- oder Whitelists einfach erstellen
PID und VID lassen sich u.a. über den Windows Geräte-Manager auslesen. Viele Data Loss Prevention Lösungen wie Safend Protector liefern entsprechende Tools mit, und erlauben auch einen Netzwerk-Lookup auf dort bereits verbundene USB-Geräte.
Zusammen mit den USB-Gerätklassen kann man PID und VID zur Erstellung von Black- oder Whitelists verwenden. Die Unique ID, also eine eindeutige Seriennummer pro USB-Gerät, ist das vierte Merkmal. In Kombination mit den anderen drei Parametern kann man so USB-Geräte noch exakter erkennen. Einige Hersteller bieten als Option an, einen fortlaufenden Seriennummernbereich zu liefern – und damit die Definition der Policy in DLP deutlich zu vereinfachen.
Diese Manipulationen sind theoretisch möglich, aber praktisch enorm aufwendig, es gibt deshalb nur wenige bekannte Fälle. Zudem haben hierfür namhafte Hersteller Absicherungen in Form eines Firmware-Schutz‘ über Zertifikate entwickelt. Wenn das Ziel lohnen genug ist, etwa in Hochsicherheitsbereichen, ist diese Art von Angriffen aber durchaus vorstellbar.
Data Loss Prevention – nicht nur für USB
Neben der Schnittstelle USB überwachen DLP-Lösungen meist auch noch integrierte CD/DVD Brenner und SD-Kartenleser, WLAN-, Bluetooth und Infrarot-Verbindungen, Smart-Devices und warnen vor heimlich angebrachten Keyloggern. Die Datenspeicherung auf USB-Massenspeichern kann man so einstellen, dass die Daten Software-Verschlüsselung erforderlich ist.
Die Dateityp-Analyse verhindert die Weitergabe bestimmter Dateitypen über die überwachten Kanäle, also z.B. das Kopieren eines Dateityps auf USB-Stick oder die Übertragung mittels Private Area Networks (PAN). Dies passiert auch dann wirkungsvoll, wenn der Anwender versucht, den Dateityp zu manipulieren.
Ein anderer Ansatz ist die Klassifizierung von Dateien. Damit wird die Kritikalität der Datei auf Basis des Quellverzeichnisses und/oder aus dem Inhalt ermittelt. Wird ein Scorewert überschritten, blockiert die Lösung automatisiert die Weitergabe der Datei(en). Bei der Datenklassifizierung ist es in der Folge unerheblich, über welche physikalische oder virtuelle Schnittstelle Anwender versuchen, Dateien weiterzuleiten.
Quellenangabe: Verizon Data Breach Investigations Report 2018
FAZIT
USB-Geräte erhöhen die Effizienz und Produktivität. Wie immer steht die einfache Handhabung der USB-Endgeräte konträr zur IT-Sicherheit. Data Loss Prevention ist in Kombination mit hochwertigen USB-Speichergeräten eine aus unserer Sicht notwendige technische Maßnahme zur Absicherung gegen Datendiebstahl und DSGVO-Verstöße. Datenklassifizierung ist die Kür bei DLP. Hier wird die Kritikalität jeder Datei vor der Weiterleitung bewertet und in der Folge eine Aktion durchgeführt.
Der ProBlog Newsletter
Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.
Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!
Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.
Lösungen
Shop
ProSoft
ProBlog ist ein Angebot der
ProSoft GmbH
Bürgermeister-Graf-Ring 10
82538 Geretsried