USB-Device-Management: Teil 3

Sichere, Hardware-verschlüsselte USB-Speicher sind ein wichtiger Teil einer USB-Sicherheitsstrategie.
Und in Teil 1 & Teil 2 haben wir uns mit den grundsätzlichen Möglichkeiten und den wichtigsten Sicherheitsrichtlinien beschäftigt, die ein zentrales USB-Device-Management bietet.
In Teil 3 wollen wir uns nun eine optionale Lizenz für DataLocker’s SafeConsole anschauen, die optimaler Weise zusätzlich zum USB-Device-Management verwendet wird: PortBlocker!

Port- und Device Control

PortBlocker ist, verglichen mit hoch komplexen, hochpreisigen DLP Lösungen, eine kostengünstige Alternative, die sich ausschließlich mit der USB-Port-Sicherheit beschäftigt. Wer exakt dieses Thema auf der Agenda stehen hat, findet hier eine gute Lösung mit geringem Verwaltungsaufwand.
Zudem können mehrere Fliegen mit einer Klappe geschlagen werden, da aus der Kommandozentrale SafeConsole heraus auch die sicheren USB-Laufwerke selbst, nebst USB-Anti-Malware-Scanner und virtueller Laufwerke verwaltet werden können und dafür kein separater Server benötigt wird.

Private USB-Speicher

Denn eine berechtigte Sorge in Organisationen aller Größen ist, dass Mitarbeiter private USB-Speicher mitbringen und am Firmen-PC anschließen.
Im günstigsten Fall liegt hier keine böse Absicht vor. Es können jedoch unerwünschte private Daten transferiert und dabei Malware eingebracht werden.
Im ungünstigsten Fall findet ein Abfluß kritischer Daten aus dem Firmennetzwerk statt, wodurch dem Unternehmen erhebliche Schäden enstehen können.

Unvorsichtige Mitarbeiter

Ein weiterer immer wieder beobachteter Fall sind z. B. auf dem Firmenparkplatz gefundene USB-Sticks, die von neugierigen Mitarbeitern am Firmen-PC angeschlossen werden, um zu sehen was darauf ist. Bei günstigen USB-Sticks ohne Schutz durch eine Signatur, kann die Firmware des USB-Speichergerätes verändert werden. In der Folge können nach Verbindung mit dem Host-Computer sogenannte Bad-USB Attacken gestartet werden. Dadurch werden z. B. Scripte gestartet, die weitere Schadsoftware herunterlädt und ausführt.

Autorisierte USB-Speicher

Um solche Risiken einzuschränken, bietet es sich an die USB-Ports zu sperren. Natürlich sind USB-Speicher aus vielen betrieblichen Abläufen nicht mehr wegzudenken und eine generelle Unterbindung der Nutzung sorgt eher für eine Arbeits-Erschwernis und für Unmut in der Belegschaft.
Autorisierte USB-Speicher

Daher gibt es die Möglichkeit ausgewählte, sichere USB-Speicher anhand Ihrer Vendor ID und Product ID (VID / PID), bzw. ihrer Seriennummer, zur Verwendung im Unternehmen zu autorisieren. Die Voraussetzungen dafür bieten vor allem hochwertige, Hardware-verschlüsselte USB-Speicher, die übrigens auch mit einer signierten Firmware ausgestattet und damit immun gegen die zuvor erwähnten Bad-USB Attacken sind.

In der PortBlocker Richtlinie sind alle SafeConsoleReady Laufwerke von DataLocker, Kingston und Origin bereits integriert. Es können jedoch auch weitere Laufwerke flexibel eingetragen und für die Nutzung freigegeben werden. Dabei gibt es unterschiedliche Freigabestufen: Gesperrt (Default), Uneingeschränkter Zugriff und Nutzung mit Schreibschutz. Nicht gelistete Laufwerke werden automatisch so lange blockiert, bis sie autorisiert werden. Die Daten dazu können dann einfach aus den Compliance-Berichten übernommen werden, ohne dass VID / PID oder Seriennummer manuell eingegeben werden muß.

Compliance-Berichte

Wird nun also solch ein autorisiertes USB-Laufwerk (Stick, Festpatte oder SSD) an einen PC mit PortBlocker-Installation angeschlossen, wird die Nutzung umgehend erlaubt. Versucht ein Mitarbeiter hingegen ein nicht autorisiertes Laufwerk anzuschließen, wird dies nicht zur Nutzung zugelassen und der Event wird in den SafeConsole Compliance-Berichten aufgezeichnet. Der für das Thema zuständige Mitarbeiter (Administrator, Helpdesk oder Datenschutzbeauftragter) muß dann zwar nicht, könnte jedoch dem Fall nachgehen und prüfen was der Mitarbeiter im Schilde führte. Diese Compliance-Berichte lassen sich übrigens auch deaktivieren, falls Bedenken in Bezug auf die Mitarbeiterüberwachung (Betriebsrat) bestehen.

Geofence

Über die Geofence Richtlinie kann eingestellt werden, ob PortBlocker die autorisierten Laufwerke nur bei der Verwendung in bestimmten IP-Adressbereichen, Ländern oder bei ausgewählten Internet Service Providern erlauben oder unterbinden soll. Befindet sich das USB-Laufwerk dann außerhalb der definierten Bereiche, ist eine Nutzung nicht möglich.

Im Notfall Schreibschutz für alle Laufwerke

Es gibt kritische Situationen, z. B. wenn Ransomware in Erscheinung getreten ist, in denen man nicht nur bestimmte Endpunkte absichern, sondern vorsichtshalber alle USB Laufwerke in den Schreibschutzmodus versetzen möchte. So sind die Daten auf den Laufwerken unveränderbar und können nicht durch Malware modifiziert werden.

Weitere Geräte

Oft wird bei alledem übersehen, dass sich MP3 Player, Digitale Kameras und Smartphones ebenfalls zum Datendiebstahl und für das Einbringen von Schadsoftware eignen. Daher werden solche Geräte, die sich auch als USB Mass Storage Device melden, zunächst blockiert. Dabei steht die USB-Ladefunktion weiterhin zur Verfügung und lediglich der Zugriff auf den Speicher wird unterbunden. Auch die Nutzung von USB-Mäusen, Tastaturen, usw. ist weiterhin ganz normal möglich. Für die USB-Speicher kann dann ein voller, bzw. ein schreibgeschützter Zugriff erlaubt werden, oder es bleibt beim Default und das Laufwerk ist weiterhin gesperrt.

Fazit: Um das Thema USB-Sicherheit so umfassend wie möglich zu behandeln macht es Sinn zwei Perspektiven zu berücksichtigen:

1. Durch Portblocker werden die Richtlinien für die Freigaben der USB-Ports festgelegt.
2. Durch das USB-Device-Management, wie in Teil 1 & Teil 2 beschrieben, werden die Richtlinien für die Verwendung der autorisierten Laufwerke festgelegt. Zudem werden Zusatzfunktionalitäten wie Password-Reset, Factory-Reset, u. a. ermöglicht.