電腦資安小幫手

如何兼顧便利與資訊安全的使用USB隨身碟，一直是公司的一大困擾。
自2008年惡意軟體感染了USB隨身碟造成了美國軍事電腦歷史上最嚴重的破壞以來，越來越多公司意識到USB裝置帶來的危險，但在資料防護的策略上卻很少有效的處理。

資料防護（DLP）獨漏USB的原因很單純：

• USB隨身碟往往會脫離公司網路的安全範圍，而安全策略在公司內部效果最大。
• USB隨身碟很小，因此容易遺失、忘記放哪裡和被偷。
• 員工可能會將來源可疑的隨身碟等USB裝置接在公司電腦上。
• 員工出差時，任何人都可能會在粗心的時候插入受感染的USB裝置。

由於使用隨身碟的風險高，許多公司索性完全禁止使用USB。但禁用USB裝置又引發了另一個問題，無論是大容量的檔案傳輸，會議所需的文件複製，又或是將文件傳輸至他處列印，都會遇上許多麻煩...
那麼，公司如何繼續使用USB，但要確保免受USB帶來的風險呢？ 底下讓我們分析看看～

☆教育員工
教育訓練是公司成本最低的資安策略之一。社交工程攻擊是近代很常見的一種攻擊方式，手法多半是利用人的好奇心或幫助他人...等達成。例如、有人在公共場所發現一支USB隨身碟，他可能想將其物歸原主，也可能想知道其中有什麼。但看似無害的隨身碟可能埋藏惡意程式，一旦接上電腦就能進行感染。更糟糕的是、若使用筆電，一旦回到辦公室，惡意程式就可以繼續感染整個網路。
因此，至關重要的是，員工無論在家中還是在工作時，都必須了解未知裝置的風險，並避免將可疑USB連接到他們的電腦上。員工在家中不安全的行為，最終可能導致整個公司網路受到感染。
知識健全的員工會更清楚USB所帶來的風險，並且如果面對可疑設備時，他們會更好地做出反應。

☆限制USB裝置的使用
許多公司在資料防護（DLP）政策上，選擇限制USB的使用，這可以通過專用軟體來完成。
通常來說，DLP軟體可以控制與監視電腦的USB裝置和連接埠，或依照政策鎖定與管理連接上電腦的裝置。如此一來，公司能確保只有受信任的裝置才能連接到電腦。 受信任的裝置可能是公司的資產、可靠的供應商所提供的USB、也可以是安全的設備（例如使用加密的隨身碟）。
如果將這些策略應用於Client端點，它們也可以離線/遠端運作，以確保在公司網路安全範圍外的電腦受到保護。

☆USB加密
對於使用隨身碟的公司，您應考慮將「加密」作為保護USB隨身碟中資料的簡便方法。 這樣，即使USB遺失或被偷，如果沒有密碼，其他人也無法訪問USB上的信息，從而消除了資料洩露的風險以及隨之而來的巨額罰款。
某些工具（例如Endpoint Protector的強制加密解決方案）在電腦連上到網路時，可由管理員自動部署到所有受信任的USB儲存裝置。安裝完成後，複製到USB上的所有資料都將使用政府認可的256位AES CBC模式加密進行加密。
其他功能還包括在受到威脅時可以遠端重置密碼，限制某人可以使用密碼的次數以及密碼的有效期...等。

☆結論
USB儲存裝置是公司執行資料安全防護（DLP）時最常遇到的盲點。公司必須制定完善的資料防護政策，一則解決使用外接裝置傳輸資料的脆弱性，另一則減少社交攻擊的途徑。使用受信賴的裝置以及對隨身碟資料加密等方法，公司能有效的降低風險，並便利的使用它們。