Text: Andrew Rose, Resident CISO, EMEA, Proofpoint
Usb-enheter har existerat i sin nuvarande form i över ett kvartssekel – och förblivit relativt intakta trots den tekniska utvecklingen. Framgången usb som format upplevt beror på dess flexibilitet som datagränssnitt, vilket möjliggör kringutrustning och bärbara lagringsenheter. Formatet lider dock av brist på de finkorniga kontroller som säkerhetspersonal kräver.
Många it-säkerhetsledare anser att hotet från usb-enheter har hanterats genom att använda DLP-teknik (Data Leak Prevention) för att identifiera och blockera överföringen av känsliga data. Problemet är att långt från alla cyberattacker handlar om dataförlust.
De flesta cyberattacker startar visserligen via e-post, men den senaste tidens aktivitet visar att kriminella ser värde och möjligheter för framgångsrika attacker via usb-enheter. En nyligen genomförd attack, enligt uppgift från en rysk grupp kallad FIN7, innehöll presentförpackningar bundna med guldband och innehållandes (falska) Amazon-kuponger samt ett usb-minne. Att cyberkriminella agerar på ett sådant här kreativt och originellt sätt har fått FBI att varna för att ransomware kan spridas på detta sätt.
Proofpoints 2022 State of the Phish-rapport bekräftar också skiftet. Mer än hälften av organisationerna rapporterade att de upplevt usb-baserade attacker under 2021, en ökning med mer än 15 procent från 2020.
Dessa sofistikerade attacker går långt utöver en planterad usb-sticka i företagets reception. Båda attackvägarna kan dock vara mycket effektiva med en lockande etikett. ”Årlig bonusplan” kommer att justera ett offers nyfikenhet, medan ”xx bröllopsfoton” kommer att väcka välvilja när det gäller att returnera data till sin ”ägare”.
Agerar tangentbord
Historiskt sett har usb-baserade attacker varit en alternativ transportväg för skadliga filer, kanske innehållande Office-dokument med skadliga makron, eller klickbara körbara filer. Den senaste tiden har usb-baserade attacker har flyttats till vad som brukar benämnas som ”HID (Human Interface Device) Spoofing”, där usb-stickan utger sig för att vara ett tangentbord. När den sätts in registreras stickan som ett tangentbord/mus och levererar kommandon, vilket automatiserar en attack som om hackaren satt vid ett skrivbord. Det är denna teknik som nämnda FIN7 använde i deras senaste ransomware-attack.
Tillkomsten av en attack som kallas ”USBKill” har varit ännu mer destruktiv, om än på en mer lokal nivå. Det förvandlade USB-minnet till en spänningsinjektor, som kan utlösa en strömstöt som skulle steka moderkortet och göra data på datorn omöjlig att återställa. Även om detta bara kan vara irriterande i företagsmiljön, kan dess potential för störningar i en driftsteknikmiljö inte underskattas.
Hög tid att utbilda personalen
Att granska risken för skada på företag är ett rekommenderat steg, men det är viktigt att också ta fram praktiska lösningar för att förhindra attacker.
Ett stort brittiskt projekt tog HID-säkerhet på allvar och krävde att alla tangentbord och möss skulle begränsas till en specifik modell. Detta fungerade för deras tidsbegränsade projekt men skulle vara nästan omöjligt i en ständigt föränderlig global företagsmiljö.
Andra företag försöker vitlista programvara. Även detta är en fungerande metod, men saknar den pragmatism som är nödvändig när man hanterar säkerheten i en snabbrörlig global organisation.
Förebyggande av dataförlust är väsentligt, men måste grundas i solida tekniska kontroller och tillämpas automatiskt i en skyddad datamiljö som drivs av personal utbildad i datasäkerhet.
Vilket leder oss tillbaka till användaren. Flexibiliteten hos usb-formatet har säkerställt att den har behållit sin position i den tekniska armadan. Följaktligen kommer angripare att söka sätt att konstruera sin skadliga programvara, fysiskt och socialt, för att dra fördel av den universella tillgängligheten.
En välutbildad personalstyrka – som är medveten om sitt ansvar, som förstår hoten och som är uppdaterad kring de senaste riskerna – kommer att ge det bästa skyddet.
