一个U盘就能把你的会议带回家 - 保密网

小小U盘，大大的隐患

干这行这些年，接过的求助里面有一种情况特别常见：公司的核心数据被带走了，带走它的不是黑客、不是间谍——而是坐在你隔壁工位的同事，或者下属公司负责投标的销售员。方式也很简单：一个巴掌大的U盘。

有个客户找我的时候语气很急，说他们公司投了一个大标，标书底稿被人提前泄漏了。对方对他们每个条款的策略都做了针对性回应，报价踩得死死的。他们翻遍了所有渠道，最后发现泄密的路径匪夷所思——市场部的一位同事用U盘从内部系统拷贝了标书文件，说是"备份到家里方便周末赶工"，结果U盘弄丢了，不知道是被偷了还是自己掉了。

这个U盘里装着的，是三个月的市场调研数据、完整的投标方案、成本测算明细表、以及备选报价方案。这些东西任何一个落到竞争对手手里，都是致命的。

U盘泄密的几种方式

首要种就是物理丢失——最直接、最常见。有人把存有机密文件的U盘揣在口袋里，坐地铁被挤掉了，或者落在谈判桌上、打印机旁、咖啡厅里。捡到的人不一定认识你，但大概率会打开看看里面有什么值钱的东西。

第二种是U盘被改装过。市场上确实存在一种"硬件木马U盘"，从外表看跟市面上任何品牌U盘没有区别，但内部电路板上多了一个模块——既能当正常U盘用，又能在插上电脑后偷偷窃取文件。更高级的版本还可以在被植入的电脑中开启后门，让攻击者远程访问这台电脑。有次我们检测一个客户的电脑，发现某次会议后突然多了好几个不寻常的后台进程。顺着查，发现问题是出在一名实习生拿来的U盘上——他自己也不知道U盘从哪里来的，可能是之前在某个展会上领的赠品。

第三种是赠送品陷阱。在一些行业展会、论坛上，主办方或者"合作伙伴"会在签到处赠送定制U盘。外观做得挺精致，印着某某公司的Logo。但有没有人做过安全性检测呢？不一定。风险在于，这些批量定制U盘的供应链中间环节可能被人动过手脚——在成品出厂到交付之间的某个节点，一批U盘被替换或改造过。不是每一批都有问题，甚至一百批里只有一批有隐患——但如果你恰好拿到了那一批中的某一个，后果就很难预料了。

不只是U盘——移动存储设备全线告急

不仅仅是U盘。移动硬盘、SD卡、相机存储卡、甚至手机OTG转接器——任何可以往电脑里插的东西，都有可能成为泄密的通道。有些窃密案例里，攻击者用的甚至不是"存储"设备——而是伪装成充电线的数据线。线的一头插手机、一头插电脑，看起来是充电线，实际上内部有存储器，会自动把电脑上的文件复制进去。

移动存储管理的三条铁律

我总结了几条实用规则，不管公司大小都能执行：

首要，对重要数据做"只能看不能带走"的控制。通过内部系统设置权限，敏感文件在系统上只能预览，不能下载，不能拷贝，不能打印到本地。如果需要外发，走审批流程，由专人加密传输。

第二，建立公司级的移动存储设备管理制度。所有进入公司内部网络的U盘必须先经过安全检查——插到一台独立的检测电脑上扫描有没有恶意硬件。未经检查的U盘不能在办公电脑上使用。

第三，对外来的电子礼品保持警惕。展会收到的U盘、客户送的数据线、合作伙伴给的移动硬盘——如果来源不可控，就不要接入办公网络。宁可买新的自己用，也不要省这点钱。

你问我答

问：U盘真的能被安装窃密硬件吗？
答：能。国外安全研究人员在2014年就公开演示过"BadUSB"攻击——通过修改U盘固件让它伪装成键盘，插入电脑后自动执行预设指令（下载文件、开后门、模拟击键等）。这道技术现在已经被攻击者掌握。普通杀毒软件对这类硬件层面的攻击几乎无还手之力。

问：加密U盘是不是就安全了？
答：加密U盘比普通U盘好一些，能防止U盘丢失后数据被直接读取。但加密U盘同样存在硬件木马的风险，它本身的加密功能不能防止U盘在被插上电脑后通过固件漏洞泄密。所以加密U盘只是"数据存储安全"层面的解决方案，不是"输入输出安全"层面的。

问：有没有什么替代U盘的更安全的传输方式？
答：很多。内部用企业网盘或NAS的加密共享功能。外部传输用加密压缩包加独立渠道传密码，或者用支持端到端加密的协作平台。现在企业微信和钉钉也都提供带水印和阅后即焚的文件传输功能。技术上都比U盘安全。U盘在商务场景里更多是"方便"，但"方便"不等于"安全"。敏感信息传递，稍微麻烦一点，却安全很多。

一个小小的U盘可能改变一切。它可能是一个好用的工具，也可能是一把打开你公司机密库的钥匙。用对用好的时候它为你创造价值，用错的时候它可能毁了你很多努力。如果你还没对你公司的移动存储设备做过管理，不妨从今天开始重视起来。需要帮助制定管理制度或做设备安全检测的话，可以联系我们：010-63711822 或 jess@baomiwang.com。