我做了这么多年信息安全,发现一个很有意思的现象。企业在远程办公安全上投入了大量的精力和预算去做网络安全、VPN建设、防病毒部署,但USB口这个最直接的物理数据出口反而常常被忽略。在公司的内部网络里,很多企业会用终端安全软件来管控USB设备的接入,只有经过审批的U盘才能用。但换成远程办公模式,员工在家办公,电脑上的USB口完全处于自由使用状态,没有人检查哪些U盘插上去了、什么数据被拷走了。
USB设备的安全风险在远程办公环境下比在公司里大得多。原因很简单,在公司里你的电脑周围有同事,有监控,你插个奇怪的设备可能有人会问一下。但在家办公,你在自己房间里,插什么设备完全没人知道。更关键的是,远程办公时处理的数据往往没有公司内网环境下的多层防护,数据文件可能直接存储在电脑本地磁盘上。这时候只要插入一个U盘,几秒钟就能把大量数据拷走。
从风险类型来分,USB外设在远程办公中的问题主要有几类。第一类是员工使用个人U盘传输公司数据。很多时候员工为了方便,把公司文件拷到自己的U盘里带回家处理,或者从家里把文件拷到公司电脑上。这些个人U盘可能在不同电脑之间反复使用,缺乏安全扫描,可能携带病毒或者木马。第二类是非受控的外接设备,比如智能手机、移动硬盘、相机存储卡,员工把这些设备连接到办公电脑上后,系统可能自动加载设备驱动或者弹窗提示打开设备文件夹,这个过程就可能触发恶意代码的自动执行。第三类是恶意的USB攻击设备,比如BadUSB这种硬件攻击工具。远程办公环境下,如果有人以快递、维修、测试等名义给员工寄送一个看似正常的USB设备,员工插上电脑后攻击代码就自动运行了。
那么针对USB外设的管控,远程办公的企业应该怎么做呢?我的建议是分几步走。
第一步是技术手段上的管控。所有公司配发的远程办公电脑,都应该在终端安全软件中开启USB设备的管控策略。具体来说,可以设置为只能读取经过公司授权的USB设备,或者只能使用经过加密的专用U盘,禁止识别未注册的USB存储设备。如果员工确实需要通过USB传输数据,应该走审批流程,由IT部门给特定的U盘做授权登记。
第二步是建立数据传输的正规通道。很多员工使用U盘的原因是没有更好的选择。公司应该提供安全合规的文件传输方式,比如公司内部的加密文件交换平台,或者受控的云存储同步功能。当员工发现上传下载一个大文件或者批量传输文件有更便捷的官方渠道时,使用U盘的冲动就自然降低了。
第三步是培训员工识别USB相关的安全风险。不要以为每个员工都知道来历不明的USB设备不能随便插。实际上很多人觉得一个U盘就是一块便宜的存储设备,插上去看看有什么内容是很自然的事。我建议在安全培训中用真实案例来展示USB攻击的效果,比如在培训中演示一下BadUSB插上电脑后自动执行操作的过程,效果远比口头警告要好。
第四步是建立外接设备的登记台账。对于确实需要使用的外接设备,比如设计人员需要连接数位板、财务人员需要连接USB接口的UKey,应该登记设备的型号和用途,定期核查。不需要使用的USB接口类型可以在系统层面禁用,比如只允许USB键盘鼠标,禁用USB存储设备。
还有一个我特别想提醒的点是智能手机通过USB连接电脑的风险。现在很多人习惯把手机通过USB线连到电脑上充电或者传输文件。连接后,手机上存储的数据可以被电脑读取,反过来电脑上的文件也可能被同步到手机端。在远程办公中,如果员工把存有公司文件的电脑连到存有个人数据甚至恶意应用的手机上,两边数据的边界就模糊了。建议在远程办公政策中明确规定,公司配发的办公电脑不得与个人手机通过USB连接,充电也不要连电脑,用单独的充电头。
USB外设管控听起来是个小问题,但在信息安全领域,数据泄露往往不是通过被打破的高墙发生的,而是通过那些你以为无关紧要的小出口流出去的。远程办公模式下,每个员工电脑上的USB口都需要纳入管理视野。
