方案 | 企业生产网面临的USB设备威胁与应对 – 作者:联软科技leagsoft

需求来源

企业为了保证生产网相关系统的稳定运行，基本上都是采用网络隔离的方式，来规避网络层面的各种攻击行为，所以USB接口也就顺其自然的成为了数据交换的主要工具。比如运维人员通常都会使用USB设备对文件进行导入或导出，以便收集工程师站和操作员站的数据信息。

但近年来黑客利用USB接口，搭载恶意程序进而实施攻击的威胁事件持续不断得增加。据相关研究报告显示，在目前已知的USB威胁事件中，其中有11％是专门针对工业系统设计的，并且检测到的威胁事件中有59％可能对工业系统造成严重破坏。

在2014年美国黑帽大会上，柏林安全机构SRLabs的研究人员展示了被称为“BadUSB”的攻击方法，此后USB威胁事件逐年增加。USB威胁不仅能够传播普通恶意代码，也被用于实施更为隐蔽的针对性攻击，其具有隐蔽性强、针对性高、破坏力大等特点。

因此，一旦发生USB威胁事件，将会给企业造成巨大的经济损失和负面影响。下面是针对USB威胁事件典型案例：

01震网事件

当样本通过感染U盘传播时，拷贝多个.lnk快捷方式文件和两个.tmp文件到根目录。这两个.tmp文件，一个是用于隐藏它们自身的驱动程序，带有数字签名；另一个是病毒体本身以及一个投放器，并将配置信息已经存在于病毒体中。根据赛门铁克在2010年7月-10月监测的震网攻击数据，全球155个国家的计算机被感染，其中约60%的受害主机位于伊朗境内。

02“棱镜门”事件

2014年 “棱镜门”事件披露了美国国家安全局研发的一种间谍工具“水腹蛇1号”，是一种植入在USB接口的微型间谍设备。设备通过连接到目标设备后在攻击者的控制下植入恶意程序，同时通过自带的无线芯片向外发送数据，这样即使设备与互联网物理隔离，也可以通过这种方式获得敏感数据。

03USB Killer 事件

2019年2月14日，维什瓦纳特·阿库索塔将USB Killer设备插入了奥尔巴尼学院的66台计算机中，板载电容器在快速充电后放电，导致计算机的USB端口和电气系统因过载而产生物理破坏。最终Akuthota向学院支付58,471美元进行赔偿。

应对措施

01部署端点安全防御系统

企业生产网中多多少少都会有一些Windows操作系统的设备，自带多个USB接口。对于这些设备，在生产网中部署一套端点安全防御系统，在设备上安装管控软件，通过系统下发USB管控策略，对其连接的USB设备（存储类、智能设备类等）进行授权管控或直接禁用。

02部署数据交换系统

企业内网与生产网之间部署一套网间数据交换平台，来解决日常设备维护、数据采集场景下数据交换的需求。

针对USB设备潜在的网络安全威胁，联软的终端安全管理系统及融合网络隔离、网盘、DLP技术于一体的网间数据交换产品等都能很好地防范这类风险 ，联软科技始终专注于企业网络安全管控技术领域，立足自主研发与技术创新，提供业界最完整的网络、终端、数据、云主机等全方位的解决方案，16年持续为超过3000家高端用户提供安全保护。

来源：freebuf.com 2020-09-11 14:34:01 by: 联软科技leagsoft