Firma ubezpieczeniowa, zwana dalej jako „Klient”, stanęła przed wyzwaniem wzmocnienia swojej polityki cyberbezpieczeństwa, szczególnie w kontekście zapobiegania zagrożeniom związanym z urządzeniami USB. Ta analiza przypadku koncentruje się na implementacji blokady portów USB jako środka bezpieczeństwa, w reakcji na incydent z użyciem urządzenia typu bad-USB w jednym z komputerów typu all-in-one, posiadających porty USB zarówno z tyłu jednostki jak i z boku, dzięki czemu przy chwili nieuwagi lub odejściu pracownika od stanowiska mogło zostać podłączone zainfekowane urządzenie USB.
Czym jest bad-USB
Urządzenie typu bad-USB to modyfikowane lub specjalnie zaprojektowane urządzenie USB, które wygląda jak zwykły pendrive lub inne akcesorium USB, ale jest zaprogramowane do przeprowadzania złośliwych działań. Po podłączeniu do komputera, bad-USB może na przykład emulować klawiaturę i automatycznie wprowadzać polecenia, instalować malware, kraść dane lub wykonywać inne nieautoryzowane operacje, często omijając tradycyjne środki bezpieczeństwa. Urządzenie to stanowi poważne zagrożenie dla bezpieczeństwa komputerów i sieci, ponieważ może być trudne do wykrycia przez standardowe oprogramowanie antywirusowe.
Klient zgłosił incydent, w którym cyberprzestępca użył wspomnianego urządzenia bad-USB, co spowodowało nieautoryzowany dostęp do wrażliwych danych i możliwość wykonania skryptu umożliwiającego pobranie wrażliwych danych z komputera klienta. To zdarzenie podkreśliło lukę w ich polityce bezpieczeństwa i potrzebę wdrożenia dodatkowych środków ochrony.
Wybrano Malwarebytes Endpoint Detection and Response (EDR) ze względu na jego zaawansowane możliwości w zakresie wykrywania, reagowania i naprawy zagrożeń cyfrowych. Kluczowym aspektem rozwiązania było wykorzystanie funkcji Malwarebytes do zarządzania portami USB, umożliwiającej blokadę nieautoryzowanego dostępu do tych portów.
Implementacja
- Analiza Środowiska: Najpierw przeprowadzono szczegółową analizę infrastruktury IT Klienta, aby zrozumieć, jak pracownicy korzystają z portów USB i jakie mogą być konsekwencje ich blokady.
- Konfiguracja Malwarebytes EDR: Skonfigurowano Malwarebytes EDR do monitorowania i zarządzania portami USB. Ustawienia te zostały dostosowane do potrzeb Klienta, umożliwiając tylko autoryzowane urządzenia USB.
- Szkolenie i Świadomość: Pracownicy zostali przeszkoleni w zakresie nowej polityki oraz uczeni, jak bezpiecznie korzystać z urządzeń USB. Podkreślono ryzyko związane z bad-USB.
- Testowanie i Wdrożenie: Przed pełnym wdrożeniem przeprowadzono testy, aby upewnić się, że nowe ustawienia nie zakłócą normalnej pracy. Po pomyślnym teście, Malwarebytes EDR został wdrożony we wszystkich systemach.
- Monitoring i Przegląd: System został skonfigurowany do ciągłego monitorowania i generowania alertów w przypadku prób użycia nieautoryzowanych urządzeń USB.
Wyniki
- Zwiększone Bezpieczeństwo: Klient doświadczył znacznego wzrostu bezpieczeństwa danych, eliminując ryzyko związane z bad-USB.
- Zmniejszenie Incydentów: Od wdrożenia nie zaobserwowano żadnych nowych incydentów związanych z urządzeniami USB.
- Zaangażowanie Pracowników: Szkolenia i kampanie świadomościowe spowodowały wzrost świadomości bezpieczeństwa wśród pracowników.
Ten przypadek pokazuje, jak ważne jest stosowanie zintegrowanych narzędzi cyberbezpieczeństwa, takich jak Malwarebytes EDR, w połączeniu z edukacją pracowników i ciągłym monitorowaniem. Blokada portów USB okazała się skutecznym środkiem w zapobieganiu atakom cybernetycznym typu BAD-USB, zwiększając ogólne bezpieczeństwo przedsiębiorstwa.
