Không thể phủ nhận sự tiện lợi của các phương tiện lưu trữ USB. Từ ổ cứng, ổ đĩa flash cho đến một loạt các thiết bị khác, chúng nhỏ gọn, cho phép mang theo bên mình mọi lúc, mọi nơi, lưu trữ được lượng lớn dữ liệu và cực kỳ dễ sử dụng. Tuy nhiên khi nhìn từ góc độ bảo mật, chính bản chất dễ sử dụng và tính di động của thiết bị lưu trữ USB khiến chúng trở thành "chất xúc tác" hoàn hảo cho những rủi ro dữ liệu tồi tệ.
Nhu cầu làm việc từ xa tăng cao trong thời kỳ COVID-19 đã chỉ ra rõ nét hơn bao giờ hết điểm yếu bảo mật của thiết bị lưu trữ USB. Theo thống kê, khối lượng dữ liệu được mọi người sao lưu vào phương tiện USB để làm việc tại nhà sau khi đại dịch bùng phát đã tăng 123%. Kết quả là, có hàng trăm terabyte dữ liệu nhạy cảm, không được mã hóa của doanh nghiệp có khả năng bị tiếp cận bởi hacker, mã độc, làm tăng đáng kể nguy cơ rò rỉ dữ liệu, gây thiệt hại nghiêm trọng.
May mắn thay, việc triển khai hiệu quả các quy trình kiểm soát và mã hóa USB có thể giảm thiểu đáng kể rủi ro bảo mật nêu trên.
Kiểm soát và mã hóa USB là gì?
Kiểm soát và mã hóa USB đề cập đến tập hợp các kỹ thuật cũng như thực tiễn được sử dụng để bảo mật quyền truy cập của thiết bị vào cổng USB. Các kỹ thuật và thực tiễn này là một phần quan trọng trong lĩnh vực bảo mật điểm cuối nói chung, đồng thời có thể giúp bảo vệ toàn bộ hệ thống máy tính cũng như tài sản dữ liệu nhạy cảm lưu trữ trên đó khỏi các mối đe dọa bảo mật (ví dụ: phần mềm độc hại) có thể được triển khai thông qua thiết bị USB cắm vật lý.
Có rất nhiều cách để triển khai kiểm soát và mã hóa USB. Cách tiếp cận triệt để nhất chính là chặn hoàn toàn việc sử dụng thiết bị USB, bằng cách che các cổng USB điểm cuối hoặc vô hiệu hóa adapter USB trên toàn hệ điều hành. Mặc dù phương pháp này chắc chắn có hiệu quả, nhưng quá "cực đoan" và đối với đại đa số các doanh nghiệp, điều này hoàn toàn không khả thi bởi họ sở hữu một lượng lớn thiết bị ngoại vi dựa vào cổng USB để hoạt động, chẳng hạn như bàn phím, bộ sạc, máy in, v.v...
Thay vào đó, một cách tiếp cận thực tế hơn là kết hợp các biện pháp vật lý ít hà khắc hơn với việc sử dụng mã hóa để bảo vệ dữ liệu nhạy cảm. Nghĩa là ngay cả khi ổ flash chứa dữ liệu bị mất hoặc bị đánh cắp, nội dung lưu trữ bên trong vẫn sẽ được đảm bảo an toàn. Cách dễ nhất (và thường là tốn kém nhất) để làm điều này là mua các thiết bị đã có thuật toán mã hóa mạnh mẽ được tích hợp sẵn bên trong.
Một giải pháp thay thế rẻ hơn (nhưng khó triển khai và quản lý hơn) là thực thi các chính sách CNTT cụ thể liên quan đến việc điều chỉnh hoạt động sử dụng thiết bị USB. Chẳng hạn, doanh nghiệp chỉ cho phép nhân viên sử dụng một số thiết bị USB được xác thực nhất định - có hệ thống tệp đã được mã hóa thủ công - hoặc quy định rằng các tệp riêng lẻ phải được mã hóa trước khi chúng có thể được chuyển sang thiết bị lưu trữ USB.
Kiểm soát tốt hơn - bảo mật chặt chẽ hơn
Các biện pháp kiểm soát cổng USB mặc định được cung cấp như một phần của hầu hết hệ điều hành có xu hướng khá hạn chế về chức năng. Tuy nhiên, đối với những người muốn một cách tiếp cận chuyên sâu và chặt chẽ hơn, với mức độ kiểm soát chi tiết hơn, có thể sử dụng thêm các ứng dụng hoặc giải pháp bảo mật của bên thứ ba. Ví dụ, một ứng dụng được thiết kế để yêu cầu mỗi thiết bị USB trước khi muốn kết nối đều phải phải báo cho HĐH biết chính xác loại thiết bị đó là gì, như một phần của giao thức kết nối.
Với sự trợ giúp của các ứng dụng quản lý USB, quản trị viên hệ thống có thể sử dụng thông tin này để giới hạn hoặc chặn một số loại thiết bị USB trên các cổng điểm cuối cụ thể. Một ví dụ điển hình là cho phép sử dụng chuột được kết nối qua cổng USB, nhưng cấm các thiết bị lưu trữ, chẳng hạn như thẻ nhớ USB - thứ có thể gây ra mối đe dọa lớn hơn đối với hệ thống.
Một số ứng dụng quản lý chuyên sâu hơn thậm chí còn cho phép quản trị viên đặt ra các quy tắc sử dụng cổng USB xuống cấp độ cá nhân. Chẳng hạn như chỉ định chính xác loại tệp nào có thể được sao chép hoặc chuyển qua một cổng USB cụ thể, hoặc quy định rằng một cổng cụ thể chỉ có thể được sử dụng bởi các thiết bị từ danh sách được phê duyệt trước (dựa trên số sê-ri của thiết bị kết nối). Những phương thức kiểm soát như vậy sẽ chứng tỏ được sự hiệu quả trong việc ngăn chặn dữ liệu nhập xuất trái phép, cũng như các hành vi như cố gắng tải phần mềm độc hại thông qua ổ lưu trữ USB.
Vấn đề nằm ở chỗ một hệ thống mạng doanh nghiệp bình thường có thể chứa hàng trăm, thậm chí hàng nghìn điểm cuối. Trong khi mỗi điểm cuối này lại sở hữu một hoặc nhiều cổng USB. Như vậy, các giải pháp kiểm soát và mã hóa nên được quản lý tập trung, thay vì trên cơ sở cá nhân để dễ dàng triển khai và kiểm soát hơn. Điều này đặc biệt đúng vào thời điểm hiện tại, khi mà các giao thức làm việc từ xa khiến cho việc quản lý các thiết bị theo cách cá nhân hóa là gần như không thể.
