whitepaper - control de dispositivos extraíbles

WHITEPAPER

C O N T R O L D E DISPOSITIVOS

ESET / WHITEPAPER 2015 / CONTROL DE DISPOSITIVOSESET / WHITEPAPER 2015 / CONTROL DE DISPOSITIVOS

32

Índice

ESET Whitepaper - Control de Dispositivos 4-6

• Los riesgos• Soluciones al problema

ESET ENDPOINT y el Control de Dispositivos 6-13

• Dispositivos externos admitidos• Funcionamiento• Buenas prácticas

Conclusiones 13


54

Una de cada cuatro nuevas amenazas informáticas está diseñada para infectar los ordenadores a través de dispositivos USB, lo que provoca que más del 40% de las pequeñas y medianas empresas del mundo sufran infecciones por este motivo. De hecho, un tercio de las infecciones de las empresas son debidas al hecho de utilizar unidades de almacenamiento de memoria extraíble.

Los dispositivos de almacenamiento extraíble (memorias USB, discos duros portátiles, tarjetas de memoria, CD’s…) son un complemento más de nuestro día a día, casi tan imprescindible como un ordenador o teléfono móvil, pero a la vez son tan pequeños y discretos que no les prestamos el nivel de atención y seguridad necesarios. ¿Cuántas veces hemos escuchado pedir un USB o disco duro para poder compartir un archivo, ese último informe o toda una recopilación de materiales a un compañero que acaba de incorporarse al proyecto?

Este tipo de prácticas pueden tener consecuencias indeseadas si no tomamos las medidas de seguridad adecuadas. Por ejemplo, pode-mos infectar la red corporativa a través de un USB que contenga al-gún tipo de malware.

Los riesgos principales a los que exponemos nuestros dispositivos son el extravío, el acceso a la información contenida por personas no au-torizadas o la infección por virus.

Cada organización debe disponer de una política de uso de dispositi-vos de almacenamiento externo, conocida por todos los empleados, que indique cuestiones sobre si su uso está o no permitido, y en caso de que sí esté permitido, qué tipo de información puede y no almace-narse en ellos.

La prevención y el sentido común son las claves principales para evitar perder o sufrir un incidente de seguri-dad por el mal uso de los dispositivos.

Si vamos a almacenar información sensible o confidencial en un dispositivo externo, debemos utilizar siempre discos duros y USBs corporativos debidamente protegidos y con las medidas de seguridad adecua-das según lo establecido en la política de uso de dispositivos de almacenamiento externo corporativo. Debe-mos almacenarlos en lugares seguros e informar al departamento de informática de cualquier incidente que pueda ocurrir (robo, perdida etc.)

En el caso de que utilicemos un dispositivo personal para almacenar información no confidencial (por ejemplo, una presentación corporativa, manuales o instrucciones de un producto o servicio para mostrar a un cliente, etc.) por seguridad, debemos aplicar las mismas medidas de protección establecidas en la organi-zación para los dispositivos personales (Bring Your Own Device, BYOD), cumpliendo con las políticas de uso de estos medios (formateo previo, cifrado, borrado seguro, etc.)

Debemos tener especial cuidado con la información altamente sensible que manejamos de nuestra orga-nización, y añadir medidas de seguridad adicionales para evitar que esta información pueda ser sustraída o robada, bloqueando los puertos USB en los equipos que contengan este tipo de información.

Aquellos dispositivos extraíbles que sean de tipo promocional o no estemos seguros de por qué manos han pasado con anterioridad, no debemos usarlos en el ámbito laboral bajo ningún concepto, y mucho menos «estrenarlos» con un equipo corporativo. Este tipo de dispositivos debemos prepararlos convenientemente, examinando que no contengan ningún tipo de malware e incluso formateando el dispositivo previamente para usarlo de forma segura, evitando el riesgo de infecciones mediante código dañino ejecutable o similar.

Ya está preparado el dispositivo, pero… si trabajamos con información altamente confidencial, ¿tenemos la certeza de que tiene la capacidad de proteger aquello que vaya a contener?

Los riesgos

El uso de estos y otros dispositivos puede tener consecuencias indeseadas para la empresa si no tomamos las medidas de seguridad adecuadas.

Los riesgos principales a los que exponemos nuestros dispositivos son la infección por virus, el extravío y el acceso a la información contenida por personas no autorizadas. Mantener bajo control todos los datos e información generada en la empresa es fundamental.

Podríamos clasificar estos riesgos en dos: • Las amenazas internas, como por ejemplo, empleados que se convierten en puntos de fuga de informa-ción utilizando dispositivos portátiles o Internet. • Las amenazas externas, que también aparecen cuando alguien no autorizado se hace con un equipo informático de la empresa. Situaciones de extravío o robo de un ordenador portátil, un teléfono móvil o un disco duro USB o un uso indebido de estos en el domicilio de algún empleado.

!

¿Cómo prevenir?

Informe ejecutivo


76

La manera de minimizar los problemas derivados de la utili-zación de este tipo de dispositivos pasa por un escenario con tres tipos de regulaciones de seguridad proactiva:

Soluciones al problema

Establecer adecuadas políticas internas de seguridad que regulen su uso. En la medida de lo posible, es mejor establecer un marco de actuación corporativa donde exista la autorización de uso de este tipo de dispositivos de manera controlada que prohibirlo totalmente, dado que es frecuente que dicha prohibición se pase por alto en momentos de necesidad puntual.

Implementar una adecuada estrategia de formación y de concienciación sobre la problemática que puede derivarse de la utilización de forma libre y sin regulación de este tipo de dispositivos. De esta manera, los usuarios serán los que prevengan los potenciales riesgos corporativos.

Por último, establecer medidas de seguridad desde el área de administración de sistemas o de segu-ridad asegurará que los usuarios se enfrenten a una problemática con una significativa reducción de los riesgos.

Dispositivos externos admitidos:1

2

3

Las dos primeras medidas dependen única y exclusivamente de las empresas y de su organización externa, pero los productos de ESET pueden ayudar significativamente en la implementación, administración y gestión de la seguridad de este tipo de dispositivos si se configuran de la forma adecuada las soluciones de seguridad empresa-riales de ESET.

Los productos de seguridad ESET Endpoint incluyen la función “Control de dispositivos” que puede ayudar a los ad-ministradores de la seguridad de las empresas a hacer cumplir las políticas de seguridad respecto al uso de los diferentes dispositivos dentro de la empresa.

ESET Endpoint permite controlar los dispositivos automáticamente (CD, DVD, USB, etc.) pudiendo analizar, blo-quear o ajustar los filtros y permisos ampliados, así como establecer los permisos de un usuario para acceder a un dispositivo dado y trabajar en él. Esto puede ser útil cuando el administrador del ordenador quiere impedir que los usuarios utilicen dispositivos con contenido no solicitado.

Si se inserta un dispositivo que está bloqueado por una regla, se muestra una ventana de notificación y se prohíbe el acceso a dicho dispositivo.

ESET ENDPOINT y el Control de Dispositivos

• Impresora USBLas impresoras actuales ofrecen varias maneras para conectarse a un ordenador. Una de las formas más comunes de conexión de la impresora al ordenador es vía USB (Universal Serial Bus), aseguran-do la compatibilidad con la mayoría de los ordenadores personales. Esta conexión se realiza a través de un cable de datos.

• Almacenamiento FireWireIEEE 1394 (conocido como FireWire por Apple Inc. y como i.Link por Sony) es un tipo de conexión para diversas plataformas, destinado a la entrada y salida de datos en serie a gran velocidad. Suele utili-zarse para la interconexión de dispositivos digitales como cámaras digitales y videocámaras a ordenadores.

•Dispositivo BluetoothBluetooth es una especificación industrial para Redes Inalámbricas de Área Personal (WPAN) que posibilita la transmisión de voz y da-tos entre diferentes dispositivos mediante un enlace por radiofre-cuencia en la banda ISM de los 2,4 GHz. Los principales objetivos que se pretenden conseguir con esta norma son: - Facilitar las comunicaciones entre equipos móviles. - Eliminar los cables y conectores entre éstos. - Ofrecer la posibilidad de crear pequeñas redes inalámbri cas y facilitar la sincronización de datos entre equipos personales.

Los dispositivos que con mayor frecuencia utilizan esta tecnología pertenecen a sectores de las telecomunicaciones y la informática personal, como PDA, teléfonos móviles, ordenadores portátiles y de sobremesa, impresoras o cámaras digitales.


98

•Lector de tarjetas inteligentesUna tarjeta inteligente es una pequeña tarjeta de plástico que contiene un chip informático. Los usuarios usan las tarjetas inte-ligentes junto con los números de identificación personal (PIN) para iniciar una sesión en una red, un equipo o un dispositivo. El uso de tarjetas inteligentes es más seguro que usar contraseñas porque para una persona ajena es más difícil sustraer la tarjeta y averiguar el PIN que aprenderse la contraseña.

Por lo general, las tarjetas inteligentes las emiten los departa-mentos de tecnología de la información (TI) de grandes organi-zaciones.

Para usar una tarjeta inteligente, debe tener también un lector de tarjeta inteligente, que es un dispositivo que se instala en el equipo o se conecta a él, y que puede leer la información alma-cenada en una tarjeta inteligente.más seguro que usar contra-señas porque para una persona ajena es más difícil sustraer la tarjeta y averiguar el PIN que aprenderse la contraseña.

•MódemUn módem es un periférico utilizado para transferir información entre varios equipos a través de un medio de transmisión por ca-ble (por ejemplo, las líneas telefónicas).

•Puerto LPT/COMEl puerto LPT rara vez se encuentra en los ordenadores de hoy. Se trata de un conector especial para conectarse a una impreso-ra. Algunos equipos tenían un número de puertos LPT, en cuyo caso, se los conocía como “LPT1”, “LPT2”, etc.

Un puerto serie o puerto serial (COM) es una interfaz de comu-nicaciones de datos digitales, frecuentemente utilizado por or-denadores y periféricos, en donde la información es transmitida bit a bit enviando un solo bit a la vez, en contraste con el puerto paralelo que envía varios bits simultáneamente. La compara-ción entre la transmisión en serie y en paralelo se puede explicar con analogía con las carreteras. Una carretera tradicional de un sólo carril por sentido sería como la transmisión en serie y una autovía con varios carriles por sentido sería la transmisión en paralelo, siendo los coches los bits.

•Dispositivo portátilLos dispositivos portátiles, como los equipos de mano, los repro-ductores de audio portátiles y las cámaras digitales suelen co-nectarse al equipo mediante un cable USB (bus serie universal). Algunos dispositivos portátiles también se pueden conectar a través de tecnologías inalámbricas, como Bluetooth e infrarro-jos.

• Almacenamiento en disco:-El disco duro externo es un sistema de almacenamiento de información que se suele conectar al ordenador a través de USB o Firewire, aunque hay algunos que mantienen las conexiones SCSI o SATA de los discos duros internos.

-La memoria USB (Universal Serial Bus) es un tipo de dis-positivo de almacenamiento de datos que utiliza memoria flash para guardar datos e información. Se le denomina también lápiz de memoria, lápiz USB o memoria externa, siendo innecesaria la voz inglesa pen drive o pendrive.

• CD/DVD-CD-R: es un disco compacto de 650 MB de capacidad que puede ser leído cuantas veces se desee, pero cuyo conteni-do no puede ser modificado una vez que ya ha sido graba-do. Dado que no pueden ser borrados ni regrabados, son adecuados para almacenar archivos u otros conjuntos de información invariable.

-CD-RW: posee la capacidad del CD-R con la diferencia de que estos discos son regrabables, lo que les da una gran ventaja. Las unidades CD-RW pueden grabar información sobre discos CD-R y CD-RW y además pueden leer discos CD-ROM y CDS de audio. Las interfaces soportadas son EIDE, SCSI y USB.

-DVD-ROM: es un disco compacto con capacidad de almacenar 4.7 GB de datos en una cara del disco, un aumento de más de 7 veces con respecto a los CD-R y CD-RW. Y esto es en una sola cara. Existen medios de DVD-ROM capaces de almacenar datos en ambas caras del disco, y usar medios de doble capa para permitir a las unidades leer hasta cuatro niveles de datos almacenados en las dos caras del disco, dando como resultado una capacidad de almacenamiento de 17 GB. Las unidades DVD-ROM son capaces de leer los formatos de discos CD-R y CD-RW. Entre las aplicaciones que aprovechan la gran capacidad de alma-cenamiento de los DVD-ROM tenemos las películas de larga duración y los juegos basados en DVD que ofrecen vídeos MPEG-2 de alta resolución, sonido Dolby AC-3, y poderosas gráficas 3D.

-DVD-RAM: este medio tiene una capacidad de 2.6 GB en una cara del disco y 5.2 GB en un disco de doble cara. Los DVD-RAM son capaces de leer cualquier disco CD-R o CD-RW pero no es capaz de escribir sobre estos. Los DVD-RAM son regrabables pero los discos no pueden ser leídos por unidades DVD-ROM.

•Dispositivo de imagenOtros dispositivos que solemos conectar al ordenador son las cámaras digitales o escáneres. Las cámaras digitales normal-mente disponen de un espacio para el almacenamiento de da-tos, en este caso imágenes, que puede ser interno o externo (a través de tarjetas de memoria).


1110

El Control de dispositivos se habilita desde la configuración avanzada de ESET Endpoint. Para ello deberemos acceder desde el menú Configuración > Especificar configuración avanzada.

Funcionamiento

Dentro de la configuración avan-zada, dentro de Equipo > Control de dispositivos tendre-mos la posibilidad de activar el Control de dispositivos y de con-figurar las reglas necesarias para lograr que los equipos cumplan con las políticas de seguridad de la empresa.

A continuación se mencionan los elementos más importantes de la ventana del Editor de reglas de con-trol de dispositivos:

a. La casilla Habilitado activa o desactiva una regla; esta función puede ser utilizada si no desea eliminar una regla de manera permanente para así poder aplicarla en el futuro. b. Los botones Agregar o Editar permiten administrar una regla y abrir la ventana del Editor de reglas. Presione Copiar para crear una nueva regla con opciones predeterminadas utilizadas en otra regla seleccionada. c. Las líneas de código XML visualizadas cuando se hace clic sobre una regla pueden ser copiadas al portapapeles o ayudar a los administradores del sistema a exportar/importar esa información y hacer uso de ella, por ejemplo en ESET Remote Administrator.

La opción Integración del sistema integra el Control de dispositivos en ESET Endpoint Security y activa el botón Configurar reglas... para acceder a la ventana del Editor de reglas de control de dispositivos.

Si al medio extraíble insertado se le aplica a una regla existente que efectúa la acción Bloquear, aparecerá una ventana de notificación en el vértice inferior derecho de la pantalla y el acceso al dispositivo no será permitido.

d. Haciendo clic derecho sobre una regla aparecerá el menú con-textual, en el cual podrá definir el nivel de detalle de las entradas de registro de una regla. Las entradas de registro pueden visualizarse accediendo a la ventana principal de ESET Endpoint Security > Herra-mientas > Archivos de registro.

e. Presionando la tecla CTRL y ha-ciendo clic podremos seleccionar múltiples reglas y aplicar acciones tales como eliminarlas o moverlas dentro de la lista.

Agregando reglas al Control de dispositivos

El Editor de reglas del control de dispositivos nos permitirá crear o modificar una regla de filtrado para un dispositivo externo existente. Para ello realizaremos los siguientes pasos:

a. Pulsar el botón Agregar localizado a la derecha de la ventana Editor de reglas de control de dispositivos.

b.En el campo Nombre introduciremos la descripción para la regla; así podremos lograr una identificación más sencilla.

c. La casilla Habilitado nos permitirá activar la regla o deshabilitarla si la dejamos desmarcada; esta operación puede resultar útil en el caso de que no desee eliminar la regla de manera per-manente.

1 Configuración

3

2 Reglas del Control de dispositivosEl Editor de reglas de control de dispositivos muestra las reglas existentes y aplicables a disposi-tivos externos en una lista que contiene una gran cantidad de descripciones de reglas tales como nombre, tipo de dispositivo externo, acción a realizar después de insertar un dispositivo en su equipo y el nivel de registro.


1312

Buenas prácticas

e. En el menú desplegable Derechos indicaremos el permiso que se le concederá al dispositivo:

Bloquear – El acceso al dispositivo no será permitido.Solo lectura – El usuario puede leer los archivos contenidos dentro de un determinado medio extraíble.Lectura/Escritura – Control total sobre un dispositivo extraíble.

Todas las acciones no se encuentran disponibles para todos los tipos de dispositivos. Si un dispositivo posee espacio de alma-cenamiento, las tres opciones se mostrarán disponibles. Para aquellos dispositivos que no permiten el almacenamiento de datos solo se podrán seleccionar dos acciones (por ejemplo, la acción Solo lectura no puede seleccionarse para Bluetooth, lo cual indica que ese dispositivo particular solo puede ser permitido o bloqueado).

f. Información correspondiente al dispositivo:

Proveedor – Filtrado por medio del nombre o ID del fabricante.Modelo – El nombre otorgado al dispositivo.Número de serie – Los dispositivos externos normalmente poseen su propio número de serie. En el caso de un CD/DVD, existe un número de serie del medio, no de la unidad de CD.

Si las tres descripciones mencionadas arriba se encuentran vacías, la regla ignorará esos campos a la hora de buscar coinci-dencias.

g. En la Lista de usuarios elegiremos la lista de usuarios/grupos deseados, a los cuales queremos que se aplique esa regla utilizando los siguientes botones:

Agregar – Abre la ventana Selección de Usuarios o Grupos.Eliminar – Permite quitar del filtro al usuario seleccionado.

h. Finalmente, para guardar la regla creada pulsaremos el botón Aceptar y saldremos de la ventana del Editor de reglas. Haga clic en Aceptar en las dos ventanas restantes para salir de la Configuración avanzada del producto.

Así de simple es crear diferentes reglas para permitir o bloquear los dispositivos que creamos necesarios.

d. En el campo Tipo de dispositi-vo seleccionaremos dentro del menú desplegable el tipo de me-dio extraíble al cual se aplicará la regla (USB/Bluetooth/FireWi-re/...).

El proceso de clasificación para asig-nar dispositivos específicos dentro de grupos es administrado por el sistema operativo MS Windows. También podrá utilizar el Adminis-trador de dispositivos de Windows para verificar si el dispositivo conec-tado pertenece a un grupo deseado de dispositivos que aparecen en la lista desplegable Tipo de dispositivo. De no ser así, la regla para ese tipo de dispositivo no será aplicada.

Además de aplicar estas políticas de uso en los diferentes dispositivos de la empresa, se deben tener en cuenta otra serie de buenas prácticas de seguridad a la hora de trasladar información fuera de la empresa o de trabajar con información confidencial. Entre ellas destacamos las siguientes:

Utilizar, en la medida de lo posible, discos duros y USBs corporativos debidamente protegidos y con las medidas de seguridad adecuadas, almacenándolos en lugares seguros e informando al departamento de informática de cualquier incidente.

Evitar el uso de dispositivos personales para almacenar información corporativa en la medida de lo posi-ble. Y en caso de tener que utilizarlos hacerlo cumpliendo con las políticas de uso de estos medios (formateo previo, cifrado, borrado seguro, etc.).

No usar dispositivos extraíbles de tipo promocional o sobre los cuales tengamos desconocimiento. Este tipo de dispositivos debemos prepararlos convenientemente, examinando que no contengan ningún tipo de malware e incluso formateando el dispositivo previamente para evitar infecciones.

Utilizar el cifrado total de los discos duros y el cifrado de dispositivos extraíbles.

Utilizar el borrado seguro de la información confidencial, con la certeza de que nadie podrá acceder a los datos una vez eliminados. Existen tres métodos de borrado seguro: destrucción física del dispositivo, desmagnetización y sobrescritura. En función del tipo de dispositivo se podrá utilizar uno u otro método de borrado seguro.

Conclusiones

Nunca estaremos protegidos al 100% contra un robo de información o virus. Hay amenazas internas y externas que están presentes en todo momento y pueden provocar una fuga de información a terceros. Por eso, estable-cer procedimientos y políticas contra este tipo de problema es algo que cada empresa debería poner en marcha cuanto antes.

La prevención, el sentido común y la educación son las claves principales para evitar perder o sufrir un incidente de seguridad debido a un mal uso de este tipo de dispositivos.

@eset_es fb.com/Eset.Espana

whitepaper - control de dispositivos extraíbles

Software