Autentifikatsiya qilingan usb-dan foydalanishda tegishli ish
Texnik bo'lmagan chora-tadbirlar
Download 323.15 Kb.
|
Документ Microsoft Word
- Bu sahifa navigatsiya:
- Aholini xabardor qilish
Texnik bo'lmagan chora-tadbirlarSiyosatni amalga oshirish Ushbu yangi topilgan tahdidni yumshatish uchun juda cheklangan miqdordagi qarshi choralar mavjud. Biroq, to'lov kartalari sanoati kabi texnik bo'lmagan nazorat mavjud ma'lumotlar xavfsizligi standarti (PCI DSS), bu qurilmalarning ta'sirini kamaytirishga yordam beradi ba'zi jismoniy boshqaruvlarni majburlash orqali zararli proshivka bilan. PCI DSS ruxsat bermaydi asosan barcha tashqi kompyuter interfeysi juda zarur va bundan mustasno boshqa muqobil interfeys mavjud emas. Bunday holda, kompensatsiya nazorati e’lon qilinishi va tasdiqlanishi kerak [26]. 2.1-rasmda PCI DSS-larning misoli ko'rsatilgan siyosatni ko'rib chiqishni talab qiluvchi o'z-o'zini baholash anketasi. 2.1-rasm: PCI DSS o'z-o'zini baholash so'rovnomalari v2.0 namunasi Bundan tashqari, xodimlar uchun qo'llanma va maqbul foydalanish siyosati ham ishlatiladi himoyalangan tizimga jismoniy kirishni faqat vakolatli shaxslarga cheklash. Bunday siyosatlar bilmasdan tarmoqqa ulanish ehtimolini kamaytirishga harakat qiladi ruxsatsiz USB qurilmasi. Biroq, bu siyosatlar texnik choralarni ta'minlay olmaydi Bunday hujumni amalga oshirishga to'sqinlik qiladigan bo'lsa-da, ular mustahkam qonuniy asos bo'lsa ham sud jarayoniga yordam berish. Zararli dasturiy ta'minotga ega USB qurilmalaridan foydalanish ehtimoli - Black Hat USA 2014 ko'rgazmasida e'lon qilindi. Xavfsizlik tadqiqotlari laboratoriyalari (SRL) taqdimotida USB kontroller ishlab chiqaruvchilarini muammoni yumshatishga chaqirdi. Ular jin- USB qurilmasi zararlangan bo'lsa, zaiflikdan foydalanishning mumkin bo'lgan holatlarini belgilab berdi zararli proshivka. BadUSB deb nomlangan zararli dasturiy ta'minotga ega qurilmalar uning jismoniy xususiyatidan butunlay boshqacha turdagi qurilma sifatida ko'rsatilgan. faoliyati. Ular BadUSB-larni qanday namoyish qilishlari tafsilotlarini oshkor qilmadilar vaqtida yaratilgan. Bunday imo-ishoraga qaramay, muammo saqlanib qoldi qarovsiz. O'sha yilning oxirida Harman ba'zi mikrodasturlarni qayta dasturlash uchun kod yaratdi USB flesh-disklarning turlari SchmooCon 2014 da ommaga taqdim etiladi [15]. U rozi- Ishonch bilan uning harakati ishlab chiqaruvchilarni nosozlikni tuzatishga jalb qilishga umid qilishini e'lon qildi. sezgirlik tezroq. Uning fikricha, aholining xabardorligi muammoni hal qilishning kalitidir masala. Garchi bu yondashuv himoya qilish uchun texnik vositalarni taqdim etmasa ham BadUSB-ga qarshi Harman taqdimoti ko'plab foydalanuvchilarni imkoniyatlardan xabardor qildi. Ushbu e'lonlar bir nechta yangiliklar nashrlari tomonidan yoritilgan va ko'proq umumiy ogohlantirilgan auditoriya xavf haqida xabardor bo'lishi uchun [5, 21, 30]. USB standartini himoya qilish uchun tavsiya etilgan standartlar: IEEE 1667 TSDlar, shuningdek, mo'ljallanmagan kanallar xavfini kamaytirish uchun bir qator standartlar autentifikatsiya qilish va avtorizatsiya qilishga urinish uchun USB-ning modifikatsiyalari taklif qilindi qurilma [13, 28, 35, 36]. USB-dagi autentifikatsiya xost va qurilma tekshirishi mumkinligini anglatadi bir-biriga va avtorizatsiya xost faqat oldindan belgilangan funksiyani qabul qiladi qurilmalardan. Faqat sotuvchi identifikatori (VID) va mahsulot identifikatoridan (PID) foydalanishning joriy amaliyoti cheklangan protatsiya vositalarini taqdim eting, chunki ularni aldash oson va faqat taqdim etadi qurilma va ishlab chiqaruvchi haqida ma'lumot. IEEE 1667 to'liq yo'lni tavsiflaydi ikkala xususiyatni ham taqdim eting. Masalan, IEEE 1667 ga mos keladigan silos tushunchasidan foydalanish xost faqat oldindan autentifikatsiya qilingan qurilmalarni qabul qiladi. Shunday qilib, IEEE 1667 taklif qilindi va 2007 yilda tasdiqlangan [13]. Biroq, zamonaviy operatsion tizimlarda deyarli qo'llanilmaydi va qurilmalar. Garchi u Windows-ga joriy etilishi taklif qilingan va e'lon qilingan bo'lsa-da 2008 yilda 7-sonli IEEE 1667 standartiga mos keladigan qurilmalar umuman yo'q. bozor. Download 323.15 Kb. Do'stlaringiz bilan baham: 
|