信息安全 - 如何安全地处理不受信任的数据源？ - 吾爱随笔录

如何安全地处理不受信任的数据源？

信息安全网络病毒虫

2021-08-27 17:33:13

难题是：在我目前的公司，我们处理来自众多第三方来源的物理光盘，并从中提取数据以摄取到我们自己的系统中。虽然我们通常可以信任这些来源，但我们不想冒将任何形式的恶意软件引入我们的内部网络和系统的风险。有没有什么方法可以安全地处理这些光盘而无需太多（或任何！）额外的努力？

我们目前的流程是：

员工收到一张光盘并将其插入他们的工作站。
员工从光盘中提取数据
员工将提取的数据上传到我们的内部系统

显然，在当前格式下，如果将受感染的光盘插入员工的工作站，整个网络可能会在几分钟内被感染。不理想。

一种建议的解决方案是在处理之前使用气隙机器检查光盘，但这会带来问题，因为我们如何才能可靠地检测该机器上的任何（或新的）恶意软件？它还为该过程增加了一个额外的、耗时的步骤，因为光盘必须被提取两次。

另一种解决方案是让一台机器连接到我们网络的隔离子网上，安装了 AV，并且限制 WAN 访问以仅允许 AV 更新。可以从员工的工作站在该机器上远程插入和提取光盘，然后将数据摄取（不知何故；也许是代理？）到系统。

执行此操作的最安全、最具成本效益和最少时间浪费的方法是什么？如果有推荐的行业标准，它是什么，我在哪里可以阅读它？

编辑：

这些光盘是DICOM 兼容的光盘，因此它们包含多个图像（.tiff 或 .dcm），而且（通常）还包含一个查看器应用程序（一个 .exe）来查看这些图像。我猜，这里的担心更多是其中一个文件可能包含木马。CyberSec 还很初级，所以如果我对某些方面有误解，请原谅我！

3个回答

这完全取决于您对数据的实际操作。坐在磁盘上的一堆比特就是：一堆比特。它需要以某种方式执行才能成为恶意软件并对您的网络构成威胁。

这可以通过以下几种方式完成：

windows 允许在可移动媒体上自动运行。缓解措施：将摄取机器更改为 Linux 或仔细配置 windows
手动执行：员工可能会意外执行。缓解：限制员工帐户，例如，将文件默认设置为只读。这不能防止恶意行为，只能防止意外行为。
磁盘上的数据可以利用文件系统驱动程序中的漏洞。这是不太可能的，文件系统驱动程序经过了很好的测试，这里的任何漏洞都是关键的，并且将是一个非常昂贵的 0-day（所以它不会被用来对付你）。 缓解措施：您应该自动安装安全更新。另一种防止这种情况的方法是使用用户空间文件系统驱动程序。AFAIK 它们的测试不太好，稳定性较差，性能较差，但是任何成功的利用都将提供用户级（而不是内核级）访问权限。您必须自己考虑这种权衡。
最后——数据可以利用您用来处理文件的其他软件中的漏洞。这是最有可能的选择，在 pdf 阅读器等软件中经常会发现任意代码执行漏洞。缓解措施：保持您的软件更新，并配置为高安全性（不允许在 MS Office 中使用宏等）。

此外，您可以在 VM 中包含每个文件处理步骤，并在每个工作日后将其重置为已知的良好状态。这会很不方便，但会提供一些额外的保护，特别是如果您禁用 VM 上的网络连接。

除非您积极执行提供的文件，否则我不会对防病毒软件抱有希望，否则它们不会提供太多保护。

我有在相同情况下保护 DICOM 的经验，因此我将重点关注这一点。

假设您使用的是正确配置的环境（禁用自动运行、经常更新反恶意软件等），那么 CD 相对安全。对于 USB 驱动器，情况并非如此。我们将刻录机 PC 用于 USB 驱动器。

这些光盘通常由 PACS 系统（图片归档和通信系统）创建。大多数 PACS，当刻录光盘以供外部查看时使用标准 DICOM 格式之上的专有软件，我看到少数使用专有软件和专有格式，需要您启动软件并“另存为”DICOM——在那些情况下，我们使用了刻录机 PC。

否则，所有标准 DICOM 格式都有一个DICOMDIR文件，该文件具有所需的文件系统和 DICOM 元数据，以提取与其关联的所有“图像”。我们开发了一个提取程序，该程序将在磁盘安装上运行，读取任何 DICOMDIR 文件，并仅将 DICOMDIR 和图像提取到暂存位置。然后，记录技术人员将使用第三方查看工具查看图像，并确定这是他们期望的记录，然后将它们发送给同行进行处理。这阻止了任何“操作系统”与数据的交互，从而大大减少了攻击面。

刻录机 PC 是一台备用计算机，网络访问受到限制。该技术将加载数据，将源识别为安全，将 DICOM 图像加载到程序中，然后 DICOM 将它们传输到对等点——在受限网络上只允许 DICOM 对等点和 AV 更新。

一旦 DICOM 图像被传输到对等体（使用 AE_Title），它们就可以发送图像以进行打印、光盘刻录或加载到主系统上的医疗记录中。

加载系统、对等点和主 PACS 都在网络和防火墙上隔离。他们只能使用各自的协议（DICOM、Http、AV 更新等）与各自的白名单交谈。

最后的风险缓解措施是定期备份和备份验证，以及全面的灾难恢复计划。

概括

我们将处理 DICOM 图像的网络设备限制为仅与白名单进行通信，并尽可能多地删除“操作系统”交互，只留下高度具体但必需的协议作为风险因素。这覆盖了很大的攻击面，只有我们专有的 DICOM 系统处于直接风险之中。这通过适当的网络隔离、备份和灾难恢复得到缓解。

至于刻录机 PC，我们会在它出现故障时更换它或重新映像它。我们的官方政策是物理替换任何检测到恶意软件的机器。

我有一位出色的 PACS 管理员，他忍受了我们的流程，作为回报，我为他提供了大量 CD 刻录机驱动器橡皮筋。

编辑：我想指出，我们收到的大多数 DICOM 图像来自已知实体。也就是说，患者将提供来自与我们的诊断部门合作过的姊妹医院或成像设施的图像——其中一些甚至是以前受雇的。我最担心的是通用蠕虫（USB Autorun 等），而不是专有软件（PACS/DICOM）漏洞。专有漏洞将表明有针对性的攻击，通常来自与我们有现有合同的企业——极不可能发生的事件。

独立 VLAN 上的专用计算机，可访问 Internet 以更新病毒定义。然后 SFTP 到一个专用的 Linux VM，它也将运行一个 AV 实例，如果你可以帮助它，甚至可能有几个不同的 AV，例如 ESET + CLAM。然后在再次扫描并验证干净以推送该数据或将数据拉入您的主系统之后。每个系统都应具有防病毒软件并进行正确配置，并且不排除光盘上的任何这些项目。现在，由于安全性是分层的，所以您的基础架构的其余部分应该得到强化，并在 AD 中使用 GPO 来帮助防止人们粗心大意地做事。

根据我的经验，当第 3 方业务实体共享信息时，他们会草拟损害赔偿合同，以防他们意外感染您，因此从法律角度来看，请确保您在这两个方向上都受到保护。有了这些合同，就可以灵活地在不需要所有其他预防措施或安全措施的情况下无条件地信任来源。请记住，要么它是安全的，但用户不能使用它，要么用户可以使用它，但它并不安全。你不能两者兼得，这只是它们之间的滑动比例。一世'

其它你可能感兴趣的问题

上一篇2FA 的一次性恢复代码不会引入后门吗？下一篇这个登录安全性够吗？