USB Belleklerden Doğan Tehditlerle Mücadele

Taşınabilir USB bellekler kurumsal ağlar için 2 önemli tehdit oluşturmaktadır;

  • Kuruluş sistemlerine zararlı yazılım bulaşması
  • Kuruluş verilerinin çalınması

Stuxnet zararlı yazılımını bilenler zararlı yazılımın, internetten yalıtılmış olan nükleer tesis sistemlerine USB üzerinden bulaştığını hatırlayacaklardır.

USB bellek kullanılabilen bir kurumsal ağ yapısını anti-spam ve mail güvenliği çözümü olmadan e-posta kullanmaya benzetebiliriz. Bu durumda saldırganların son kullanıcılara doğrudan ulaşabildikleri önemli bir saldırı vektörünü ancak antivirüs ile korumaya çalıştığımız bir güvenlik duruşuna sahip olduğumuzu görüyoruz. Antivirüs çözümlerinin belli oranda başarı sağlaması bu yolla bulaşabilecek zararlı yazılımları bir miktar azaltabilecekken veri kaybına karşı tamamen savunmasız kalıyoruz.

Yapılabildiği ölçüde USB kullanımını sınırlandırmayı her zaman öneriyorum.

A.B.D’nin USOM’u (US-CERT) bu konuda yayınladığı bir bilgi notunda USB aşağıdaki önerileri sunuyor;

  • Kişisel ve iş verilerini farklı USB belleklerde tutun
  • Antivirüs yazılımınızı güncel tutun
  • Bilmediğiniz USB bellekleri sistemlere takmayın (bu konuda kullanıcılara genel bir uyarı da yapmakta fayda olabilir)
  • Autorun özelliğini kapatın

Bu önerilere eklenebilecek bazı diğer konular şunlar olabilir;

  • Tanınmayan cihazların kurulmasını önleyen bir group policy oluşturun
  • İzin vermek istediğiniz belleklerin donanım seri numarası (hardware ID) ile başka bir group policy belirleyebilirsiniz
  • Bütçeniz varsa ve kuruluşun iş süreçleri için USB bellek kullanılması gerekiyorsa şifreli USB belleklere yapabilirsiniz
  • Bazı antivirüs markalarının USBleri yönetmeye imkan veren özellikleri var, kullandığınız markanın bu konuda neler sunabileceğini sormakta fayda olabilir
  • Ağ üzerinde bilgisayarlar dışında USB bellek takılabilecek sistemleri belirleyin (aşağıda bir süpermarkette çektiğim fotoğraf).

Bu tedbirlerin yanısıra herhangi bir sistem üzerinde daha önce kullanılmış USB belleklerini görmenizi sağlayan bir de PowerShell betiğinin faydalı olabileceğini düşünüyorum.

Windows sistemlerde bir USB bellek takıldığında registry içerisinde USBSTOR altında o taşınabilir cihaza ilişkin bir kayıt açılır. Aşağıdaki PowerShell komutu ile sisteme o güne kadar takılan USB bellekler hakkında temel bilgilere ulaşabilirisiniz.

Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\* | Select FriendlyName

Aşağıda görüldüğü gibi o güne kadar sisteme takılan USB belleklerin marka/model bilgileri görüntülenebilmektedir.

Kuruluş içerisinde kullanılabilecek ve zararlı yazılımlara karşı düzenli olarak denetlenen belli USB bellekleriniz yoksa bu bilgi ne kadar anlamlı olur bilemiyorum ama hiç değilse yakın zaman kuruluşunuza Toshiba marka USB bellekler aldıysanız bunun dışında bir markanın bağlanmış olması en azından bir ipucu verebilir.

Windows’da USB bellek logları konusunda sıkıntılıydık. Bir USB bellek ilk kez takıldığında biraz önceki komutla alabildiğimiz kadar bilgi tutuluyor, aynı USB belleğin tekrar kullanılması ve tarih/saat bilgileri tutulmuyordu. Neyse ki Windows 10 ile birlikte USB faaliyetlerine ilişkin daha detaylı loglar alabilir hale geldik. Merkezi log yönetimi yapıyorsanız kuruluşun bütün bilgisayarlarının USB loglarını toplamak yoğun bir log akışına neden olabilir. Bu nedenle USB loglarını sadece belli başlı kritik sistemler için toplamak faydalı olabilir.

İşinize yarayabilecek bazı Windows Event IDleri şunlardır;

  • 6416: Yeni bir harici cihaz (bellek) sistem tarafından tanındı
  • 6421: Bir cihazı devreye almak için talep gönderildi
  • 6422: Bir cihaz devreye girdi
  • 6423: Sistem politikası bu cihazın kurulumunun yapılmasına izin vermedi
  • 6424: Önce reddedildikten sonra cihazın kurulumuna izin verildi