"可攜式隨身儲存裝置"這一詞很繞口阿，阿不就是我們隨處可見的:USB隨身碟、USB隨身行動硬碟、TF記憶卡、MTP傳輸空間的統稱啦。(下文簡稱:USB儲存裝置)

一、破口簡述

USB儲存裝置帶來的便利真的是殺手級的應用，從第一代的USB1.0、1.1、USB2.0到現在最新的USB3.2規格，規格越新傳輸越快、儲存越多，唯一不變的是使用的風險，這類仰賴USB傳輸的儲存裝置所帶來的危害相信談了15年有。
USB儲存裝置這個破口會帶來的威脅就當老生常談再聽一次吧:

• 1.病毒侵入 :無庸置疑，USB病毒流竄多時，即便是封閉網段的機台電腦也可能因USB而破功，請參考著名的台積事件。(註:抱歉台積，又再次消費你了)。
• 2.駭客侵入 :國外有研究，一個商業間諜想要入侵目標公司，只要把USB隨身碟刻意散布在員工活動範圍，約莫有8成的人撿到後不假思索地插入公司電腦，惡意木馬程式和病毒就此繞過防火牆/IPS等銅牆鐵壁，在內部潛伏。
• 3.機密外洩 :隨身碟的遺失已不計其數，裡面的營業秘密、機敏資料外洩防不慎防，不像手機也無從追蹤抹除。
• 4.損害設備 :現代USB裝置太多元了，許多裝指僅需充電為目的，倘若裝置的電子元件設計不當、電路保護不佳，可很可能危害到供電的電腦本體，造成設備損壞。

USB儲存裝置甚至可以成為社交工程攻擊的高效管道，請想像若商業競爭者在你的公司附近灑下含有木馬/惡意程式的隨身碟時:

二、對策方向

技術上通用對策是封鎖，封鎖方式可透過【GPO/防毒軟體/端點控制/BIOS/尖嘴鉗/三秒膠】等等。重點在於不同的封鎖方式影響程度和成本皆有不一樣，如下表:

如果貴公司還沒開始執行USB儲存裝置的控管，可以思考上述的[管制措施]+下列的[配套措施]+發布[管理辦法]，幫助企業降低風險又能維持營運。

封鎖後，由於USB的資料交換需求仍在，有什麼配套措施，使其能引導到合規的管道?

• 1.企業內部IM軟體：透過如Lync/Skype for Business/Teams/Openfire等傳輸方式，在內部傳遞取代USB。
• 2.企業內部檔案平台：透過如sharePoint/Nextcloud/SecuShare/MOVEit Transfer來進行上傳下載，在內部傳遞取代USB。
• 3.設置存取點：建立類似Kiosk for USB的專屬存取點，讓USB裝置經過專業清洗後讓外部廠商的資料進入內部。
• 4.借助端點系統/USB管制系統的控制，指定放行特定幾隻USB做例外管理，定期紀錄、檢查該USB隨身碟的去向和使用狀況。資料寫入時也經過加密，防止遺失後的存取，此類系統通常要全面佈署agent方可達成。(常見系統:uSafe/xfort/IP-Guard/神網)
  
  (引用自全景軟體)

最後，這一項挑戰來自於使用者習慣的轉變，難免歷經陣痛，但好在也是一項相對好理解的防禦措施，援引筆者職場上一位敬重的mentor所言:

各項管理規畫不只寫的好，也要務實地去推動落實、建構，方可真正融入於公司營運中成為DNA。

延伸閱讀:
徹底搜查！封鎖USB 2012 最新13招
若USB設計不當，可以供電但卻會危害電腦
USB成為企業機密資料外洩管道