Organisationer investerar tungt i brandväggar, endpoint-skydd, mejlfilter och identitetshantering. Sedan ansluter en medarbetare ett USB-minne från en mässa direkt i en arbetsstation, och hela den infrastrukturen blir irrelevant under den sekund operativsystemet monterar enheten.
Enligt ENISA, CISA och IBM X-Force är löstagbara medier fortfarande en av de vanligaste vägarna in för skadlig kod i OT-miljöer. Siffrorna varierar mellan sektorer, men slutsatsen är konsekvent: i över hälften av bekräftade OT-attacker var ett USB-minne inblandat någonstans i angreppskedjan.
Mässcenariot
Föreställ er det vanligaste exemplet på risken.
En medarbetare besöker en branschmässa. En leverantör delar ut profilerade USB-minnen med sin senaste produktpresentation och tekniska specifikation. Minnet hamnar i en ficka, sedan i en väska, sedan tillbaka på kontoret. Där sätts det in i en företagsdator för att dela innehållet med ett team.
Inget i den sekvensen är ovanligt. De flesta organisationer har medarbetare som gör någon variant av detta varje vecka. Och ändå har ingen vid något tillfälle skannat minnet, verifierat innehållet, eller ens frågat var det varit mellan leverantörsmontern och arbetsstationen.
Om minnet bär skadlig kod (ransomware, en keylogger, firmware-exploits, eller en mer avancerad payload) ser företagets perimeterskydd det inte. Brandväggen fick aldrig en chans. Endpoint-skyddet kanske fångar en känd signatur efter att skadan är skedd, men då har koden redan körts.
Varför traditionella försvar missar detta
Brandväggar inspekterar nätverkstrafik. USB-minnen kringgår nätverket helt.
Endpoint-skydd inspekterar filer efter att de skrivits till disk. När den skanningen är klar kan skadlig kod som riktar sig mot uppstartsprocessen, operativsystemet eller HID-emulering redan ha utfört sitt jobb.
Mejlfilter är lika sårbara. Vi investerar tungt i att skanna bilagor, blockera misstänkta länkar, köra payloads i sandlådor. Men samma grad av granskning gäller sällan en fysisk enhet som en medarbetare bär genom receptionen och in på LAN:et.
Asymmetrin är problemet. Löstagbara medier har mindre säkerhetsgranskning än mejlbilagor i de flesta organisationer.
Vad en USB-tvätt faktiskt gör
En USB-tvätt är en fysisk kontrollpunkt för löstagbara medier. Arkitekturen är enkel:
– Två fysiskt separerade USB-portar. Den ena tar emot det otillförlitliga minnet. Den andra tar emot ett rent, företagsgodkänt minne.
– Flera antivirusmotorer skannar filer parallellt och kombinerar signatur, heuristisk och beteendebaserad analys.
– Content Disarm and Reconstruction (CDR) bygger om dokument från grunden, tar bort makron, inbäddade skript och dolda payloads. Det som kommer ut är funktionellt identiskt med det som gick in, minus eventuell dold kod.
– Alla skanningar, blockerade filer och rena överföringar loggas. Revisorer kan spåra exakt vad som kom in, vad som blockerades, och vad som nådde nätverket.
Det otillförlitliga minnet rör aldrig destinationsnätverket. Endast sanerade filer på ett rent minne korsar gränsen.
Regelverken kommer ikapp
Cybersäkerhetslagen (Sveriges implementering av NIS2) ställer krav på dokumenterad riskhantering för väsentliga och viktiga entiteter inom 18 sektorer. Löstagbara medier ligger tydligt inom omfånget. Säkerhetsskyddslagen ställer motsvarande krav på organisationer som hanterar säkerhetsskyddsklassificerad information.
En USB-policy på papper räcker inte längre. Tillsynsmyndigheter förväntar sig en dokumenterad, granskningsbar process: hur granskas media, vad blockeras, vad släpps igenom, vem är ansvarig. En USB-tvätt levererar det beviset by design.
Kostnadsekvationen
För kostnaden av att återställa efter en enda ransomware-incident kan en organisation köpa in tillräckligt många USB-tvättar för att täcka varje ingångspunkt i flera år. Det är en av de enklaste, mest effektiva åtgärderna som finns, särskilt för miljöer som redan har starkt nät- och endpoint-skydd på plats.
Nästa steg
link22 USB Scan Solution är utvecklad i Sverige, bygger på COTS-hårdvara, och är designad för organisationer under Cybersäkerhetslagen, Säkerhetsskyddslagen och motsvarande regelverk i EU.
Se den 3 minuter långa produktgenomgången på YouTube, eller boka en teknisk dragning för att se hur lösningen integreras i er befintliga säkerhetsinfrastruktur.
