Fred Chagnon, Principal Analysis Director bei der Data-Tech Analysis Group, teilt die Bedenken von Gogia: “Die meisten Büros verfügen über Dutzende von aktiven Ethernet-Ports in Lobbys, Konferenzräumen und Fluren. Diese sollten standardmäßig auf Swap-Ebene administrativ deaktiviert werden. Ein Port sollte nur dann aktiviert werden, wenn eine bestimmte, autorisierte MAC-Adresse über die 802.1X-Authentifizierung überprüft wurde”, empfiehlt der Experte. Moderne Angreifer so Chagnon weiter, nutzten MAC-Spoofing, um einen Raspberry Pi wie ein legitimes VoIP-Telefon oder einen Drucker aussehen zu lassen. Deshalb empfiehlt er CISOs, in Instruments oder fortschrittliche NACs zu investieren, die Fingerprinting auf physikalischer Ebene gewährleisten: “Diese Instruments analysieren die elektrischen und zeitlichen Charakteristiken der {Hardware}, um festzustellen, ob ein Drucker tatsächlich einer ist – oder nur ein ‘Implantat’ auf Linux-Foundation.”
Chagnon empfiehlt Sicherheitsentscheidern zudem dringend den umfassenden Einsatz von manipulationssicheren Port-Sperren: “Im Rahmen von Sicherheitskontrollen dürfen zusätzliche Kabel, nicht autorisierte USB-Hubs oder kleine undefinierbare Boxen, die nicht mit dem Bestand übereinstimmen, keinesfalls unter den Tisch fallen”, mahnt der Experte.
Sollten Sie im Zuge Ihrer Kontrollmaßnahmen solche Geräte identifizieren, ist in erster Linie Vorsicht angebracht. Zwar empfiehlt es sich, das Machine zu isolieren und forensisch zu untersuchen – allerdings sollten Sie dabei mit Bedacht vorgehen. Das rät zumindest Flavio Villanustre, CISO der LexisNexis Threat Options Group: “Solche Gadgets vom einfach vom Netzwerk zu trennen, könnte zum Verlust wichtiger forensischer Informationen führen.”
