Petr Zahálka. Hlídejte si data! Je čas začít se zabývat zabezpečením samotných dat.

Transkript

1 Petr Zahálka Hlídejte si data! Je čas začít se zabývat zabezpečením samotných dat

2 Mobile Workforce + BYOD = Riziko Credit Suisse : Data ukradl VP 58% zaměstnanců ukládá citlivá firemní data na SOUKROMÁ ZAŘÍZENÍ 40% zaměstnanců používá citlivá firemní data, která si odnesli při změně zaměstnání Více než 50% zaměstnanců si posílá obchodní korespondenci na jejich soukromý a po jeho použití ho již nesmažou Třetina zaměstnanců používá aplikace na sdílení pro pracovní data Sources: What s Yours Is Mine: How Employees are Putting Your Intellectual Property at Risk, Symantec & Ponemon Institute Security Awareness Training: It's Not Just for Compliance, Enterprise Management Associates

3 Zaměstnanci jako hrozba pro firmy 64% ztrát dat bylo způsobeno lojálními zaměstnanci 50% zaměstnanců odchází s informacemi Cena značky některých firem sa odhaduje v miliónech Ztráta Důvěryhodnosti Reputace Kredibility Přímá finanční ztráta

4 Tváře Prevence ztráty dat Je to o lidech Lojální zaměstnanec Zlomyslný zaměstnanec Nespokojený zaměstnanec

5 Netransparentní řešení Potřebujeme víc než jen technologické řešení. Kde jsou citlivé informace? Jak jsou používané? Jak je nejlépe chránit před zneužitím? ZJISTI SLEDUJ OCHRAŇ

6 Ochrana dat je o lidech Jana G. Lojální zaměstnanec Asistent HR Manažera SITUACE: Posílá citlivé údaje přes personální agentuře. Detekce a odpověď Problém Jana sa snaží odeslat s citlivými osobními údaji bez toho aby si to uvědomovala DLP Odpověď DLP kontroluje obsah a kontext na shodu a ponechá na serveru Akce Server: Monitoruje, notifikuje užívatele, šifruje anebo blokuje Užívatel: Zobrazí se mu upozornění, zdůvodnění, blokuje se , odstraní se citlivé informace Výsledek Pomůže užívateli porozumět a zdůvodnit transparentně rizika Blokuje anebo šifruje v určitých případech

7 Ochrana dat je o lidech Igor V. Lojální zaměstnanec Asistent Compliance SITUACE: Kopíruje citlivé údaje na USB klíč Detekce a odpověď Problém Igor kopíruje neveřejnou finanční zprávu na USB klíč DLP Odpověď Analýza je vykonaná na jeho počítači na základě politik Akce Monitoruje, vytvoří záznam a upozorňuje Automaticky šifruje soubory na USB. Výsledek Automaticky zabezpečí citlivé informace Zvyšuje viditelnost kde sa citlivé informace pohybují. Změna chování užívatelů

8 Ochrana dat je o lidech Charles N. Lojální zaměstnanec Analytik SITUACE: Exportuje informace z interních aplikací pro analýzu. Detekce a odpověď Problém Charles používá intranetové aplikáce a exportuje data na svoje PC pro potřeby analýzy. DLP Odpověď DLP kontroluje obsah a kontext pro shodu a ponechá dokumenty pro práci na desktopu Akce Monitoruje exportované informace Po stanovené době přesune exportované soubory na bezpečné místo v síti Výsledek Charles může bez změny pracovat s citlivými údaji pokud budou použité dle firemních pravidel Aplikuje firemní politiku označení souborů (Tagování)

9 Ochrana dat je o lidech Eva L. Nespokojený zaměstnanec Zaměstnanec přecházející ke konkurenci SITUACE: Kopíruje, tiskne zákaznická data pro vlastní potřebu Detekce a odpověď Problém Eva kopíruje citlivé záznamy o zákaznících na USB a snaží sa vytisknout tato data na její lokální tiskárně DLP Odpověď DLP monitoruje všechna komunikační zařízení Akce Informuje, varuje zaměstnance Informuje jeho nadřízeného, pripadně jiné oddelení (např. HR). Zastaví přenos na USB klíč a tiskárnu Výsledek Citlivé údaje, záznamy o zákaznících udržuje ve vlastní infrastruktuře Žádné údaje nebyly zneužité

10 Ochrana dat je o lidech Katka S. Lojální zaměstnanec Asistent PR Manažera SITUACIA: Posílá rozpracovanou práci na vlastní drobbox účet. Detekce a odpověď Problém Katka má termín odovzdání interní prezentace a pro nedostatek času si poslala rozpracovanou interní prezentaci na svůj drobbox účet. DLP Odpověď DLP kontroluje obsah a kontext pro shodu v průběhu kopírovaní souborů do cloudu. Akce Síťová sonda: Monitoruje, notifikuje užívatele,a blokuje šifrovanou komunikaci Užívatel: Zobrazí se mu upozornení, zdůvodnení a blokuje se přenos Výsledek Pomůže užívateli porozumět a zdůvodnit transparentně rizika Zabezpečuje aby Interní informace nebyly uložené na jiných než firemních PC

11 Ochrana dat x ochrana soukromí Ochrana soukromí x ochrana majetku Jedná se o střet těchto práv Implementace monitoringu znamená splnit třístupňový test proporcionality Vhodnost Potřebnost Porovnání, vyvážení

12 Vhodnost Umožňuje opatření, kterým zasahujeme do práva na soukromí (nebo jej omezujeme) vůbec dosáhnout sledovaný cíl? Pokud podezříváme zaměstnance z toho, že odesílá data em konkurenci, je vhodné uchovávat i obsah soukromé korespondence neobsahující firemní data? Jak takové y poslouží k deklarovanému účelu?

13 Potřebnost Pokud jsme zvolili vhodné opatření, měli bychom jej porovnat s jinými v úvahu připadajícími opatřeními, umožňujícími dosáhnout stejného cíle, avšak nedotýkajícími se základních práv a svobod, respektive zasahujícími do konfliktních práv v menší míře

14 Porovnání, vyvážení Zvážení zásahu do soukromí bude nutné často učinit až v konkrétních případech: paušalizované reakce na zjištěný problém (narušení pravidel, výskyt definovaného stavu) nemusí odpovídat adekvátní obraně práv zaměstnavatele Pokud se přesto nekvalifikovaně rozhodneme zásah do soukromí učinit, může být ve svém důsledku protiprávní

15 Data Loss Prevention Threat Coverage USB/CD/DVD Network shares Stored data Mobile Print/Fax DLP Policy Monitoring & Prevention Discovery & Protection Webmail HTTPS/FTP IM Cloud File Servers Web servers Exchange, SharePoint, Lotus Notes Databases

16 Symantec Data Loss Prevent Products STORAGE ENDPOINT NETWORK CLOUD Network Discover Endpoint Discover Network Monitor Office360 Data Insight Network Protect Endpoint Prevent Mobile Network Prevent for Network Prevent for Web DropBox, Box, Google Drive Management Platform Symantec Data Loss Prevention Enforce Platform

17 Architektura řešení Administration: Detection: Integrated Components: Enforce Network Discover / Network Protect Data Insight* Endpoint Prevent / Endpoint Discover Oracle Mobile Prevent Mobile Monitor Network Prevent for Network Prevent for Web Network Monitor MTA SPAN or Tap Všechny DLP komponenty jsou SW (nejedná se o appliance ani hardware) Agenti chrání endpointy na síti ale i mimo ní Network detection servers jsou obvykle umístěny v DMZ *Data Insight server není detection server

18 Network DLP Enforce Oracle Network Discover / Network Protect Data Insight Network Monitor: Endpoint SMTP, HTTP, Prevent IM, / Endpoint FTP, any Discover TCP-Based Prevent: Mobile Prevent SMTP, HTTP/HTTPS, FTP Mobile Monitor Network Prevent for Network Prevent for Web Network Monitor MTA SPAN or Tap

19 Endpoint DLP Enforce Network Discover / Network Protect Data Insight Oracle Endpoint Prevent / Endpoint Discover Mobile Prevent Endpoint Computers Discover Data Monitor/Block: USB, CD / DVD Network ( , Web, FTP, IM) Print / Fax, Copy / Paste Network Shares Application File Access Mobile Monitor Network Prevent for Network Prevent for Web Network Monitor MTA SPAN or Tap

20 Data Loss Prevention Policies Enforce Oracle Network Discover / Network Protect Data Insight Administration Policies Workflow Mobile Reporting Prevent Remediation Endpoint Prevent / Endpoint Discover Mobile Monitor Network Prevent for Network Prevent for Web Network Monitor MTA SPAN or Tap

21 Storage DLP Enforce Network Discover / Network Protect Data Insight Oracle Endpoint Prevent / Endpoint Discover Storage File Servers Databases Collaboration Platforms Web Sites Desktops Laptops Mobile Prevent Mobile Monitor Network Prevent for Network Prevent for Web Network Monitor MTA SPAN or Tap

22 Symantec Data Loss Prevention for Mobile

23 Symantec Data Loss Prevention for the Cloud

24 Defense-In-Depth: Encryption + Data Loss Prevention Network DLP / Gateway Encryption Automaticky šifruje y obsahující citlivá data Upozorní zaměstnance v reálném čase o šifrování obsahu policies and tools Storage DLP / Shared Storage Encryption Nalezne kde jsou citlivá data uložena a automaticky je zašifruje Jednoduše, bez nutné účasti zaměstnance, nebo IT Endpoint DLP / Endpoint Encryption Zaměřeno na rizikové uživatele, kde nalezne citlivá data na jejich počítačích Ochrání a umožní práci tím že šifruje cíleně pouze citlivá data například kopírovaná USB zařízení

25 Shrnutí Ochrana dat musí být cílená Potřebuji vědět kde data leží a jak se s nimi pracuje Potřebuji pokrýt všechna rizika, všechny vektory úniku Lepší je mít jedno řešení, které mi zajistí kompletní ochranu, než mít více oddělených Pozor na právní důsledky podrobného monitorování korespondence a činnosti uživatelů Pokud potřebujete pomoci s analýzou stávajícího stavu a navrhnout optimální řešení obraťte se na nás!

26 Děkuji za pozornost S případnými dotazy se na mně neváhejte obrátit Ing. Petr Zahálka Avnet s.r.o petr.zahalka@avnet.com