Případová studie: Ochrana citlivých dat v automobilovém průmyslu Nasazení McAfee Data Loss Prevention (DLP) ve datum zpracoval COMGUARD a.s. Sochorova 38 CZ 616 00 Brno tel. +420 513 035 400 www.comguard.cz
Obsah 1. Specifikace zákazníka... 3 2. Výchozí situace... 3 3. Testování v produkčním prostředí... 3 3.1. Pokrytí perimetru... 3 3.2. Citlivá data u klientů... 4 4. Průběh testování... 4 5. Výsledek testování... 4 6. Shrnutí průběhu implementace... 5 7. Hlavní přínosy nasazení McAfee DLP... 5 8. Cíle řešení... 5 strana 2/6
1. Specifikace zákazníka Společnost TRCZ s.r.o. je stoprocentní dceřinou společností japonského podniku Tokai Rika Co., Ltd., který je jedním z největších světových výrobců automobilových dílů. Byla založena koncem roku 2001 a už v prosinci 2003 zahájila výrobu v nové továrně postavené na zelené louce v Lovosicích v severních Čechách. Stavba patří k největším a nejmodernějším produkčním kapacitám skupiny Tokai Rika a její současný výrobní sortiment tvoří např. multifunkční ovladače a bezpečnostní pásy. Hlavními odběrateli jsou zejména významné automobilky v Evropě. Společnost TRCZ se zabývá výrobou automobilových komponentů sloužících především k zajištění aktivní a pasivní bezpečnosti cestujících ve vozidle a ke zlepšení požitku z jízdy. Řadu součástek a dílů používaných ve výrobě si TRCZ vyrábí sama, například snímače natočení volantu zabudované v multifunkčních páčkových přepínačích, při výrobě některých jiných dílů TRCZ spolupracuje se subdodavateli. Důležitou součástí všech fází výrobního procesu je důkladná kontrola - od kontroly materiálů při vstupu, přes kontrolu během produkce, až po výstupní kontrolu. K testování výrobků slouží laboratoř vybavená nejmodernějšími měřicími přístroji. Design a funkčnost výrobků se opírá o dlouhodobý vývoj a testování ve výzkumných centrech a laboratořích skupiny Tokai Rika, při výrobě všech dílů je přitom kladen zásadní důraz na jejich kvalitu, snadné ovládání a bezpečnost. Ve většině výrobků TRCZ nachází uplatnění vyspělá elektronika, která významně zvyšuje komfort, ovládání automobilu i bezpečnost jízdy. 2. Výchozí situace Informace jsou důležitým aktivem společnosti TRCZ a je nezbytné je chránit jako podstatnou hodnotu pro úspěšné podnikání. Při značném výskytu informací v elektronické podobě, jednoduchosti přenosu a množství únikových kanálů, vznikla potřeba aktivní systémové prevence jejich ztráty, tedy nasazení systému DLP. V polovině roku 2014 proběhla ve společnosti TRCZ analýza nasazení DLP. Cílem analýzy bylo posouzení stávajícího způsobu ochrany dat, zjištění úrovně klasifikace informací a navržení optimálního způsobu ochrany dat před jejich úmyslnou i neúmyslnou ztrátou či odcizením. Výsledkem analýzy byly tři varianty ochrany, kdy společnost se po uvážení vlastních potřeb a možností rozhodla pro maximalizaci prevence úniku citlivých dat a tedy plnou produktovou penetraci v oblasti DLP. Přes vyšší nároky na implementaci a lokální zdroje finální řešení přináší pokrytí prakticky všech běžně využitelných vektorů úniku citlivých dat a navíc integruje pod jednu správu i antivirové řešení. 3. Testování v produkčním prostředí 3.1. Pokrytí perimetru Pro kontrolu webového provozu byla v síti aplikována inteligentní webová brána McAfee Web Gateway, která umí dešifrovat webový provoz a mimo malware ve spolupráci se síťovou DLP sondou Prevent hledá citlivá data. Dešifrace není samozřejmě prováděna pro definované hosty a pro URL kategorii Finance/Banking. Obdobně byla instalovaná emailová brána McAfee Email Gateway, která kontroluje emailový provoz a opět ve spolupráci se síťovou DLP sondou Prevent hledá citlivá data. Přidanou hodnotou vybraného řešení je pokročilá antimalwarová kontrola a antispamová ochrana. Veškerý další provoz je na úrovni perimetru analyzován pomocí síťové DLP sondy Monitor. strana 3/6
3.2. Citlivá data u klientů Klientské produkty jsou zařazeny do prostředí TRCZ bez potřeby dodatečného hardware nebo speciálních zásahů do prostředí interní sítě TRCZ. Device control na základě content-aware i context-aware definic prosazuje, jaká zařízení může uživatel používat pro svoji práci. Podporovaná je kontrola I/O zařízení jako USB, CD/DVD, floppy, Bluetooth, IrDA, imaging devices, COM a LPT portů a další. Na základě návrhu jsou využity tři základní akce, kterými komponenta reaguje při shodě s danými pravidly blokovat, monitorovat, upozornit uživatele. Host DLP rozšiřuje možnosti Device Control a poskytuje na základě definovaných pravidel plnou kontrolu pohybu dat a přehled o nich. Hlavní předností je prevence zneužití citlivých dat v jakékoliv podobě. Využívá slovníky a regulární výrazy, navíc podporuje využití značek tagy. Vše je reportováno do centrální správy a je k dispozici detailní reporting. V událostech reportovaných produktem je vidět kompletní detail incidentu, vč. např. názvu a cesty k danému dokumentu a výsledná akce. Benefitem vybraného řešení je pokročilá antimalwarová kontrola na koncových zařízeních, IPS ochrana a desktop firewall jako systém nové generace kombinující různé stupně detekce narušení od rozpoznání známých útoků na základě aktualizovaných signatur, přes pravidla chování pro detekci neznámých útoků, Zero Day Attack, včetně DoS útoků a anomálií provozu. 4. Průběh testování Nasazení a konfigurace systému DLP probíhalo ve třech fázích. Klasifikace dat a modifikace politik DLP byly upřesňovány bez ohledu na fáze nasazení. Klíčovým prvkem pro úspěšné nasazení systému DLP byla úvodní inventarizace dat a jejich následná klasifikace. Teprve potom bylo možné uplatňovat další akce při jednotlivých incidentech v rámci systému DLP. Výchozím krokem bylo sondy do prostředí TRCZ implementovat jako zařízení v základní neintruzivní konfiguraci. Všechny zařízení byly nastaveny do monitorovacího režimu stejně jako všechny politiky DLP. Na základě vstupních informací byla definovaná výchozí politika, která byla dále dle provozu laděna. Součástí byly také discovery skeny a klasifikační úlohy, které data třídily a kategorizovaly. V dalších fázích implementace byl monitoring doplněn o upozornění na nežádoucí chování a teprve po odladění na vzorcích dat s upozorněním a následně i s restrikcí pro pilotní uživatele byla odsouhlasena finální politika a nastavení systému DLP. Konečnou fází nasazení je plošné uplatnění NDLP politiky na všechny uživatele společnosti TRCZ, které již probíhalo interně administrátory společnosti na základě postupů a zaškolení od dodavatele. 5. Výsledek testování Bylo nasazeno komplexní řešení na ochranu dat od společnosti McAfee a tím se maximalizovala prevence úniku citlivých dat v elektronické podobě jako velmi důležité aktivum společnosti TRCZ. Během pilotního provozu byly zaznamenány potíže při mapování konkrétních akcí na definované skupiny uživatelů. Finálně byl shledán problém ve velmi rozsáhlém stromě Active Directory, který není definován pouze pro společnost TRCZ, ale jako rozsáhlé schéma celosvětově pokrývající korporátní strukturu celé skupiny, kam firma TRCZ patří. Po komunikaci s výrobcem za podpory dodavatele byla vydána a aplikovaná oprava, která problém finálně vyřešila. strana 4/6
Během testování byla upravena a aktualizovaná interní politika zacházení a manipulaci s informacemi, která nově reflektuje možnosti využitého systému McAfee DLP a to jak pro koncové zařízení, tak na úrovni perimetru. Vznikl společný dokument souhrnně definující klasifikaci, zacházení a manipulaci s informacemi ve společnosti TRCZ. V průběhu testování došlo k rozšíření projektu o MDM (Mobile Device Management). V jednotné správě tak mimo politik pro zacházení s citlivými daty a komplexní správě koncových systémů přibyla i správa chytrých mobilních zařízení. 6. Shrnutí průběhu implementace 1. Analýza nasazení 2. Instalace a výchozí konfigurace všech produktů 3. Pilotní provoz 4. Ladění politik klasifikace a manipulace s citlivými daty 5. Aplikace patche výrobce pro mapování DLP politiky na uživatelské skupiny v rozsáhlé LDAP struktuře. 6. Produkční provoz 7. Hlavní přínosy nasazení McAfee DLP Integrace do jednotné centrální správy McAfee epolice Orchestrator. Nahrazení web proxy (Squid) komplexnějším řešením. Rychlé a snadné vyhledávání citlivých dat na základě pokročilého indexování. Pravidelný cíleně obsahově zaměřený reporting. Díky variantě instalace na virtualizované servery nízká cena v porovnání s produkty postavenými na HW sondách. 8. Cíle řešení Ochrana interních citlivých dat obsahující výrobní výkresy i personální data. Definice politiky klasifikace, zacházení a manipulace s informacemi ve společnosti. Zachování původních procesů a uživatelských postupů. strana 5/6
Obrázek: Schéma ochrany dat pomocí komponent McAfee ve vztahu k jejich stavu a použití a tomu odpovídající DLP Network, DLP Endpoint, DLP Discover. Obrázek: Schéma zapojení a komunikací všech komponent DLP systému strana 6/6