Petr Zahálka Hlídejte si data! Je čas začít se zabývat zabezpečením samotných dat. 1 23.10.2015
Mobile Workforce + BYOD = Riziko Credit Suisse : Data ukradl VP 58% zaměstnanců ukládá citlivá firemní data na SOUKROMÁ ZAŘÍZENÍ 40% zaměstnanců používá citlivá firemní data, která si odnesli při změně zaměstnání Více než 50% zaměstnanců si posílá obchodní korespondenci na jejich soukromý email a po jeho použití ho již nesmažou Třetina zaměstnanců používá aplikace na sdílení pro pracovní data Sources: What s Yours Is Mine: How Employees are Putting Your Intellectual Property at Risk, Symantec & Ponemon Institute Security Awareness Training: It's Not Just for Compliance, Enterprise Management Associates 2 23.10.2015 2
Zaměstnanci jako hrozba pro firmy 64% ztrát dat bylo způsobeno lojálními zaměstnanci 50% zaměstnanců odchází s informacemi Cena značky některých firem sa odhaduje v miliónech Ztráta Důvěryhodnosti Reputace Kredibility Přímá finanční ztráta 3 3 23.10.2015
Tváře Prevence ztráty dat Je to o lidech Lojální zaměstnanec Zlomyslný zaměstnanec Nespokojený zaměstnanec 4 4 23.10.2015
Netransparentní řešení Potřebujeme víc než jen technologické řešení. Kde jsou citlivé informace? Jak jsou používané? Jak je nejlépe chránit před zneužitím? ZJISTI SLEDUJ OCHRAŇ 5 5 23.10.2015
Ochrana dat je o lidech Jana G. Lojální zaměstnanec Asistent HR Manažera SITUACE: Posílá citlivé údaje přes email personální agentuře. Detekce a odpověď Problém Jana sa snaží odeslat e-mail s citlivými osobními údaji bez toho aby si to uvědomovala DLP Odpověď DLP kontroluje obsah a kontext na shodu a ponechá e-mail na serveru Akce Server: Monitoruje, notifikuje užívatele, šifruje anebo blokuje Užívatel: Zobrazí se mu upozornění, zdůvodnění, blokuje se e-mail, odstraní se citlivé informace Výsledek Pomůže užívateli porozumět a zdůvodnit transparentně rizika Blokuje anebo šifruje v určitých případech. 6 6 23.10.2015
Ochrana dat je o lidech Igor V. Lojální zaměstnanec Asistent Compliance SITUACE: Kopíruje citlivé údaje na USB klíč Detekce a odpověď Problém Igor kopíruje neveřejnou finanční zprávu na USB klíč DLP Odpověď Analýza je vykonaná na jeho počítači na základě politik Akce Monitoruje, vytvoří záznam a upozorňuje Automaticky šifruje soubory na USB. Výsledek Automaticky zabezpečí citlivé informace Zvyšuje viditelnost kde sa citlivé informace pohybují. Změna chování užívatelů 7 7 23.10.2015
Ochrana dat je o lidech Charles N. Lojální zaměstnanec Analytik SITUACE: Exportuje informace z interních aplikací pro analýzu. Detekce a odpověď Problém Charles používá intranetové aplikáce a exportuje data na svoje PC pro potřeby analýzy. DLP Odpověď DLP kontroluje obsah a kontext pro shodu a ponechá dokumenty pro práci na desktopu Akce Monitoruje exportované informace Po stanovené době přesune exportované soubory na bezpečné místo v síti Výsledek Charles může bez změny pracovat s citlivými údaji pokud budou použité dle firemních pravidel Aplikuje firemní politiku označení souborů (Tagování) 8 8 23.10.2015
Ochrana dat je o lidech Eva L. Nespokojený zaměstnanec Zaměstnanec přecházející ke konkurenci SITUACE: Kopíruje, tiskne zákaznická data pro vlastní potřebu Detekce a odpověď Problém Eva kopíruje citlivé záznamy o zákaznících na USB a snaží sa vytisknout tato data na její lokální tiskárně DLP Odpověď DLP monitoruje všechna komunikační zařízení Akce Informuje, varuje zaměstnance Informuje jeho nadřízeného, pripadně jiné oddelení (např. HR). Zastaví přenos na USB klíč a tiskárnu Výsledek Citlivé údaje, záznamy o zákaznících udržuje ve vlastní infrastruktuře Žádné údaje nebyly zneužité. 9 9 23.10.2015
Ochrana dat je o lidech Katka S. Lojální zaměstnanec Asistent PR Manažera SITUACIA: Posílá rozpracovanou práci na vlastní drobbox účet. Detekce a odpověď Problém Katka má termín odovzdání interní prezentace a pro nedostatek času si poslala rozpracovanou interní prezentaci na svůj drobbox účet. DLP Odpověď DLP kontroluje obsah a kontext pro shodu v průběhu kopírovaní souborů do cloudu. Akce Síťová sonda: Monitoruje, notifikuje užívatele,a blokuje šifrovanou komunikaci Užívatel: Zobrazí se mu upozornení, zdůvodnení a blokuje se přenos Výsledek Pomůže užívateli porozumět a zdůvodnit transparentně rizika Zabezpečuje aby Interní informace nebyly uložené na jiných než firemních PC 10 10 23.10.2015
Ochrana dat x ochrana soukromí Ochrana soukromí x ochrana majetku Jedná se o střet těchto práv Implementace monitoringu znamená splnit třístupňový test proporcionality Vhodnost Potřebnost Porovnání, vyvážení 11 23.10.2015
Vhodnost Umožňuje opatření, kterým zasahujeme do práva na soukromí (nebo jej omezujeme) vůbec dosáhnout sledovaný cíl? Pokud podezříváme zaměstnance z toho, že odesílá data e-mailem konkurenci, je vhodné uchovávat i obsah soukromé korespondence neobsahující firemní data? Jak takové e-maily poslouží k deklarovanému účelu? 12 23.10.2015
Potřebnost Pokud jsme zvolili vhodné opatření, měli bychom jej porovnat s jinými v úvahu připadajícími opatřeními, umožňujícími dosáhnout stejného cíle, avšak nedotýkajícími se základních práv a svobod, respektive zasahujícími do konfliktních práv v menší míře. 13 23.10.2015
Porovnání, vyvážení Zvážení zásahu do soukromí bude nutné často učinit až v konkrétních případech: paušalizované reakce na zjištěný problém (narušení pravidel, výskyt definovaného stavu) nemusí odpovídat adekvátní obraně práv zaměstnavatele Pokud se přesto nekvalifikovaně rozhodneme zásah do soukromí učinit, může být ve svém důsledku protiprávní 14 23.10.2015
Data Loss Prevention Threat Coverage USB/CD/DVD Email Network shares Stored data Mobile Print/Fax DLP Policy Monitoring & Prevention Discovery & Protection Webmail HTTPS/FTP IM Cloud File Servers Web servers Exchange, SharePoint, Lotus Notes Databases 15 23.10.2015
Symantec Data Loss Prevent Products STORAGE ENDPOINT NETWORK CLOUD Network Discover Endpoint Discover Network Monitor Office360 Data Insight Network Protect Endpoint Prevent Mobile Network Prevent for Email Network Prevent for Web DropBox, Box, Google Drive Management Platform Symantec Data Loss Prevention Enforce Platform 16 23.10.2015
Architektura řešení Administration: Detection: Integrated Components: Enforce Network Discover / Network Protect Data Insight* Endpoint Prevent / Endpoint Discover Oracle Mobile Prevent Mobile Email Monitor Network Prevent for Email Network Prevent for Web Network Monitor Web Proxy Web Proxy MTA Web Proxy SPAN or Tap Všechny DLP komponenty jsou SW (nejedná se o appliance ani hardware) Agenti chrání endpointy na síti ale i mimo ní Network detection servers jsou obvykle umístěny v DMZ *Data Insight server není detection server. 17 23.10.2015
Network DLP Enforce Oracle Network Discover / Network Protect Data Insight Network Monitor: Endpoint SMTP, HTTP, Prevent IM, / Endpoint FTP, any Discover TCP-Based Prevent: Mobile Prevent SMTP, HTTP/HTTPS, FTP Mobile Email Monitor Network Prevent for Email Network Prevent for Web Network Monitor Web Proxy Web Proxy MTA Web Proxy SPAN or Tap 18 23.10.2015
Endpoint DLP Enforce Network Discover / Network Protect Data Insight Oracle Endpoint Prevent / Endpoint Discover Mobile Prevent Endpoint Computers Mobile Discover Email Data Monitor Monitor/Block: Network USB, CD Prevent / DVDfor Email Network Network Prevent (email, for Web, FTP, IM) Print / Fax, Copy / Paste Network Network Monitor Shares Application File Access Web Proxy Web Proxy MTA Web Proxy SPAN or Tap 19 23.10.2015
Data Loss Prevention Policies Enforce Oracle Network Discover / Network Protect Data Insight Administration Policies Endpoint Workflow Prevent / Endpoint Discover Mobile Reporting Prevent Remediation Mobile Email Monitor Network Prevent for Email Network Prevent for Web Network Monitor Web Proxy Web Proxy MTA Web Proxy SPAN or Tap 20 23.10.2015
Storage DLP Enforce Network Discover / Network Protect Data Insight Oracle Endpoint Prevent Storage / Endpoint Discover Mobile File Prevent Servers Databases Mobile Email Monitor Collaboration Platforms Network Web Prevent Sites for Email Desktops Network Laptops Prevent for Web Network Monitor Web Proxy Web Proxy MTA Web Proxy SPAN or Tap 21 23.10.2015
Symantec Data Loss Prevention for Mobile 22 23.10.2015
Symantec Data Loss Prevention for the Cloud 23 23.10.2015
Defense-In-Depth: Encryption + Data Loss Prevention Network DLP / Email Gateway Encryption Automaticky šifruje emaily obsahující citlivá data Upozorní zaměstnance v reálném čase o šifrování obsahu policies and tools Storage DLP / Shared Storage Encryption Nalezne kde jsou citlivá data uložena a automaticky je zašifruje Jednoduše, bez nutné účasti zaměstnance, nebo IT Endpoint DLP / Endpoint Encryption Zaměřeno na rizikové uživatele, kde nalezne citlivá data na jejich počítačích Ochrání a umožní práci tím že šifruje cíleně pouze citlivá data například kopírovaná USB zařízení 24 23.10.2015 2 4
Počet incidentů Fáze implementace 1000 Úprava politik 800 Úprava politik 600 400 Úprava politik 200 0 Baseline Remediation Notification Prevention & 0 1 to 3 3 to 6 7 to 9 Protection 10 to 12 Měsíců Symantec Data Loss Prevention 25 23.10.2015 2 5
Enforce Management Console Veškeré úkony spojené s vytvářením politik, nastavením pravidel a jejich spravováním jsou prováděny pomocí Enforce Management Console. Symantec Data Loss Prevention 26 23.10.2015 2 6
Shrnutí Ochrana dat musí být cílená Potřebuji vědět kde data leží a jak se s nimi pracuje Potřebuji pokrýt všechna rizika, všechny vektory úniku Lepší je mít jedno řešení, které mi zajistí kompletní ochranu, než mít více oddělených Pozor na právní důsledky podrobného monitorování korespondence a činnosti uživatelů Pokud potřebujete pomoci s analýzou stávajícího stavu a navrhnout optimální řešení obraťte se na nás! 27 23.10.2015
Děkuji za pozornost S případnými dotazy se na mně neváhejte obrátit Ing. Petr Zahálka Avnet s.r.o. 602354836 petr.zahalka@avnet.com 28 23.10.2015
Technologie detekce dat a dokumentů Described Content Matching (DCM) Symantec Data Loss Prevention Porovnání popsaného obsahu dat, zpráv a vztahů Exact Data Matching (EDM) Přesné porovnání strukturovaných a nestrukturovaných dat Indexed Document Matching (IDM) Detailní porovnání nestrukturovaných dat Vector Machine Learning (VML) Porovnání podobnosti nestrukturovaných dat Directory Group Matching Porovnání identit uživatelů podle databáze, adresáře serveru 29 23.10.2015 2 9
Vstupní data: Datové identifikátory DCM Opisné Data Opisné Data Regulární výraz - speciální řetězec znaků, který představuje určitý vzor (masku) pro textové řetězce Rodná čísla, čísla jednací, Čísla kreditních karet - plus jejich verifikace Vlastní číselné řady - plus jejich verifikace Klíčové slova (klíčové fráze, slovníky) Metadata souboru, klasifikace dokumentů Metoda DCM je velmi často používána v kombinaci s jinými metodami odhalování citlivých dat, čímž se dosáhne minimalizace false positive. 30 23.10.2015
Vstupní data: Strukturované data EDM Strukturované Data Strukturované Data Excel *.xls Strukturovaný seznam *.txt, *.dat, Strukturovaný seznam Jako vstupní formát Excel *.xls, Textový soubor *.txt, Datový soubor *.dat, 200 000 řádků, 2GB pro jeden import 300 mil záznamu/protect server Symantec Data Loss Prevention 31 23.10.2015 3 1
Vstupní data: Nestrukturované data IDM Nestrukturované Data Nestrukturované Data Word *.doc, Adobe *.pdf Visio *.vsd, Power Point *.pst AutoCad, Zdrojový kód Finanční reporty, Obchodní smlouvy Word *.doc Adobe *.pdf Visio *.vsd Power Point *.pst AutoCad Zdrojový kód Finanční reporty, Obchodní smlouvy, 32 23.10.2015 3 2
Detekce obrázku s OCR rozšířením Email with an invoice attached as a scan (TIFF file format) Symantec DLP OCR plug-in MODI (Microsoft Office Document Imaging) Text extracted from the image Používá MS Office 2007 OCR Screenshots Obrázky s citlivými daty Skenované dokumenty 33 23.10.2015 3 3
Příklad detekce s OCR [Tax ID#] 9512345994 [Keyword] Symantec Poland [Bank Account#] 90 1440 1390 0000 0000 1361 4229 [Tax ID#] 1080000094 invoice.tiff extracted text that can trigger incident 34 23.10.2015 3 4
Příklad detekce s OCR 35 23.10.2015 3 5
Kombinace AND/OR a dalších technologií pro minimalizaci false positive incidentů Ke snížení počtu false positive incidentů se doporučuje kombinace pravidel pomocí logických operátorů AND/OR a kombinace různých detekčních technologií. Příklad: kombinace technologií EDM a DCM. EDM - Jména, Příjmení, Seznam obcí a měst DCM Datové identifikátory (RČ) 36 23.10.2015 3 6
Řešení: DLP + Vector Machine Learning Symantec Data Loss Prevention Učení Popis Otisky dat Automatizace hledání klíčových slov, snazší ladění pravidel Vyšší přesnost detekce, méně falešných poplachů Nalezení nových dat bez nutnosti předchozí tvorby otisků Funguje všude: koncový bod, síť i úložiště 37 23.10.2015 3 Symantec Proprietary & Confidential - This information is not a commitment, promise or legal obligation to deliver any material, code or functionality 7
Jak to funguje: Vector Machine Learning Symantec Data Loss Prevention Přínosy Jednodušší tvorba přesných pravidel nic se nemusí popisovat Vystačí s menším množstvím vzorků než datové otisky Nižší náklady na správu a vylepšená přesnost 38 23.10.2015 3 8
Directory Group Matching (DGM) Pomocí této metody jsme schopni odhalit přesnou identitu uživatelů dat, odesílatelů a příjemců emailů a tím dále zpřesnit pravidla pro vyhledávání citlivých dat nebo pro udělení výjimky. Skupiny uživatelů, odesílatelů a příjemců mohou být porovnávány se seznamy emailových adres, IP adres, IM jmen nebo s LDAP skupinami. Příklad: Výjimky - Nebudou se monitorovat zaměstnanci pracující ve společnosti Deloitte jako příjemci citlivých dat podle určité politiky. 39 23.10.2015 3 9