McAfee DLP naučme se společně porozumět ochraně důvěrných dat Karel Klumpner Obchodní ředitel
EFEKTIVNÍ ZABEZPEČENÍ ICT? Compliance Management Data Loss Prevention Auditovací řešení Konkurence IPS řešení IPS a IDS řešení Email a web ochrana McAfee Desktop řešení Anti-virus Anti-spyware Desktop Firewall Desktop IPS and Risk Management Vulnerability Management Mnoho produktů = Složitá správa Komplexní imunitní systém = Jednotná správa
McAfee Agent McAfee integrovaná bezpečnostní platforma Endpoint Network Anti-Virus & Anti-Spyware Email AV & Anti-Spam Desktop Firewall Host IPS SiteAdvisor NAC Policy Auditing Macintosh AV Linux AV Endpoint Encryption Device Control Host DLP epo Jeden agent Jedna konzole Instalace agenta Konfigurace Aktualizace Nastavení politiky Alerty Reportování E-mail Security Web Security Network DLP IPS Firewall/UTM NAC Behavioral Analysis Risk & Compliance Vulnerability Mgmt Remediation Policy Auditing Data Discovery Forensics
PROČ Data Loss Prevention? Splnění zákonných nařízení Ztráta zákaznických & citlivých dat PCI DSS HIPAA GLBA SB 1386 Ztráta intelektuálního vlastnictví Údaje z kreditních karet Sociální bezpečnost Finance EU Data Privacy Directive SOX/JSOX Basel II ACSI33 PIPEDA Patenty Zdrojové kódy Obchodní tajemství
Ztráty dat jsou eskalovaný problém 1700% navýšení incidentů od roku 2004 1 1 ze 2 amerických společností se s tímto problémem potýkala 2 Průměrná cena za incident: US$4.8M 3 ~70% organizací říká, že ztrátu způsobil interní zaměstnanec 4 33% zákazníků je přesvědčena že ztráta dat způsobí ztrátu reputace 5 350 300 250 200 150 100 50 Počet ohlášených incidentů ztráty dat 2 1 Source: Attrition.org 3 Source: Privacy Rights Clearinghouse 3 Source: Ponemon Institute 2006 Cost of Data Breach Study 4 Source: 2006 CSI/FBI Computer Crime and Security Survey 5 Source: Datagate report by McAfee/Datamonitor 0-2002 2003 2004 2005 2006 5
Ochrana dat vyžaduje jiné myšlení Snadná ztráta Snadný přenos Lákavé k odcizení $490 $147 $147 $98 Cybercrime Black Market Value Data musí být chráněna v těchto oblastech: Použití Lokalita Zařízení Přístup
McAfee Total Protection for Data McAfee Data Loss Prevention Plná kontrola a absolutní přehled o pohybu dat (Host a Network) Data Loss Prevention Device Control McAfee Device Control Zabraňuje neoprávněmému používání připojitelných zařízení do firemní sítě McAfee Total Protection for Data Integrovaná technologie pro ochranu dat Endpoint Encryption Encrypted USB McAfee Endpoint Encryption Širování disků, adresářů a obsahu souborů certifikovaným alforitmem McAfee Encrypted USB Šifrované USB flash disky jsou bezpečné úložiště
McAfee Device Control Data Loss Prevention Endpoint Encryption Device Control Encrypted USB FireWire Potřeby zákazníků: Monitorování a povolení přístupu pouze autorizovaným zařízením připojovaných na koncové stanice Zabránit připojení neautorizovaných zařízení ke koncovému bodu, jako např. ipod Kontrola a řízení dat, které mohou být kopírovány na autorizované zařízení McAfee nabízí: Řízenou kontrolu dat a zařízení Pouze povolená zařízení společností Vynucená kontrola, jaká data mohou být kopírována na externí zařízení Politika pro uživatele, skupinu, oddělení dovoluje různým uživatelům připojit různá zařízení Detailní logy a auditování uživatelů a zařízení
McAfee Device Control Založeno na základě technologie McAfee Data Loss Prevention (DLP) Kompletní, content-aware a contextaware blokování zařízení Reguluje jak uživatel smí kopírovat data na USB zařízení, CD, DVD a další externí úložiště dat Politika epo management konzole Správa zařízení a detekované události Umožňuje definovat na jaká zařízení může uživatel používat pro svoji práci není nutné blokovat všechna zařízení Serial/Parallel Other Umožňuje kontrolu I/O zařízení jako USB, CD/DVD, floppy, Bluetooth, IrDA, imaging devices, COM and LPT ports, a další CD/DVD FireWire Bluetooth WI/IRDA USB
McAfee Data Loss Prevention Print Screen Data Loss Prevention Endpoint Encryption Printer Monitor Usage Device Control Encrypted USB Copy & Paste USB Copy Potřeby zákazníků: Zabránit uživatelům, kteří mají přístup k citlivým datům společnosti, zneužít nebo odnést tyto data Plná kontrola a audit zneužití citlivých dat McAfee nabízí: Ochrana dat proti zneužití, jako například tisk, poslání e-mailem, copy/paste Široké spektrum ochrany a monitoringu citlivých dat jako: Detailní logování & forenzní evidence Real-time ochrana & blokování Notifikace uživatele a administrátora Karanténa citlivých dat
McAfee DLP architektura i. HOST DLP Host DLP Device Control Endpoint Encryption Encrypted Media Host DLP Device Control Endpoint Encryption Network DLP Discover Network DLP Monitor SPAN Port or Tap Network DLP Prevent Central Management epolicy Orchestrator (epo) Network DLP Manager MTA or Proxy Disconnected Secured Corporate LAN Network Edgess/DMZ
DLP nasazení do infrastruktury i. McAfee HOST DLP Klasifikace dat pro označení Tag (ování) Tagování dat podle klasifikace Vynucení reakčních pravidel
6 May 2010 13 Sledování datových toků Klasifikace dat (Přiřazení tagovacích pravidel) Sledování obsahu (Udržování tagů) Ochrana dat (Uplatnění reakčních pravidel) Přímé kopírování ze serveru Endpoint Emaliy Lokální generování aplikací Lokální vytvoření uživatelem DLP Host udržuje tagovací informace dokonce i když je obsah modifikovám nebo změněn Přejmenování souboru Změna formátu souboru Kopírování souboru do jiného Archivace souborů Šifrování souborů Web pošta (Webmail, fóra apod.) Tisk Vyjímatelné média
Metody tagování/klasifikace Na základě obsahu dat Clasification rules Regulární výrazy např. číslo sociálního pojištění, číslo kreditní karty Klíčové slovo např. finanční termíny Na základě aplikace Na základě lokality Tagging rules Centrální registr dokumentů Centrální Fingerprinting dokumentů, skenování souborů na úložištích Distribuce Fingerprintů na ostatní agenty přes epo server Obdoba tagování na lokalitu, jednodušší při uložení stejných dokumentů na několika úložištích
Metody tagování/klasifikace Prohledávání lokálních disků Discovery rules Klasifikace souborů/dat Slovníky Přednastavené slovníky pro detekci úniku dat V současné době pouze anglické Možnost definice vlastních slovníků Manuální tagování
Udržování tagu Host DLP stále udržuje označení Tag při práci s dokumentem File tracking podporuje: Přejmenování souboru Změnu formátu souboru Kopírování Archivaci Šifrování Komprimace Tag je uložen v Extended Attributes v NTFS partition pro lokalitu a aplikační tagování Operační paměti pro obsahové classification tagování
Reakční pravidla Vynucení DLP politiky Pravidla jsou definována pro různé kanály úniku dat Možné reakce na citlivá data: Blokování Monitorování Notifikace uživatele Uložení do karantény Šifrování* Smazání Pravidla se aplikují v Online/Offline stavu systému * platné pro Removable storage a File system monitoring pravidla
Druhy reakčních pravidel Email Ochrana klasifikovaných dat před zneužitím odesláním emailem Možnost definice příjemce Podpora Microsoft Outlook a Lotus Domino Vyjímatelná média Ochrana klasifikovaných dat před kopírováním na vyjímatelné média Například USB klíče, ipod, Externí disk atd. Tisk Ochrana před tiskem klasifikovaných dokumentů Možnost definice tiskáren Blokování tisku do PDF nebo Image Witerů Web komunikace Ochrana před posíláním klasifikovaných dat přes web rozhraní Například blokování posílání dat na jiné než lokální web servery Podpora Microsoft Internet Explorer
Druhy reakčních pravidel Síťová spojení Blokování síťové komunikace aplikace, která přistupuje ke klasifikovaným datům Například IM/P2P Může být použito pro restrikci síťové komunikace aplikací, například jiné internetové prohlížeče a poštovní klienti Síťové sdílené adresáře Monitorování dat při kopírování mezi sdílenými adresáři Copy/Paste Ochrana před kopírováním dat z klasifikovaného dokumentu do jiného PrinScreen Blokování kopírování obrazovky do clipboardu Možnost definive pro aplikace nebo klasifikované dokumenty Privilegovaní uživatelé Bypass Blokovací pravidla jsou konvertovány do monitorovacího stavu Bypass pro uživatele Help desk generuje bypass key pro DLP blokovací pravidla Bypass je generován na definovanou dobu
DLP Monitor - seznam detekovaných událostí DLP monitor zobrazuje seznam všech detekovaných událostí Události je možné fitrovat podle nastavených filtrů, např. počítač, uživatel, událost, typ události, reakční pravidlo, tag a pod. Události je možné exportovat do XLS formátu
McAfee DLP architektura ii. NETWORK DLP Host DLP Device Control Endpoint Encryption Encrypted Media Host DLP Device Control Endpoint Encryption Network DLP Discover Network DLP Monitor SPAN Port or Tap Network DLP Prevent Central Management epolicy Orchestrator (epo) Network DLP Manager MTA or Proxy Disconnected Secured Corporate LAN Network Edgess/DMZ
DLP politika vytvářená tradičními výrobci Odchozí emaily, IM, web provoz a pod. Vyhledávání citlivých dat Vytvoření politiky Aplikace politiky na živá data Vliv uživatelů, Help-Desk volání a pod. Efektivní politika Editace politiky Implementace 6-12 měsíců!
DLP politika vytvářená s McAfee Capture ii. McAfee NETWORK DLP Odchozí emaily, IM, web provoz a pod. Odchycení a indexování síťové komunikace Offline data Efektivní ochrana Vytvoření politiky Bonus = Forenzní Offline data Umožňuje sbírat testování citlivá data posílaná 1-3 uživatelem týdny Editace politiky politiky
Hlavní záměr? Odchytání a indexování veškerých dat na síti a sdílených adresářích Identifikace citlivých dat Analýza dat Ladění pravidel Hledání důvěrných confidential Kdo data posílá pryč a kam? Kde jsou data uložena v mé síti?
Komponenty Network DLP Network DLP Discover Pomáhá uživateli odkrýt, pochopit a ohodnotit informaci Network DLP Monitor Pasivně monitoruje celý síťový provoz, interpretuje obsah pro report podle možnosti hrozby ztráty informace Network DLP Prevent Prevents blokuje síťové aktivity, které mohou vést ke ztrátě dat Network DLP Manager Detailní správa incidentů a politiky, konfigurace a administrativní funkce
How Network DLP Works on the Network Používaná Data Odložená Data Network DLP Manager Kontrolovaná Data Network DLP Discover, Network DLP Monitor and Network DLP Prevent
Monitorování, odchytávání dat Mail Transfer Agent (MTA) Detekce anomálií síťového provozu 2 Prohledávání veškeré uživatelské aktivity 1 FTP Servers, Extranet Sales Research Monitor Off-shore 3 Sledování reportu rizika Úprava pravidel a odstranění False-Positives 4 False-Positive
Odložená Data: Prohledávání a klasifikace Vyhledávání intelektuálního vlastnictví na úložištích pomocí samoučících aplikací 1 Windows, UNIX, Linux, Mac, Novell (CIFS, NFS) Wikis, Blogs, SharePoint (HTTP/HTTPS) FTP, Documentum FTP Servers, Extranet 3 Detekce dat v souborech, na serverech, stanicích laptopech portálech a pod. Discover Sales Registrace IP signatur a nastavení detekce Endpoint 2 4 Poskytuje signatury pro další McAfee Network DLP pro ochranu ve všech částech sítě Monitor Research Off-shore 5 Detekce přenosu dat z IP adres v jakékoliv formě
Kontrolovaná Data: Ochrana porušení Identifikace citlivých informací v pohybu (IP, obchodní informace, finanční data) 1 Mail Transfer Agent (MTA) Action SMTP FTP Servers, Extranet Sales Identifikace porušení odsouhlasené politiky 2 3 Blokování, karanténa, šifrování, vrácení odesilateli při detekci porušení odesílání emailem Prevent Monitor ICAP! Proxy Research Off-shore Blokování při porušení politiky přes Webmail, HTTP provoz 4 5 Zaslání do Syslogu, Email administrátorovi, Email odesilateli, Email vedení
Co jsme vyřešili? Náhodnou nebo cílenou ztrátu důvěrných a citlivých dat Posílání Emailů s důvěrnými daty konkurenci Kopírování důvěrných dat na USB disky a zařízení Tisk finančních dokumentů Posílání interních dokumentů přes Hotmail, ICQ, Posílání citlivých dat přes cizí počítače na interní síti Posílání emailů přes zařízení typu Blackberry
Shrnutí McAfee Network DLP Data Loss Prevention Automaticky analyzuje datový tok Automaticky označuje citlivé informace Je to Váš partner upozorňující na výměnu privátních dat Loguje incidenty a porušení pravidel Vitální ochrana informací Umí dešifrovat data Poskytuje audit logů pro zajištění shody Nikdy nepřekáží normálním firemním procesům! Zajišťuje detailní reporting
Shrnutí Děkuji Vám za pozornost Ing. Karel Klumpner Obchodní ředitel T: +420 544 509 068, M: +420 723 444 105, karel.klumpner@comguard.cz