McAfee DLP - naučme se společně porozumět ochraně důvěrných dat

McAfee DLP – naučme se společně
porozumět ochraně
důvěrných dat
Karel Klumpner
Obchodní ředitel
EFEKTIVNÍ ZABEZPEČENÍ ICT?
McAfee
Konkurence
Compliance Management
IPS řešení
•
Data Loss Prevention
•
•
Auditovací řešení
IPS a IDS řešení
•
Email a web
ochrana
Desktop řešení
•
Anti-virus
•
Anti-spyware
•
Desktop Firewall
•
Desktop IPS
Risk Management
•
and
Vulnerability
Management
Mnoho produktů
=
Složitá správa
www.comguard.cz
www.comguard.cz
Komplexní imunitní
systém
=
Jednotná správa
communication security
McAfee integrovaná
bezpečnostní platforma
Network
Endpoint
Anti-Virus & Anti-Spyware
ePO
Email AV & Anti-Spam
Desktop Firewall
NAC
Policy Auditing
Macintosh AV
Linux AV
Endpoint Encryption
Device Control
IPS
Firewall/UTM
Jeden agent
Jedna konzole
•
•
•
•
•
•
Instalace agenta
Konfigurace
Aktualizace
Nastavení politiky
Alerty
Reportování
Host DLP
NAC
Behavioral Analysis
Risk & Compliance
Data Discovery
SiteAdvisor
Web Security
Network DLP
McAfee Agent
Host IPS
E-mail Security
Vulnerability Mgmt
Remediation
Policy Auditing
Forensics
www.comguard.cz
www.comguard.cz
communication security
PROČ Data Loss Prevention?
Splnění zákonných
nařízení
Ztráta zákaznických
& citlivých dat
 Údaje z kreditních
karet
 Sociální
bezpečnost
 PCI DSS
 GLBA
 HIPAA
 SB 1386
 EU Data
 Basel II
 Patenty
 ACSI33
 Zdrojové kódy
Privacy
Directive
 SOX/JSOX  PIPEDA
Ztráta intelektuálního
vlastnictví
 Obchodní
tajemství
 Finance
www.comguard.cz
www.comguard.cz
communication security
Ztráty dat jsou eskalovaný problém
 1700%
navýšení incidentů od
roku 2004 1
 1 ze 2 amerických společností
se s tímto problémem
potýkala2
 Průměrná cena za incident:
US$4.8M3
 ~70% organizací říká, že
ztrátu způsobil interní
zaměstnanec4
 33% zákazníků je
přesvědčena že ztráta dat
způsobí ztrátu reputace5
1Source:
Attrition.org
Privacy Rights Clearinghouse
3Source: Ponemon Institute “2006 Cost of Data Breach Study”
4Source: 2006 CSI/FBI Computer Crime and Security Survey
5Source: Datagate report by McAfee/Datamonitor
3Source:
Počet ohlášených
incidentů „ztráty dat“2
350 –
300 –
250 –
200 –
150 –
100 –
50 –
0-
2002
5
www.comguard.cz
www.comguard.cz
2003
2004
2005
2006
communication security
Ochrana dat vyžaduje jiné
myšlení
Snadná ztráta
Snadný přenos
Lákavé k odcizení
$490
$147
$98
Cybercrime “Black Market” Value
$147
Data musí být chráněna v těchto oblastech:
Použití
www.comguard.cz
Zařízení
Lokalita
www.comguard.cz
Přístup
communication security
McAfee Total Protection™
for Data
McAfee Data Loss Prevention
Plná kontrola a absolutní přehled
o pohybu dat
(Host a Network)
Data Loss
Prevention
Device
Control
Integrovaná
technologie pro
ochranu dat
McAfee Total
Protection™
for Data
Endpoint
Encryption
Encrypted
USB
McAfee Encrypted USB
Šifrované USB flash disky
jsou bezpečné úložiště
McAfee Endpoint Encryption
Širování disků, adresářů a
obsahu souborů certifikovaným
alforitmem
www.comguard.cz
McAfee Device Control
Zabraňuje neoprávněmému
používání připojitelných
zařízení do firemní sítě
www.comguard.cz
communication security
McAfee Device Control

Data Loss
Prevention
Device
Control
Endpoint
Encryption
Encrypted
USB
Potřeby zákazníků:
 Monitorování a povolení přístupu
pouze autorizovaným zařízením
připojovaných na koncové stanice
 Zabránit připojení
neautorizovaných zařízení ke
koncovému bodu, jako např. iPod
 Kontrola a řízení dat, které mohou
být kopírovány na autorizované
zařízení

McAfee nabízí:
 Řízenou kontrolu dat a zařízení
 Pouze povolená zařízení společností
 Vynucená kontrola, jaká data mohou být
kopírována na externí zařízení
 Politika pro uživatele, skupinu, oddělení
dovoluje různým uživatelům připojit
různá zařízení
®
FireWire
 Detailní logy a auditování uživatelů
a zařízení
www.comguard.cz
www.comguard.cz
communication security
McAfee Device Control

Založeno na základě technologie
McAfee Data Loss Prevention (DLP)

Kompletní, content-aware a contextaware blokování zařízení

Reguluje jak uživatel smí kopírovat data
na USB zařízení, CD, DVD a další externí
úložiště dat

Umožňuje definovat na jaká zařízení
může uživatel používat pro svoji práci –
není nutné blokovat všechna zařízení

ePO
management
konzole
Umožňuje kontrolu I/O zařízení jako
USB, CD/DVD, floppy, Bluetooth, IrDA,
imaging devices, COM and LPT ports, a
další
Politika
Správa zařízení
a detekované
události
Serial/Parallel
Other
CD/DVD
WI/IRDA
FireWire
Bluetooth
USB
www.comguard.cz
www.comguard.cz
communication security
McAfee Data Loss Prevention

Data Loss
Prevention
Device
Control
Endpoint
Encryption
Encrypted
USB
Copy &
Paste
Printer
Print
Screen
Monitor
Usage
www.comguard.cz
Potřeby zákazníků:
 Zabránit uživatelům, kteří mají
přístup k citlivým datům
společnosti, zneužít nebo odnést
tyto data
 Plná kontrola a audit zneužití
citlivých dat

McAfee nabízí:
 Ochrana dat proti zneužití, jako
například tisk, poslání e-mailem,
copy/paste
 Široké spektrum ochrany a
monitoringu citlivých dat jako:
 Detailní logování & forenzní
evidence
 Real-time ochrana & blokování
 Notifikace uživatele a
administrátora
 Karanténa citlivých dat
USB
Copy
www.comguard.cz
communication security
McAfee DLP architektura
i. HOST DLP
• Host DLP
Network DLP Discover
Network DLP Monitor
• Device Control
• Endpoint Encryption
• Host DLP
• Device Control
• Endpoint Encryption
• Encrypted Media
SPAN Port or Tap
Network DLP Prevent
MTA or Proxy
Central Management
• ePolicy Orchestrator (ePO)
• Network DLP Manager
Disconnected
www.comguard.cz
Secured Corporate LAN
www.comguard.cz
Network Edgess/DMZ
communication security
DLP nasazení do infrastruktury
i. McAfee HOST DLP
Klasifikace dat
pro označení –
Tag (ování)
www.comguard.cz
Tagování dat
podle klasifikace
www.comguard.cz
Vynucení
reakčních pravidel
communication security
6 May 2010
13
Sledování datových toků
Klasifikace dat
(Přiřazení tagovacích pravidel)
Přímé kopírování
ze serveru
Lokální
generování
aplikací
Sledování obsahu
(Udržování tagů)
Endpoint
DLP Host udržuje tagovací
informace dokonce i když
je obsah modifikovám
nebo změněn
Ochrana dat
(Uplatnění reakčních pravidel)
Emaliy
Web pošta
(Webmail, fóra
apod.)
• Přejmenování souboru
• Změna formátu souboru
Lokální vytvoření
uživatelem
• Kopírování souboru do
jiného
• Archivace souborů
• Šifrování souborů
www.comguard.cz
Tisk
www.comguard.cz
Vyjímatelné média
communication security
Metody tagování/klasifikace
 Na
základě obsahu dat
 Clasification rules
 Regulární výrazy
např. číslo sociálního pojištění,
číslo kreditní karty
 Klíčové slovo
např. finanční termíny
 Na
základě aplikace
 Na základě lokality
 Tagging rules
 Centrální
registr dokumentů
 Centrální Fingerprinting
dokumentů, skenování souborů
na úložištích
 Distribuce Fingerprintů na ostatní
agenty přes ePO server
 Obdoba tagování na lokalitu,
jednodušší při uložení stejných
dokumentů na několika úložištích
www.comguard.cz
www.comguard.cz
communication security
Metody tagování/klasifikace
 Prohledávání
disků
lokálních
 Discovery rules
 Klasifikace souborů/dat
 Slovníky
 Přednastavené slovníky pro
detekci úniku dat
 V současné době pouze
anglické
 Možnost definice vlastních
slovníků
 Manuální
www.comguard.cz
tagování
www.comguard.cz
communication security
Udržování tagu
Host
DLP stále udržuje označení Tag při práci s dokumentem
„File
tracking“ podporuje:
 Přejmenování souboru
 Změnu formátu souboru
 Kopírování
 Archivaci
 Šifrování
 Komprimace
Tag
je uložen v
 Extended Attributes v NTFS partition pro lokalitu a aplikační tagování
 Operační paměti pro obsahové „classification“ tagování
www.comguard.cz
www.comguard.cz
communication security
Reakční pravidla
 Vynucení
DLP politiky
 Pravidla jsou definována pro
různé kanály úniku dat
 Možné






reakce na citlivá data:
Blokování
Monitorování
Notifikace uživatele
Uložení do karantény
Šifrování*
Smazání
 Pravidla
se aplikují v
Online/Offline stavu systému
* platné pro Removable storage a File system monitoring pravidla
www.comguard.cz
www.comguard.cz
communication security
Druhy reakčních pravidel
 Email
 Ochrana klasifikovaných dat před zneužitím odesláním emailem
 Možnost definice příjemce
 Podpora Microsoft Outlook a Lotus Domino
 Vyjímatelná
média
 Ochrana klasifikovaných dat před kopírováním na vyjímatelné média
 Například USB klíče, iPod, Externí disk atd.
 Tisk
 Ochrana před tiskem klasifikovaných dokumentů
 Možnost definice tiskáren
 Blokování tisku do PDF nebo Image Witerů
 Web
komunikace
 Ochrana před posíláním klasifikovaných dat přes web rozhraní
 Například blokování posílání dat na jiné než lokální web servery
 Podpora Microsoft Internet Explorer
www.comguard.cz
www.comguard.cz
communication security
Druhy reakčních pravidel
 Síťová
spojení
 Síťové
sdílené adresáře
 Blokování síťové komunikace aplikace, která přistupuje ke klasifikovaným
datům
 Například IM/P2P
 Může být použito pro restrikci síťové komunikace aplikací, například jiné
internetové prohlížeče a poštovní klienti
 Monitorování dat při kopírování mezi sdílenými adresáři
 Copy/Paste
 Ochrana před kopírováním dat z klasifikovaného dokumentu do jiného
 PrinScreen
 Blokování kopírování obrazovky do clipboardu
 Možnost definive pro aplikace nebo klasifikované dokumenty
 Privilegovaní
uživatelé
 Bypass Blokovací pravidla jsou konvertovány do monitorovacího stavu
 Bypass
pro uživatele
 Help desk generuje „bypass key“ pro DLP blokovací pravidla
 Bypass je generován na definovanou dobu
www.comguard.cz
www.comguard.cz
communication security
DLP Monitor - seznam detekovaných
událostí



DLP monitor zobrazuje seznam všech detekovaných událostí
Události je možné fitrovat podle nastavených filtrů, např. počítač,
uživatel, událost, typ události, reakční pravidlo, tag a pod.
Události je možné exportovat do XLS formátu
www.comguard.cz
www.comguard.cz
communication security
McAfee DLP architektura
ii. NETWORK DLP
• Host DLP
Network DLP Discover
Network DLP Monitor
• Device Control
• Endpoint Encryption
• Host DLP
• Device Control
• Endpoint Encryption
• Encrypted Media
SPAN Port or Tap
Network DLP Prevent
MTA or Proxy
Central Management
• ePolicy Orchestrator (ePO)
• Network DLP Manager
Disconnected
www.comguard.cz
Secured Corporate LAN
www.comguard.cz
Network Edgess/DMZ
communication security
DLP politika vytvářená
tradičními výrobci …
Odchozí emaily, IM, web provoz a pod.
Vyhledávání
citlivých dat
Vytvoření
politiky
Aplikace
politiky na
živá data
Vliv
uživatelů,
Help-Desk
volání a
pod.
Efektivní
politika
Editace
politiky
Implementace 6-12 měsíců !
www.comguard.cz
www.comguard.cz
communication security
DLP politika vytvářená s
McAfee “Capture”
ii. McAfee NETWORK DLP
Odchozí emaily, IM, web provoz a pod.
Odchycení a
indexování
síťové
komunikace
Vytvoření
politiky
www.comguard.cz
Offline data
Efektivní
ochrana
Bonus = Forenzní
data
Offline
Editace
Umožňuje sbírat
citlivá data posílaná1-3
uživatelem
testování
týdny
politiky
politiky
www.comguard.cz
communication security
Hlavní záměr ?
Hledání důvěrných „confidential‟
 Odchytání
a indexování
veškerých dat na síti a sdílených
adresářích
 Identifikace citlivých dat
 Analýza dat
 Ladění pravidel
Kdo data posílá pryč a kam?
Kde jsou data uložena v mé síti?
www.comguard.cz
www.comguard.cz
communication security
Komponenty Network DLP
Network DLP Discover
Pomáhá uživateli odkrýt, pochopit a
ohodnotit informaci
Network DLP Monitor
Pasivně monitoruje celý síťový provoz,
interpretuje obsah pro report podle možnosti
hrozby ztráty informace
Network DLP Prevent
Prevents blokuje síťové aktivity, které mohou
vést ke ztrátě dat
Network DLP Manager
Detailní správa incidentů a politiky,
konfigurace a administrativní funkce
www.comguard.cz
www.comguard.cz
communication security
How Network DLP Works on
the Network
Používaná Data
Odložená Data
Network
DLP
Manager
Kontrolovaná Data
Network DLP Discover, Network DLP Monitor and Network DLP Prevent
www.comguard.cz
www.comguard.cz
communication security
Monitorování, odchytávání dat
Detekce anomálií
síťového provozu
2
Mail Transfer Agent (MTA)
Prohledávání veškeré
uživatelské aktivity
1
FTP Servers,
Extranet
Sales
Research
Monitor
3
Off-shore
Sledování reportu
rizika
Úprava pravidel a
odstranění False-Positives
4
False-Positive
www.comguard.cz
www.comguard.cz
communication security
Odložená Data:
Prohledávání a klasifikace
Vyhledávání
intelektuálního vlastnictví
na úložištích pomocí
samoučících aplikací
Windows, UNIX, Linux, Mac, Novell (CIFS, NFS)
Wikis, Blogs, SharePoint (HTTP/HTTPS)
FTP, Documentum
1
3
FTP Servers,
Extranet
Sales
Discover
Registrace IP
signatur a nastavení
detekce
Detekce dat v
souborech, na
serverech, stanicích
laptopech portálech
a pod.
2
Research
Endpoint
Monitor
Off-shore
4
Poskytuje signatury pro
další McAfee Network
DLP pro ochranu ve
všech částech sítě
5
www.comguard.cz
www.comguard.cz
Detekce přenosu dat
z IP adres v jakékoliv
formě
communication security
Kontrolovaná Data:
Ochrana porušení
Identifikace citlivých
informací v pohybu (IP,
obchodní informace,
finanční data)
Mail Transfer Agent (MTA)
1
FTP Servers,
Extranet
SMTP
Action
Sales
Identifikace porušení
odsouhlasené politiky
2
Research
Prevent
ICAP
Off-shore
3
Blokování , karanténa,
šifrování, vrácení
odesilateli při detekci
porušení odesílání
emailem
Monitor
!!
Proxy
Blokování při porušení politiky
přes Webmail, HTTP provoz
4
5
www.comguard.cz
www.comguard.cz
Zaslání do Syslogu,
Email administrátorovi,
Email odesilateli, Email
vedení
communication security
Co jsme vyřešili?
Náhodnou nebo cílenou ztrátu důvěrných a citlivých dat
Kopírování
důvěrných dat na
USB disky a zařízení
Posílání Emailů s
důvěrnými daty
konkurenci
Posílání interních
dokumentů přes
Hotmail, ICQ,…
Tisk finančních
dokumentů
Posílání citlivých dat
přes cizí počítače na
interní síti
www.comguard.cz
www.comguard.cz
Posílání emailů přes
zařízení typu
Blackberry
communication security
Shrnutí
McAfee Network DLP “Data Loss Prevention”
• Automaticky analyzuje datový tok
• Automaticky označuje citlivé informace
• Je to Váš partner upozorňující na výměnu privátních dat
• Loguje incidenty a porušení pravidel
• Vitální ochrana informací
• Umí dešifrovat data
Nikdy nepřekáží
normálním
firemním
procesům!
• Poskytuje audit logů pro zajištění shody
• Zajišťuje detailní reporting
www.comguard.cz
www.comguard.cz
communication security
Shrnutí
Děkuji Vám za pozornost
Ing. Karel Klumpner
Obchodní ředitel
T: +420 544 509 068, M: +420 723 444 105, [email protected]
www.comguard.cz
www.comguard.cz
communication security