McAfee DLP - naučme se společně porozumět ochraně důvěrných dat
Transkript
McAfee DLP – naučme se společně porozumět ochraně důvěrných dat Karel Klumpner Obchodní ředitel EFEKTIVNÍ ZABEZPEČENÍ ICT? McAfee Konkurence Compliance Management IPS řešení • Data Loss Prevention • • Auditovací řešení IPS a IDS řešení • Email a web ochrana Desktop řešení • Anti-virus • Anti-spyware • Desktop Firewall • Desktop IPS Risk Management • and Vulnerability Management Mnoho produktů = Složitá správa www.comguard.cz www.comguard.cz Komplexní imunitní systém = Jednotná správa communication security McAfee integrovaná bezpečnostní platforma Network Endpoint Anti-Virus & Anti-Spyware ePO Email AV & Anti-Spam Desktop Firewall NAC Policy Auditing Macintosh AV Linux AV Endpoint Encryption Device Control IPS Firewall/UTM Jeden agent Jedna konzole • • • • • • Instalace agenta Konfigurace Aktualizace Nastavení politiky Alerty Reportování Host DLP NAC Behavioral Analysis Risk & Compliance Data Discovery SiteAdvisor Web Security Network DLP McAfee Agent Host IPS E-mail Security Vulnerability Mgmt Remediation Policy Auditing Forensics www.comguard.cz www.comguard.cz communication security PROČ Data Loss Prevention? Splnění zákonných nařízení Ztráta zákaznických & citlivých dat Údaje z kreditních karet Sociální bezpečnost PCI DSS GLBA HIPAA SB 1386 EU Data Basel II Patenty ACSI33 Zdrojové kódy Privacy Directive SOX/JSOX PIPEDA Ztráta intelektuálního vlastnictví Obchodní tajemství Finance www.comguard.cz www.comguard.cz communication security Ztráty dat jsou eskalovaný problém 1700% navýšení incidentů od roku 2004 1 1 ze 2 amerických společností se s tímto problémem potýkala2 Průměrná cena za incident: US$4.8M3 ~70% organizací říká, že ztrátu způsobil interní zaměstnanec4 33% zákazníků je přesvědčena že ztráta dat způsobí ztrátu reputace5 1Source: Attrition.org Privacy Rights Clearinghouse 3Source: Ponemon Institute “2006 Cost of Data Breach Study” 4Source: 2006 CSI/FBI Computer Crime and Security Survey 5Source: Datagate report by McAfee/Datamonitor 3Source: Počet ohlášených incidentů „ztráty dat“2 350 – 300 – 250 – 200 – 150 – 100 – 50 – 0- 2002 5 www.comguard.cz www.comguard.cz 2003 2004 2005 2006 communication security Ochrana dat vyžaduje jiné myšlení Snadná ztráta Snadný přenos Lákavé k odcizení $490 $147 $98 Cybercrime “Black Market” Value $147 Data musí být chráněna v těchto oblastech: Použití www.comguard.cz Zařízení Lokalita www.comguard.cz Přístup communication security McAfee Total Protection™ for Data McAfee Data Loss Prevention Plná kontrola a absolutní přehled o pohybu dat (Host a Network) Data Loss Prevention Device Control Integrovaná technologie pro ochranu dat McAfee Total Protection™ for Data Endpoint Encryption Encrypted USB McAfee Encrypted USB Šifrované USB flash disky jsou bezpečné úložiště McAfee Endpoint Encryption Širování disků, adresářů a obsahu souborů certifikovaným alforitmem www.comguard.cz McAfee Device Control Zabraňuje neoprávněmému používání připojitelných zařízení do firemní sítě www.comguard.cz communication security McAfee Device Control Data Loss Prevention Device Control Endpoint Encryption Encrypted USB Potřeby zákazníků: Monitorování a povolení přístupu pouze autorizovaným zařízením připojovaných na koncové stanice Zabránit připojení neautorizovaných zařízení ke koncovému bodu, jako např. iPod Kontrola a řízení dat, které mohou být kopírovány na autorizované zařízení McAfee nabízí: Řízenou kontrolu dat a zařízení Pouze povolená zařízení společností Vynucená kontrola, jaká data mohou být kopírována na externí zařízení Politika pro uživatele, skupinu, oddělení dovoluje různým uživatelům připojit různá zařízení ® FireWire Detailní logy a auditování uživatelů a zařízení www.comguard.cz www.comguard.cz communication security McAfee Device Control Založeno na základě technologie McAfee Data Loss Prevention (DLP) Kompletní, content-aware a contextaware blokování zařízení Reguluje jak uživatel smí kopírovat data na USB zařízení, CD, DVD a další externí úložiště dat Umožňuje definovat na jaká zařízení může uživatel používat pro svoji práci – není nutné blokovat všechna zařízení ePO management konzole Umožňuje kontrolu I/O zařízení jako USB, CD/DVD, floppy, Bluetooth, IrDA, imaging devices, COM and LPT ports, a další Politika Správa zařízení a detekované události Serial/Parallel Other CD/DVD WI/IRDA FireWire Bluetooth USB www.comguard.cz www.comguard.cz communication security McAfee Data Loss Prevention Data Loss Prevention Device Control Endpoint Encryption Encrypted USB Copy & Paste Printer Print Screen Monitor Usage www.comguard.cz Potřeby zákazníků: Zabránit uživatelům, kteří mají přístup k citlivým datům společnosti, zneužít nebo odnést tyto data Plná kontrola a audit zneužití citlivých dat McAfee nabízí: Ochrana dat proti zneužití, jako například tisk, poslání e-mailem, copy/paste Široké spektrum ochrany a monitoringu citlivých dat jako: Detailní logování & forenzní evidence Real-time ochrana & blokování Notifikace uživatele a administrátora Karanténa citlivých dat USB Copy www.comguard.cz communication security McAfee DLP architektura i. HOST DLP • Host DLP Network DLP Discover Network DLP Monitor • Device Control • Endpoint Encryption • Host DLP • Device Control • Endpoint Encryption • Encrypted Media SPAN Port or Tap Network DLP Prevent MTA or Proxy Central Management • ePolicy Orchestrator (ePO) • Network DLP Manager Disconnected www.comguard.cz Secured Corporate LAN www.comguard.cz Network Edgess/DMZ communication security DLP nasazení do infrastruktury i. McAfee HOST DLP Klasifikace dat pro označení – Tag (ování) www.comguard.cz Tagování dat podle klasifikace www.comguard.cz Vynucení reakčních pravidel communication security 6 May 2010 13 Sledování datových toků Klasifikace dat (Přiřazení tagovacích pravidel) Přímé kopírování ze serveru Lokální generování aplikací Sledování obsahu (Udržování tagů) Endpoint DLP Host udržuje tagovací informace dokonce i když je obsah modifikovám nebo změněn Ochrana dat (Uplatnění reakčních pravidel) Emaliy Web pošta (Webmail, fóra apod.) • Přejmenování souboru • Změna formátu souboru Lokální vytvoření uživatelem • Kopírování souboru do jiného • Archivace souborů • Šifrování souborů www.comguard.cz Tisk www.comguard.cz Vyjímatelné média communication security Metody tagování/klasifikace Na základě obsahu dat Clasification rules Regulární výrazy např. číslo sociálního pojištění, číslo kreditní karty Klíčové slovo např. finanční termíny Na základě aplikace Na základě lokality Tagging rules Centrální registr dokumentů Centrální Fingerprinting dokumentů, skenování souborů na úložištích Distribuce Fingerprintů na ostatní agenty přes ePO server Obdoba tagování na lokalitu, jednodušší při uložení stejných dokumentů na několika úložištích www.comguard.cz www.comguard.cz communication security Metody tagování/klasifikace Prohledávání disků lokálních Discovery rules Klasifikace souborů/dat Slovníky Přednastavené slovníky pro detekci úniku dat V současné době pouze anglické Možnost definice vlastních slovníků Manuální www.comguard.cz tagování www.comguard.cz communication security Udržování tagu Host DLP stále udržuje označení Tag při práci s dokumentem „File tracking“ podporuje: Přejmenování souboru Změnu formátu souboru Kopírování Archivaci Šifrování Komprimace Tag je uložen v Extended Attributes v NTFS partition pro lokalitu a aplikační tagování Operační paměti pro obsahové „classification“ tagování www.comguard.cz www.comguard.cz communication security Reakční pravidla Vynucení DLP politiky Pravidla jsou definována pro různé kanály úniku dat Možné reakce na citlivá data: Blokování Monitorování Notifikace uživatele Uložení do karantény Šifrování* Smazání Pravidla se aplikují v Online/Offline stavu systému * platné pro Removable storage a File system monitoring pravidla www.comguard.cz www.comguard.cz communication security Druhy reakčních pravidel Email Ochrana klasifikovaných dat před zneužitím odesláním emailem Možnost definice příjemce Podpora Microsoft Outlook a Lotus Domino Vyjímatelná média Ochrana klasifikovaných dat před kopírováním na vyjímatelné média Například USB klíče, iPod, Externí disk atd. Tisk Ochrana před tiskem klasifikovaných dokumentů Možnost definice tiskáren Blokování tisku do PDF nebo Image Witerů Web komunikace Ochrana před posíláním klasifikovaných dat přes web rozhraní Například blokování posílání dat na jiné než lokální web servery Podpora Microsoft Internet Explorer www.comguard.cz www.comguard.cz communication security Druhy reakčních pravidel Síťová spojení Síťové sdílené adresáře Blokování síťové komunikace aplikace, která přistupuje ke klasifikovaným datům Například IM/P2P Může být použito pro restrikci síťové komunikace aplikací, například jiné internetové prohlížeče a poštovní klienti Monitorování dat při kopírování mezi sdílenými adresáři Copy/Paste Ochrana před kopírováním dat z klasifikovaného dokumentu do jiného PrinScreen Blokování kopírování obrazovky do clipboardu Možnost definive pro aplikace nebo klasifikované dokumenty Privilegovaní uživatelé Bypass Blokovací pravidla jsou konvertovány do monitorovacího stavu Bypass pro uživatele Help desk generuje „bypass key“ pro DLP blokovací pravidla Bypass je generován na definovanou dobu www.comguard.cz www.comguard.cz communication security DLP Monitor - seznam detekovaných událostí DLP monitor zobrazuje seznam všech detekovaných událostí Události je možné fitrovat podle nastavených filtrů, např. počítač, uživatel, událost, typ události, reakční pravidlo, tag a pod. Události je možné exportovat do XLS formátu www.comguard.cz www.comguard.cz communication security McAfee DLP architektura ii. NETWORK DLP • Host DLP Network DLP Discover Network DLP Monitor • Device Control • Endpoint Encryption • Host DLP • Device Control • Endpoint Encryption • Encrypted Media SPAN Port or Tap Network DLP Prevent MTA or Proxy Central Management • ePolicy Orchestrator (ePO) • Network DLP Manager Disconnected www.comguard.cz Secured Corporate LAN www.comguard.cz Network Edgess/DMZ communication security DLP politika vytvářená tradičními výrobci … Odchozí emaily, IM, web provoz a pod. Vyhledávání citlivých dat Vytvoření politiky Aplikace politiky na živá data Vliv uživatelů, Help-Desk volání a pod. Efektivní politika Editace politiky Implementace 6-12 měsíců ! www.comguard.cz www.comguard.cz communication security DLP politika vytvářená s McAfee “Capture” ii. McAfee NETWORK DLP Odchozí emaily, IM, web provoz a pod. Odchycení a indexování síťové komunikace Vytvoření politiky www.comguard.cz Offline data Efektivní ochrana Bonus = Forenzní data Offline Editace Umožňuje sbírat citlivá data posílaná1-3 uživatelem testování týdny politiky politiky www.comguard.cz communication security Hlavní záměr ? Hledání důvěrných „confidential‟ Odchytání a indexování veškerých dat na síti a sdílených adresářích Identifikace citlivých dat Analýza dat Ladění pravidel Kdo data posílá pryč a kam? Kde jsou data uložena v mé síti? www.comguard.cz www.comguard.cz communication security Komponenty Network DLP Network DLP Discover Pomáhá uživateli odkrýt, pochopit a ohodnotit informaci Network DLP Monitor Pasivně monitoruje celý síťový provoz, interpretuje obsah pro report podle možnosti hrozby ztráty informace Network DLP Prevent Prevents blokuje síťové aktivity, které mohou vést ke ztrátě dat Network DLP Manager Detailní správa incidentů a politiky, konfigurace a administrativní funkce www.comguard.cz www.comguard.cz communication security How Network DLP Works on the Network Používaná Data Odložená Data Network DLP Manager Kontrolovaná Data Network DLP Discover, Network DLP Monitor and Network DLP Prevent www.comguard.cz www.comguard.cz communication security Monitorování, odchytávání dat Detekce anomálií síťového provozu 2 Mail Transfer Agent (MTA) Prohledávání veškeré uživatelské aktivity 1 FTP Servers, Extranet Sales Research Monitor 3 Off-shore Sledování reportu rizika Úprava pravidel a odstranění False-Positives 4 False-Positive www.comguard.cz www.comguard.cz communication security Odložená Data: Prohledávání a klasifikace Vyhledávání intelektuálního vlastnictví na úložištích pomocí samoučících aplikací Windows, UNIX, Linux, Mac, Novell (CIFS, NFS) Wikis, Blogs, SharePoint (HTTP/HTTPS) FTP, Documentum 1 3 FTP Servers, Extranet Sales Discover Registrace IP signatur a nastavení detekce Detekce dat v souborech, na serverech, stanicích laptopech portálech a pod. 2 Research Endpoint Monitor Off-shore 4 Poskytuje signatury pro další McAfee Network DLP pro ochranu ve všech částech sítě 5 www.comguard.cz www.comguard.cz Detekce přenosu dat z IP adres v jakékoliv formě communication security Kontrolovaná Data: Ochrana porušení Identifikace citlivých informací v pohybu (IP, obchodní informace, finanční data) Mail Transfer Agent (MTA) 1 FTP Servers, Extranet SMTP Action Sales Identifikace porušení odsouhlasené politiky 2 Research Prevent ICAP Off-shore 3 Blokování , karanténa, šifrování, vrácení odesilateli při detekci porušení odesílání emailem Monitor !! Proxy Blokování při porušení politiky přes Webmail, HTTP provoz 4 5 www.comguard.cz www.comguard.cz Zaslání do Syslogu, Email administrátorovi, Email odesilateli, Email vedení communication security Co jsme vyřešili? Náhodnou nebo cílenou ztrátu důvěrných a citlivých dat Kopírování důvěrných dat na USB disky a zařízení Posílání Emailů s důvěrnými daty konkurenci Posílání interních dokumentů přes Hotmail, ICQ,… Tisk finančních dokumentů Posílání citlivých dat přes cizí počítače na interní síti www.comguard.cz www.comguard.cz Posílání emailů přes zařízení typu Blackberry communication security Shrnutí McAfee Network DLP “Data Loss Prevention” • Automaticky analyzuje datový tok • Automaticky označuje citlivé informace • Je to Váš partner upozorňující na výměnu privátních dat • Loguje incidenty a porušení pravidel • Vitální ochrana informací • Umí dešifrovat data Nikdy nepřekáží normálním firemním procesům! • Poskytuje audit logů pro zajištění shody • Zajišťuje detailní reporting www.comguard.cz www.comguard.cz communication security Shrnutí Děkuji Vám za pozornost Ing. Karel Klumpner Obchodní ředitel T: +420 544 509 068, M: +420 723 444 105, [email protected] www.comguard.cz www.comguard.cz communication security
Podobné dokumenty
McAfee DLP - AURIGA SYSTEMS
– Ochrana před posíláním klasifikovaných dat přes web rozhraní – Například blokování posílání dat na jiné neţ lokální web servery
Vícepaper title
Prakticky souběţně se základy MEFANETu se ve světě rodily technologie Web 2.0. Samotný termín Web 2.0 se dostal do širšího povědomí v r. 2004 a v ČR se o něm mluví aţ od r. 2006. Z pohledu výuky je...
VícePravidla Kin
b) Musí přijmout rozhodnutí rozhodčího v rámci sportovního chování. Pokud má jakoukoliv pochybnost, pak jediná osoba, která může požádat o objasnění, je kapitán. c) Musí respektovat pravidla sporto...
Vícepopis změn - CSH spol. s r.o.
Testování IČ a RČ zda nemají záznam v insolvenčním rejstříku V programech Sysel, Syslík, Syslíček a Domovník je možnost zjišťovat, zda dané rodné číslo nebo identifikační číslo nemá záznam v insol...
VíceRules - Fantasy NHL
který tam nemá co dělat (např. hráč poslední sezonu hrál v Evropě). Pokud bude v tomto směru zjištěno pochybení, GM dostane 1 trestný bod a zároveň pokutu 300 tisíc za hráče, který by mohl nastoupi...
Vícemetodika vzdělávání DVPP – basketbal
hmoty v prostoru a čase bez ohledu na síly, které jsou bezprostředními příčinami pohybu. K analýze pohybu jako vnějšího jevu se s výhodou používá filmové či video techniky. Ta dovoluje zachytit prů...
Více