McAfee DLP – naučme se společně porozumět ochraně důvěrných dat Karel Klumpner Obchodní ředitel
EFEKTIVNÍ ZABEZPEČENÍ ICT?
McAfee
Konkurence Compliance Management
IPS řešení
•
Data Loss Prevention
•
•
Auditovací řešení
IPS a IDS řešení
•
Email a web ochrana
Desktop řešení •
Anti-virus
•
Anti-spyware
•
Desktop Firewall
•
Desktop IPS
Risk Management •
and
Vulnerability Management
Mnoho produktů = Složitá správa www.comguard.cz
www.comguard.cz
Komplexní imunitní systém = Jednotná správa communication security
McAfee integrovaná bezpečnostní platforma
Network
Endpoint Anti-Virus & Anti-Spyware
ePO
Email AV & Anti-Spam Desktop Firewall
NAC Policy Auditing Macintosh AV Linux AV Endpoint Encryption Device Control
IPS Firewall/UTM
Jeden agent Jedna konzole • • • • • •
Instalace agenta Konfigurace Aktualizace Nastavení politiky Alerty Reportování
Host DLP
NAC Behavioral Analysis
Risk & Compliance
Data Discovery
SiteAdvisor
Web Security Network DLP
McAfee Agent
Host IPS
E-mail Security
Vulnerability Mgmt Remediation Policy Auditing Forensics
www.comguard.cz
www.comguard.cz
communication security
PROČ Data Loss Prevention?
Splnění zákonných nařízení Ztráta zákaznických & citlivých dat Údaje z kreditních
karet Sociální
bezpečnost
PCI DSS
GLBA
HIPAA
SB 1386
EU Data
Basel II
Patenty
ACSI33
Zdrojové kódy
Privacy Directive
SOX/JSOX PIPEDA
Ztráta intelektuálního vlastnictví
Obchodní
tajemství
Finance
www.comguard.cz
www.comguard.cz
communication security
Ztráty dat jsou eskalovaný problém
1700%
navýšení incidentů od roku 2004 1 1 ze 2 amerických společností se s tímto problémem potýkala2 Průměrná cena za incident: US$4.8M3 ~70% organizací říká, že ztrátu způsobil interní zaměstnanec4 33% zákazníků je přesvědčena že ztráta dat způsobí ztrátu reputace5 1Source:
Attrition.org Privacy Rights Clearinghouse 3Source: Ponemon Institute “2006 Cost of Data Breach Study” 4Source: 2006 CSI/FBI Computer Crime and Security Survey 5Source: Datagate report by McAfee/Datamonitor 3Source:
Počet ohlášených incidentů „ztráty dat“2 350 – 300 – 250 – 200 – 150 – 100 – 50 – 0-
2002
5
www.comguard.cz
www.comguard.cz
2003
2004
2005
2006
communication security
Ochrana dat vyžaduje jiné myšlení Snadná ztráta
Snadný přenos
Lákavé k odcizení
$490
$147
$98 Cybercrime “Black Market” Value $147
Data musí být chráněna v těchto oblastech: Použití
www.comguard.cz
Zařízení
Lokalita
www.comguard.cz
Přístup
communication security
McAfee Total Protection™ for Data McAfee Data Loss Prevention Plná kontrola a absolutní přehled o pohybu dat (Host a Network) Data Loss
Prevention
Device Control
Integrovaná technologie pro ochranu dat
McAfee Total Protection™ for Data Endpoint Encryption
Encrypted USB McAfee Encrypted USB Šifrované USB flash disky jsou bezpečné úložiště
McAfee Endpoint Encryption Širování disků, adresářů a obsahu souborů certifikovaným alforitmem
www.comguard.cz
McAfee Device Control Zabraňuje neoprávněmému používání připojitelných zařízení do firemní sítě
www.comguard.cz
communication security
McAfee Device Control
Data Loss Prevention
Device Control
Endpoint Encryption
Encrypted USB
Potřeby zákazníků: Monitorování a povolení přístupu pouze autorizovaným zařízením připojovaných na koncové stanice Zabránit připojení neautorizovaných zařízení ke koncovému bodu, jako např. iPod Kontrola a řízení dat, které mohou být kopírovány na autorizované zařízení
McAfee nabízí: Řízenou kontrolu dat a zařízení Pouze povolená zařízení společností Vynucená kontrola, jaká data mohou být kopírována na externí zařízení Politika pro uživatele, skupinu, oddělení dovoluje různým uživatelům připojit různá zařízení
®
FireWire
Detailní logy a auditování uživatelů a zařízení www.comguard.cz
www.comguard.cz
communication security
McAfee Device Control
Založeno na základě technologie McAfee Data Loss Prevention (DLP)
Kompletní, content-aware a contextaware blokování zařízení
Reguluje jak uživatel smí kopírovat data na USB zařízení, CD, DVD a další externí úložiště dat
Umožňuje definovat na jaká zařízení může uživatel používat pro svoji práci – není nutné blokovat všechna zařízení
ePO management konzole
Umožňuje kontrolu I/O zařízení jako USB, CD/DVD, floppy, Bluetooth, IrDA, imaging devices, COM and LPT ports, a další
Politika
Správa zařízení a detekované události
Serial/Parallel
Other
CD/DVD
WI/IRDA
FireWire
Bluetooth USB
www.comguard.cz
www.comguard.cz
communication security
McAfee Data Loss Prevention Data Loss Prevention
Device Control
Endpoint Encryption
Encrypted USB
Copy & Paste
Printer
Print Screen
Monitor Usage
www.comguard.cz
Potřeby zákazníků: Zabránit uživatelům, kteří mají přístup k citlivým datům společnosti, zneužít nebo odnést tyto data Plná kontrola a audit zneužití citlivých dat
McAfee nabízí: Ochrana dat proti zneužití, jako například tisk, poslání e-mailem, copy/paste Široké spektrum ochrany a monitoringu citlivých dat jako: Detailní logování & forenzní evidence Real-time ochrana & blokování Notifikace uživatele a administrátora Karanténa citlivých dat
USB Copy
www.comguard.cz
communication security
McAfee DLP architektura i. HOST DLP
• Host DLP
Network DLP Discover
Network DLP Monitor
• Device Control • Endpoint Encryption
• Host DLP • Device Control • Endpoint Encryption • Encrypted Media SPAN Port or Tap
Network DLP Prevent
MTA or Proxy
Central Management • ePolicy Orchestrator (ePO) • Network DLP Manager
Disconnected
www.comguard.cz
Secured Corporate LAN
www.comguard.cz
Network Edgess/DMZ
communication security
DLP nasazení do infrastruktury
i. McAfee HOST DLP
Klasifikace dat pro označení – Tag (ování)
www.comguard.cz
Tagování dat podle klasifikace
www.comguard.cz
Vynucení reakčních pravidel
communication security
6 May 2010
13
Sledování datových toků Klasifikace dat (Přiřazení tagovacích pravidel)
Přímé kopírování ze serveru
Lokální generování aplikací
Sledování obsahu (Udržování tagů)
Endpoint DLP Host udržuje tagovací informace dokonce i když je obsah modifikovám nebo změněn
Ochrana dat (Uplatnění reakčních pravidel)
Emaliy
Web pošta (Webmail, fóra apod.)
• Přejmenování souboru • Změna formátu souboru Lokální vytvoření uživatelem
• Kopírování souboru do jiného • Archivace souborů • Šifrování souborů
www.comguard.cz
Tisk
www.comguard.cz
Vyjímatelné média
communication security
Metody tagování/klasifikace Na
základě obsahu dat
Clasification rules Regulární výrazy např. číslo sociálního pojištění, číslo kreditní karty Klíčové slovo např. finanční termíny Na
základě aplikace Na základě lokality Tagging rules Centrální
registr dokumentů
Centrální Fingerprinting dokumentů, skenování souborů na úložištích Distribuce Fingerprintů na ostatní agenty přes ePO server Obdoba tagování na lokalitu, jednodušší při uložení stejných dokumentů na několika úložištích
www.comguard.cz
www.comguard.cz
communication security
Metody tagování/klasifikace Prohledávání
disků
lokálních
Discovery rules Klasifikace souborů/dat Slovníky
Přednastavené slovníky pro detekci úniku dat V současné době pouze anglické Možnost definice vlastních slovníků Manuální
www.comguard.cz
tagování
www.comguard.cz
communication security
Udržování tagu Host
DLP stále udržuje označení Tag při práci s dokumentem
„File
tracking“ podporuje:
Přejmenování souboru Změnu formátu souboru Kopírování Archivaci Šifrování Komprimace Tag
je uložen v
Extended Attributes v NTFS partition pro lokalitu a aplikační tagování Operační paměti pro obsahové „classification“ tagování
www.comguard.cz
www.comguard.cz
communication security
Reakční pravidla Vynucení
DLP politiky Pravidla jsou definována pro různé kanály úniku dat Možné
reakce na citlivá data:
Blokování Monitorování Notifikace uživatele Uložení do karantény Šifrování* Smazání
Pravidla
se aplikují v Online/Offline stavu systému
* platné pro Removable storage a File system monitoring pravidla
www.comguard.cz
www.comguard.cz
communication security
Druhy reakčních pravidel Email
Ochrana klasifikovaných dat před zneužitím odesláním emailem Možnost definice příjemce Podpora Microsoft Outlook a Lotus Domino Vyjímatelná
média
Ochrana klasifikovaných dat před kopírováním na vyjímatelné média Například USB klíče, iPod, Externí disk atd. Tisk
Ochrana před tiskem klasifikovaných dokumentů Možnost definice tiskáren Blokování tisku do PDF nebo Image Witerů Web
komunikace
Ochrana před posíláním klasifikovaných dat přes web rozhraní Například blokování posílání dat na jiné než lokální web servery Podpora Microsoft Internet Explorer www.comguard.cz
www.comguard.cz
communication security
Druhy reakčních pravidel Síťová
spojení
Síťové
sdílené adresáře
Blokování síťové komunikace aplikace, která přistupuje ke klasifikovaným datům Například IM/P2P Může být použito pro restrikci síťové komunikace aplikací, například jiné internetové prohlížeče a poštovní klienti Monitorování dat při kopírování mezi sdílenými adresáři
Copy/Paste
Ochrana před kopírováním dat z klasifikovaného dokumentu do jiného
PrinScreen
Blokování kopírování obrazovky do clipboardu Možnost definive pro aplikace nebo klasifikované dokumenty
Privilegovaní
uživatelé
Bypass Blokovací pravidla jsou konvertovány do monitorovacího stavu
Bypass
pro uživatele
Help desk generuje „bypass key“ pro DLP blokovací pravidla Bypass je generován na definovanou dobu
www.comguard.cz
www.comguard.cz
communication security
DLP Monitor - seznam detekovaných událostí
DLP monitor zobrazuje seznam všech detekovaných událostí Události je možné fitrovat podle nastavených filtrů, např. počítač, uživatel, událost, typ události, reakční pravidlo, tag a pod. Události je možné exportovat do XLS formátu
www.comguard.cz
www.comguard.cz
communication security
McAfee DLP architektura ii. NETWORK DLP
• Host DLP
Network DLP Discover
Network DLP Monitor
• Device Control • Endpoint Encryption
• Host DLP • Device Control • Endpoint Encryption • Encrypted Media SPAN Port or Tap
Network DLP Prevent
MTA or Proxy
Central Management • ePolicy Orchestrator (ePO) • Network DLP Manager
Disconnected
www.comguard.cz
Secured Corporate LAN
www.comguard.cz
Network Edgess/DMZ
communication security
DLP politika vytvářená tradičními výrobci …
Odchozí emaily, IM, web provoz a pod.
Vyhledávání citlivých dat
Vytvoření politiky
Aplikace politiky na živá data
Vliv uživatelů, Help-Desk volání a pod.
Efektivní politika
Editace politiky
Implementace 6-12 měsíců ! www.comguard.cz
www.comguard.cz
communication security
DLP politika vytvářená s McAfee “Capture”
ii. McAfee NETWORK DLP Odchozí emaily, IM, web provoz a pod.
Odchycení a indexování síťové komunikace Vytvoření politiky
www.comguard.cz
Offline data
Efektivní ochrana
Bonus = Forenzní data Offline Editace Umožňuje sbírat citlivá data posílaná1-3 uživatelem testování týdny politiky politiky
www.comguard.cz
communication security
Hlavní záměr ? Hledání důvěrných „confidential‟
Odchytání
a indexování veškerých dat na síti a sdílených adresářích Identifikace citlivých dat Analýza dat Ladění pravidel
Kdo data posílá pryč a kam?
Kde jsou data uložena v mé síti?
www.comguard.cz
www.comguard.cz
communication security
Komponenty Network DLP
Network DLP Discover
Pomáhá uživateli odkrýt, pochopit a ohodnotit informaci
Network DLP Monitor
Pasivně monitoruje celý síťový provoz, interpretuje obsah pro report podle možnosti hrozby ztráty informace
Network DLP Prevent
Prevents blokuje síťové aktivity, které mohou vést ke ztrátě dat
Network DLP Manager
Detailní správa incidentů a politiky, konfigurace a administrativní funkce
www.comguard.cz
www.comguard.cz
communication security
How Network DLP Works on the Network Používaná Data
Odložená Data
Network DLP Manager
Kontrolovaná Data
Network DLP Discover, Network DLP Monitor and Network DLP Prevent www.comguard.cz
www.comguard.cz
communication security
Monitorování, odchytávání dat Detekce anomálií síťového provozu
2
Mail Transfer Agent (MTA) Prohledávání veškeré uživatelské aktivity
1
FTP Servers, Extranet Sales
Research
Monitor
3
Off-shore
Sledování reportu rizika Úprava pravidel a odstranění False-Positives
4
False-Positive
www.comguard.cz
www.comguard.cz
communication security
Odložená Data: Prohledávání a klasifikace
Vyhledávání intelektuálního vlastnictví na úložištích pomocí samoučících aplikací
Windows, UNIX, Linux, Mac, Novell (CIFS, NFS) Wikis, Blogs, SharePoint (HTTP/HTTPS) FTP, Documentum
1
3
FTP Servers, Extranet Sales
Discover Registrace IP signatur a nastavení detekce
Detekce dat v souborech, na serverech, stanicích laptopech portálech a pod.
2 Research
Endpoint
Monitor
Off-shore
4 Poskytuje signatury pro další McAfee Network DLP pro ochranu ve všech částech sítě
5
www.comguard.cz
www.comguard.cz
Detekce přenosu dat z IP adres v jakékoliv formě
communication security
Kontrolovaná Data: Ochrana porušení Identifikace citlivých informací v pohybu (IP, obchodní informace, finanční data)
Mail Transfer Agent (MTA)
1
FTP Servers, Extranet
SMTP
Action
Sales
Identifikace porušení odsouhlasené politiky
2
Research
Prevent
ICAP Off-shore
3
Blokování , karanténa, šifrování, vrácení odesilateli při detekci porušení odesílání emailem
Monitor
!!
Proxy
Blokování při porušení politiky přes Webmail, HTTP provoz
4
5
www.comguard.cz
www.comguard.cz
Zaslání do Syslogu, Email administrátorovi, Email odesilateli, Email vedení
communication security
Co jsme vyřešili? Náhodnou nebo cílenou ztrátu důvěrných a citlivých dat
Kopírování důvěrných dat na USB disky a zařízení
Posílání Emailů s důvěrnými daty konkurenci
Posílání interních dokumentů přes Hotmail, ICQ,…
Tisk finančních dokumentů
Posílání citlivých dat přes cizí počítače na interní síti
www.comguard.cz
www.comguard.cz
Posílání emailů přes zařízení typu Blackberry
communication security
Shrnutí
McAfee Network DLP “Data Loss Prevention” • Automaticky analyzuje datový tok • Automaticky označuje citlivé informace • Je to Váš partner upozorňující na výměnu privátních dat • Loguje incidenty a porušení pravidel • Vitální ochrana informací • Umí dešifrovat data
Nikdy nepřekáží normálním firemním procesům!
• Poskytuje audit logů pro zajištění shody • Zajišťuje detailní reporting
www.comguard.cz
www.comguard.cz
communication security
Shrnutí
Děkuji Vám za pozornost Ing. Karel Klumpner Obchodní ředitel T: +420 544 509 068, M: +420 723 444 105,
[email protected]
www.comguard.cz
www.comguard.cz
communication security
