Petr Zahálka
Hlídejte si data! Je čas začít se zabývat zabezpečením samotných dat. 1
23.10.2015
Mobile Workforce + BYOD = Riziko Credit Suisse : Data ukradl VP
58% zaměstnanců ukládá citlivá firemní data na SOUKROMÁ ZAŘÍZENÍ 40% zaměstnanců používá citlivá firemní data, která si odnesli při změně zaměstnání Více než 50% zaměstnanců si posílá obchodní korespondenci na jejich soukromý email a po jeho použití ho již nesmažou Třetina zaměstnanců používá aplikace na sdílení pro pracovní data
Sources: What’s Yours Is Mine: How Employees are Putting Your Intellectual Property at Risk, Symantec & Ponemon Institute Security Awareness Training: It's Not Just for Compliance, Enterprise Management Associates
2
23.10.2015
2
Zaměstnanci jako „hrozba” pro firmy 64% ztrát dat bylo způsobeno lojálními zaměstnanci
50% zaměstnanců odchází s informacemi
Cena značky některých firem sa odhaduje v miliónech
Přímá Důvěryhodnosti finanční ztráta Reputace Kredibility
Ztráta
3 3
23.10.2015
Tváře „Prevence ztráty dat“
Je to o lidech Lojální zaměstnanec
Zlomyslný zaměstnanec Nespokojený zaměstnanec
4 4
23.10.2015
Netransparentní řešení Potřebujeme víc než jen technologické řešení. Kde jsou citlivé informace?
ZJISTI
Jak jsou používané?
SLEDUJ
Jak je nejlépe chránit před zneužitím?
OCHRAŇ 5
5
23.10.2015
Ochrana dat je o lidech Jana G. Lojální zaměstnanec Asistent HR Manažera SITUACE: Posílá citlivé údaje přes email personální agentuře. Detekce a odpověď Problém Jana sa snaží odeslat e-mail s citlivými osobními údaji bez toho aby si to uvědomovala
DLP Odpověď
DLP kontroluje obsah a kontext na shodu a ponechá e-mail na serveru
Akce Server: Monitoruje, notifikuje užívatele, šifruje anebo blokuje Užívatel: Zobrazí se mu upozornění, zdůvodnění, blokuje se e-mail, odstraní se citlivé informace
Výsledek Pomůže užívateli porozumět a zdůvodnit transparentně rizika Blokuje anebo šifruje v určitých případech.
6 6
23.10.2015
Ochrana dat je o lidech Igor V. Lojální zaměstnanec Asistent Compliance SITUACE: Kopíruje citlivé údaje na USB klíč Detekce a odpověď Problém Igor kopíruje neveřejnou finanční zprávu na USB klíč
DLP Odpověď
Analýza je vykonaná na jeho počítači na základě politik
Akce Monitoruje , vytvoří záznam a upozorňuje Automaticky šifruje soubory na USB.
Výsledek Automaticky zabezpečí citlivé informace Zvyšuje viditelnost kde sa citlivé informace pohybují.
Změna chování užívatelů
7 7
23.10.2015
Ochrana dat je o lidech Charles N. Lojální zaměstnanec Analytik SITUACE: Exportuje informace z interních aplikací pro analýzu. Detekce a odpověď Problém Charles používá intranetové aplikáce a exportuje data na svoje PC pro potřeby analýzy.
DLP Odpověď
DLP kontroluje obsah a kontext pro shodu a ponechá dokumenty pro práci na desktopu
Akce Monitoruje exportované informace Po stanovené době přesune exportované soubory na bezpečné místo v síti
Výsledek Charles může bez změny pracovat s citlivými údaji pokud budou použité dle firemních pravidel
Aplikuje firemní politiku označení souborů (Tagování) 8 8
23.10.2015
Ochrana dat je o lidech Eva L. Nespokojený zaměstnanec Zaměstnanec přecházející ke konkurenci SITUACE: Kopíruje, tiskne zákaznická data pro vlastní potřebu Detekce a odpověď Problém Eva kopíruje citlivé záznamy o zákaznících na USB a snaží sa vytisknout tato data na její lokální tiskárně
DLP Odpověď
DLP monitoruje všechna komunikační zařízení
Akce Informuje, varuje zaměstnance Informuje jeho nadřízeného, pripadně jiné oddelení (např. HR).
Zastaví přenos na USB klíč a tiskárnu
Výsledek Citlivé údaje, záznamy o zákaznících udržuje ve vlastní infrastruktuře Žádné údaje nebyly zneužité.
9 9
23.10.2015
Ochrana dat je o lidech Katka S. Lojální zaměstnanec Asistent PR Manažera SITUACIA: Posílá rozpracovanou práci na vlastní drobbox účet. Detekce a odpověď Problém Katka má termín odovzdání interní prezentace a pro nedostatek času si poslala rozpracovanou interní prezentaci na svůj drobbox účet.
DLP Odpověď
DLP kontroluje obsah a kontext pro shodu v průběhu kopírovaní souborů do cloudu.
Akce Síťová sonda: Monitoruje, notifikuje užívatele,a blokuje šifrovanou komunikaci Užívatel: Zobrazí se mu upozornení, zdůvodnení a blokuje se přenos
Výsledek Pomůže užívateli porozumět a zdůvodnit transparentně rizika Zabezpečuje aby Interní informace nebyly uložené na jiných než firemních PC
10 10
23.10.2015
Ochrana dat x ochrana soukromí
• Ochrana soukromí x ochrana majetku • Jedná se o střet těchto práv
• Implementace monitoringu znamená splnit třístupňový test proporcionality • Vhodnost • Potřebnost • Porovnání, vyvážení
11
23.10.2015
Vhodnost
• Umožňuje opatření, kterým zasahujeme do práva na soukromí (nebo jej omezujeme) vůbec dosáhnout sledovaný cíl? • Pokud podezříváme zaměstnance z toho, že odesílá data e-mailem konkurenci, je vhodné uchovávat i obsah soukromé korespondence neobsahující firemní data? • Jak takové e-maily poslouží k deklarovanému účelu? 12
23.10.2015
Potřebnost
• Pokud jsme zvolili vhodné opatření, měli bychom jej porovnat s jinými v úvahu připadajícími opatřeními, umožňujícími dosáhnout stejného cíle, avšak nedotýkajícími se základních práv a svobod, respektive zasahujícími do konfliktních práv v menší míře.
13
23.10.2015
Porovnání, vyvážení
• Zvážení zásahu do soukromí bude nutné často učinit až v konkrétních případech: • paušalizované reakce na zjištěný problém (narušení pravidel, výskyt definovaného stavu) nemusí odpovídat adekvátní obraně práv zaměstnavatele
• Pokud se přesto nekvalifikovaně rozhodneme zásah do soukromí učinit, může být ve svém důsledku protiprávní
14
23.10.2015
Data Loss Prevention Threat Coverage
USB/CD/DVD
Email
Print/Fax
Webmail
Network shares HTTPS/FTP Stored data
DLP Policy
Mobile
Monitoring & Prevention Discovery & Protection
IM Cloud
File Servers
Web servers Exchange, SharePoint, Lotus Notes
15
23.10.2015
Databases
Symantec Data Loss Prevent Products
STORAGE
ENDPOINT
Network Discover
Endpoint Discover
Data Insight
Endpoint Prevent
Network Protect
Mobile
NETWORK Network Monitor Network Prevent for Email Network Prevent for Web
CLOUD Office360
DropBox, Box, Google Drive
Management Platform Symantec Data Loss Prevention Enforce Platform
16
23.10.2015
Architektura řešení Administration:
Enforce
Detection:
Integrated Components:
Network Discover / Network Protect Data Insight* Endpoint Prevent / Endpoint Discover
Oracle • • •
Mobile Prevent
Web Proxy
Mobile Email Monitor
Web Proxy
Network Prevent for Email
MTA
Network Prevent for Web
Web Proxy
Network Monitor
SPAN or Tap
Všechny DLP komponenty jsou SW (nejedná se o appliance ani hardware) Agenti chrání endpointy na síti ale i mimo ní Network detection servers jsou obvykle umístěny v DMZ *Data Insight server není detection server. 17
23.10.2015
Network DLP Enforce
Network Discover / Network Protect Data Insight
Network
Monitor: Endpoint PreventIM, / Endpoint SMTP, HTTP, FTP, anyDiscover TCP-Based Prevent: Mobile Prevent SMTP, HTTP/HTTPS, FTP
Oracle
18
23.10.2015
Web Proxy
Mobile Email Monitor
Web Proxy
Network Prevent for Email
MTA
Network Prevent for Web
Web Proxy
Network Monitor
SPAN or Tap
Endpoint DLP Enforce
Network Discover / Network Protect Data Insight Endpoint Prevent / Endpoint Discover
Oracle
19
23.10.2015
Mobile Prevent Endpoint Computers
Web Proxy
Discover Mobile EmailData Monitor
Web Proxy
Monitor/Block: Network Prevent • USB, CD / DVDfor Email • Network (email, Network Prevent for Web, Web FTP, IM) • Print / Fax, Copy / Paste • Network Shares Network Monitor • Application File Access
MTA Web Proxy SPAN or Tap
Data Loss Prevention Policies Enforce
Network Discover / Network Protect
Administration Data Insight
• Policies Prevent / Endpoint Discover •Endpoint Workflow • Reporting Mobile Prevent • Remediation
Oracle
20
23.10.2015
Web Proxy
Mobile Email Monitor
Web Proxy
Network Prevent for Email
MTA
Network Prevent for Web
Web Proxy
Network Monitor
SPAN or Tap
Storage DLP Enforce
Network Discover / Network Protect Data Insight Endpoint PreventStorage / Endpoint Discover Mobile Prevent • File Servers
Web Proxy
Mobile Email Monitor
Web Proxy
• Databases • Collaboration Platforms • Web Sites for Email Network Prevent • Desktops Network Prevent for Web • Laptops Oracle
21
23.10.2015
Network Monitor
MTA Web Proxy SPAN or Tap
Symantec Data Loss Prevention for Mobile
22
23.10.2015
Symantec Data Loss Prevention for the Cloud
23
23.10.2015
Defense-In-Depth: Encryption + Data Loss Prevention Network DLP / Email Gateway Encryption
•Automaticky šifruje emaily obsahující citlivá data •Upozorní zaměstnance v reálném čase o šifrování obsahu policies and tools
Storage DLP / Shared Storage Encryption
•Nalezne kde jsou citlivá data uložena a automaticky je zašifruje •Jednoduše, bez nutné účasti zaměstnance, nebo IT
Endpoint DLP / Endpoint Encryption
•Zaměřeno na rizikové uživatele, kde nalezne citlivá data na jejich počítačích •Ochrání a umožní práci tím že šifruje cíleně pouze citlivá data například kopírovaná USB zařízení 24
23.10.2015
2 4
Shrnutí • Ochrana dat musí být cílená • Potřebuji vědět kde data leží a jak se s nimi pracuje • Potřebuji pokrýt všechna rizika, všechny vektory úniku • Lepší je mít jedno řešení, které mi zajistí kompletní ochranu, než mít více oddělených • Pozor na právní důsledky podrobného monitorování korespondence a činnosti uživatelů • Pokud potřebujete pomoci s analýzou stávajícího stavu a navrhnout optimální řešení obraťte se na nás! 25
23.10.2015
Děkuji za pozornost S případnými dotazy se na mně neváhejte obrátit
Ing. Petr Zahálka Avnet s.r.o. 602354836
[email protected]
26
23.10.2015
