Petr Zahálka
Čte Vám někdo za zády Vaše e-maily?
Šifrujte! 1
19. Února 2015
Realita
3
19. Února 2015
Realita
4
19. Února 2015
Rozdělení dat • Podle důležitosti • Vyhrazeno, důvěrné, tajné, přísně tajné • Veřejná data, senzitivní data, chráněná data • Veřejná data, data jen pro interní potřebu, obchodní tajemství
• Podle způsobu jejich pohybu • Data in motion • Data in rest • Data in use
5
19. Února 2015
Proč šifrovat? Co motivuje uživatele? • Osobní zkušenost se ztrátou citlivých dat • Zachycené zprávy, nebo zprávy omylem odeslané jinému příjemci • Ztracené přenosné počítače • Znemožnit administrátorům přístup k citlivým datům
• Mají zájem o ochranu dobrého jména firmy • Spolupracující firmy vyžadují šifrování citlivých dat • Být ve shodě s nařízeními vlády nebo jinými předpisy
6
19. Února 2015
Proč šifrovat? Otázky? • • • • •
Jak poslat bezpečný e-mail Jak zabránit ztrátě citlivých dat při ztrátě/krádeži Jak zabezpečit přístup k síťovým složkám Jak dešifrovat disk bez znalosti hesla Jak distribuovat šifrovací klíč
7
19. Února 2015
Jak funguje šifrování Tajné informace
Šifrovací klíč (Veřejný klíč příjemce) O+WPkLp6Z4+rSamT2QpafE Dešifrovací klíč (Privátní klíč příjemce) Tajné informace
8
19. Února 2015
Mýty • Používat šifrování je příliš složité a tím nákladné • Dodatečné školení uživatelů • Významné zatížení administrátorů s nasazením a správou • Každá aplikace je samostatné řešení bez možnosti společná správy • Malá možnost integrovat šifrování se stávající infrastrukturou • Správa patchů pro každou aplikaci
9
19. Února 2015
Co je šifrování e-mailů
Ahoj Tome, Na dovolené budu do 5.8. Nikdo doma není tak prosím zalej kytky a nakrm rybičky. Klíč je jako obvykle pod rohožkou. Díky Petr
• Jaký typ informací jste ochotni bez problémů napsat na pohlednici? • Co jsme schopni poslat mailem?
11
19. Února 2015
Příklad 1. Trnitá cesta e-mailu
9. 1. 10.
6.
15.
4.
12
19. Února 2015
Symantec Gateway Email Encryption • Emaily jsou šifrované/podepsané na gateway serveru • Podpora (OpenPGP + S/MIME) • Ochrana na perimetru • Detailní možnost pro definici politik • Integrace s LDAP • Automatický management klíčů • Failover: Web and PDF Messenger
• Možná integrace se Sym Brightmail a dalšími 14
19. Února 2015
Mail Client
Mail Server
Gateway Email PDF Messenger
Symantec Gateway Email – Jak to funguje
In Motion Email at Risk
Email at Risk
Email at Risk
Recipients ’ Mail Server Email at Risk
Recipient s’ Systems Email at Risk PGP® Desktop Email
Internet
Symantec Gateway Email + Symantec Encryption Management Server
Symantec Encryption Management Server zabezpečí veškerou komunikaci 15
19. Února 2015
Web Messenger
PDF Messenger
Co to je Web Email Protection? • Bezpečný web-style mailbox umožňuje externímu uživateli číst šifrovaný e-mail • Uložen pouze na Encryption Management Server • Zabezpečen heslem a SSL/TLS přístupný pomocí prohlížeče SSL/TLS
Symantec Encryption Management Server
External user
16
19. Února 2015
PDF Email Protection • Tato funkce umožňuje zprávy odesílat jako šifrované PDF dokumenty • Navíc je možné takovou zprávu sledovat a ověřit její doručení. • Příjemci stačí Adobe Acrobat Reader nemusí mít Encryption Desktop klienta ani Symantec Encryption Management Server • Portable Document Format (PDF) je velmi rozšířený formát • Podporuje RC4 a AES šifrování
17
19. Února 2015
Symantec Desktop Email Encryption • Emaily jsou šifrované/podepsané na klientovi • Ochrana na místě vzniku • Podpora (OpenPGP + S/MIME) • Všechny emailové protokoly podpoirovány (MAPI/Notes/SMTP/POP/IMAP) • Centrální nastavení politik (Universal Management) • Centrální management klíčů • 2 faktorová autentizace (smartcard/token) • Podpora Windows/Mac OS 18
19. Února 2015
Universal Server
Mail Server
Symantec Desktop Email Encryption - Jak to funguje
Client Systems Email at
Risk
Corporate Mail Email Serverat Risk
In Motion Email at Risk
Recipients ’ Mail Email at Server Risk
Desktop Email
Desktop Email
Desktop Email
Internet
Desktop Email
Support Package for BlackBerry,
Support Package for BlackBerry,
iOS
iOS
End-to-End Email Encryption chrání Email in Motion and at Rest 19
Recipient s’ Email at Systems Risk
19. Února 2015
Desktop klient integrace s mailovými klienty • Jednoduchý automatizovaný nástroj chránící citlivé údaje v emailové komunikaci bez nutnosti měnit návyky uživatele. • Minimalizuje riziko spojené s kompromitací účastníků komunikace a jejich obsahu a umožňuje vynutit bezpečnostní politiky, resp. shodu s bezpečnostními standarty a normami. • Řešení, které se snadno nasadí a využívá původní infrastrukturu organizace. 21
19. Února 2015
Co je šifrování disků • Co máme na NTB, desktopu, mobilním telefonu? • Nikdo se nesetkal se ztrátou/krádeží mobilního telefonu, NTB? • Nikdy se z těchto zařízení nic neztratilo resp data nebyla zneužita! • Jak to víte?? • Možná jste opravdu měli kliku!!! • Ale to není bezpečnost
23
19. Února 2015
Šifrování disků • Symantec Drive Encryption • je univerzální nástroj pro šifrování uložených dat na desktopech a mobilních počítačích.
• V reálném čase šifruje obsah celých disků (resp. zvolených oblastí např. při více operačních systémech na jedné pracovní stanici.). • V reálném čase šifruje data na lokálních discích či USB zařízeních. • Rozdíl je v managementu a obnovení přístupu • Mohu integrovat s DLP řešením 24
19. Února 2015
Symantec Removable Storage Encryption • • • •
Ochraňuje citlivá data Umožňuje sdílet jednoduše šifrovaná data Jednoduše centrálně řízené politiky Šifrování a odšifrování dat bez klienta (offline access) • Umožňuje přistupovat k datům na Windows i Mac OS
25
19. Února 2015
Šifrování sdílených složek
26
19. Února 2015
Šifrování sdílených složek NetShare
• šifrovací nástroj pro bezpečné sdílení souborů a složek • Mohu integrovat s DLP řešením
27
19. Února 2015
Větší ochrana: Encryption + Data Loss Prevention Network DLP / Email Gateway Encryption
•Automaticky šifruje emaily obsahující citlivá data •Upozorňuje zaměstnance v reálném čase/podle obsahu na jednání v rozporu s bezpečnostními politikami a možnostech
Storage DLP / Shared Storage Encryption
•Nalezne kde leží citlivá data a automaticky je zašifruje •Zjednoduší proces ochrany dat bez nutnosti požadovat důslednou ochranu po zaměstnancích
Endpoint DLP / Endpoint Encryption
•Umožní pro uživatele z rizikových skupin najít citlivá data na jejich NTB •Chrání a umožňuje zajistit pouze citlivých dat např. při jejich kopírování na USB 28
19. Února 2015
2 8
Cvičení 1 : Caesarova šifra • Rozšifrujte následující slovo zašifrované pomocí Caesarovy šifry Zodb Jkrkvuk První řešitel dostane odměnu
29
19. Února 2015
Caesarova šifra
A B C D E F G H I J K L M 0 1 2 3 4 5 6 7 8 9 10 11 12 N O P Q R S T U V W X Y Z 13 14 15 16 17 18 19 20 21 22 23 24 25 • Přiřadíme každému písmenu číslo • To nám umožní počítat s písmeny jako by to byla čísla
30
19. Února 2015
Caesarova šifra • Encryption 1. Přiřaď číslo k písmenům (A=0, B=1,…) 2. Vyber klíč k (0,…, 25) 3. Vypočítej (num(char)+k) mod 26, kde char je šifrované písmeno a num(x) je přiřazené číslo (např. num(A) = 0)
31
19. Února 2015
Caesarova šifra • Jak rozšifrovat? • Decryption: 1. Vyberte klíč k (0,…, 25) 2. Přiřaďte číslo k písmenům (A=0, B=1,…) 3. Vypočítej (num(char)-k) mod 26, kde char je šifrované písmeno a num(x) je přiřazené číslo (např. num(A) = 0) 4. Opakuj pro všechna písmena 5. Stop, pokud rozšifrovaný text dává smysl
32
19. Února 2015
Caesarova šifra - příklad
33
19. Února 2015
Caesarova šifra Klíč 1 2 3 4 5 6 7 8 9 10
34
Zodb Ynca Xmbz Wlay Vkzx Ujyw Tixv Shwu Rgvt Qfus Petr
19. Února 2015
Jkrkvuk Ijqjutj Hipitsi Ghohsrh Fgngrqg Efmfqpf Delepoe Cdkdond Bcjcnmc Abibmlb Zahalka
• Zkusíme to?
Odpověď za odměnu celkem 20000 • Otázka č. 1 • Jak se jmenoval zakladatel PGP? • Jméno a příjmení zašifrujte Caesarovou šifrou s klíčem 3
• Otázka č. 2 • Která společnost zakoupila v roce 2010 společnost PGP? • Jméno společnosti zašifrujte Caesarovou šifrou s klíčem 3
• Odpovědi posílejte do konce února 2015 na •
http://www.ts.avnet.com/cz/dodavatele/symantec/cybersecurity150219.html
http://planetcalc.com/1434/ 35
19. Února 2015
Šifrování od Symantec shrnutí • Bezpečné předání dat od odesílatele k příjemci • Zabezpečení dat proti odposlechu, kompromitaci, zneužití
• Šifrování souborů či celého pevného disku • Zabezpečení dat při ztrátě, odcizení
• Sdílení šifrovaných dat na sdíleném úložišti • Zabezpečení dat proti odcizení, kompromitaci, zneužití
• Centrální správa vynucující bezpečnostní politiku • Vynucené zabezpečení dle bezpečnostních pravidel 36
19. Února 2015
Obecné shrnutí • Šifrování disků, souborů a emailů zvýší bezpečnost Vašich dat • Nasazení šifrování nemusí být komplikované, ale záleží na dodavateli • Rozhodování zda šifrovat nemusí záviset na uživateli, ale na centrálních politikách • Šifrovat emaily je možné bez nutnosti instalace aplikace na desktopech • Mohu šifrovaně komunikovat i s příjemci bez šifrovacího software 37
19. Února 2015
Prezentace k dispozici • www.slideshare.net • CyberSecurity2015 cte_Vam_nekdo_za_zady_Vase_e-maily
38
19. Února 2015
Děkuji za pozornost Petr Zahálka Avnet s.r.o.
[email protected] 602354836
39
19. Února 2015
