Protect what you value
Tartalomjegyzék I. Adatszivárgás elleni védelem McAfee Data Loss Prevention megoldással ..................................... 3 Áttekintés ..................................................................................................................................... 3 Termékek részmegoldásokkal ....................................................................................................... 3 A teljeskörű megoldás .................................................................................................................. 3 A védelem szintjei ........................................................................................................................ 4 II. DLP metodika .............................................................................................................................. 5 III. McAfee DLP megoldás ismertetése ............................................................................................ 5 McAfee DLP Management Console.............................................................................................. 5 McAfee DLP agent ....................................................................................................................... 7 McAfee Event Collector ............................................................................................................... 8 McAfee DLP Reporting server ..................................................................................................... 8 McAfee DLP Monitor................................................................................................................... 8 IV. Házirendek ................................................................................................................................. 9 V. A McAfee DLP rendszer működési módjai ................................................................................ 10 VI. A McAfee DLP rendszer működése .......................................................................................... 10 VIII. Példa egy szabály létrehozására ............................................................................................. 11 IX. A DLP megoldáshoz szükséges erőforrások.............................................................................. 12 Központi követelmények ............................................................................................................ 12 Szerveroldali követelmények ...................................................................................................... 12 Munkaállomás oldali követelmények .......................................................................................... 13 Menedzsment állomás oldali követelmények .............................................................................. 13 X. Elérhető McAfee DLP verziók ................................................................................................... 13 Hoszt alapú védelem ................................................................................................................... 13 Appliance alapú védelem ............................................................................................................ 13
2. oldal, összesen: 14
I. Adatszivárgás elleni védelem McAfee Data Loss Prevention megoldással Áttekintés Minden cégnél fennáll annak a kockázata, hogy érzékeny, üzleti, saját tulajdont képező információk ellenőrizhetetlen csatornákon elhagyják a cég informatikai rendszerét. Ezen adatmozgás által keletkezett veszteség dollár milliárdokra tehető évente, hiszen nemcsak az adat kerül illetéktelen kezekbe, de a cég hírneve csorbul, illetve a kikerült adatok nyilvánosságra kerülése is mind dollárban kifejezhető kárt okoz. E veszteségek elkerülése a cégeknek egyre nagyobb erőfeszítését igényli, hiszen egyik oldalról az adatvesztési csatornák száma folyamatosan nő, másik oldalról a törvények, előírások egyre szigorúbban szabályozzák az adatvédelmet. Ezek az előírások vonatkozhatnak egészségügyi intézményekre, tözsdei vállalatokra, bankokra, pénzügyi vállalatokra,nemzetvédelmi szervekre: • Health Insurance Portability and Accountability Act (HIPAA) • Sarbanes -Oxley Act (SOX ) • Gramm-Leach-Bliley Act ( GLBA) • International Traffic in Arms Regulations (ITAR) • Payment Card Industry Data Security Standard (PC I DSS ) • SB1386 A megoldás nem e veszteségek elkerülésére az érintett cégeknek egy jól menedzselt, minden adatforgalmat ellenőrizni képes, kimutatásokkal rendelkező megoldásra van szüksége.
Termékek részmegoldásokkal A tipikus adatvédelmi megoldások megfelelő védelmet nyújtanak külső támadások ellen. (Amennyiben egy zónákra bontott tűzfal rendszert és egy IPS megoldást használunk, úgy a rendszerük külső támadások ellen védett.) De ezek a megoldások sem képesek meggátolni a belső támadásokat, adatlopási kísérleteket. Más megoldások képesek a belső adatok ellenőrzésére, de nem képesek az adatmásolást kontrollálni, vagy megakadályozni. Látható, hogy a hagyományos megoldásokkal nem tudjuk teljesíteni minden esetben a törvényi kötelezettséget.
A teljeskörű megoldás A McAfee DLP megoldása ezt a hiányosságot szünteti meg. Azaz a már létező védelmi megoldások mellett (hangsúlyozni kell, hogy nem helyettük, hiszen a DLP nem egy tűzfal, vagy IPS termék) a cég számára értékes adatokat védi, kontrollálja a hozzáférést. A McAfee Data Loss Prevention (DLP) a legátfogóbb iparági megoldás rosszindulatú, vagy akár véletlenszerű támadások következtében történő adatveszteségek megelőzésére. A hálózati és felhasználói szinten is alkalmazható McAfee DLP-t a McAfee – a piacon egyedülállóként – egy teljes kockázatkezelési portfolió részeként kínálja. 3. oldal, összesen: 14
A védelem szintjei Ha teljeskörű védelemre van szükségünk, akkor az adatainkat a következő csatornákon ellenőrizni kell: • Fizikai védelem o USB eszköz o Memóriakártya o Nyomtató o Scanner o CD, DVD o floppy • Hálózati védelem o File szerver o Webmail o HTTP, FTP o Wi-Fi o Infravörös o Bluetooth • Alkalmazásszintű védelem o Email küldés o Webes feltöltés, webes levelezés o Képernyőlopók o peer-to-peer hálózatok o Instant Messaging alkalmazások
1. ábra: Adatvédemi csatornák
4. oldal, összesen: 14
II. DLP metodika A McAfee az alább látható metodika mentén dolgozta ki és valósította meg az adatvédelmi megoldását. • •
• • • •
Stratégia készítés – Az igények felmérése, az erőforrások definiálása, az időzítések kidolgozása, a scope definiálása Tervezés – Az igények DLP specifikus követelményekké váltása a biztonsági osztály segítségével, az adattípusok, adatforrások, adatcsatornák definiálása, megfelelő DLP megoldás kiválasztása Rendszerterv – megfelleő megoldás megvásárlása, a kockázatok elemzése Implementálás - Pilot rendszer telepítése, konfigurálása, majd az éles környezetre a kiterjesztése Üzemeltetés – a megfelelő jogosultságok definiálása, elvárt riportok elkészítése, riasztások Optimalizálás – a házirendek auditálása, a false-positive találatokkiszűrése
2. ábra: McAfee DLP metodika
III. McAfee DLP megoldás ismertetése A McAfee megoldása a következő komponensekből áll: • McAfee DLP Management Console • McAfee DLP Agent • McAfee DLP Reporting server • DLP Event Collector • McAfee DLP Monitor • Házirendek
McAfee DLP Management Console A DLP Management konzol a biztonsági szakemberek számára lehetőséget nyújt a vállalati adatvédelmi szabályzat megtervezésére, implementálására. A konzol teljes hozzáférést biztosít a tagging szabályok (ujjlenyomattal ellátott dokumentumok), és a reaction szabályok mendzselésére is. A konzol segítséget nyújt a házirendek kialakításában, a csoportok létrehozásában, a riportok definiálsában, a logok elemzésében. A konzol teljesen Active Directory integrált,azaz nem szükséges külön címtár, csoportstruktúra kialakítása, karbantartása.
5. oldal, összesen: 14
3. ábra: McAfee DLP Management konzol Tagging rules A tag-ek segítségével az adatok osztályozhatóak, szabályok definiálható egyes file-okra. A tag a file életútja során végig a file-hoz rendelve marad, onnan eltávolítani nem lehetséges (a header-be kerül egy bejegyzés). Kétfajta tag-elés lehetséges: • Szerverszintű (a file helye alapján) • Tartalomszintű tag-elés ( a file-ban lévő tartalom alapján) Reaction rules - A reaction rule-ok megakadályozzák a védett adatok idegen kezekbe kerülését.. Amennyiben még tag-elés is van az adott file-on akkor még az is szabályozható, hogy a file másolható, monitorozható, blokkolható, vagy másolható legyen az alábbi módszerekkel: • Microsoft Outlook • Internet Explorer • Hálózati kapcsolatok • Nyomtatás • Képernyőlopás • Vágólap • Fizikai eszköz Enterprise Applications List – a kliens oldalon futó alkalmazások (ezek feltérképezése, frissítése új programok telepítése, illetve újabb verziók megjelenése után szükséges 6. oldal, összesen: 14
Definitions – a következő definíciók konfigurálhatók: • Email destination – Email tartományok és egyedi mail címek • File Extensions — Ismert kiterjesztések használata, vagy akár újak definiálása • File Servers — Szerverek csooportosítása, akár LDAP, akár egyedi lekérdezés alapján • Network — Akár IP range, akár port range is létrehozható • Printers — Hálózati nyomtatók (akár AD-ban publikáltak is) • Secured Text Patterns — Egyedi karaktersorozat létrehozása (pl.: cégspecifikus kifejezések, bankszámlaszám formátumok, konkurens email címek) melyekre szabályok definiálhatók • Tags – Tag (egyedi ujjlenyomat a dokumentumokon) létrehozása • Web Destinations — Web szerverek Device Management – a beépített definíciók mellett további finomítás lehetséges a fizikai eszközökön. Testreszabhatóak a szabályok gyártó, típus, VID és PID alapján is akár. Assignment groups - Assigment groups segítségével rendelhetőek egymáshoz a beállított házirendek és azok a munkaállomások, felhasználók, akikre érvényre jusson. Policies - A házirendek, tagging rule-ok, reaction rule-ok, definiíciók, és csoportok egymáshoz rendelése. A DLP 2.0-s verziótól (ez már McAfee ePolicy Orchestrator integrált) a házirendek aktiválása már az ePo-val is megoldható. Monitoring – két fajta monitorozási mód is lehetséges: • Event monitoring — A DLP megoldás az adminisztrátorok számára engedélyezi a logok megtekintését • Evidence collection — Amennyiben a reaction rule úgy van beállítva, akkor lehetőség nyílik bizonyítékgyűjtésre, azaz a logokban látszik nem csak a hozzáférés, de a file másolata is.
McAfee DLP agent A DLP Agent a vállalati munkaállomásokra, laptopokra telepített kliens oldali alkalmazás. A megoldás kizárólag a megfelelő jogosultsággal rendelkező szakemberek (a jogosultsági rendszer lehet független az Active Directory struktúrától, azaz egy Domain Administrator sem biztos, hogy jogosult a menedzselésre) által menedzselhető, telepíthető, konfigurálható. Az Agent monitoroz minden felhasználói tevékenységet, logolja a szükséges lépéseket., illetve továbbítja ezeket a szerverre. Tag esetén az Agent ellenőrzi a tag-elt dokumentumot. Házirend változás, rendszerszintű módosítás esetén a Reporting szerverre azonnal továbbítja az eseménylogokat. Ha szükséges, akkor munkaállomás oldalon kontrollálja az adatok mozgását.
7. oldal, összesen: 14
4. ábra: McAfee DLP Agent
McAfee Event Collector Az eseményekkel kapcsolatos logokat a DLP Agent közvetlenül az Event Collector-nak továbbítja, majd ez a komponens küldi tovább az adatbázisba, illetve bizonyos esetkben a Reporting Server-nek is.
McAfee DLP Reporting server A McAfee DLP Reporting Server a központi adatgyűjtő modul. Minden riportokkal is alátámasztott Agent log, minden Agent státusz, rendszerszintű változás a Reporting szerverre is megérkezik. Itt a szerver rendszerezi, konvertálja, majd a központi adatbázisban tárolásra kerül (további analízis végett).
5. ábra: McAfee DLP Reporting Server
McAfee DLP Monitor A DLPmegoldás lehetőséget nyújt minden egyedi, érzékeny adat védelmére, valamint ezekkel kapcsolatosan részeletes riportok és kimutatások készíthetők. A riportok testreszabhatóak, szűrhetőek, így egyedi riportok előállítása is lehetséges. 8. oldal, összesen: 14
6. ábra: McAfee DLP riport
IV. Házirendek A házirend alapja bizonyos típusú szabályok együttese, ennek részei: • Definíció – biztonsági objektumok, melyek a házirendek alapját jelenti • Tagging szabályok – adatosztályozási lehetőség • Reaction rule – a definíciókon és tag-elésen alapuló válaszlépés • Monitoring – Az “information flow” mentén ellenőrzi az adatokat és azok mozgását. Az ellenőrzés lehetséges többek között név, datum, felhasználó, adott file név alapján is. • System maintenance- az adatbázist, annak mentését, a szabályok exportálását foglalja magában.
9. oldal, összesen: 14
7. ábra: McAfee DLP működési diagramm
V. A McAfee DLP rendszer működési módjai A megoldás két működési módban képes működni: • Policy Injection mode – A Policy Injection módban a McAfee DLP csak read-only módban integrálódik az Active Directory-val. Az AD feloldja a user, computer account-okat, azonban semmilyen módosítás nem történik a SYSVOL-ban, LDAPban, vagy Group policy-ban. • Active Directory mode – Ebben a működési módban a a házirendek a z AD Group Policy struktúrájában aktiválódnak. Ennek köszönhetően ez a működési mód nagyobb szabadságot, rugalmasságot ad a rendszer menedzselésére.
VI. A McAfee DLP rendszer működése Az alábbi ábra mutatja hogyan is működik a DLP rendszer.
10. oldal, összesen: 14
8. ábra: McAfee DLP működése • • • •
1. A tag-ekkel ellátott dokumentumok jelentik az érzékeny adatokat 2. A védett dokumentumokra vonatkozó szabályokat minden file hozzáféréskor ellenőrizzük. 3. A nagyon részletes házirend hierarchiával finomíthatóak a szabályok. 4. Amennyiben konfigurált, evidence report is készül a file hozzáférésről
VIII. Példa egy szabály létrehozására Amennyiben azt szeretnénk elérni, hogy az Agent-el rendelkező munkaállomásokon ne legyenek használhatóak az USB eszközök, úgy a következő lépéseket kell tenni. • Lépjünk be a DLP Policy Manager konzolba. • Válasszuk a Device Management / Device Rules opciót. • Itt válasszuk a RemovableStorage Device rule-t. • A Device Definition ablakban testreszabhatjuk, hogy mely típusú eszközökre legyen érvényes a szabály. • A következő ablakban válasszuk a Block menüt.
11. oldal, összesen: 14
10. ábra: Removable Storage device opciók • • •
Válasszuk ki, hogy mely általunk telepített Assigment Group-okra legyen érvényes ez a szabály. Engedélyezzük a szabályt. Ezek után, azokon a gépeken ahol telepítve van a DLP Agent, ott a házirend frissítés után már nem elérhető semmilyen USB storage eszköz.
IX. A DLP megoldáshoz szükséges erőforrások Központi követelmények Követelményrendszer: • Minden érintett szervernek, munkaállomásnak Active Directory tagnak kell lennie • Active Directory Schema Windows 2003 verziójú legyen • A telepítéshez lokális adminisztrátor jogosultság kell • 100 Mbit LAN kapcsolat • TCP port 42888 a szerver és a kliens oldal között • TCP port 80 a menedzsment állomás és a szerver között
Szerveroldali követelmények Követelményrendszer: • Windows 2003 Server (minimum SP1-el) • CPU: Intel Pentium-2.8GHz • 1GB RAM • 80GB HDD • Microsoft .NET Framework 1.1 (GPMC telepítéshez) • Microsoft .NET Framework 2.0 (Management konzol telepítéshez) • Microsoft GPMC. 12. oldal, összesen: 14
• • • • •
Microsoft IIS. Lokális adminisztrátor jogosultság Minimum Microsoft SQL Server Express Edition Default Instance SQL Server Mixed Authentication
Munkaállomás oldali követelmények Követelményrendszer: • Windows XP • CPU: 1GHz Pentium III • 512MB RAM • 200 MB HDD • Lokális adminisztrátor jogosultság a telepítéshez • Internet Explorer 6.0
Menedzsment állomás oldali követelmények Követelményrendszer: • Windows XP • Microsoft .NET Framework 1.1 (GPMC telepítéshez) • Microsoft .NET Framework 2.0 (Management konzol telepítéshez) • TCP port 80 a menedzsment állomás és a szerver között
X. Elérhető McAfee DLP verziók Hoszt alapú védelem A fent ismertett megoldás a hoszt alapú védelmet ismertette. Ennek license-lése node alapú, azaz annak ismeretében, hogy mennyi node-ra kívánjuk megvásárolni, már képesek is vagyunk elindítani a rendelést.
Appliance alapú védelem A McAfee DLP megoldása elérhető szoftveres verzióban, de 2007 szeptemberétől a megoldás appliance formájában is rendelhető lesz. Így nem csak host, de gateway szintűvédelem is megvalósítható. A McAfee Data Loss Prevention Gateway kiadása kiegészíti a februárban piacra került McAfee Data Loss Prevention Host-ot. Az új alkalmazás többszintes védelmet biztosít, amely megakadályozza az adatveszteséget a számítógépen és az átjáróknál. A McAfee DLP Gateway megakadályozza a vendég laptopok, a nem-Windows (például Mac és Linux) rendszerek, a szerverek, a mobilkészülékek és minden egyéb eszköz adatveszteségét azáltal, hogy blokkolja a bizalmas információ átvitelét az átjárónál. Ezen eszközök védelme egyre fontosabb lesz, mivel a vállalatok és a kormányzati szervek egyre inkább laptopokat és mobileszközöket használnak a vállalati hálózatokon található érzékeny információk eléréséhez.
13. oldal, összesen: 14
11. ábra: McAfee DLP gateway felépítése • • • • • •
1: DLP Management konzol – a teljes rendszer menedzselése innen oldható meg, valamint a riportok is itt generálhatóak 2: Sytem Agent – minden vállalati és tartományban lévő munkaállomáson telepített Agent, mely az előzetesen definiált házirendek alapján végzi az adatok ellenőrzését 3: Roaming felhasználók – még ezen felhasználók adatai, munkaállomásai is teljesen védettek 4: DLP Reporting Server - az Agent-ekről érkező logok, riasztások gyűjtését végzi 5: Data FingerPrint Server – az érzékeny adatokat osztályozzuk „azonosítóval“ látjuk el, ezen azonosítók publikációját, tárolását végzi ez a modul 6: DLP Gateway – A megoldás motorja, a ki és bejövő forgalom ellenőrzése, blokkolása, titkosítása zajlik ezen az átjárón
A megoldás két hardverplatformon elérhető (ezeken előre van telepítve az operációs rendszer és az alkalmazás is). A két modell: • McAfee 3300 gateway • McAfee 3400 gateway Mindkét modell a Dell PowerEdge sorozat egy tagja, azaz teljesen szabványos x86 architektúrájú szerverről van szó. Az eszközök Fail-Over kivitelben is elérhetőek. A McAfee Data Loss Prevention megoldással kapcsolatos további információért látogassa meg a következő weboldalt: http://www.mcafee.com/us/enterprise/products/data_loss_prevention/index.html
14. oldal, összesen: 14
