Снижение риска потери данных в облачных средах при...

Снижение риска потери данных в облачных средах при помощи межсетевого

экрана TrustAccess. Пример расчета ROI

Михаил КозловКонсультант по развитию бизнеса

http://devbusiness.ru/mkozloff/about Подготовлено для компании «Код Безопасности»

Sator Arepo Tenet Opera Rotas

Содержание

1. Проблема: рост риска несанкционированного доступа (НСД) к данным в облачных и виртуальных средах

2. Последствия: потеря данных и штрафы регуляторов

3. Решение: МСЭ TrustAccess4. TrustAccess ROI калькулятор

ПРОБЛЕМА

Проблема: рост риска несанкционированного доступа (НСД) к данным в облачных и виртуальных средахПоследствия: потеря данных и штрафы регуляторовРешение: МСЭ TrustAccessTrustAccess ROI

Облака и мобильный доступ повышают риск потери данных

В облачной и мобильной

инфраструктуре нет единого периметра

Традиционные МСЭ не

ограничивают доступ ко всем

местам хранения и использования

данных

Растут риски потери данных со

стороны внешних и внутренних (инсайдеры)

злоумышленников

Межсетевой экран

Межсетевой экран (МСЭ) или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа.

Источник: Википедия«Межсетевой экран» = «брандмауэр» = «фаервол» (firewall)

Традиционный МСЭ защищает периметр сети

МСЭ МСЭ

Интернет

Недостатки МСЭ на периметре

В современной сети нет единого периметра• в сети, включающей Wi-Fi, мобильных пользователей, облачные

сервисы, сети провайдеров и филиалов возникает множество черных входов (люков)

Угрозы от инсайдеров• МСЭ на периметре обычно не обеспечивают защиты от внутренних

угроз (НСД сотрудников к информации)

Ограничения производительности• концентрация средств обеспечения безопасности в одном месте

приводит к ограничению пропускной способности.

Облака и мобильный доступ размывают периметр

МСЭ МСЭ

Интернет

Облаковнешнегопровайдера

Виртуальные машинымигрируют в

гибридном облаке

Мобильные пользователи

2010: 48% потерь данных через инсайдеров (рост на 26%)

2010 Data Breach Investigations ReportVerizon RISK Team in cooperation with the United States Secret Service

ПОСЛЕДСТВИЯ

Санкции регуляторов

За нарушение требований 152-ФЗ: «Лица, виновные в нарушении требований

настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность». (Глава 5, статья 24)

За нарушение требований PCI DSS Штрафы до $500 000

РЕШЕНИЕ

Сервер

Рабочие станции пользователей

Сертифицированное решение для защиты данных а не периметра

TrustAccess — распределенный межсетевой экран с централизованным управлением для защиты от НСД к данным на физических и виртуальных серверах и ПК в сети организации

Сервер управления TrustAccess

Администратор ИБ

TrustAccess: решаемые задачи

Защищает данные от НСД на физических и виртуальных серверах и ПК, а не периметр сети снижение риска потери данных в физических, виртуальных

и облачных средах

Не требует изменения существующей сети при внедренииСоответствие требованиям (152-ФЗ и PCI DSS) Позволяет снизить стоимость защиты ПДн за счет

сегментации ИСПДн с «К1» до «К1 + К3» (сертификация ФСТЭК)

Ограничивает доступ к данным для соответствия требованиям PCI DSS

Основные возможности

Аутентификация сетевых соединений на уровне пользователей и компьютеров в системах с клиент-серверной, многозвенной и терминальной архитектурой (физической и VMware)Фильтрация и защита сетевых соединенийРегистрация событий, связанных с информационной безопасностьюКонтроль целостности и защита от НСД компонентов СЗИЗначительно снижает затраты компаний на построение системы защиты ИСПДн (за счет сегментирования)Централизованное управление

ПользовательСервер

ПДн

ДСП

Разграничение сетевого доступа в TrustAccess

Аутентификация

Авторизация (фильтрация соединений)

Установка защищенного соединения

Аутентификация Kerberos: устойчива к

угрозам Man in The Middle

Сервер управления

TrustAccess

Аутентификации субъекта доступа и объекта (защита

от подмены сервера)

?Проверка правил доступа на основе

разных критериев: (субъекты: компьютеры, пользователи, группы;

параметры соединения: адреса, порты, протоколы т.п.).

Регистрация в журнале Сигнализация о нарушении

правил

Защищенное соединение (IPSec AH)Контроль аутентичности и

целостности трафика без шифрования

Аутентификация может происходить как на уровне отдельного

пользователя, так и компьютера целиком

СЦЕНАРИИ ПРИМЕНЕНИЯ TRUSTACCESS

1. Защита персональных данных (ПДн – 152ФЗ и PCI DSS)

Регулирование

152ФЗ (защита ПДн) Принят в 2006 г. Поправки в 2011 г.

ФСТЭК «Четверокнижье»

(отменено) Приказ №58 (будут

поправки) Ждем новостей

ФСБ Ждем новостей

PCI DSS 2.0 12 детализированных

требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в ИС

152-ФЗ в редакции от 25.07.2011 Статья 19.1

Оператор [ПДн] при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Защита ПДн в PCI DSS

4 уровня сертификации Level 1: Требуется

сервис-провайдерам, и мерчантам, с количеством транзакций более 6 млн. в год.

Level 2: 1...6 млн. в год. Level 3: 20 тыс. ... 1млн.

в год. Level 4: до 20 тыс. в год.

6 областей контроля и 12 основных требований по безопасности. Построение и

сопровождение защищённой сети

• Требование 1: установка и обеспечение функционирования межсетевых экранов для защиты данных держателей карт.

21Источник: http://ru.wikipedia.org/wiki/PCI_DSS

Задачи по защите ПДн

Выполнение требований регуляторов 152ФЗ РФ (защита ПДн), PCI DSS (защита данных

держателей банковских карт)

Защита от НСД при использования внутри периметра, в облаке и при мобильном доступе

Данные на клиентах

Данные на серверах

В физических и

виртуальных средах

Проблемы защиты ПДн

Отсутствие правил доступа к ПДн внутри периметра и угроза хищения инсайдерами Администратор директории не знает где ПДн и

политику их использования Администратор ИСПДн по умолчанию имеет все

права

ПДн могут перемещаться за периметр Виртуализация Облака Мобильные устройства

Исчезновение периметра в облачной среде

Риск потери ПДн через администраторов или

пользователей

Санкции регуляторов за потерю ПДн

Проблемы защиты ПДн

Защита данных а не периметра

• TrustAccess = МСЭ для ИСПДн

Сертификация

• Сертификаты ФСТЭК и ФСБ до уровня гостайны

Сегментация

• Сегментация ПДн для уменьшения площади защиты

Решение с TrustAccess

Требования к наличию сертифицированных подсистем в СЗПДн

Управление доступом

Межсетевое экранирование

Регистрация и учет

Обеспечение целостности

Антивирусная защита

Обнаружение вторжений

Анализ защищенности

ШифрованиеРешается

с TrustAcces

Методы решения с TrustAccess

Исчезновение периметра Для дополнительной защиты ПДн от НСД необходимо

установить Trust Access на АРМ и серверы (в т.ч. виртуальные)

Защита от администраторов ПДн и других инсайдеров Разделение ответственности: АПДн + АИБ TrustAccess имеет собственные механизмы аутентификации и

разграничения доступа, что позволяет развертывать продукт поверх существующих информационных систем без их изменения

Сертификация ФСТЭК и ФСБ TrustAccess сертифицирован для К1 и гостайны

Сертификаты TrustAccess

TrustAccess Сертификат ФСТЭК

России МЭ2 и НДВ4 Защита ИСПДн К1 Защита АС 1Г

(гриф «для служебного пользования»)

TrustAccess-S Сертификат ФСТЭК

России МЭ 2 и НДВ2 Защита ИСПДн К1 Защита АС 1Б (до

грифа «совершенно секретно»)

Сервер баз данных Call-центра

CRM-система Call-Центра(веб-сервер)

Операторы Call-центра

Доступ к CRM-системе предоставляется только операторам Call-центра. Сотрудники,

чья работа не связана с обработкой ПДн, доступ не получают

Пример: защита ПДн в CALL-центреДля удобства настройки

однотипных правил доступа в TrustAccess реализованы группы

пользователей

Доступ к СУБД получает только веб-сервер с CRM-системой Call-Центра.

ИСПДн К1 ИСПДн К1

Варианты использования TrustAccess. Сегментирование ИСПДн

Сервер ИСПДн

Пользователи ИСПДн

В ИСПДн обрабатывается более100000 записей ПДн второй категории (ФИО, место работы,

семейное положение) = К1

На каждом АРМ

пользователя ИСПДн

одновременно

обрабатывается меньше

1000 записей

ПДн.

Экономия на

средствах защиты.

Из документовФСТЭК

России (СТР-К, приказ №58 и т.п.)

следует, что АС/ИСПДн можно

разделить с помощью

сертифицированных МЭ на части, при этом каждая из частей будет сохранять свой

класс

Возможность сэкономить на защите ПДн

Инженеры КБ

Проектные серверы САПР

Варианты использования TrustAccess. Защита гостайны в КБ

В зависимости от того, над каким проектом работает инженер, он получает доступ к тем или иным серверам (сетевым сервисам)

TrustAccess позволяет разграничить сетевой доступ на основе групп пользователей

Сервер терминальных служб

Сервер 1С

ПДн

Сервер кадровой системы

ПДн

Бухгалтер

Кадровик

Варианты использования TrustAccess. Терминальные службы

Все пользователи получают доступ к защищаемым данным с одного физического

компьютера с одного IP-адреса

Варианты использования TrustAccess. Защита виртуальных машин

Виртуальная инфраструктура (серверы виртуализации и серверы управления)

Виртуальные рабочие места

Виртуальные машины - серверы

TrustAccess защищает от сетевых атак

как со стороны внешних

физических машин, так и со

стороны виртуальных

машин.

Механизмы защиты

TrustAccess нечувствительны к подмене MAC- или IP-

адресов.

TRUSTACCESS ROI

Задача: защита от НСДРешение с TrustAccess

Сценарии применения для клиентаЧто зарабатывает партнер

TrustAccess ROI

Зачем считать отдачу от инвестиций (ROI)?

Универсальный метод, объясняющий инвестору какую отдачу и с каким уровнем риска принесут возможные инвестицииИнвестиционные проекты сравниваются уровнем отдачи и рискаОснова для принятия инвестиционных решений

Return on Investment (ROI) Отдача от инвестиций

Выгода – Затраты

ЗатратыROI = * 100%

Отдача от инвестиций (ROI) в безопасность

Безопасность – это бизнес-процесс,

требующий инвестиций

ROI достигается за счет снижения

рисков до приемлемого

уровня в рамках конкретной модели

угроз

Угрозы, риски и вероятности их

проявления постоянно

изменяются

Источники ROI для TrustAccess

• Снижение затрат на построение системы защиты ПДн (за счет сегментирования ИСПДн и сертификации во ФСТЭК)

3• Снижение риска НСД к

данным (в т.ч. для соответствия PCI DSS)

Модель для оценки возврата на инвестицию (ROI) в МСЭ TrustAccess

Снижение риска потери информации Сегментирование ПДн• К1 = 18000 руб. на

ПК• К3 = 6000 руб. на ПК

ЛицензииВнедрениеОбучение администратораАдминистрирование

год

Затр

аты

Стоимость потери информации

285М взломанных записей в 2008 г. (Verizon Business RISK Team)В 2008 в США потеря каждой записи стоила $202, включая $152 косвенного ущерба (Ponemon Institute)Для России подобных данных нет

39True Cost of Compliance Report, Ponemon Institute LLC, January 2011

Типы и стоимость инцидентов с ИБ

Потеря данных через администратора – самый дорогой тип инцидента в ИБ

Администраторы ИСПДн по умолчанию имеют доступ к даннымЗловредное ПО с правами администратора может получить контроль над ИСПДн

The Value Of Corporate SecretsHow Compliance And Collaboration Affect Enterprise Perceptions

Of RiskMarch 2010, Forrester

PCI-DSS: штрафы до $500,000

Схема лицензирования TrustAccess

Лицензируются защищаемые при помощи TrustAccess:• Рабочие станции• Серверы (физических и

виртуальных)

Бухгалтер

Серверуправления TrustAccess

Сервер 1С

Менеджер по продажам

Сервер CRM

Исходные данные

Централизованная установка, 1

администратор TrustAccess

5 серверов150 ПК

Годовая з/п администратора с учетом накладных расходов = $48к

Снижение риска потери данных

после внедрения TrustAccess = 10%

Снижение риска штрафа по PCI DSS

Сегментируем ИСПДн с К1 до К3

Ставка дисконтирования

Горизонт расчета 3 года

TrustAccess ROI калькулятор

• Расчет сделан с TrustAccess ROI Calculator для вымышленной компании. Защита 5-ти серверов и 150 ПК

• Модель угроз Forrester ("The Value Of Corporate Secrets - How Compliance And Collaboration Affect Enterprise Perceptions Of Risk", March 2010, by A Forrester Consulting Thought Leadership Paper (Commissioned By Microsoft And RSA, The Security Division Of EMC)

• Снижение риска потери данных из-за НСД на 10%, штрафов PCI DSS на 8% и снижения затрат на защиту ПДн за счет сегментации ИСПДн при помощи TrustAccess

Риск Значение ПС (3 года)Инвестиции 1 589 174р. 1 430 488р. Выгода 13 146 650р. 10 304 243р. Фактор риска для выгоды 30% 3 943 995р.- 3 091 273р.- NPV 7 613 481р. 5 782 483р. ROI 404%Выгода в месяц 211 486р. 160 625р. Период окупаемости, мес. 8 9

Заключение

Ситуация

Отсутствие единого периметра в современных сетях (мобильный доступ,

облака, wi-fi)

Администраторы могут иметь доступ к

критическим данным

Рост риска несанкционированного

доступа к данным в облачных и виртуальных

средах

Последствия

Утечка данных

Санкции за потерю ПДн и штрафы за

несоответствие PCI DSS

Решение

TrustAccess защищает данные а не периметр

Снижение стоимости защиты ПДн за счет

сертификации ФСТЭК и сегментации ИСПДн

Дополнительная информация

• Защита ключевых ресурсов организации с помощью TrustAccess

• Оптимальное решение задач защиты персональных данных с помощью МЭ TrustAccess с учетом специфики ИСПДн, обладающих клиент-серверной и многозвенной архитектурой

• TrustAccess – эффективная сертифицированная защита серверов баз данных

• Сравнение Trust Access и SSEP• Снижение класса ИСПДн

и уровня АС через сегментирование сети

Михаил Козлов

Консультант по развитию бизнеса и продаже решений на основе бизнес-ценности (ROI)

20 лет в ИТ и консалтинге

VDEL, Trend Micro, VMware, Microsoft, V6, CARANA, Cognitive Technologies…

S A T O R

A R E P O

T E N E T

O P E R A

R O T A S

(c)2011, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используя данную информацию, Вы соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы принимаете на себя весь риск, связанный с использованием данной информации». Упомянутые торговые марки и названия принадлежат их законным владельцам.

Снижение риска потери данных в облачных средах при...

Documents

· УДК 550.834 Упругие волны в гиротропных И анизотропных средах: Сб. науч. тр. - Новосибирск: ВО

Лекция 1 Молекулярная динамика в жидких , стеклообразных и структурированных средах

Aflex Distribution. Жанэтдин Шутанов. "Решения Acronis для защиты данных в смешанных средах"

«Методы защиты межсетевого обмена данными»

условия жизни в разных средах

Комментарии ЖЖ — как выйти за рамки маленького экрана

DS5 Series Руководство пользователя · Триггеры сканирования Кнопка сброса Контроллер подсветки lcd-экрана

Межсетевые экраны следующего поколения Cisco ASA ...• сервисов межсетевого экрана следующего поколения

ток в различных средах

MatLab: решение дифференциальных уравненийmrsej.ksu.ru/pro/pdf_10/ChMMM_6_DEadd_10_MatLab.pdf · Снимок экрана, который соответствует

Aflex Distribution. Андрей Богданов. "Решения Acronis для защиты данных в смешанных средах"

РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ · 2020-07-08 · • Датчик движения • Поддержка перехода экрана в спящий режим

PS336geostroi.kz/file/manual/FC336_User_Manual_RUS.pdfF2 Запускает уведомления. Яркость Изменяет уровень яркости экрана. переходит

Лаборатория совместно с ГК Умные решения. Павел Александров: "Антивирусная защита в виртуальных средах

Преобразователи частоты Altivar Process · Altivar Process спроектирован для работы в агрессивных средах (3C3, 3S3),

Эволюция информационной безопасности в виртуализированных и облачных средах

Интерактивный дизайн за пределами экрана (или в пределах, но очень захватывающий)

Нейтроны в физике и химии в конденсированных средах Лебедев В.Т. ПИЯФ РАН Гатчина

Aflex Distribution. Аношин Антон. "Решения Acronis" для защиты данных в смешанных средах

электрический ток в различных средах