1 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
DLP-технологии. Построение эффективной системы защиты от утечек данных.
#CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
DeviceLock, Inc.
СЕРГЕЙ ВАХОНИНДиректор по решениям
EMAIL [email protected]
2 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Утечки данных? Да. Это реальность.
Около 38 процентов российских граждан хотя бы раз в своей карьере
незаконно копировали, уничтожали или обнародовали конфиденциальные
данные бывшего работодателя
Около 17 процентов опрошенных признались, что им доводилось уничтожать
ценные документы, переписку или программное обеспечение, чтобы
навредить бывшему работодателю
13 процентов уносили с собой рабочие материалы (например, базу клиентов,
планы, отчеты и другие данные) для последующей продажи или
использования на новом месте работы
37 процентов опрошенных компаний сообщили,
что не предпринимают никаких особых мер после увольнения сотрудников
* Данные исследования антивирусной компании ESET и консалтинговой компании FutureToday, 2014 г.
Более трети россиян похищали секреты бывших работодателей
3 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Каналы утечки данных
РОСТ ПОПУЛЯРНОСТИ ОБЛАКОВ, ДОСТУПНОСТЬ ТЕХНОЛОГИЙ
Высокая доступность и емкость
мобильных устройств и устройств
хранения данных
Социальные сети
Личные ящики веб-почты
и онлайн-службы мгновенных
сообщений
Сайты облачных файловых хранилищОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ
РАБОЧИХ СТАНЦИЙ АКТУАЛЬНО
КАК НИКОГДА РАНЕЕ
4 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Модель BYOD представляет огромную угрозу ИТ безопасности
Мобильные устройствараспространены повсеместно
МОДЕЛЬ BYOD СТАНОВИТСЯ НОРМОЙ
ДИЛЕММА «ПРЕДОСТАВЛЕНИЕ
ДОСТУПА - ОБЕСПЕЧЕНИЕ
БЕЗОПАСНОСТИ»
Corporate Data
iPad’ы, iPhone’ы, iPod’ы, смартфоны и
планшеты на платформе Android и Windows,
лэптопы, ноутбуки
и домашние компьютеры
Традиционный сетевой периметр
неспособен контролировать личные
устройства
Все они напрямую подключаются
корпоративной сети и позволяют
«вытаскивать» информацию из нее,
сохранять и неконтролируемо передавать
дальше.
5 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Ключевые факторы в проблематике утечек данных
Технологический фактор
Распределённость ИТ-процессов, «консьюмеризация»
корпоративных ИТ, распространение скоростных беспроводных
сетей
Активное распространение модели BYOD
Рост размеров памяти носителей и облачных хранилищ данных
при снижении цены, габаритов и простоте использования
Проникновение вирусов с личных съёмных носителей
сотрудников, использование сотрудниками социальных сетей Человеческий фактор
Непреднамеренные утечки: ошибки и
халатность
Направленные утечки: злоумышленники,
шпионаж
Преднамеренные утечки: превышение
полномочий,
чрезмерное усердие («доработка на дому»)
Законодательные ограничения, соответствие стандартам обеспечения безопасности
ФЗ 152 «О персональных данных»
Соглашение Basel II, Стандарт PCI DSS
Стандарт Банка России по ИТ-безопасности
Законы Sarbanes-Oxley, HIPAA
6 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
DLP = DATA LEAK PROTECTION
DATA LEAK PREVENTION =
ПРЕДОТВРАЩЕНИЕ УТЕЧЕК
ДАННЫХ
7 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Data Leak Prevention : комплекс мер для обеспечения безопасности
Предотвращение утечек данных = проактивная защита корпоративной информации и персональных данных
ТЕХНОЛОГИЧЕСКИЕ МЕРЫ
ОРГАНИЗАЦИОННЫЕ МЕРЫ
Расследование инцидентов, криминалистический анализ
Качественное проектирование. Регламентирующие документы.
Избирательная блокировка каналов передачи данных и устройств,Различные активные действия с хранимыми и передаваемыми данными, выполняемые для предотвращения утечек
Протоколирование событий доступа и передачи,Работа с журналами аудита, проверка теневых копий(контроль инцидентов ИБ)
Обеспечение организационных (административных и правовых) мер по борьбе с утечками.Личная ответственность как сотрудников (за несанкционированную передачу данных), так и персонала служб ИБ (за непринятие решения о снижении рисков или полное игнорирование рисков от использования каналов передачи данных).
8 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Основные состояния данных и пути их миграции (способы обнаружения утечки)
Данные, перемещаемые по сетевым протоколам или временно хранимые в памяти ПК с целью чтения или изменения
Активные постоянно редактируемые данные, физически расположенные в хранилищах данных, съемных носителях и т.п.
Пассивные данные, физически расположенные в базах и хранилищах данных, таблицах, архивах, на ленточных накопителях, устройствах резервного копирования и т.п.
DATA AT REST
DATA IN USE
DATA IN MOTION
9 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Принципы принятия решений DLP-системами
Контекстный анализ
ПРИНЯТИЕ РЕШЕНИЯ НА ОСНОВЕ
ФОРМАЛЬНЫХ ПРИЗНАКОВ И
ПАРАМЕТРОВ ОКРУЖЕНИЯ
Пользователь, его права, группы, в которых
он состоит и т.п.
Дата и время
Местонахождение
Источник / адресат
Тип файла
Направление передачи данных
10 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Контентный анализ
ПРИНЯТИЕ РЕШЕНИЯ НА ОСНОВЕ
АНАЛИЗА СОДЕРЖИМОГО
Ключевые слова и сочетания слов
Встроенные шаблоны данных
(номера карт страхования, кредитных карт,
др.)
Пользовательские шаблоны
Проверка архивов и вложенных архивов,
встроенных в составные файлы данных
Возможность проверки как тела сообщений,
так и вложений для почты и мессенджеров
Прочие критерии проверки
Принципы принятия решений DLP-системами
11 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
КОМПЛЕКСНЫЙ КОНТРОЛЬ
Принятие решения на основе контекстных данных в сочетании с контентом данных
Фильтрует точнее и детальнее
Сводит к минимуму процент ложных
срабатываний
Принципы принятия решений DLP-системами
12 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Схема принятия решения DLP-системой
Локальная синхронизация
Локальные каналы утечки данных
Контентныйанализ и фильтрация
Контентныйанализ и фильтрация
Контроль по типуустройств, протоколов или приложений
Фильтрациятипов данных
Ур
овни
контр
ол
я D
LP
-реш
ени
й
Конте
ксте
ны
е D
LP
-реш
ени
я
Форматы печати
(PCL, PS, …)
Данные, отправляемы
е на печать
Данные, отправляемы
е на печать
Типы объектов
протоколов синхронизаци
и
Данные локальной
синхронизации
Данные локальной
синхронизации
Диспетчер очереди
печати, типы принтеров
Приложения локальной
синхронизации, типы
смартфонов
USB, FireWire, Bluetooth, LPT,
сеть
USB, Wi-Fi, COM, IrDA. Bluetooth
Канал печати
Периферийные устройства на удалённых терминалах
Буфер обмена удалённого терминала
Терминальные сессии и
виртуальные рабочиестолы
Типы файлов и данных
Данные, передаваемы
е по сети
Данные, передаваемы
е по сети
Сетевые протоколы и приложения
Локальные порты
передачи данных по Интернет
Сетевые каналы
Типы данных
Данные в буфере обмена
Данные в буфере обмена
Процессы, приложения
-
Буфер обмена
Типы файлов
Файлы и их содержимоеФайлы и их содержимое
Типы/классы устройств
Локальные порты
Сменные устройства
Данные, терминальной
сессии
Данные, терминальной
сессии
Контроль науровне порта или интерфейса
Типы файлов и данных
13 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Сетецентричное решение в режиме пассивного мониторинга – не DLP!
Коммутатор
Прокси-сервер
Сервер хранения перехваченных данных
Рабочая станция
Рабочая станция
Необработанный сетевой трафик
Интернет
Лэптоп
Интернет
• Перехват только сетевого трафика, невозможность контролировать устройства и зашифрованные сетевые протоколы (Skype!), сложности с протоколами, защищенными SSL
• Относительная легкость развертывания и управления• Низкая гибкость по отношению к пользователям• Невозможность блокировать нежелательный трафик – реакция только на уже произошедшие
инциденты
Обработанный сетевой трафик
14 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Сетецентричное решение с возможностью блокирования (DLP)
• Перехват только сетевого трафика, невозможность контролировать устройства и зашифрованные сетевые протоколы (Skype!), сложности с протоколами, защищенными SSL
• Относительная легкость развертывания и управления• Низкая гибкость по отношению к пользователям• Высокая защищенность от взлома
Коммутатор
Прокси-сервер
DLP-шлюз
Рабочая станция
Лэптоп
Рабочая станция
Сервер DLP
Необработанный сетевой трафик
Обработанный сетевой трафик
Интернет
15 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Современное сетецентричное DLP-решение с частично-функциональным агентом на хосте
DLP-шлюз
Рабочая станция
Рабочая станция
Агент DLP (Device Control, Skype control)
Сервер DLP
Лэптоп
Прокси-сервер
• Возможность контролировать зашифрованные сетевые протоколы и SSL-трафик, устройства и порты
• Необходимость развертывания на каждый компьютер в сети дополнительно к развертыванию сервера,практически нереально провести внедрение самостоятельно
• Высокая гибкость по отношению к пользователям• Возможность блокировать нежелательный трафик для предотвращения утечек, а не выявления• Повышенная нагрузка на каналы передачи данных (аудит и теневое копирование)
Интернет
Необработанный сетевой трафик
Обработанный сетевой трафик
16 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Хостовое DLP-решение
Коммутатор
Рабочая станция
Рабочий ноутбук
Рабочая станция
Агент DLP
Обработанный сетевой трафик
Передача DLP-политик на агенты
Сбор информацииСервер DLP
• Полный контроль сетевого трафика с точки передачи данных, включая SSL-трафик; контроль устройств и портов
• Необходимость развертывания на каждый компьютер в сети• Высокая гибкость по отношению к пользователям• Возможность блокировать нежелательный трафик для предотвращения утечек, а не выявления• Повышенная нагрузка на каналы передачи данных (аудит и теневое копирование)
Интернет
17 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Архитектура сетецентричной DLP-системы на практике
Полный контроль всех каналов утечки
Сервер DLP
Филиалы
Головной офис
Использование единого сервера DLP
Использование множества серверов DLP
Неконтролируемые коммуникации
Windows, Mac
Windows, Mac
Любые ОС
Частичный контроль каналов утечки (нет перехвата основных сетевых каналов)
Linux
Linux
18 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Архитектура хостовой DLP-системы на практике
Головной офис
Контролируемые коммуникации
Неконтролируемые коммуникации
Windows Mac Linux
Windows Mac
Linux
Windows
Linux
Полный контроль всех каналов утечки
Частичный контроль каналов утечки (нет перехвата основных сетевых каналов)
Филиалы
Mac
19 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Профиль внутренних угроз, организационные меры
Контентная фильтрация
Корпоративная ИБ: DLP-это не продукт, а решение!
Набор технологий фильтрации контента, способный противодействовать угрозам, описанным в Профиле внутренних угрозБаланс между сложностью технологий контентной фильтрации и общими затратами на внедрение решения
Контекстный контроль
Решение закрывает все возможные варианты утечки данных в рамках Профиля внутренних угрозКонтроль всех каналов утечки данных на уровне интерфейсов, устройств, сетевых каналов, типов данных
Разрабатываются в рамках политики предотвращения утечки данных в организацииРассматривают все возможные на предприятии сценарии утечки данных с оконечных устройствНакладывают персональную и коллективную ответственность для сотрудников и служб ИБ, регламентируют взаимодействие ИБ и бизнес-структур
20 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
ПРЕДОТВРАЩЕНИЕ И КОНТРОЛЬ УТЕЧЕК…
…через различные каналы сетевых коммуникаций
Контекстныйконтроль
Контентныйконтроль
Контекстныйконтроль
Контентныйконтроль
…с применением различных технологий контентной фильтрации
DeviceLock DLP – полноценный контроль данных на рабочих станциях
…через локальные порты и устройства
21 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Ключевые особенности DeviceLock DLP
Детальное событийное протоколирование действий пользователей, административных процессов и состояния комплекса, включая теневое копирование данных, с хранением данных в централизованной базе данных и поддержкой собственного сервера полнотекстового поиска данных.
Интеграция с внешними программными и аппаратными средствами шифрования съёмных носителей (определение прав доступа к шифрованным носителям). Различные политики для компьютеров в режимах online/offline с автоматическим распознаванием режимов.
Оповещения системы безопасности о событиях в реальном времени.
Централизованное управление и развертывание различными способами, в том числе через групповые политики домена AD.
Гранулированный контроль доступа пользователей ко всем типам устройств и портов компьютеров. Контроль наиболее актуальных каналов сетевых коммуникаций.
Встроенная защита агентов от несанкционированных воздействий пользователей и локальных администраторов. Автоматизированный мониторинг состояния агентов и применяемых политик.Гибкая политика лицензирования, бесплатные компоненты управления.Отсутствие «демо-версий», обязательных пилотных проектов – нам нечего скрывать.
22 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Компонент DeviceLock: контроль устройств и интерфейсов
Устройства хранения данных, буфер обмена
Флеш-накопители, карты памяти
Интерфейсы подключения
Терминальные сессиии виртуальные среды
Канал печати
Мобильныеустройства
Компонент DeviceLock обеспечивает контроль доступа к устройствам и интерфейсам, событийное протоколирование (аудит), тревожные оповещения и теневое копирование, а также реализует такие функции, как Белые списки USB-устройств и CD/DVD носителей, защиту агента DeviceLock от локального администратора, поддержку сторонних криптопродуктов, обнаружение и блокирование аппаратных кейлоггеров и др.
23 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Компонент NetworkLock: защита от угроз сетевого происхождения
MAPI SMTP SMTP-SSL
MAPI SMTP SMTP-SSL
Социальныесети
Службы мгновенных сообщений
Сетевые сервисы файлового обмена и синхронизации,внутрисетевые файловые ресурсы
Почтовые протоколы и web-почта
Интернет-протоколы HTTP/HTTPS FTP FTP-SSL Telnet
Компонент NetworkLock обеспечивает избирательный контекстный контроль каналов сетевых коммуникаций, событийное протоколирование (аудит), тревожные оповещения и теневое копирование для них.
24 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Компонент ContentLock: контентный анализ и фильтрация
Контентный анализ электронной почты и веб-почты; служб мгновенных сообщений, социальных сетей и передаваемых по сети файлов; канала печати, съемных носителей и др. типов устройств – в более чем 80 типах файлов и документов.
Контентный анализ для данных теневого копирования.
Комбинирование различных методов фильтрации на базе различных численных и логических условий.
Поиск по ключевым словам с применением морфологического анализа и использованием промышленных и отраслевых словарей.
Анализ по шаблонам регулярных выражений с различными условиями соответствия критериям, в т.ч. встроенным.
Анализ по расширенным свойствамдокументов и файлов, считывание отпечатков Oracle IRM.
80+
Контроль данных в архивах и составных файлов, детектирование текста в графике.
25 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Технологии DeviceLock Virtual DLP
Desktop/ApplicationVirtualization
ДОСТУП К КОРПОРАТИВНЫМ
ДАННЫМ –
ТОЛЬКО НА ВРЕМЯ РАБОТЫ.
Использование виртуальной рабочей среды вместо локального контейнераОтсутствие зависимости от особенностей реализации мобильной платформы:применимость на любых персональных устройствах (планшеты, лэптопы, тонкие клиенты, домашние компьютеры с любыми операционными системами).DLP-агент функционирует внутри терминальной сессии (в виртуальной среде)
DeviceLock DLP: Интеграция DLP-технологий в терминальную среду.
26 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
Рабочая станция+
локальный DLP-агент(Endpoint Agent)
DEVICELOCK DLP Wi-Fi, 3G
Локальная синхронизаци
я
Съёмныеносители
Локальныепринтеры
Локальная сеть
Удаленная терминальная
сессия (RDP)
Архитектура и контроль каналов в DeviceLock DLP
Сервер DLESСервер AD
27 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
На днях или раньше - DeviceLock 8 DLP Suite
Новый компонент
Контроль сервисов веб-почты на базе Microsoft Outlook Web App (OWA)
функционирующий на агентахи на сервере
Удаленное сканированиесервером
- или сканирование агентомРезидентный OCRВсе виды контентного анализа
DEVICELOCK DISCOVERY
Ряд новых функций
Резидентный модуль OCR,
28 #CODEIB Г. ЕКАТЕРИНБУРГ, 4 СЕНТЯБРЯ 2014
СПАСИБО ЗА ВНИМАНИЕ!ВЫ ВСЕГДА МОЖЕТЕ СО МНОЙ СВЯЗАТЬСЯ,
ЧТОБЫ ОБСУДИТЬ ЧТО УГОДНО.
www. .com
DeviceLock, Inc.
СЕРГЕЙ ВАХОНИНДиректор по решениям
SERGEY.VAKHONIN
#CODEIB Г. ЕКАТЕРИНБУРГ4 СЕНТЯБРЯ 2014