'

Вопросы эффективности DLP-систем

Понравилась презентация – покажи это...





Слайд 0

Смарт Лайн Инк / DeviceLock, Inc. СЕРГЕЙ ВАХОНИН Директор по решениям 23 сентября 2015 г. EMAIL SV@DEVICELOCK.COM Вопросы эффективности DLP-систем


Слайд 1

Внутренние угрозы информационной безопасности


Слайд 2

Середина 2000-х Взрывной рост емкости съемных PnP-устройств хранения данных, уменьшение габаритов, резкое снижение цен. Социальные медиа превратились в важный инструмент поддержки и ускорения как внутренних, так и внешних бизнес-процессов. Технологии Web 2.0 Незаменимое средство коммуникаций практически для любых организаций. Мгновенный обмен сообщениями Реинкарнация ультрапортативных устройств хранения данных в виртуальные диски, «живущие» в «облаке». 2007-2009 Модель BYOD («принеси свое собственное устройство») вызвала взрывной рост консьюмеризации корпоративных ИТ. Последние годы Принципиальная смена парадигмы работы с данными за последние 10 лет Невиданные ранее темпы развития ИТ, электроники и телекоммуникаций последнего десятилетия в сочетании с активным проникновением в корпоративную информационную среду «личных» вычислительных устройств и программ для персонального использования принципиально изменили методы хранения, защиты, передачи и предоставления доступа к корпоративным данным.


Слайд 3

Внедрение новых технологий создало среду для ряда новых угроз и рисков Факторы формирования угроз Межсетевые экраны, VPN, антивирусы и другие технологии информационной безопасности, эффективные для защиты корпоративной сети и компьютеров от интернет-угроз, практически не способны обеспечить контроль локальных устройств и портов. Сокращение пропускной способности сети Снижение производительности труда Попадание в корпоративную ИС запрещенного и вредоносного контента Утечки конфиденциальной информации Использование социальных сетей породило ряд проблем безопасности ИТ: коммуникаций и данных конечных пользователей. Skype защищает их от любой угрозы или попытки контроля со стороны внешней среды – будь то любое приложение на компьютере, операционная система или корпоративная сеть организации. Дизайн протокольной и программной архитектуры Skype ориентирован исключительно на защиту Неограниченный доступ сотрудников к облачным сервисам хранения и файлового обмена рассматривается сегодня корпоративными службами ИБ как гораздо более опасный, нежели бесконтрольное использование физических съемных устройств хранения данных. создало колоссальный вектор новых типов угроз корпоративной ИТ-безопасности, связанный с частной собственностью работников на используемые в производственных процессах личные вычислительные устройства. Внедрение в бизнес-практику организаций модели BYOD приоритетной целью киберпреступников становится финансовая прибыль от продажи или иного использования ценной информации, украденной у частных лиц, государственных и коммерческих организаций Коммерциализация индустрии киберпреступности: сегодня и в обозримом будущем


Слайд 4

Кумулятивный эффект - бесполезность традиционных ИТ систем безопасности Современные атаки информационно-центричны За первые девять месяцев 2014 года число зарегистрированных по всему миру инцидентов достигло 904 миллионов , более чем на 10% превысив их общее количество за весь 2013 г.


Слайд 5

Сотрудники не разделяют часы личной и рабочей жизни Эту возможность им дает использование одних и тех же технических средств и сетевых сервисов для коммуникаций в обоих измерениях их жизни: личном и бизнес-измерении …а также к росту количества и качества угроз и рисков ИБ Попадание в корпоративную ИС запрещенного и вредоносного контента Умышленные или непреднамеренные утечки конфиденциальной информации Неспособность традиционных решений обеспечить безопасность данных Частная собственность сотрудников на используемые устройства Борьба с угрозами и деятельность по снижению рисков службами ИБ Должны производиться вне зависимости от личных интересов и пристрастий Не должны разрушать производственные процессы


Слайд 6

Наиболее примитивный сценарий утечки данных – наиболее вероятен Использование сотрудниками любых ИТ-сервисов, доступных на персональном уровне и не требующих обслуживания корпоративными службами ИТ – наиболее простой и вероятный сценарий утечки данных Отсутствие фокуса на безопасности Практически все сетевые приложения (социальные сети, облачные хранилища, мессенджеры), созданные для удобства пользователей, для удовлетворения их социальных потребностей – функционируют абсолютно без какой-либо обратной связи с инструментарием корпоративной безопасности. Решения принимаются пользователем Модель информационной безопасности потребительских приложений основывается на том, что все решения о способах и уровне авторизации, аутентификации и уровне доступа к данным принимает конечный пользователь – который далеко не всегда является владельцем данных, будучи при этом сотрудником организации.


Слайд 7

Модель BYOD – двигатель прогресса и огромная угроза ИТ безопасности К 2017 году, по прогнозу Gartner, каждый второй работник будет пользоваться собственными гаджетами в рабочих целях. МОДЕЛЬ BYOD СТАНОВИТСЯ НОРМОЙ ДИЛЕММА «ПРЕДОСТАВЛЕНИЕ ДОСТУПА - ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ» iPad’ы, iPhone’ы, iPod’ы, смартфоны и планшеты на платформе Android и Windows, лэптопы, ноутбуки и домашние компьютеры Традиционный сетевой периметр не способен контролировать личные устройства Все они напрямую подключаются корпоративной сети и позволяют «вытаскивать» информацию из нее, сохранять и неконтролируемо передавать дальше. 52% компаний не контролирует мобильных сотрудников


Слайд 8

Направления утечки данных Порты и интерфейсы Устройства Буфер обмена данными Протоколы Службы, публичные общедоступные сервисы ПЕРЕДАЧА ПО ЛОКАЛЬНЫМ КАНАЛАМ ПЕРЕДАЧА ПО КАНАЛАМ СЕТЕВЫХ КОММУНИКАЦИЙ ХИЩЕНИЕ НОСИТЕЛЕЙ ДАННЫХ Мобильные устройства Оптические, съемные гибкие и ленточные носители (съемные накопители) УТЕРЯ НОСИТЕЛЕЙ ДАННЫХ Мобильные устройства Оптические, съемные гибкие и ленточные носители C интерфейсом USB или PS/2 Вручную или с помощью соответствующего ПО ВМЕШАТЕЛЬСТВО В РАБОТУ СИСТЕМЫ DLP АППАРАТНЫЕ КЛАВИАТУРНЫЕ ШПИОНЫ ПОТЕРЯ ДАННЫХ


Слайд 9

ПЕРЕДАЧА ПО ЛОКАЛЬНЫМ КАНАЛАМ ПОРТЫ И ИНТЕРФЕЙСЫ УСТРОЙСТВА ПОРТ USB Запись на съемные накопители, использование неавторизованных устройств передачи данных ПОРТ FIREWIRE Запись данных на внешний жесткий диск, подключение других скоростных устройств ИНТЕРФЕЙС WI-FI Подключение к неавторизованным беспроводным сетям ИНТЕРФЕЙС BLUETOOTH Подключение к неконтролируемой на уровне периметра корпоративной сети беспроводной точке доступа ПОСЛЕДОВАТЕЛЬНЫЙ ПОРТ Использование модема или иных устройств ПЕЧАТАЮЩИЕ УСТРОЙСТВА Печать информации через локальные, сетевые или виртуальные принтеры СЪЕМНЫЕ УСТРОЙСТВА ХРАНЕНИЯ ДАННЫХ Запись на карту памяти УСТРОЙСТВА, ПЕРЕНАПРАВЛЕННЫЕ В ТЕРМИНАЛЬНОЙ СЕССИИ Сохранение и печать данных на перенаправленных устройствах ПОРТ / ИНТЕРФЕЙС / УСТРОЙСТВО СИСТЕМНЫЙ БУФЕР ОБМЕНА ДАННЫМИ Операции копирования/вставки между приложениями с целью нарушения политики безопасности. Извлечение данных из терминальной сессии. ОПТИЧЕСКИЕ ПРИВОДЫ, ПРИВОДЫ ГИБКИХ ДИСКОВ, ЛЕНТОЧНЫЕ НАКОПИТЕЛИ Запись данных на оптический или ленточный носитель, гибкий диск МОБИЛЬНЫЕ УСТРОЙСТВА Синхронизация почтовой переписки, записной книжки, календаря, контактов и прочих нефайловых объектов ПРОТОКОЛ MTP Запись данных на мобильные устройства (Android и др.) ЖЕСТКИЙ ДИСК Намеренное или случайное форматирование Использование локальных устройств и интерфейсов МОБИЛЬНОЕ УСТРОЙСТВО (BYOD) Потеря или кража ноутбука мобильного сотрудника. Неконтролируемые использование и передача данных с персональных устройств сотрудников. СЪЕМНЫЕ НАКОПИТЕЛИ Утеря нешифрованного устройства с данными


Слайд 10

FTP(S) Передача файлов на сервер FTP SMB Ошибочное или намеренное предоставление прав доступа другим сотрудникам, выкладывание закрытой информации в общий доступ, «обход» политик безопасности путем передачи данных сотрудникам с большими привилегиями. HTTP(S) Передача файлов на веб-ресурс (POST) SMTP(SSL), MAPI, IBM (LOTUS) NOTES Намеренная или ошибочная отправка электронных сообщений с конфиденциальными данными в теле сообщения или вложениях ПЕРЕДАЧА ПО СЕТЕВЫМ КАНАЛАМ ПРОТОКОЛЫ Умышленная попытка пользователя с правами локального администратора остановить агент DLP системы (отключение служб, удаление файлов, изменение ключей системного реестра, др.) Намеренное использование программ-руткитов для удаления или отключения агента DLP системы ВМЕШАТЕЛЬСТВО В РАБОТУ DLP СИСТЕМЫ Использование каналов сетевых коммуникаций, прочие угрозы C ИНТЕРФЕЙСОМ USB ИЛИ PS/2 Умышленная попытка получения данных о учетных записях, используемых на объекте несанкционированного получения информации КЛАВИАУРНЫЕ ШПИНЫ


Слайд 11

«Свежая» реальная (!) статистика Источник: Отчет JSOC Security flash report Q1 2015 построен на данных, полученных в коммерческом центре мониторинга и реагирования JSOC за первый квартал 2015 года.


Слайд 12

Технологии DLP для защиты от утечек


Слайд 13

DLP = DATA LEAK PREVENTION / PROTECTION DATA LEAK PREVENTION = ПРЕДОТВРАЩЕНИЕ УТЕЧЕК ДАННЫХ «Почтовые архивы» на самом деле не являются DLP-системами. Рекомендовано к чтению - https://securosis.com/blog


Слайд 14

Data Leak Prevention : комплекс мер для обеспечения безопасности Расследование и анализ инцидентов Тщательное проектирование. Регламентирующие документы. Избирательная блокировка каналов передачи данных и устройств, Различные активные действия с хранимыми и передаваемыми данными, выполняемые для активного и проактивного предотвращения утечек Протоколирование событий доступа и передачи, Работа с журналами аудита, проверка теневых копий (контроль инцидентов ИБ) Обеспечение организационных (административных и правовых) мер по борьбе с утечками. Личная ответственность как сотрудников (за несанкционированную передачу данных), так и персонала служб ИБ (за непринятие решения о снижении рисков или полное игнорирование рисков от использования каналов передачи данных).


Слайд 15

Методы обнаружения и предотвращения утечки


Слайд 16

Принципы принятия решений DLP-системами Контекстный анализ ПРИНЯТИЕ РЕШЕНИЯ НА ОСНОВЕ ФОРМАЛЬНЫХ ПРИЗНАКОВ И ПАРАМЕТРОВ ОКРУЖЕНИЯ Пользователь, его права, группы, в которых он состоит и т.п. Дата и время Местонахождение Источник / адресат Тип файла Направление передачи данных


Слайд 17

ПРИНЯТИЕ РЕШЕНИЯ НА ОСНОВЕ АНАЛИЗА СОДЕРЖИМОГО Ключевые слова и сочетания слов, морфологический анализ, промышленные словари Встроенные шаблоны данных (номера карт страхования, кредитных карт, др.) Пользовательские шаблоны Проверка архивов и вложенных архивов, встроенных в файлы-контейнеры Возможность проверки как сообщений, так и вложений почты и мессенджеров Прочие критерии проверки Принципы принятия решений DLP-системами Контентный анализ и фильтрация


Слайд 18

Схема принятия решения DLP-системой при контентном анализе Локальная синхронизация Контентный анализ и фильтрация Контроль по типу устройств, протоколов или приложений Фильтрация типов данных Уровни контроля DLP-решений Контекстеные DLP-решения Форматы печати (PCL, PS, …) Данные, отправляемые на печать Типы объектов протоколов синхронизации Данные локальной синхронизации Диспетчер очереди печати, типы принтеров Приложения локальной синхронизации, типы смартфонов USB, FireWire, Bluetooth, LPT, сеть USB, Wi-Fi, COM, IrDA. Bluetooth Канал печати Периферийные устройства на удалённых терминалах Буфер обмена удалённого терминала Терминальные сессии и виртуальные рабочие столы Типы файлов и данных Данные, передаваемые по сети Сетевые протоколы и приложения Локальные порты передачи данных по Интернет Сетевые каналы (Интернет, общие сетевые ресурсы) Типы данных Данные в буфере обмена Процессы, приложения - Буфер обмена Типы файлов Файлы и их содержимое Типы/классы устройств Локальные порты Сменные устройства Данные, терминальной сессии Контроль на уровне порта или интерфейса Типы файлов и данных


Слайд 19

Схема принятия решения при перехвате отдельных процессов Локальная синхронизация Контентный анализ и фильтрация Перехват «маркерных» процессов Фильтрация типов данных Уровни контроля DLP-решений Контекстеные DLP-решения Форматы печати (PCL, PS, …) Данные, отправляемые на печать Типы объектов протоколов синхронизации Данные локальной синхронизации Приложения для организации рабочего места Канал печати Терминальные сессии и виртуальные рабочие столы Типы файлов и данных Данные, передаваемые по сети Сетевые приложения Сетевые каналы (Интернет, общие сетевые ресурсы) Типы данных Данные в буфере обмена Буфер обмена Типы файлов Файлы и их содержимое Сменные устройства Данные, терминальной сессии Контроль на уровне порта или интерфейса Типы файлов и данных ??? Windows Explorer Системные службы Windows Контроль отдельных процессов (инжектом в приложения) всегда (!) лимитирован, не бывает универсальным и заведомо порождает «дыру» в системе противодействия утечкам


Слайд 20

21 КОНТЕКСТНЫЙ МЕТОД Опосредован: контролируется доступ к портам, устройствам, другим интерфейсам Надежен, но неинтеллектуален: не может работать с информацией, содержащейся в формах данных КОНТЕНТНАЯ ФИЛЬТРАЦИЯ Эффективный анализ информации возможен только в рамках её контекста Эффективная контентная фильтрация невозможна без сопутствующих данных о её передаче, отвечающих на вопросы: «кто», «откуда/куда», «когда» и т.п. Для того, чтобы отфильтрованная информация была содержательной и применимой к конкретным задачам обеспечения информационной безопасности, методы контентной фильтрации должны включать обработку контекстных параметров Взаимозависимость контентной фильтрации и контекстного метода Для полноценного DLP решения требуется интеграция контекстных механизмов контроля с системой контентного анализа


Слайд 21

Skype является межкорпоративным стандартом взаимодействия Более 300 миллионов активных пользователей 35% пользователей Skype – малый и средний бизнес, основное средство коммуникаций в бизнесе С 08.04.2013 прекращена поддержка Live Messenger, пользователи переведены в Skype; Microsoft объединила Lync и Skype; Skype интегрирован в Outlook 2013/365 Поддерживается для любой ОС Позволяет чат, быструю передачу файлов, аудио- и видео-конференции Все коммуникации в Skype зашифрованы, перехват на уровне корпоративных шлюзов невозможен


Слайд 22

Skype: классический вариант контроля Передача всех типов данных разрешена Протоколирование отправки данных в центральном журнале событийной регистрации. Сохраняются теневые копии сообщений и вложений. Передача всех типов данных запрещена Нет протоколирования, Нет событийной регистрации Не сохраняются теневые копии сообщений и вложений Запрет на уровне файрволла «Простой» DLP-контроль


Слайд 23

Skype: избирательный контроль Передача разрешена только между санкционированными учетными записями Skype Событийная регистрация попыток и фактов передачи данных Содержимое вложений анализируется и фильтруется Сохраняются теневые копии вложений Санкционированные учетные записи Полнофункциональная DLP-система


Слайд 24

Основные варианты архитектуры DLP-систем Рабочая станция Агент (device control) Wi-Fi, 3G Локальная синхронизация Съёмные носители Локальные принтеры Локальная сеть (шлюз) Серверная DLP-система Удаленная терминальная сессия (RDP) DLP-сервер


Слайд 25

Рабочая станция Полнофункциональный DLP-агент (Endpoint Agent) Endpoint DLP-система Wi-Fi, 3G Локальная синхронизация Съёмные носители Локальные принтеры Локальная сеть Удаленная терминальная сессия (RDP) Основные варианты архитектуры DLP-систем


Слайд 26

Архитектура сетецентричной DLP-системы на практике Сервер DLP Филиалы Головной офис Использование единого сервера DLP Использование множества серверов DLP Неконтролируемые коммуникации Windows, Mac Windows, Mac Любые ОС Linux Linux


Слайд 27

Архитектура хостовой DLP-системы на практике Головной офис Контролируемые коммуникации Неконтролируемые коммуникации Windows Mac Linux Windows Mac Linux Windows Linux Филиалы Mac


Слайд 28

Методы социальной инженерии позволяют обойти ограничения доступа Ряд современных систем DLP существенно ограничен по ширине охвата контролируемых каналов и сервисов Популярные сетевые сервисы созданы для удобства использования, не для обеспечения ИБ Следствия ограниченного применения DLP-технологий Ограниченное применение DLP (контроль устройств и/или сетевых коммуникаций) не может полностью предотвратить риски утечки данных даже при повсеместном внедрении. Content Discovery Поиск и обнаружение в корпоративной ИТ-инфраструктуре конфиденциальных и данных Позволяет выявить факт несанкционированного хранения данных и осуществить превентивную защиту от утечки до момента передачи данных Важно предотвращение утечек не только передаваемых (data-in-motion) и используемых (data-in-use), но и хранимых данных (data-at-rest) Устраняет фактор неопределенности канала передачи данных: не важно, какой канал утечки кем и когда может быть задействован


Слайд 29

Виртуализация и утечки данных Корпоративная инфраструктура Desktop Session Host Терминальная сессия или прямой доступ к корпоративным данным Персональное BYOD-устройство (Android, iOS, Windows RT, ноутбук, домашний компьютер…) или тонкий клиент Windows КАНАЛЫ УТЕЧКИ ДАННЫХ, не контролируемые на уровне периметра корпоративной сети Корпоративные данные


Слайд 30

Технология Virtual DLP Desktop/Application Virtualization ДОСТУП К КОРПОРАТИВНЫМ ДАННЫМ – ТОЛЬКО НА ВРЕМЯ РАБОТЫ.


Слайд 31

Профиль внутренних угроз Контекстный контроль Контентная фильтрация Набор технологий фильтрации контента, способный противодействовать угрозам, описанным в Профиле внутренних угроз Баланс между сложностью технологий контентной фильтрации и общими затратами на внедрение решения Решение закрывает все возможные варианты утечки данных в рамках Профиля внутренних угроз Контроль всех каналов утечки данных на уровне интерфейсов, устройств, сетевых каналов, типов данных Разрабатывается в рамках политики предотвращения утечки данных в организации Рассматривает все возможные на предприятии сценарии утечки данных с оконечных устройств в целях создания избирательной системы контроля передачи данных Корпоративная ИБ: интеграция DLP-технологий на практике


Слайд 32

СПАСИБО ЗА ВНИМАНИЕ! ВЫ ВСЕГДА МОЖЕТЕ СО МНОЙ СВЯЗАТЬСЯ, ЧТОБЫ ОБСУДИТЬ ЧТО УГОДНО. Даже DLP. www. .com Стенд C3


×

HTML:





Ссылка: