be aware webinar symantec - o que há de novo? data loss prevention 14.5
TRANSCRIPT
O que há de novo? Data Loss Prevention 14.5
Brighttalk Dicas
• 1. Configuração de Áudio: Você ficará conectado durante a sessão por streaming do computador. Tenha certeza de que está utilizando uma boa conexão de internet. Caso seu áudio apresente problemas, tente fechar a sessão e retornar em seguida
• 2. Coloque suas dúvidas e perguntas na sessão: Questions. Esta é a única forma de se comunicar com os apresentadores, responderemos às dúvidas através do áudio
• 3. Tela: caso a apresentação fique travada, tente sair e voltar a sessão por favor.
• 4. Rate This: no canto superior esquerdo você vai encontrar um botão “ Rate this” – clique e dê sua nota e inclua seus comentários sobre esta apresentação
• 5. Attachments & Links: neste espaço você pode baixar os arquivos e links que tiver interesse, a qualquer momento durante a apresentação.
• 6. Gravação: fazendo login no webinar, você vai poder voltar a qualquer horário/ dia e rever a gravação. O Brighttalk envia um email após evento a cada participante.
Sobre os nossos apresentadores
Leandro VicenteSr. Systems Engineer
• 15 anos na Symantec• Especialista em soluções de segurança
e conformidade• Atua na pré-venda para clientes do
segmento Financeiro, desenvolvendo soluções para proteção e gerenciamento das informações
Leonardo NassifSystems Engineer
• 12 anos de experiência em TI • 3 anos na Symantec • Especialista em soluções de segurança• Atua na equipe de pré-vendas técnica
no Rio de Janeiro • Atua a mais de 10 anos com soluções
Symantec, iniciando na extinta PowerQuest do Brasil, adquirida em 2003/2004.
Proteção da Informação para Nuvem
Copyright © 2015 Symantec Corporation4
Novidades do Data Loss Prevention 14
Copyright © 2015 Symantec Corporation5
Unified ManagementEstendendo a Proteção para Nuvem
BoxOffice 365iOSAndroid
EmailWebFTPIM
USBHard Drives
Removable StorageNetwork Shares
Print/FaxCloud & Web Apps
File ServersExchange, Lotus
SharePointDatabases
Web Servers
Diversas novas funcionalidades no DLP 14!
Copyright © 2015 Symantec Corporation6
14
VMware Fusion & Hyper-V support
Exchange 2013Connector
Removeable storage for Mac
Browser-based uploads for Mac
Cloud Storage for Box
Media Transfer Protocol (MTP) support
Disable print screen
Auditor role for DLP policy management
Clipboard paste monitoring
PDF custom metadata tags
Enhanced Indexed Document Matching (IDM) algorithms
Enhanced SharePointConnector
Cloud Prevent for Microsoft Office 365
Improved keywordmatching performance
Modernized Enforce console
Multi-language support for Endpoint pop-ups
Remote Index Data Matching (IDM) Indexer
Amazon Web Services support
Improved Exact Data Matching technology
40+ new international data identifiers
Cloud file sync and share (Endpoint Prevent)
Principais pontos
Copyright © 2015 Symantec Corporation7
1 DLP 14 estende a proteção de dados para cloud storage e email
DLP Cloud Storage verifica, descobre e efetua tags eminformações sensíveis no Box
DLP Cloud Prevent for Email (Microsoft Office 365 e GMAIL) monitora e protege email confidencial enviado do Exchange Online
Endpoint Prevent monitora e previne que usuários façam a sincronização de arquivos sensíveis para Cloud Storage com a funcionalidade Cloud File Sync and Share
2
3
4
Novidades Data Loss Prevention 14.5Lançamento: June 27, 2015
Novidades do Data Loss Prevention 14.5
• Form Matching
• IDM Parcial no EndpointDetecção
• Regras para número de arquivos anexados e tamanho dos anexos
• Importar/Exportar PolíticasPolíticas
• Regra de resposta para quarentenar arquivos com o Box Cloud Storage Discover
• Monitoramento do “Salvar”para Cloud Storage no Office (Endpoint)
Cloud
• Mac Agent – Suporte nativo para Outlook, Browser(HTTPS), Copy to Network Share, Clipboard
• Network Share Channel – Filtro por tipo de arquivo, caminho e tamanho
Endpoint
• Office 2016 file types
• IP/Username Resolution
• Mac OS 10.11 (El Capitan)Plataforma
DLP Endpoint for Mac
Copyright © 2014 Symantec Corporation 10
A versão 14.5 possui suporte para Outlook for Mac
• Monitora e Previne E-mail, Reuniões e Compromisso
• Todos os campos como TO/CC/BCC/Subject/Corpo/Anexospodem ser detectados
• Este recurso é suportado através de ”hooking” no Mac
• Versão suportada do Outlook
– Outlook 2011
• Plataforma Suportada
– Mac OS X 10.9
– Mac OS X 10.10
FID#### - Feature Name11
Suporte a Clipboard no Mac
• Suporte a Clipboard já está presente no Windows– Suporte adicionado no Mac OS X na 14.5
• Apenas operação de colar é monitorada– Diferente do Windows onde a operação de Copiar também é monitorada
• Browsers Suportados*:– Firefox
– Safari
– Google Chrome
• IM Suportados*:– Cisco Jabber
– Skype *Testado nas últimas versões
Clipboard Support on MAC12
Suporte a Browser no MAC
• Monitora Upload de arquivos e operações de Colar através de browsers
– Isto cobre a maior parte das tentativas de vazamento de dados
– Consegue gerar incidentes através de HTTPS
• Monitora tanto URLs HTTP quanto HTTPS
• Suporte a filtro de domínios
First Class Browser Support for MAC13
Incidentes de Browser e Clipboard
First Class Browser Support for MAC14
IP/Username resolutionMelhorias na UI
Copyright © 2014 Symantec Corporation 15
Visão Geral
• A resolução de nome do usuário através do IP foi introduzida no DLP 14.
• Associa o Nome do Usuário de Dominio através do IP coletadonos incidentes gerados pelo Network Monitor e Network Prevent for Web
• Melhoramentos e novas funcionalidades:
– Configuração através Enforce UI.
– Lookup sob demanda.
– Suporte para Multiplos Domain Controllers.
– Monitoramento do Agente do DC.
– Configuração do período de Logout (aging)
Symantec DLP 14.5 Differences Training: Storage, Platform and Reporting16
Resolução de nome de um Incidente de Web
ANTES: Incidente Web com o sender como endereço IP
AGORA: Incidente Web com o sender como nome de usuário
Symantec DLP 14.5 Differences Training: Storage, Platform and Reporting17
Exportar/Importar políticas
Copyright © 2014 Symantec Corporation 18
Artefatos exportados
• Nome da políticas, descrição e grupo
• Regras da política incluindo definições de EDM/IDM/VML
• Localizações e Dispositivos da camada Endpoint
• Padrões de remetentes / destinatário
• Regras de resposta
• Data Identifiers
• Protocolos Customizados
Policy Export Import
Artefatos não exportados
• Credenciais
• Credenciais Salvas
• EDM/IDM/VML indexes
• EDM/IDM data source
• Arquivos de treino do VML
• Flex Response Plugin jars
Policy Export Import
Endpoint IDMExact Data Match (14.0)Partial Match (14.5)
Copyright © 2014 Symantec Corporation 21
Uso de Memória
• Apesar do fato do índice ser muito menor do que o IDMv1, aindapoderíamos ter clientes que desejam indexar um grande númerode documentos - precisamos de um mecanismo para evitar a distribuição de grandes IDMs nos Endpoints
• Os limites atuais (configurável) são:
– Cada índice no servidor pode usar até 2GB de RAM
– Os índices no Endpoint podem usar até 60MB de RAM
• Nota: Enquanto o limite no servidor é por índice, o endpoint tem um limite por todos os índices armazenados
IDM v3 TOI22
Sizing e Perfomance da Indexação
• IDMv3 utilizar em torno de 20% menos memória que o IDMv2 (IDMv2 já era 10x – 100x menor que o IDMv1)
• Com os limites atuais, estes são as quantidades de documentos que pode-se esperar ser capaz de indexar:
– Servidor, 2GB, até 1,000,000 documentos
– Agente, 60MB, até 30,000 documentos
• O tempo de indexação foi melhorado do IDMv2 (e do IDMv1):
• Performance cresce linearmente de acordo com o número de documentos:
– Cerca de 8-9hrs para a indexação completa de 1,000,000 de documentos
23
Data Set 14.0 14.5 Melhoria
Wikipedia, 300K, Full Indexing 21h 2m 2h 57m 7x
Wikipedia, 300K, From Remote 19h 26m 41m 28x
SMTP – Anexos(Quantidade e Tamanho)
Copyright © 2014 Symantec Corporation 24
Contagem do Total de Anexos e Regras de Tamanho
• Duas novas regras de detecção
– Número total de arquivos anexados
– Tamanho total dos arquivos anexados
• Estas regras são Novas opções da regras existente ”Tamanho do Arquivo” (File Size)
FID#### - Feature Name25
Visão Geral
• Esta nova condição é baseada na regra existente “Attachment File Size” (Tamanho do Anexo)
• Enquanto a regra atual se baseia apenas para um únicocomponente da mensagem, esta nova condição se aplica a todosos anexos incluídos na mesma mensagem
FID#### - Feature Name26
Detection Message
Detection Message ComponentAttachment Size = 50KB
Detection Message ComponentAttachment Size = 70KB
Detection Message ComponentAttachment Size = 100KB
Single Size Rule> 60KB?
Hit!
Hit!
Total Size Rule> 200KB?
Hit!
OK!
Total = 220KB
++
++
++
Box – Cloud Quarantine e Sync Corporate Box Accounts
Copyright © 2014 Symantec Corporation 27
Background
• Na versão anterior - DLP 14.0
– Monitora um upload de arquivo através de aplicações corporativas de sync, por ex. Box, Google Drive, OneDrive, DropBox para cloud storage. Porém não tem a capacidade de diferenciar entre contas pessoais e corporativas
– Não monitora upload de arquivo através do Office
• A nova versão acrescenta:
– Permite que seja feito um upload de arquivo para uma conta corporativado Box, previamente configurada, sem aplicar nenhuma regra de detecção, através de apps de sincronização e do Office
– Previne o upload de arquivos corporativos com informações sensíveis para contas pessoais do Box, aplicando regras de bloqeio, através de apps de sincronização e do Office
DLP Endpoint - Allow uploads through Corporate sanctioned Box Accounts through Sync and Office28
DLP Endpoint - Allow uploads through Corporate sanctioned Box Accounts through Sync and Office29
Caso de Uso
Word, Excel & Powerpoint – “Upload” de documentos
Outlook – “Salvar Anexos” recebidos
DLP Endpoint - Allow uploads through Corporate sanctioned Box Accounts through Sync and Office30
Configuração - Enforce
30
Para Box Sync e Box For Office
• Habilitar Cloud Storage channel:
• Ignorar Identity Filter Section:
• File Recovery Location
30
Box – Cloud Quarantine
Copyright © 2014 Symantec Corporation31
Box – Cloud Quarantine (cont.)
Copyright © 2014 Symantec Corporation32
Forms matching
Copyright © 2014 Symantec Corporation 33
Visão Geral
• Empresas que querem evitar a perda de dados sensíveis emcópias scaneadas ou imagens de formulários, que podem conterdados pessoais
– Por exemplo, formulário escaneado de um registro de pacientes .
• Form Recognition é uma nova tecnologia de detecção baseadaem imagem.
• Melhorias no relatório de incidentes .
• Server side; não disponível no agente de endpoint.
• Requer uma licença separada.
34Symantec DLP 14.5 Differences Training: Detection, Storage, Platform and Reporting
Arquitetura Geral
Form Matching35
• Determina pontos-chave na imagens indexadas
• Verifica quais pontos-chave da imagem a ser verificada se encaixam nagaleria de imagens indexadas
• Utiliza os pontos-chaves para reorientar e alinhar as imagens correspondentes
Visão Geral do Algoritmo
Form Matching36
Caso de Uso
O algoritmo procurapor "pontos-chave" ou "regiões" e analisa as imagens que estão sendodetectada contra aquelesanteriormenteindexado.
Não é baseado emOCR
37Symantec DLP 14.5 Differences Training: Detection, Storage, Platform and Reporting
Como fica um incidente: Melhorias
Seções preenchidas sãorealçadas.
Resultados de Convicção e Fill Score.
Melhorias adicionais foram feitas no XML Export, Web Archive e aos Relatórios.
38Symantec DLP 14.5 Differences Training: Detection, Storage, Platform and Reporting
Controles de Zoom e Rotacionara imagem.
Próximo Webinar
Copyright © 2016 Symantec Corporation40
Symantec Unified Endpoint Protection
Para mais informação
@SymantecBR
https://www.facebook.com/SymantecBrasil
Obrigado !
Copyright © 2014 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
Leandro Vicente
Leonardo Nassif