dlp 9.4 - новые возможности защиты от утечек
TRANSCRIPT
.
McAfee Confidential1
Надежная защита от утечек информации
в условиях современных тенденций ИТВладислав Радецкий[email protected]
Пару слов о себе
Владислав Радецкий
radetskiy.wordpress.com
С 2011 года работаю в Группе компаний БАКОТЕК.
Занимаюсь технической поддержкой проектов ИБ.
Отвечаю за такие направления McAfee:
• Data Protection
• Email Security
• Endpoint Security
• Mobile Security
• ATD + TIE + MAR
• Security-as-a-Service
• Security Management
.
McAfee Confidential7
Intel Security – решения ИБ
7
УправлениеИБ
Аналитика Защита Web
Защита сети
DLPШифрование
Защитасерверов
Контрольприложений
МикросхемыIntel®
on-premises | private cloud | public cloud | hybrid
Лидер в производстве микросхемКомпания основана в 1968Цель: Обеспечить потребность людей в быстрых и надежных вычислительных устройствах.
Лидер на рынке ИБ решенийКомпания основана в 1987Приобретена Intel в 2010Цель: Обеспечить защиту ИТ активов заказчиков
Объединение разработок McAfee с продукцией Intel.
McAfee = ~ 70 решений, единая консоль управления
DLP
Encryption
Web & Email Gateway
Endpoint Protection
DB Protection
Vulnerability Manager
IPS & NGFW
SaaS
SIEM
TIE + ATD
ePO – основы: агент
McAfee ePOMcAfee Agent Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
ePO – основы: агент
McAfee ePOMcAfee Agent
VSE
Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
ePO – основы: агент
McAfee ePOMcAfee Agent
VSE
DLP
Encryption
HIPS
Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
Тезисы доклада
Инструменты защиты данных
Пару историй из практики
Возможности DLP
Защита от утечек и не только
Ответы на вопросы
Инструменты
Device Control / DLP Endpoint - контроль устройств, отслеживание действий
File & Removable Media Protection - выборочное шифрование файлов/каталогов/USB
Drive Encryption - шифрование дисков, защита от НСД
Management of Native Encryption - управление BitLocker & FileVault
Компоненты EPS, ATD + TIE - интеграция защиты даных в общий комплекс
Инструменты для защиты информации
McAfee ePO
• McAfee MNE• MS BitLocker
• McAfee Device Control• McAfee MNE• Apple FileVault
• McAfee DLP • McAfee Drive Encryption• McAfee File and Media
Тезисы доклада
Инструменты защиты данных
Пару историй из практики
Возможности DLP
Защита от утечек и не только
Ответы на вопросы
Тезисы доклада
Инструменты защиты данных
Пару историй из практики
Возможности DLP
Защита от утечек и не только
Ответы на вопросы
McAfee DLP – модульный комплекс решений
Data-in-Motion
Data-at-Rest
Data-in-Use
Типы данных Каналы утечек информации Модуль защиты
DLP PreventDLP Monitor
DLP Discover
DLP Endpoint
Почта Веб Сеть Skype, Viber
АРМБД
Носители СнимокПечать
Общие каталоги
Буфер
обмена
McAfee DLP – модульный комплекс решений
Switch
Data Repositories
Firewall
DLP Prevent
DLP MonitorEmail & Web Gateway
DLP Discover
McAfee ePO
DLP Endpoint
Потенциальные источники утечек
Ноутбуки и мобильные устрйоства
1Передача данных
через USB
накопители
2
НСД к хранилищам данных
7
Умышленная кража сотрудником
4
Трудно отследить используемые документы
3
Копирование либо распечатка
документов
5
Вирусы либо вторжения злоумышленников
6
Апгрейд до полноценного DLP агента на конечных точках
Device Control –> DLP Endpoint
Контроль устройств. Мониторинг, блокирование, r/o USB носителей.
Интегрируется с выборочным шифрованием файлов и каталогов.
Классификация: 1) цифровые отпечатки; 2) текстовые шаблоны, словари
Не поддерживает метки (теги).
Device Control + контроль действий пользователей (Email, Web, Print..).
Классификация: 1) цифровые отпечатки; 2) текстовые шаблоны, словари; 3) метки
Операции Discover файловой системы и OST/PST архивов на рабочих станциях.
Интегрируется с выборочным шифрованием файлов и каталогов.
Поддерживает как рабочие станции так и серверные ОС, в т.ч. сервера терминалов*
* Оба решения поддерживают Windows и Mac OS
Сравнение возможностей – см. статью в моем блоге
Device Control
DLP Endpoint
Сценарий №1: “Нужно контролировать данные на лету”
31
Возможности агента DLP Endpoint: • Отслеживание и блокировка каналов:
• Почта, печать, Web;• Skype, Viber, ICQ;• Облачные хранилища;• Внешние накопители;• Снимки экрана;• Буфер обмена
• Может интегрироваться с выборочным шифрованием• Возможность обновить DeviceControl до DLP Endpoint• Поддерживает рабочие станции и сервера терминалов
Модулизащиты
MAR
ATD + TIE
File & Removable Media Protection
Management of Native Encryption
Drive Encryption
DLP Endpoint & Device Control
WindowsMacs
Методы классификации данных
Словари, текстовые шаблоны, устойчивые выражения
Используются для идентификации текстовых документов
Цифровые отпечатки, т.н. “fingerprints”, хеши файлов
Используются для файлов различного типа
Метки, т.н. “Tags”, метаданные, которые использует DLP Endpoint
Используются когда контент документов трудно формализовать
Методы назначения меток
1. По приложению ( .xls, .xlsx созданные 1c.exe -> бухгалтерия)
2. По расположению (файлы взятые с \\server\finance\ -> $)
3. По адрессной строке (файлы с http://crm -> документооборот)
4. Вручную (пункт контекстного меню -> руководителю ИБ)
5. При поиске информации на рабочих станциях
В последствии метки используються для отслеживания документа
Сценарий №2: “Нужно шифровать данные на носителях”
34
Возможности выборочного шифрования: • Разделение доступа к зашифрованной информации• Защита от случайного/умышленного копирования• Шифрование файлов при передаче в облачные хранилища• Управление ключами = управление доступом к информации• Интеграция с агентом DLP Endpoint
Модулизащиты
File & Removable Media Protection
Management of Native Encryption
Drive Encryption
DLP Endpoint & Device Control
Windows
ATD + TIE
MAR
35
Возможности полнодискового шифрования• Надежное шифрование Windows систем алгоритмом AES-256• 6 вариантов восстановления доступа к данным• Поддержка XP, Vista, 7, 8.x, 10; 2003 – 2012• Аутентификация по паролю, токену, смарткарте, отпечаткам• Поддержка SSO, AES-NI, GPT, UEFI …
Модулизащиты
File & Removable Media Protection
Management of Native Encryption
Drive Encryption
DLP Endpoint & Device Control Windows
Сценарий №3: “Опасаюсь НСД к ноутбукам/серверам”
ATD + TIE
MAR
Работа DLP – сотрудник подключил флешку
1. Устройство отслежено
2. Черный / белый список ?
3. Если белый, то RO или RW ?
4. Если RW , то что менно можно записывать?
5. Если копирует важный документ – шифровать?
Работа DLP – попытка передать файл через...
Агент DLP позволяет блокировать обращение
приложений из черного списка к
конфиденциальным документам.
Т.е. попытка перетянуть/открыть файл будет блокирована
Возможности DLP
Контроль содержимого
• Email, web
• Печать
• Буфер обмена
• Облака
• Приложения
. . .
Контроль устройств
• PlugnPlay
• USB Storage
• Доступ к файлам USB
. . .
Поиск информации
• По файловой системе
• В PST/OST файлах Outlook
Тезисы доклада
Инструменты защиты данных
Пару историй из практики
Возможности DLP
Защита от утечек и не только
Ответы на вопросы
Пакеты EPS
Модули Endpoint ProtectionEndpoint Protection
Advanced Suite
Complete Endpoint Protection Business
(only 2k< users)
Complete Endpoint Protection Enterprise
Suite
VSE for Windows √ √ √ √
VSE for Linux √ √ √ √
VSE for command line √ √ √ √
EPS for Mac √ √ √ √
HIPS for Windows (Desktop) √ √ √
Site Advisor (web-filtering) √ √ √ √
Firewall √ √ √ √
Device Control √ √ √ √
Application Control √
EMM (MDM) √ √
Encryption (DE + MNE + FRM) √
Security for Exch. & Lotus √ √ √ √
ATD + TIE + DLP
Агенты DLP а серверах и рабочих станциях могут блокировать доступ к конфиденциальной
информации со стороны потенциально опасных
приложений, которые прошли анализ по облаку intel (GTI) либо
через “песочницу” ATD
• McAfee DLP
McAfee ATD
Тезисы доклада
Инструменты защиты данных
Пару историй из практики
Возможности DLP
Защита от утечек и не только
Ответы на вопросы
Источники полезной информации
www.mcafee.com/expertcenter - каталог инструкций
https://kc.mcafee.com - база знаний
https://radetskiy.wordpress.com - мой блог
https://www.youtube.com/user/McAfeeTechnical - канал на YouTube
ftp://ftp.bakotech.com/Evaluation/Docs/ - документация на нашем FTP
ftp login: mcafee
ftp pass: mcafee