AdatszivárgásDLP (Data Leak Prevention)
Mire elegendők az eszközök?Antidotum – 2012
A jó hozzáállás az informatikai biztonsághoz olyan, mint a jó játékvezető
Jó döntések, a szabályok betartatása, nem lassítja a játékot de alapvetően láthatatlan…
MIÉRT van szükség az adatszivárgás elleni védekezésre?
- Jogszabályok (pl: 2009. évi CLV. Törvény a minősített adat védelméről)- Ellenőrzések (külső/belső)- EU-s pályázatok, előírások- Projektek- …
Saját,jól felfogott,
ÜZLETI érdek!
Aktuális helyzet
• Minden szervezetben van „valami”, de:– Különböző pontokon, különböző
szinteken– Különböző hatékonysággal– Különböző erőfeszítések– Nem konzisztens, nem egységes
Következmény: adatszivárgás, üzleti kockázat
Mik a jellemzők?• Sokrétű, szerteágazó
– Cyberterrorizmus– Cyberkémkedés– Trójai programok– Spyware– Phishing
• Nem tudunk az adatszivárgásról• Későn értesülünk az adatszivárgásról• BELSŐ!!! Belülről irányul kifelé! • Nem lehet EGY pontot/folyamatot kijelölni, majd
azt védeni…
Összetett…
• A cél: a teljes informatikai biztonság• Mindenhol vannak meglévő
rendszerek• Minden cég más!
Mindenki gyanús?
Forrás: Poneman intézet, 2010
Forráselemzés
Belsős probléma• Nyilvános helyen, érzékeny vállalati adatokról
beszélni• Kijelentkezés (logoff) elmulasztása, gép
védetlenül hagyása• Nem engedélyezett weboldalak látogatása• Vállalati eszközök (laptopok, mobiltelefonok,
hordozható merevlemez) elvesztése vagy ellopása
• Vállalatban is használt személyes eszközök elvesztése
• e-mail• IM (azonnali üzenetküldés)• Titkosítás hiánya• Távoli hozzáférés-vezérlés ellenőrzésének hiánya
Költségek
Countries
Minimum total cost (US$) Maximum total cost (US$)
US 749,645 30,851,628
UK 556,933 5,982,083
FR 341,736 8,564,933
DE 542,093 8,476,477
AU 380,296 3,755,417
Forrás: Poneman intézet, 2010
Üzleti előnyök
• Kritikus adatok és szellemi tulajdon védelme
• Megfelelőség növelése (törvényi, szabályozási, belső vállalati, stb.)
• Belső figyelemfelkeltés• Üzleti folyamatok javítása• Tárterület és sávszélesség optimalizálása• Rosszindulatú szoftverek kiszűrése• Pénzügyi előnyök
Adatok• … tárolva
1. Érzékeny információk feltérképezése és katalogizálása
2. Merevlemez titkosítás, DR eljárások• … mozgásban
1. Az érzékeny adatok mozgásának monitorozása a hálózaton
2. e-mail, HTTP(S), FTP, IM: DLP szoftverek, tartalom alapú szűrés
• … használatban1. Az érzékeny adatok monitorozása a
felhasználóknál2. Eszközvédelem, portok védelme, sérülékenység
elleni védelem
Alapkoncepció
Vállalatokon belül saját-, illetve a beérkező adatok védelme:
– Kockázatalapú hozzáállás– Üzleti folyamatok alapján– Meglévő rendszerek és megoldások
figyelembevételével– Folyamatos üzemeltetés– Ne kerüljön többe,mint amekkora
kárt az információ kompromittálódása okoz…
Alapelv
Kockázat = x Hatás
Valószínűség (%)
Alap-ellenőrzések
Detektív
Korrektív
Preventív
…Spamszűré
sTűzfal
Szabályozás
… OktatásFelülvizsg
álatAudit
Minősítés
DLP szoftv
er
Cél
Meg kell teremteni az adat minősítési szintjének megfelelő
– személyi– fizikai
– adminisztratív (*)
– elektronikus (*)
biztonsági feltételeket
Nem IT területekNem kevésbé fontos, csak nem a mi területünk:• Személyes adatok védelme, emberi
méltóság az interneten• Monitorozás, profilképzés• Egyéb adatvédelmi kérdések (blogok,
levéltitkok, stb.)• Vállalatokon belül
– HR – Logisztika– Szervezés– Tájékoztatás, képzés
DLP bevezetés (újragondolás)
SW/HW telepítés, monitorozás, oktatás
Üzleti folyamatok, Szabályrendszer kialakítása
Alapelvek meghatározása, Elemzés, Adatvagyon felmérése
Informatikai sorrend• Cégen belüli nem-IT felelősök
bevonása!• Elemzés • Jogosultsági kérdések (pl.
adatgazdák)• Szabályozások pontosítása• Irányítási kérdések• Tájékoztatás, felhívások, tréning• Technológia (hardver, szoftver)
Elemzés• Üzleti folyamatok elemzése• Adatvagyon felmérés
– Adattérkép– Védendő adatok meghatározása, osztályozása
• Kockázatelemzés• Meglévő biztonsági rendszerek elemzése• Meglévő szabályozási környezet elemzése• Kritikus folyamatok azonosítása • Kritikus adatok azonosítása
Miért kell elemezni?
Céges adatok
Kritikus, védendő adatok
Riasztások elemzésére fordított időIncidensenként: 2-3 perc (??)Óránként: 20-30 incidensNaponta: 100-200 incidens/elemző
Adminisztratív teendők
• Belső szabályozás• Felelős részleg (nyilvántartás,
kezelés, elemzés, minősítés, reagálás: NEM IT!)
• CSO - biztonsági vezető• CISO – informatikai biztonsági vezető
Holisztikus szemlélet
Megfelelő készségek• Feladatok
– 1. és 2. szintű elemzés– Incidenskezelés– Operatív vezetés– …
• Tréning– IT biztonsági ismeretek– Log file elemzés– Log adminisztrálás– Biztonsági elemzés– ISACA, SANS, stb. képzések– …
Szabályozási feladatok
• Egy külön DLP-jellegű szabályzat• DLP fejezet valamelyik meglévő
szabályzatban • Meglévő szabályzatok felülvizsgálata
e szempont (kockázat) szerint
Példa
Műszaki korlátok• Titkosítás• Grafikus állományok• Harmadik fél szolgáltatásai• Mobil eszközök• Virtualizáció• Többnyelvűség• Technológiai
– Megoldás-bezártság– Limitált kliens OS támogatás– Alkalmazás-korlát
Megnő a szabályozás
fontossága!
Belső, stratégiai kérdés
Egy területre (pl. IT biztonság) hány beszállítót?- Mindent egy kézbe/szállítótol?- Mindent mástól?
Mekkora az integráltság optimális mértéke?
Ne tévesszük szem elöl a célt!
Az üzleti folyamatok támogatása!
Kérdés?