Download - DLP (data leakage protection)
TRITON STOPS MORE THREATS. WE CAN PROVE IT.
Aleksander Raczyński
DLP (DATA LEAKAGE PROTECTION)
MOŻLIWOŚCI OCHRONY INFORMACJI KRYTYCZNYCH PRZED ATAKAMI TYPU APT ARAZ BŁEDAMI LUDZKIMI. JAK Z SUKCESEM WDROŻYĆ DLP W ORGANIZACJI?
Poznać to, czego nie znamy.Dowiedzieć się tego, czego nie wiemy.
NIE MOŻNA SIĘ OBRONIĆPRZED NIEWIDZALNYM ZAGROŻENIEM
4
Social Media
Mobile
Wektory ataku
Web
Ofiary są z reguły kierowane do Web’u
Redirects
Malware
Recon
XSS
Dropper Files
CnCExploit
Kits
Phishing
Wzrost zagrożenia ze strony Web
5
Złośliwe witryny (URL) wzrost o 600% w skali światowej
6
Kraje, które najczęściej są gospodarzami Malware’u
United StatesRussian Federation
GermanyChina
MoldovaCzech RepublicUnited Kingdom
FranceNetherlands
Canada
85% zainfekowanych witryn zostało wykrytych na stronach „poprawnych”
1. Information Technology2. Business and Economy3. Sex4. Travel5. Shopping
Zainfekowane witryny(wg. Kategorii)
Top 5 Countries Hosting Phishing• W coraz większym stopniu koncentruje się na celach komercyjnych i rządowych
• 69% wiadomości phishingowych jest wysyłanych w poniedziałek i piątek
• Bardziej celowy
– Lokoalizacja
– Wzrost tzw. Spearphishing’u
Phishing
8
• Staje się bardziej agresywny
– 15% łaczy się w czasie pierwszych 60 sek.
– 90% pobiera informacje
– 50% wrzuca „dropper files”
9
Malware
10
Malware: HTTPS
• Kluczowe ryzyko infekcji: HTTPS– ½ najpopularniejszych 20 witryn używa HTTPS– Łatwy do penetracji „ślepy kąt” dla bezpieczeństwa
• Komunikacja do serwerów CnC
11
Kradzież danych
• Dane osobowe (PII)• Karty kredytowe• ID (tożsamość)
• Kradzież własności intelektualnej (IP)• Sektor rządowy• Sektor komercyjny
Zagrożenie poprzez Insidera• Przypadkowa
• Phishing
• Zamierzona• Fizyczny dostęp• Elektronicznie
Jak działają bardziej wyrafinowane ataki?
RE
CO
N01
LU
RE
02
RE
DIR
EC
T
03
EX
PL
OIT
KIT
04
DR
OP
PE
RF
ILE
05
CA
LL
HO
ME
06
DA
TAT
HE
FT
07
Czy można się uchronić?
RE
CO
N01
LU
RE
02 Świadomość
• Web & Email• Facebook, Blogi, Tweety• Spear-phishing• Zaufany punk wejścia• Celowe• Dynamiczne• Zgrane w czasie
Czy można się uchronić?
RE
DIR
EC
T
03
EX
PL
OIT
KIT
04 Analiza Real-Time
• Kod wykonywany w przeglądarce & active scripts
• Analiza URL• Analiza Exploitów• Wileskładnikowa
punktacja / rating• Proaktywność
Czy można się uchronić?
DR
OP
PE
RF
ILE
05
CA
LL
HO
ME
06Aktywna Ochrona
• Analiza Aplikacji• Złośliwe PDFy• Wielosilinikowy AV• Pliki spakowane• Dynamiczny DNS• Botnety & CnC
Czy można się uchronić?
DA
TAT
HE
FT
07Ograniczenie zakresu
• Ochrona przed kradzieżą informacji
• Technologia DLP• Monitorowanie
informacji wypływających
• Geolokacja• Szczegółowe Forensic
& oraz raportowanie• Alerty / Priorytety
TRITON STOPS MORE THREATS. WE CAN PROVE IT.
TECHNOLOGIA DLP –MOŻLIWOŚCI, WDROŻENIE I PRAKTYCZNE UWAGI
Websense TRITON - Architektura
DLP - technologia i możliwości
Co to jest DLP?
DLP = data loss preventionrównież data leak/leakage
preventionDLP solutions (n.)
“Products that, based on central policies, identify, monitor, and protect data at rest, in motion, and in use through deep content analysis.”
– Rich Mogull (securosis.com), former Gartner analyst for DLP
Rozwiązania DLP
“Produkty, które w oparciu o centralne polityki, identyfikują, monitorują, oraz chronią dane w spoczynku, w ruchu, i w użyciu poprzezdogłębną analizę treści.”
– Rich Mogull (securosis.com), były analityk DLP firmy Gartner
Gdzie rozwiązania DLP chronią wrażliwe informacje?
Dane płynące do wewnątrz i na zewnątrz organizacji
Data Usage (Network)
Typowe kanały komunikacyjne
HTTP(S) FTP SMTP Instant Messangers Network Printer
Data in MotionDane przechowywane w granicach naszej infrastruktury
Data Discovery
Repozytoria danych
Network Shares (NTFS, NFS, Novell)
SharePoint Databases (via ODBC) Exchange Lotus Domino Pst files Endpoint
Data at Rest Data in UsePodczas manipulacji przez różne aplikacje
Data Usage (Endpoint)
Monitorowane akcje (Endpoint)
Cut / Copy / Paste Print Print Screen Access Files Endpoint LAN/Web Removable Media Outlook / Lotus Plugin Printers (local, net)
Przykład reguły
Rule Properties | Severity: (High) / Action Plan: (Block_All)
Rule Properties | Source | Edit: Directory Entries
Rule Properties | Destinations | R EmailR Web R HTTP/HTTPS R Chat
Rule Properties | Condition | Add: PreciseID FP – DB Records
Rule Properties | Destinations | R Email: AllR Web: All
Lekarzom nie wolno wysyłać danych pacjentów do…
(Action)
(Who: From)
(How)
(What)
(Who: To)
Wybierz twój kraj i sektor
Wybierz interesujące Cię polityki
Przejrzyj reguły
Świadomość treści oraz kontekstu
• Websense User Service
Websense Web Intelligence
Kategorie / Słowniki
Regularne wyrażenia
File Matching
Analiza statystyczna
PreciseID
+Klasyfikatory informacji
KTO DOKĄD
KONTEKST
Strategie użycia rozwiązania
27
Dwa ekstremalne podejścia do DLP
• Monitoruj wszystkich i wszystko– Duża ilość incydentów brak przejrzystości– Tylko wartość dowodowa– Brak wpływu na kulturę obchodzenia się z informacją– Sugeruje nieufny stosunek do pracowników
• Blokuj tylko kto czego wymagają przepisy– Strategia „alibi”?– Technologia DLP wykorzystana w małym stopniu– Brak dodatkowych informacji o informacjach wrażliwych
Moja sugestia: strategia pośrednia
• Zalety:– Spełnienie wymagań prawnych– Dodatkowe wykorzystanie technologii w celu ochrony informacji– Dodatkowy efekt – podniesienia świadomości użytkowników
• Utrudnienia (?)– Wypracowanie procesów biznesowych dotyczących informacji ważnych– Z reguły wymagana interakcja administratorów/helpdesku– Wypracowanie zasad obsługi incydentów
Zmiana modelu zachowań użytkowników
Technologia DLP jest Twoim sprzymierzeńcem!
• Wewnętrzny PR dla technologii DLP– Ochrona informacji jest ważna dla organizacji– System monitoruje tylko nadużycia nie ingerując w – Ochrona informacji chroni również pracownika przed ewentualnymi błędami– Edukacja pracowników, podnoszenie ich świadomości nadrzędnym celem
(konsekwencje wobec pracowników - ostateczność)
• Aspekty prawne• DLP jest doskonałym narzędziem dla departamentu bezpieczeństwa
– pozwala na rozpoznanie trendów i zagrożeń– Ma wpływ na kształtowanie polityki bezpieczeństwa– Pozwala wdrożyć istniejące zasady poiltyki bezpieczeństwa
Administracja i zarządzanie systemem
32
Zarządzanie Incydentami
33
Listaincydentów
Złamanereguły
Szczcegóły incydenu
Wykonajakcję
Workflow incydentów oparty o powiadomienia pocztowe
• Akcje możliwe z poziomu powiadomienia:
– Zmiana rangi– eskalowanie– przypisanie incydentu– ignorowanie– etc.
Investigative Reports
35
• Dostarczają wglądu do:– Cele wycieku poprzez Web według kategorii– Cele wycieku poprzez Email– Źródła odpowiedzialne za wyciek informacji– Polityki, które uległy naruszeniu
• Używane są by:– Ustalić priorytety zagrożeń– Ustalić potrzeby edukacji pracowników– Wprowadzić poprawki polityk– Zidentyfikować niedziałające procesy biznesowe– Zademostrować zgodność z regulacjami
prawnymi
Executive Summary Reports
36
– Wykonywane automatycznie lub na żądanie– Czołowe incydenty na przestrzeni ostatnich
24 godzin– 30, 60, 90-dniowe raporty zbiorcze– Raporty Trendów– I wiele więcej…
Czy projekt się powiedzie?
37
Podsumowanie
• Sukces projektu DLP zależy od kilku czynników:
– Dobór odpowiedniej technologii DLP
– Jasność celów, które powinny być osiągnięte dzięki projektowi DLP
– Świadomość organizacji odnośnie wartości posiadanej informacji
kadra zarządzająca + departament bezpieczeństwa
– Gotowość organizacji na zmiany
odpowiedni priorytet dla projektu
© 2013 Websense, Inc. Page 39
TRITON STOPS MORE THREATS. WE CAN PROVE IT.
DZIĘKUJĘ