valery boronin on dlp russia 2010

Валерий Боронин,

руководитель лаборатории защиты информации от внутренних угроз, Kaspersky Lab

14 октября 2010 года / DLP Russia 2010, Президент-Отель, Москва




Вечная битва за безопасность:Вечная битва за безопасность:угроза велика, а отступать некуда – позади мои данные.угроза велика, а отступать некуда – позади мои данные.

Валерий Боронин, руководитель лаборатории защиты информации от внутренних угроз,ЗАО "Лаборатория Касперского".

15+ лет в IT

В индустрии (ИБ) с 1999 года

До ЛК трудился в компаниях

• Parallels (SwSoft)

• TrustDigital (недавно поглощена McAfee)

• Lumension (SecureWave)

Разрешите представитьсяОб авторе доклада

14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 2 |

Угроза велика, а отступать некуда – позади мои данные.Ни шагу назад!


Часть 1 / Вечная битва за безопасностьЧасть 1 / Вечная битва за безопасностьЧто надо оберегать в первую очередь?

Что для этого понадобится?

Что надо оберегать в первую очередь?

Что для этого понадобится?

Часть 2 / Внешние угрозы

Часть 3 / Внутренние угрозы

Часть 4 / Тенденция, которае изменит мир

Часть 5 / Подведение итогов и ответы на поставленные вопросы

Вопросы и ответы

Часть 2 / Внешние угрозы

Часть 3 / Внутренние угрозы

Часть 4 / Тенденция, которае изменит мир

Часть 5 / Подведение итогов и ответы на поставленные вопросы

Вопросы и ответы

Часть 1 / Что надо охранять в первую очередь?3 уровня защиты информации

Защита информации в DLP-системе осуществляется на трех уровнях

Когда данные

• в покое (at rest), т.е. постоянно хранящяяся информация. Хранилища.• в движении, (in motion), сетевой канал перемещения информации. Сети.• в использовании (in use), обрабатываемые в данный момент. Endpoints.

Часть 1 / Вечная битва за безопасностьОни сошлись. Волна и камень, стихи и проза, лед и пламень…

Компьютерная и сетевая безопасность, защита ПО:

Как правило, у атакующего есть врожденное преймущество

Атакующему нужно найти лишь одну брешь, один дефект

Тогда как защищаемуся нужно найти и устранить ВСЕ!


Часть 1 / Криптография - исключениеНаш ответ Чемберлену

в криптографии у защищающегося математическое преймущество

увеличение размера ключа увеличивает количество работы для защищающегося линейно, тогда как для атакующего экспоненциально.

Но криптография – не панацея!


Часть 1 / Для чего нужна криптография?Пример утечки при потере носителя

Проблема, которую призвана решить криптография – это безопасность передачи данных (data in motion).

Безопасность хранения данных (data at rest) – сводится к случаю передачи данных самому себе во времени.


В Национальном управлении архивов и документации National Archives and Records Administration (NARA) произошла крупная утечка информации, в результате которой скомпрометированы персональные данные более 70 млн человек.

Когда один из дисков RAID-массива с БД ветеранов вышел из строя, его отправили поставщику оборудования на диагностику. Анализ выявил непригодность винчестера к ремонту, и диск был передан третьей компании для утилизации. Конфиденциальные сведения с дисков при этом уничтожены не были

Часть 1 / Проблема криптографии в современных СетяхШИФРОВАНИЕ РАНЬШЕ

Время жизни ключа шифрования >= время жизни закрытых им данных

БЕЗОПАСНОСТЬ КЛЮЧЕЙ = БЕЗОПАСНОСТЬ ОТКРЫТЫХ ДАННЫХ.

Управление ключами исторически работало для данных в покое потому что ключ хранился в безопасном месте:

что это за место

?


РАНЬШЕ:

Ключи хранились в "компьютере", который не был привязан ни к какой Сети.

СЕЙЧАС:

Большая часть данных, хранящихся в Сети - в первую очередь для машин.

ПРОБЛЕМА. Ключи не могут быть сохранены в мозгах людей.

Они должны быть в том же компьютере или в той же Сети, что и данные – чтобы ПО могло их найти.

А ЭТО ГОРАЗДО РИСКОВАННЕЙ!

Часть 1 / Проблема криптографии в современных СетяхШИФРОВАНИЕ РАНЬШЕ И СЕЙЧАС. ГДЕ КЛЮЧИ ОТ КВАРТИРЫ?


Часть 1 / Вечная битва за безопасностьВЫВОДЫ

В Сети (особенно Интернет), безопасность линий связи гораздо менее важна, чем безопасность конечных точек (endpoints).


Часть 2 / Внешние угрозыЧасть 2 / Внешние угрозыПлюсы и минусы антивирусов.

Белое окружение.

Плюсы и минусы антивирусов.

Белое окружение.

Часть 2 / Внешние угрозыПлюсы и минусы антивирусов.

Реактивный подход. Теория.

Минус только один – слишком поздно пить боржоми.

• Существует временное окно, когда защиты нет.

Реактивный подход. Практика.

• Эффективность. Защита от известных угроз.• Автоматический режим, Штатная работа в фоне.• Производительность. Снижение практически незаметно.• Низкая цена. Радует!

ВЫВОДЫ:

Защита в компьютерной безопасности по своей сути очень хрупкая.

AV и antimalware защита по-прежнему нужна и экономически более чем оправдана. Разумный выбор!


Часть 2 / Внешние угрозыПлюсы и минусы антивирусов. Белое окружение.

Проактивный подход.

Белое окружение. Доверенные программы. Application Control (AC).

Список доверенного ПО на большом Предприятии – это не миф.

AC защищает от внутренних угроз также хорошо как и от внешних!

Device Control – аналогичная AC модель применима и здесь.


Часть 3 / Внутренние угрозыЧасть 3 / Внутренние угрозыИнсайдеры и вопрос доверия людям.

Могут ли компьютеры решить проблему?

Минимизируем ущерб.

Инсайдеры и вопрос доверия людям.

Могут ли компьютеры решить проблему?

Минимизируем ущерб.

Инсайдеры - извечная проблема.

Инсайдеры - самые опасные из нападающих, потому что

Им доверяют.

Они знают, как работает система.

Они знают, как обеспечивается ее безопасность, ее слабые места.

У них есть доступ.

У них есть возможность.

У них могут быть скрытые мотивы.

Они уже внутри системы безопасности

http://baltimore.fbi.gov/dojpressrel/pressrel10/ba100410a.htm


Часть 3 / Внутренние угрозыИнсайдеры. История Раджендрасинха Макваны.

Часть 3 / Внутренние угрозыИнсайдеры. Минимизируем возможный ущерб.

ТЕХНИКА БЕЗОПАСНОСТИ. Меры по снижению возможного ущерба.

1.Ограничьте число пользующихся доверием лиц

2.Проверяйте что они все еще заслуживают доверия

3.Ограничьте степень доверия для каждого. Компартментализация.

• Выдавать лишь то, что необходимо для выполнения работы. • На время работы, если возможно.

4.Defense in depth: Создавайте перекрывающиеся области доверия.

• В одиночку становится на порядок сложнее обойти систему.

5.Обнаружение нарушений по факту, публичное наказание виновных

• чтобы обеспечить сдерживающий эффект • повысить общий уровень безопасности в обществе / компании / среде. • Вот почему аудит столь важен!


Часть 3 / Внутренние угрозыВыводы.

Меры по минимизации ущерба и обеспечению безопасности - не только для защиты от мошенничества или саботажа, они защищают от более общей проблемы: ОШИБКИ (допущенные по любой причине).

Хорошие системы безопасности используют несколько мер защиты, причем все они работают сообща.

Безопасность предназначена для защиты от нечестных меньшинств.

Защита от внутренних угроз – это в том числе учет психологии делегирования полномочий и доверия.

Это обязательная реализация основных мер по минимизации нанесения ущерба инсайдерами при проектировании систем безопасности, их внедрении и эксплуатации. В том числе и в соответствующем программном обеспечении.


Часть 4 / Тенденция, которая изменит мирЧасть 4 / Тенденция, которая изменит мир

как сегодня меняется наше информационно-технологичное завтра?как сегодня меняется наше информационно-технологичное завтра?

Часть 4 / Тенденции: Консьюмеризация. Мечты сбываются?

Консьюмеризация – когда новые технологии становятся доступными для потребительского рынка, прежде чем они станут доступными для Бизнеса, прежде чем он сможет к ним адаптироваться.

Для Бизнеса это означает, что у людей - сотрудников, клиентов, партнеров - будет доступ к Сети предприятия

• практически отовсюду• с любого устройства• с помощью любого ПО.

Это будет очень-очень УДОБНО!!!

Часть 4 / Тенденции: Консьюмеризация.Жесткая реальность: удобство за счет безопасности.

Консьюмеризация – не будет никакой возможности понять, что люди там у себя используют, и - что еще более важно – тут нет никакого контроля.

Консьюмеризация – просто кошмар для IT и СБ отделов.

Процесс будет только набирать ход.

Часть 4 / Тенденции, которые изменят мир. Консьюмеризация / 3. Выводы.

В консьюмиризированной среде связь между узлами (endpoints) происходит без создания отношений доверия между ними.

• Ненадежные компьютеры подключаются к ненадежным сетям.• Ненадежные компьютеры подключаются к надежным сетям.• Проверенные компьютеры подключаются к ненадежным сетям.

Сама идея "безопасных вычислений" (safe computing) содержит совершенно новый смысл – теперь каждый сам за себя.

Микрософт уже предложил отключать «от аппарата» зараженные машины.

Вывод 1. Корпоративной Cети будет нужен антивирус на шлюзе и серверах. И каждому пользователю тоже понадобится аналогичная программа для защиты своего компьютера, включая новые устройства.

Вывод 2. Ровно те же соображения касаются и DLP-решений.

Endpoints – арена грядущих сражений. Курс - на endpoints!

Часть 5 / Подводим итогиЧасть 5 / Подводим итогиВыстраиваем звенья защиты для endpoints.

Лаборатория Касперского – новый игрок на DLP рынке.

Выстраиваем звенья защиты для endpoints.

Лаборатория Касперского – новый игрок на DLP рынке.

Часть 5 / Подводим итоги Все выводы на одном слайде.

Курс на endpoints!

Обязательное шифрование данных в покое.

Применяем техники минимизации ущерба.

Белое окружение и контроль устройств.

Консумеризация. Мобильные устройства.


Часть 5 / Выстраиваем звенья защитыЧасть 5 / Выстраиваем звенья защитыProtection Suite for EndpointsProtection Suite for Endpoints

Application control

(AC)

DeviceControl

(DC)

Full Disk /Removable

MediaEncryption

(FDE / RME)

File LevelEncryptio

n +

Shadow Copies(FLE)

MobileDevice

s

Android

iPhoneWM

Content-AwareDLP

Capabilities

(DLP)

Universal Policy Management

Universal Key Management

Security Center

Breadth of Functionality

Org

an

izati

on

al

Scale

/Siz

e Mail & Web

Filtering

Новое R&D подразделение DLP Research (DLPR).Новости от Лаборатории Касперского: в ногу со временем

В 2010 году ЛК ввела в действие специализированный центр исследований и разработки в области DLP.


г. Новосибирск, 630099, Димитрова проспект, 2,

БЦ РосЕвроПлаза, офис 708

Спасибо! Вопросы?Спасибо! Вопросы?







Вечная битва за безопасность:Вечная битва за безопасность:угроза велика, а отступать некуда – позади мои данные.угроза велика, а отступать некуда – позади мои данные.

valery boronin on dlp russia 2010

Technology