• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
 

MID_McAfee_DLP_Vlad_Radetskiy_RU

on

  • 297 views

Презентация доклада Владислава Радецкого, инженера компании БАКОТЕК. ...

Презентация доклада Владислава Радецкого, инженера компании БАКОТЕК.
Доклад проходил на конференции McAfee&Intel DAY 15 октября в Киеве.

Statistics

Views

Total Views
297
Views on SlideShare
297
Embed Views
0

Actions

Likes
0
Downloads
7
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    MID_McAfee_DLP_Vlad_Radetskiy_RU MID_McAfee_DLP_Vlad_Radetskiy_RU Presentation Transcript

    • McAfee Защита от утечек. Эффективные инструменты. Владислав Радецкий vr@bakotech.com 15.10.2013 McAfee Confidential—Internal Use Only
    • Инструменты защиты McAfee Data Protection Шифрование DLP Жестких дисков Клиент для конечных точек Файлов/каталогов Устройства сетевого уровня McAfee Confidential—Internal Use Only
    • Демо McAfee Confidential—Internal Use Only
    • McAfee Endpoint Encryption – варианты Drive Encryption File and Media Защита от НСД в случае кражи/утери ноутбука, изъятия серверов. Обеспечение аутентификации по паролю/токену. Защита от перебора паролей. Работает под Windows и Mac. Централизованное управление ключами шифрования. Гибкие политики назначения ключей. Решение проблем с «субординацией». Пользователи могут не знать о том, что файлы зашифрованы. Может создавать криптоконтейнеры на USB носителях. Работает на клиентских редакциях Windows. McAfee Confidential—Internal Use Only
    • McAfee DLP – методы классификации данных Словари, текстовые шаблоны, устойчивые выражения Используются для идентификации текстовых документов Цифровые отпечатки, т.н. “fingerprints”, хеши файлов Используются для файлов различного типа Метки, т.н. “Tags”, метаданные, которые использует DLP Endpoint Используются когда контент документов трудно формализовать McAfee Confidential—Internal Use Only
    • McAfee DLP Endpoint – варианты Device Control DLP Endpoint Контроль устройств. Мониторинг, блокирование, r/o USB носителей. С поддержкой «отпечатков», но без меток. Входит в пакет Content Security Suite (легкий старт DLP) Device Control + контроль действий пользователей (Email, Web, Print..). Полный спектр механизмов классификации. Кроме мониторинга и блокировки «умеет» осуществлять т.н. Discover файловой системы рабочей станции. Интегрируется с выборочным шифрованием файлов и каталогов. Полный функционал на рабочих станциях и серверах* * Включая сервера терминалов ** оба решения предназначены для Windows McAfee Confidential—Internal Use Only
    • McAfee DLP Endpoint – работа с устройствами • «Белые»/«Черные» списки устройств • Блокирование неявных каналов утечки • «Понимает» разные классы устройств McAfee Confidential—Internal Use Only
    • McAfee DLP Endpoint – защита • • • • • • • • • • • Контроль доступа приложений к документам Контроль буфера обмена Контроль электронной почты (Outlook + Lotus) Контроль доступа к файловой системе Контроль сетевых соединений + метки Блокирование PDF и XPS принтеров Контроль печати (локально + по сети) Контроль съемных носителей Блокирование снимков экрана + «ножницы» Контроль публикаций Web (IE + FF) Контроль различных устройств, включая: – Контейнеры TrueCrypt – Устройства тонких клиентов Citrix; – Не системные жесткие диски… McAfee Confidential—Internal Use Only
    • McAfee DLP Endpoint – типы действий • • • • • • Блокирование Шифрование Мониторинг Обоснование запроса Теневая копия (подтверждение) Уведомление пользователя * Действия одной политики могут отличатся в зависимости от состояния системы Online/Offline McAfee Confidential—Internal Use Only
    • На что стоит обратить внимание • Тех. специалистам – – – – – Интеграция с AD, выборочные политики на группу или отдельного пользователя; Различные типы реакций в зависимости от состояния online/offline; Интеграция с шифрованием от McAfee или RMS от Microsoft; Централизованное развертывание из консоли ePO; Быстрая корректировка политик. • Руководству – Режим т.н. «обхода», когда блокировка отключается, но не мониторинг; – Единый инструмент для серверов и рабочих станций; – Оптимизация стоимости владения при широком функционале. McAfee Confidential—Internal Use Only
    • McAfee Network DLP – составляющие Manager Координирует работу остальных модулей Отвечает за синхронизацию политик и хранение инцидентов Discover Осуществляет поиск, идентификацию и «дактилоскопию» данных Которые хранятся в БД и на сетевых хранилищах Monitor Пассивный перехват (sniffing) сетевых пакетов. Обеспечивает поиск утечек и контроль исходящего трафика Prevent Интегрируется с Web proxy (ICAP) и MTA (SMTP) Модифицирует исходящий трафик, предотвращая утечки данных McAfee Confidential—Internal Use Only
    • McAfee Network DLP – анализ Web запросов 1. 2. 3. 4. 5. Клиент запрашивает страницу / пытается что-то отправить; Запрос поступает на Web proxy (MWG); Web proxy перенаправляет контент запроса на NDLP Prevent; NDLP Prevent выполняет анализ и принимает решение; Web proxy осуществляет принятое решение*. * Разрешить Заблокировать McAfee Confidential—Internal Use Only
    • McAfee Network DLP – анализ электронной почты 1. 2. 3. 4. 5. Клиент отправляет письмо; Почтовый сервер перенаправляет сообщение на MTA (MEG); MTA передает письмо на NDLP Prevent; Prevent анализирует содержимое и внедряет X-header; MTA выполняет действие* в зависимости от заголовка. * Разрешить Заблокировать Зашифровать Вернуть отправителю Поместить в карантин Переслать в СБ McAfee Confidential—Internal Use Only
    • McAfee Network DLP – схема внедрения McAfee Confidential—Internal Use Only
    • На что стоит обратить внимание • Тех. специалистам – – – – – Анализ больших объемов данных в сетевом трафике и на хранилищах; Защита от утечек на периметре не зависимо от источника; Автоматизация поиска, регистрации и обнаружения информации; Модульность (заказчик может развернуть столько устройств сколько ему необходимо); Интеграция сетевой части с клиентской = единая политика. • Руководству – Политика лицензирования; – McAfee Content Security Suite (DLP + усиление защиты периметра); – За счет методики Security Connected упрощается сопровождение системы. McAfee Confidential—Internal Use Only
    • Внимание Если Вы хотите чтобы DLP система была не просто… игрушкой McAfee Confidential—Internal Use Only
    • Внимание А надежным инструментом защиты Ваших инвестиций и активов McAfee Confidential—Internal Use Only
    • О чем нужно помнить внедряя/используя DLP • Принцип «установили и забыли» не работает! • По максимуму, где можно, использовать шифрование • Ставить пароли на BIOS Setup (boot from live CD/USB) • Отбирать привилегии локального администратора • Проводить инвентаризацию/стандартизацию ПО McAfee Confidential—Internal Use Only
    • О чем нужно помнить внедряя/используя DLP • Новый софт = аудит политик DLP • Нужно блокировать любой контент, который не проходит анализ* * Пример: Email и Web Gateway с легкостью обработают архив со степенью вложенности >20. Но если архив будет зашифрован – DLP не сможет проанализировать содержимое. Вывод – на Email и Web Gateway блокировать отправку зашифрованных вложений. McAfee Confidential—Internal Use Only
    • О чем нужно помнить внедряя/используя DLP • DLP Endpoint должен быть в исключениях антивирусной системы • В системных требованиях указано количество свободной оперативной памяти • Модули Network DLP могут быть развернуты в виде ВМ или фирменного «железа» • Email и Web Gateway не обязательны, но упрощают внедрение + доп. функционал • Email Gateway помимо штатных функций может шифровать почту McAfee Confidential—Internal Use Only
    • О чем нужно помнить внедряя/используя DLP • Каждый из модулей NDLP может работать отдельно, однако если нужно чтобы Prevent мог блокировать передачу контента, который зарегистрировал Discover, оба устройства нужно объединить через Manager • Discover помимо «инвентаризации» и «дактилоскопии» может искать зарегистрированные ранее документы и проводить операции по их: – Удалению – Перемещению • Аналогичная функция есть в DLP Endpoint с возможностью поиска как по файловой системе так и по PST/OST файлам. Карантин/Удаление/Шифрование обнаруженных документов. Включая применения ограничений RMS. McAfee Confidential—Internal Use Only
    • Источники полезной информации • Официальный сайт McAfee http://www.mcafee.com/ru/ - описание продуктов, пробные версии • Раздел McAfee на сайте БАКОТЕК http://bakotech.ua/vendor/mcafee/ - новости, мероприятия, пресс-релизы • McAfee Ukraine Technical Club - технические заметки https://www.facebook.com/McAfeeUkraineTechnical • Мой личный блог https://radetskiy.wordpress.com/ - статьи на русском по настройке решений • База знаний по продуктам McAfee http://kc.mcafee.com - очень, очень много подсказок McAfee Confidential—Internal Use Only
    • Пару слов о себе Работаю в Группе компаний БАКОТЕК. Занимаюсь технической поддержкой проектов по ИБ. Отвечаю за такие направления McAfee: Vladislav Radetskiy Technical Support Engineer BAKOTECH GROUP M: +380 95 880-7370 О: +380 44 273-3333 vr@bakotech.com » » » » » » » » Data Protection Email Security Web Security Endpoint Security Mobile Security One Time Password Security-as-a-Service Security Management McAfee Confidential—Internal Use Only
    • p.s. • McAfee – это не только антивирус (более 70 решений в портфеле) • Если у Вас есть насущные задачи в области ИБ – свяжитесь с нами* • Мы* сможем: – подобрать к вашим задачам оптимальные решения; – провести толковую презентацию выбранных решений; – помочь с PoC (т.н. «пилотный проект»); – провести обучение ваших специалистов; – оказать техническую поддержку. * Мы = БАКОТЕК + наши партнеры по McAfee McAfee Confidential—Internal Use Only
    • Владислав Радецкий facebook.com/McAfeeUkraineTechnical radetskiy.wordpress.com vr@bakotech.com McAfee Confidential—Internal Use Only