McAfee Data Protection (DLP & Encryption)

1,174 views
929 views

Published on

Обзор решений McAfee по направлению Data Protection.
Архитектура, принцип работы комплекса McAfee DLP.
Преимущества и отличия систем шифрования данных.
http://radetskiy.wordpress.com/2013/06/10/dlp-endpoint-9-3/
http://radetskiy.wordpress.com/2013/06/27/mcafee-encryption-intro/

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,174
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
39
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

McAfee Data Protection (DLP & Encryption)

  1. 1. McAfee® Data Protection Шифрование, контроль внешних устройств, DLP системы Владислав Радецкий vr@bakotech.com
  2. 2. Пару слов о себе: July 10, 20132 Владислав Радецкий, работаю в БАКОТЕК Отвечаю за техническую поддержку проектов ИБ Отвечаю за такие направления McAfee: • Data Protection [тема этого доклада] • Email Security • Endpoint Security • Mobile Security • One Time Password • Security-as-a-Service • Security Management * Если у Вас возникнут вопросы по теме доклада или по направлениям, которыми я занимаюсь – обращайтесь. Мои контакты в конце презентации. 0958807370 vr@bakotech.com
  3. 3. О чем я хочу рассказать: July 10, 20133 • Особенности подхода McAfee • Направление защиты информации • Шифрование • Контроль внешних устройств • DLP
  4. 4. «Зоопарки» July 10, 20134 Host IPS Agent Systems Management Agent Audit Agent Antivirus Agent Encryption NAC DLP Agent У каждого решения свій агент Каждый агент имеет свою консоль Для каждой консоли нужен свій сервер Серверу нужна ОС и БД ОС и БД требуют сопровождения Для IT департамента это хаос. Не оптимально. Неэффективно.
  5. 5. Подход компании McAfee July 10, 20135 Единая консоль управления Единый агент McAfee ePO Server (VSE, DLP, Encryption, Site Advisor) McAfee Agent (политики, развертывание клиентских модулей)
  6. 6. Направление защиты информации July 10, 20136 • Шифрование (EEPC, EEFF) • Контроль внешних устройств (Device Control) • DLP для конечных точек (DLP Endpoint) • Сетевой DLP (Network DLP)
  7. 7. McAfee Full Disk Encryption July 10, 20137 • Полнодисковое шифрование данных
  8. 8. McAfee Full Disk Encryption July 10, 20138
  9. 9. McAfee Full Disk Encryption July 10, 20139 • HDD полностью зашифрован • После аутентификации работа для ОС прозрачна • SSO • Шифрование/дешифрование «на лету»
  10. 10. Шифрование каталогов/файлов (EEFF) July 10, 201310 • Файлы всегда в зашифрованном состоянии • Минимум действий со стороны пользователя • Централизированная/децентр. политика ключей
  11. 11. Шифрование USB накопителей (EERM) July 10, 201311 • Аппаратно-независимый шифрованный контейнер • Не требует доп. ПО или админ. привилегий • Перенос/редактирование защищенных файлов • Надежная защита съемных носителей
  12. 12. Преимущества и отличия EEPC July 10, 201312 • решение McAfee позволяет защищать диски на системах не зависимо от наличия TPM модуля; • решение McAfee поддерживает впечатляющий список токенов, в последней версии появилась поддержка токенов с биометрической аутентификацией, включая встроенные считыватели отпечатков; • решение McAfee поддерживает SSO (синхронизация пароля pre-boot с AD, т.е. пароль запрашивается лишь 1 раз и после этого пользователь попадает на рабочий стол); • решение McAfee поддерживает 5 сценариев восстановления доступа к данным в случае утери токена/пароля или сбоя файловой системы (self-recovery, admin recovery, intel AMT remote recovery…); • решение McAfee поддерживает больше редакций ОС чем BitLocker, McAfee может шифровать серверные ОС и кроме Windows поддерживается MacOS; • решение McAfee поддерживает различные типы ввода, включая экранную клавиатуру и различные раскладки обычной (не только US) + звуковое сопровождение для людей с ограничен. способностями; • решение McAfee устойчиво к атакам типа cold-boot, решение обладает защитой от попытки выгрузить ключи шифрования из памяти типа этого; • решение McAfee полностью поддерживает Windows 8 включая GPT разбивку, UEFI, Secure Boot, Hybrid Boot • решение McAfee разработано с учетом оптимизации процессов шифрования с помощью процессорных инструкций Intel® AES-NI; • решение McAfee развертывается и сопровождается из единой консоли ePolicy Orchestrator, что позволяет упростить администрирование шифрования; • решение McAfee позволяет проводить аутентификацию как для доменных пользователей так и для локальных;
  13. 13. Преимущества и отличия EEFF July 10, 201313 • perUser и perSystem политики, т.е. ключ можно назначить выборочно пользователям для выборочных систем (к примеру можно делегировать ключ только для определенной комбинации пользователь:список систем); • политики позволяют полностью скрыть факт шифрования от пользователей, которые работают с файлами/каталогами в прозрачном режиме (вариант когда администратор зашифровал документы/каталог одним ключем и распространил это ключ на целый отдел, все у кого есть ключ редактируют документы как и раньше, но как только файл случайно или умышленно окажется на машине, на которой не делегируется ключ или не установлено решение – как пример домашняя система пользователя, доступ к информации будет невозможен); • операции шифрования/дешифровки жестко контролируются политиками, к примеру есть возможность одной группе пользователей дать право на оба действия, а второй – только на шифрование, (т.е. даже обладая ключом пользователь не сможет случайно или умышленно расшифровать файлы ); • выборочное шифрование интегрируется с McAfee DLP Endpoint, что позволяет кроме мониторинга/блокирования действий пользователя принудительно шифровать файлы; • в модуль выборочного шифрования входит ПО для формирования крипто-контейнера на USB накопителях, т.е. имея на системах развернутый EEFF, можно из любой флешки, не зависимо от объема и цены девайса создать шифрованный контейнер для безопасной транспортировки данных; • можно политиками принудительно ввести такой режим работы с USB накопителями, при котором в случае подключения внешнего накопителя пользователю дается выбор – либо создать крипто контейнер (и тогда он сможет писать информацию на накопитель), либо работа в Read Only.
  14. 14. July 10, 201314 Контроль внешних устр. (Device Control) • Контроль – Накопители – Plug-and-play • Классификация – Vendor/Product ID – Serial Number • McAfee Encrypted USB
  15. 15. July 10, 201315 Контроль внешних устр. (Device Control) • Типы действий – Блокирование – Мониторинг – Оповещение – Read Only • Может отличаться в зависимости от состояния системы (Online/Offline)
  16. 16. July 10, 201316 DLP Endpoint: Возможности • Интеграция с AD => выборочные политики (пользователь/группа) • Развертывание и управление из консоли (ePO) • Глобальные / выборочные политики • Offline/Online
  17. 17. July 10, 201317 DLP Endpoint • Методы классификации информации: • Цифровые отпечатки – Регистрация документов • Метки (теги) – По контенту – По местоположению – По процессу – Вручную
  18. 18. DLP Endpoint July 10, 201318 1. Приложение сохраняет/записывает файл на диске 2. DLP Endpoint автоматически добавляет тег (метку) * в дальнейшем протегированные файлы легко контролировать и по необходимости блокировать их передачу/печать/копирование
  19. 19. DLP Endpoint July 10, 201319 McAfee DLP с помощью различных правил защиты (внешние накопители, почта, Web, печать …) предотвращает случайную или умышленную попытку передачи протегированного документа третьему лицу. * теги остаются при модификации/переименовании
  20. 20. July 10, 201320 DLP Endpoint • Метки (теги) остаются даже если: • Переименует файл • Поменяет расширение • Скопирует часть в другой документ • Заархивирует файл • Зашифрует файл
  21. 21. July 10, 201321 DLP Endpoint • Защита: • Email (Outlook, Lotus) • Запись на USB • Печать • Публикация в Web • Сетевые соединения • Буфер обмена • Снимки экрана • Сетевые каталоги
  22. 22. July 10, 201322 DLP Endpoint • Типы действий: • Блокирование • Мониторинг • Уведомление • Запрос причины • Теневая копия • Шифрование * Могут отличаться в зависимости от состояния системы (Online/Offline)
  23. 23. Network DLP July 10, 201323 • Мониторинг всего сетевого трафика • Поиск и идентификация информации в БД и сетевых ресурсах • Предотвращение утечки на границе корпоративной сети • Перехват информации в любом виде не зависимо от источника • Обнаружение конфиденциальных данных в потоке информации
  24. 24. Network DLP Prevent July 10, 201324 Предотвращение утечки информации за пределы периметра корпоративной сети (Data-in-Motion) • Мониторинг сетевого трафика в активном режиме; • Защита почты и Web трафика (интеграция по SMTP, и ICAP); • Позволяет заблокировать передачу данных; • Благодаря взаимодействию с остальными модулями, позволяет блокировать неявной информации (той, которая не была жестко задана политиками, но содержит конфиденц. информацию).
  25. 25. Network DLP Prevent – Web (ICAP) July 10, 201325 1. Клиент запрашивает страницу / пытается что-то запостить; 2. Запрос поступает на Web proxy (WG); 3. Web proxy перенаправляет расшиф.копию запроса DLP Prevent; 4. DLP Prevent выполняет анализ и принимает решение; 5. Web proxy осуществляет принятое решение. * ALLOW, BLOCK
  26. 26. Network DLP Prevent – Email (SMTP) July 10, 201326 1. Клиент отправляет письмо (почтовый клиент – сервер почты); 2. Почтовый сервер перенаправляет сообщение на MTA (EG); 3. MTA передает письмо на DLP Prevent; 4. Prevent анализирует содержимое и внедряет X-header; 5. MTA выполняет действие* в зависимости от заголовка. * ALLOW, BLOCK, ENCRYPT, BOUNCE, QUARANTINE
  27. 27. Network DLP Monitor July 10, 201327 Захват, анализ, индексирование сетевого трафика (Data-in-Motion) • Пассивный мониторинг сетевого трафика (TAP/SPAN) • Отчеты позволяют получить картину перемещения конф. информ. • На основе анализа – создание политик или расследование • Двунаправленный захват, распознавание > 300 типов содержимого
  28. 28. Network DLP Discover July 10, 201328 Защита данных, которые хранятся на сетевых ресурсах (Data-at-Rest) • Выполняет поиск и тегирование конфиденциальной информации; • Позволяет перемещать, копировать, удалять или шифровать; • Поиск данных – отчет – анализ – создание политики – защита; • Поддерживает: CIFS, NFS, HTTP(S), FTP, Sharepoint, MS SQL (2005>), Oracle (10g>)
  29. 29. Network DLP Manager July 10, 201329 Централизованное управление, интеграция с ePO • Позволяет управлять остальными модулями Network DLP; • Упрощает работу с политиками и инцидентами; • Позволяет управлять DLP из одной консоли (Network + Endpoint); • Позволяет производить поиск и анализ данных; • Поддерживает до 39 устройств (масштабируемость).
  30. 30. Развертывание July 10, 201330
  31. 31. Преимущества комплекса McAfee July 10, 201331 • Модульность • Централизированное управление • Целостный подход • Интеграция DLP Endpoint с EEFF • Интеграция DLP Endpoint с DLP Network
  32. 32. Контактная информация July 10, 201332  Официальный сайт McAfee (документация, описание продуктов) http://www.mcafee.com/ru/  Раздел McAfee на сайте БАКОТЕК (каталог решений, новости) http://bakotech.ua/vendor/mcafee/  McAfee Ukraine Technical Club (техническая информ-я на русском) https://www.facebook.com/McAfeeUkraineTechnical  Мой личный блог (заметки, статьи о настройке решений) https://radetskiy.wordpress.com/  База знаний по продуктам McAfee (спецификации, FAQ и др.) http://kc.mcafee.com/corporate/index?page=home
  33. 33. Владислав Радецкий VR@bakotech.com +38 (044) 273-33-33 | Раб. +38 (095) 880-73-70 | Моб. Благодарю за внимание

×