McAfee DLP
Константин Здыбель
БАКОТЕК

August 20, 2010
Потеря данных:
Неизбежная катастрофа для компаний?


    Рост числа моб.                                Усиление          ...
Страх неизвестного порождает тревогу


                                                                                   ...
Два типа информации, которой нужна защита:
Простая и Сложная

                                                            ...
«Кошмар» точечных решений


                    • Device Control                                   • Network DLP
         ...
Архитектура решений McAfee


                            • Host DLP                 • Network DLP Discover   • Network DLP...
McAfee Data Protection Suite
Выбирайте, что вам нужно:
• Полная защита
• Необходимые компоненты

                         ...
Почему DLP для хостов необходим?

• Только DLP на хосте может защитить от:
    – Копирования на внешние носители
    – Зап...
Каналы Host Data Loss Protection


        Физические устройства

        • USB                                           ...
Компоненты Host DLP




                                       Host DLP Management


                                   De...
Host DLP Management

• Агенты централизованно устанавливает ePO

• Политика DLP назначается из ePO

• Интеграция с Active ...
Device Control
MCAFEE DLP FOR A DYNAMIC
WORLD

                August 20, 2010   Confidential McAfee Internal Use Only
McAfee Device Control

• Основан на технологии
  McAfee Data Loss
  Prevention
                                           ...
Device Control

• Управление на уровне
     – Съемных носителей
     – Устройств Plug-and-play

• Гибкое определение
  уст...
Device Control

• Реакция
     – Блокирование
     – Мониторинг
     – Уведомление
     – Доступ «Только чтение» (для
    ...
Host DLP
MCAFEE DLP FOR A DYNAMIC
WORLD

                  August 20, 2010   Confidential McAfee Internal Use Only
Поток DLP




                                                                Форсирование
Пометка данных|                ...
Методы теггирования/классификации

• На основании содержимого

• На основании приложения

• На основании местоположения

•...
Классификация по содержимому

• Классификация по:
     – Регулярным выражениям
       (например, номер кредитной
       ка...
Теггирование по приложению

• Данные помечаются в
  соответствии с приложением,
  которое их сгенерировало

• Наиболее час...
Теггирование по местоположению

• Данные помечаются в
  зависимости от места
  хранения
     – Например, помечать все
    ...
Постоянство тегов

• Host DLP следит за тегами по мере изменения их носителя:
     – Переименование файлов
     – Изменени...
Правила реагирования

• Форсирование политики DLP

• Для каждого канала свои правила

• Возможные реакции:
     – Блокиров...
Типы правил реагирования

• Электронная почта
• Съемные носители

• Печать

• Размещение в Web

• Сетевые соединения

• Ко...
Дополнительные функции

• Привилегированные пользователи
     – Блокировки превращаются в мониторинг

• Возможность генера...
Network DLP
MCAFEE DLP FOR A DYNAMIC
WORLD

                August 20, 2010   Confidential McAfee Internal Use Only
McAfee Network Data Loss Prevention

Компоненты
•―Monitor‖: Захват всего трафика
•―Prevent‖: Блокировка Web и Email
•―Disc...
Что делает нас уникальными?

• Большинство DLP-решений требуют                               ЧТО Я ЗНАЮ                   ...
Knowledge Mining

• Захват и индексирование                                   Поиск по содержимому ‗confidential‘
  всего ...
McAfee Network DLP и ePO



     Data-in-Motion Incident Status (by         Data-at-Rest Top Shares     Host DLP
     Seve...
Спасибо!
Upcoming SlideShare
Loading in...5
×

McAfee DLP

1,527

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,527
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
72
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

McAfee DLP

  1. 1. McAfee DLP Константин Здыбель БАКОТЕК August 20, 2010
  2. 2. Потеря данных: Неизбежная катастрофа для компаний? Рост числа моб. Усиление Финансовые потери устройств нормативов при разглашении USB Sold Memory Sticks Units BlackBerry SmartPhone Palm/Treo PocketPC + Laptops Desktops 1995 2000 2005 2010 Защита данных: главный приоритет CISO 2007 CISO Survey 2 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  3. 3. Страх неизвестного порождает тревогу • Потери ноутбуков Решенные • Потеря USB-устройств проблемы • Обучение персонала • Device Control Как обеспечить защиту «Где» «вовремя»? Неудовлетво- информация? Как ренные «автоматизировать» потребности процессы для «Какая» «Кто» должен снижения затрат на информация иметь аудит? нуждается в доступ? защите? Нынешние продукты не решают эти задачи 3 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  4. 4. Два типа информации, которой нужна защита: Простая и Сложная • Каждое DLP-решение может защищать очевидные данные • До сих пор вы должны были знать, что защищать – Множественные «команды», определения и политики • McAfee Network DLP позволяет быстро изучить, какие данные важны! – Правила и политики – Хранение и индексация всего контента… нет ложных срабатываний! – Развертывание, внедрение и защита в течении недель, а не месяцев 4 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  5. 5. «Кошмар» точечных решений • Device Control • Network DLP • Data Discovery • Host DLP • Email Filtering • Disk Encryption • Email Encryption GW • File Encryption • Web Filtering Отключенные Защищенная корпоративная сеть Граница/DMZ 5 Confidential McAfee Internal Use Only
  6. 6. Архитектура решений McAfee • Host DLP • Network DLP Discover • Network DLP Monitor • Device Control • Endpoint Encryption • Host DLP • Device Control • Endpoint Encryption • Encrypted Media SPAN Port or Tap • Network DLP Prevent MTA or Proxy Центр управления • ePolicy Orchestrator (ePO) Отключенные • Network DLP Manager корпоративная Защищенная сеть Граница/DMZ 6 Confidential McAfee Internal Use Only
  7. 7. McAfee Data Protection Suite Выбирайте, что вам нужно: • Полная защита • Необходимые компоненты Полная защита данных • ePolicy Orchestrator реализует отчетность для всех Data Protection продуктов • Network DLP Manager предоставляет более тонкие возможности управления, при полной интеграции с ePO Data Loss Prevention Endpoint Encryption Host DLP Network DLP EEPC Removable Media •Контроль над •DLP Manager •Пароль для •Кто имеет доступ к устройствами •Настройка и Windows? Этого мало чувствительным •Слежение за корректировка •Единый вход (SSO) данным? данными политик с течением •Защита EEFF •Предотвращение времени •EERM случайных и •Интеграция с ePO •И даже аппаратное намеренных утечек шифрование! See slide‘s notes section for ePO integration details. 7 Confidential McAfee Internal Use Only
  8. 8. Почему DLP для хостов необходим? • Только DLP на хосте может защитить от: – Копирования на внешние носители – Записи CD/DVD – Печати документов – Отправки данных по https и прочим шифрованным протоколам • Только DLP на хосте может предоставить защиту в режиме офф-лайн 8 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  9. 9. Каналы Host Data Loss Protection Физические устройства • USB Сетевые каналы • Принтеры • Email • CDDVD • HTTP Web Post • IM, ICQ • FTP 9 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  10. 10. Компоненты Host DLP Host DLP Management Device Control DLP Engine 10 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  11. 11. Host DLP Management • Агенты централизованно устанавливает ePO • Политика DLP назначается из ePO • Интеграция с Active Directory • Гранулированные политики для пользователей • Централизованный сбор событий DLP 11 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  12. 12. Device Control MCAFEE DLP FOR A DYNAMIC WORLD August 20, 2010 Confidential McAfee Internal Use Only
  13. 13. McAfee Device Control • Основан на технологии McAfee Data Loss Prevention ePO • Контентная и контекстная блокировка устройств Политики События • Управление копированием данных на внешние носители Serial/Parallel Other • Полный контроль над любыми внешними CD/DVD устройствами WI/IRDA FireWire Bluetooth USB 13 Confidential McAfee Internal Use Only
  14. 14. Device Control • Управление на уровне – Съемных носителей – Устройств Plug-and-play • Гибкое определение устройств – Например, по уникальным Vendor/Product ID – Или, например, по Serial Number • McAfee Encrypted USB определены заранее 14 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  15. 15. Device Control • Реакция – Блокирование – Мониторинг – Уведомление – Доступ «Только чтение» (для съемных носителей) • Реакция может быть разной для состояний Online/Offline 15 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  16. 16. Host DLP MCAFEE DLP FOR A DYNAMIC WORLD August 20, 2010 Confidential McAfee Internal Use Only
  17. 17. Поток DLP Форсирование Пометка данных| Неизменность правил Классификация меток реагирования 17 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  18. 18. Методы теггирования/классификации • На основании содержимого • На основании приложения • На основании местоположения • Вручную • Теги именуются 18 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  19. 19. Классификация по содержимому • Классификация по: – Регулярным выражениям (например, номер кредитной карты) – Ключевым словам (например, финансовые термины) • Могут применяться пороговые значения – Например, критичным будет обнаружение 10-ти и более номеров кредитных карт в одном документе 19 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  20. 20. Теггирование по приложению • Данные помечаются в соответствии с приложением, которое их сгенерировало • Наиболее частое применение – Файлы без текста: графика, разработка игр и пр. 20 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  21. 21. Теггирование по местоположению • Данные помечаются в зависимости от места хранения – Например, помечать все файлы взятые из папки общего доступа servershare • Теггирование может уточняться: – Тип файла – Расширение файла – Содержимое файла 21 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  22. 22. Постоянство тегов • Host DLP следит за тегами по мере изменения их носителя: – Переименование файлов – Изменение формата (например, .doc -> .txt) – Копирование/Вставка – Архивирование – Шифрование 22 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  23. 23. Правила реагирования • Форсирование политики DLP • Для каждого канала свои правила • Возможные реакции: – Блокирование – Мониторинг – Уведомление пользователя – Сохранение улики – Принудительное шифрование • Может применяться к состояниям Online/Offline 23 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  24. 24. Типы правил реагирования • Электронная почта • Съемные носители • Печать • Размещение в Web • Сетевые соединения • Копирование по сети • Снимок экрана 24 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  25. 25. Дополнительные функции • Привилегированные пользователи – Блокировки превращаются в мониторинг • Возможность генерации временного ключа обхода правил DLP 25 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  26. 26. Network DLP MCAFEE DLP FOR A DYNAMIC WORLD August 20, 2010 Confidential McAfee Internal Use Only
  27. 27. McAfee Network Data Loss Prevention Компоненты •―Monitor‖: Захват всего трафика •―Prevent‖: Блокировка Web и Email •―Discover‖: Где прячется информация? •―Network Manager‖: Управление Технические данные • iGuard 1650 — 1RU chassis w/ 16GB RAM — 500GB RAID1-protected SATA2 datastore McAfee iGuard 1650 McAfee iGuard 1650 capacity — Up to 10Mbps WAN supports remote offices or small data centers • iGuard 3650 — 3RU chassis w/ 16GB RAM — 6TB RAID5-protected SATA2 datastore capacity — Up to 1Gbps WAN supports enterprise data center locations McAfee iGuard 3650 27 Confidential McAfee Internal Use Only
  28. 28. Что делает нас уникальными? • Большинство DLP-решений требуют ЧТО Я ЗНАЮ ЧЕГО Я НЕ ЗНАЮ от вас ЗНАТЬ, что нужно защищать Create Create Rules Rules • Но как быть с тем, что вы for: for: НЕ УМЕЕТЕ искать? ? Marketing ─ Интеллектуальная собственность HIPAA Plans ? Product Plans ─ Маркетинговые планы ─ Прогнозы SSN ? Sales Forecast ─ Финансовые записи CNN ? Inventory Turn Reports • Способность McAfee ―ОБУЧАТЬСЯ” ? реализует адаптивную защиту ЧТО ТАКОЕ ОБУЧЕНИЕ? ─ Сила Google – в индексировании Интернета Сила Google: Сила McAfee: • Индексирование 1. Индексирование и ─ Обучение а-ля Google Интернета классификация всего фокусируется на передаваемой и • Когда вы делаете запрос – он говорит, где находится контента передаваемого по каналам связи хранящейся информации наиболее релевантная 2. Capture Index поможет: информация Повысить точность правил, проводить расследования и понять, ЧТО и ОТ КОГО защищать 28 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  29. 29. Knowledge Mining • Захват и индексирование Поиск по содержимому ‗confidential‘ всего контента • Обнаружение чувствительной Кто и куда отправил? информации • Расследование активности • Настройка правил Где это хранится в сети? 29 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  30. 30. McAfee Network DLP и ePO Data-in-Motion Incident Status (by Data-at-Rest Top Shares Host DLP Severity) Data-in-Motion Top Policies Data-at-Rest Top Policies System Health and Monitoring 30 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  31. 31. Спасибо!
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×