DLP (data leakage protection)

820 views

Published on

Published in: Health & Medicine
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
820
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
11
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

DLP (data leakage protection)

  1. 1. DLP (DATA LEAKAGE PROTECTION) MOŻLIWOŚCI OCHRONY INFORMACJI KRYTYCZNYCH PRZED ATAKAMI TYPU APT ARAZ BŁEDAMI LUDZKIMI. JAK Z SUKCESEM WDROŻYĆ DLP W ORGANIZACJI? Aleksander Raczyński araczynski@websense.com TRITON STOPS MORE THREATS. WE CAN PROVE IT.
  2. 2. Poznać to, czego nie znamy. Dowiedzieć się tego, czego nie wiemy. NIE MOŻNA SIĘ OBRONIĆ PRZED NIEWIDZALNYM ZAGROŻENIEM
  3. 3. Raport o zagrożeniach www.websense.com/2013ThreatReport 3
  4. 4. Ofiary są z reguły kierowane do Web’u Wektory ataku Recon Mobile Phishing Malware Web Email Redirects Social Media Exploit Kits XSS C n C Dropper Files 4
  5. 5. Wzrost zagrożenia ze strony Web Złośliwe witryny (URL) wzrost o 600% w skali światowej 5
  6. 6. Kraje, które najczęściej są gospodarzami Malware’u United States Russian Federation Germany China Moldova Czech Republic United Kingdom France Netherlands Canada 6
  7. 7. Zainfekowane witryny (wg. Kategorii) 1. 2. 3. 4. 5. Information Technology Business and Economy Sex Travel Shopping 85% zainfekowanych witryn zostało wykrytych na stronach „poprawnych”
  8. 8. Phishing • W coraz większym stopniu koncentruje się na celach komercyjnych i rządowych Top 5 Countries Hosting Phishing • 69% wiadomości phishingowych jest wysyłanych w poniedziałek i piątek • Bardziej celowy – Lokoalizacja – Wzrost tzw. Spearphishing’u 8
  9. 9. Malware • Staje się bardziej agresywny – 15% łaczy się w czasie pierwszych 60 sek. – 90% pobiera informacje – 50% wrzuca „dropper files” 9
  10. 10. Malware: HTTPS • Kluczowe ryzyko infekcji: HTTPS – ½ najpopularniejszych 20 witryn używa HTTPS – Łatwy do penetracji „ślepy kąt” dla bezpieczeństwa • Komunikacja do serwerów CnC 10
  11. 11. Kradzież danych Zagrożenie poprzez Insidera • Przypadkowa • Phishing • Dane osobowe (PII) • Karty kredytowe • ID (tożsamość) • Kradzież własności intelektualnej (IP) • Sektor rządowy • Sektor komercyjny • Zamierzona • Fizyczny dostęp • Elektronicznie 11
  12. 12. 01 02 03 04 05 06 07 RECON LURE REDIRECT EXPLOIT KIT DROPPER FILE CALL HOME DATA THEFT Jak działają bardziej wyrafinowane ataki?
  13. 13. Czy można się uchronić? 02 LURE RECON 01 Świadomość • • • • • • • Web & Email Facebook, Blogi, Tweety Spear-phishing Zaufany punk wejścia Celowe Dynamiczne Zgrane w czasie
  14. 14. Czy można się uchronić? 04 EXPLOIT KIT REDIRECT 03 Analiza Real-Time • Kod wykonywany w przeglądarce & active scripts • Analiza URL • Analiza Exploitów • Wileskładnikowa punktacja / rating • Proaktywność
  15. 15. • • • • • • Analiza Aplikacji Złośliwe PDFy Wielosilinikowy AV Pliki spakowane Dynamiczny DNS Botnety & CnC 05 06 CALL HOME Aktywna Ochrona DROPPER FILE Czy można się uchronić?
  16. 16. Czy można się uchronić? • Ochrona przed kradzieżą informacji • Technologia DLP • Monitorowanie informacji wypływających • Geolokacja • Szczegółowe Forensic & oraz raportowanie • Alerty / Priorytety 07 DATA THEFT Ograniczenie zakresu
  17. 17. TECHNOLOGIA DLP – MOŻLIWOŚCI, WDROŻENIE I PRAKTYCZNE UWAGI TRITON STOPS MORE THREATS. WE CAN PROVE IT.
  18. 18. Websense TRITON - Architektura
  19. 19. DLP - technologia i możliwości
  20. 20. Co to jest DLP? DLP = data loss prevention również data leak/leakage prevention DLP solutions (n.) “Products that, based on central policies, identify, monitor, and protect data at rest, in motion, and in use through deep content analysis.” – Rich Mogull (securosis.com), former Gartner analyst for DLP Rozwiązania DLP “Produkty, które w oparciu o centralne polityki, identyfikują, monitorują, oraz chronią dane w spoczynku, w ruchu, i w użyciu poprzez dogłębną analizę treści.” – Rich Mogull (securosis.com), były analityk DLP firmy Gartner
  21. 21. Gdzie rozwiązania DLP chronią wrażliwe informacje? Data in Motion Dane płynące do wewnątrz i na zewnątrz organizacji Data at Rest Data in Use Dane przechowywane w granicach naszej infrastruktury Podczas manipulacji przez różne aplikacje Data Discovery Data Usage (Endpoint) Typowe kanały komunikacyjne Repozytoria danych Monitorowane akcje (Endpoint)               Data Usage (Network) HTTP(S) FTP SMTP Instant Messangers Network Printer       Network Shares (NTFS, NFS, Novell) SharePoint Databases (via ODBC) Exchange Lotus Domino Pst files Endpoint Cut / Copy / Paste Print Print Screen Access Files Endpoint LAN/Web Removable Media Outlook / Lotus Plugin Printers (local, net)
  22. 22. Przykład reguły Lekarzom nie wolno wysyłać danych pacjentów do… (Who: From) Rule Properties | Source | Edit: Directory Entries (Action) Rule Properties | Severity: (High) / Action Plan: (Block_All) (How) Rule Properties | Destinations | R Email R Web (What) R HTTP/HTTPS Rule Properties | Condition | R Chat Add: PreciseID FP – DB Records (Who: To) Rule Properties | Destinations | R Email: All R Web: All
  23. 23. Wybierz twój kraj i sektor
  24. 24. Wybierz interesujące Cię polityki
  25. 25. Przejrzyj reguły
  26. 26. Świadomość treści oraz kontekstu KONTEKST + Klasyfikatory informacji KTO •Websense User Service DOKĄD PreciseID Websense Web Intelligence Analiza statystyczna File Matching Regularne wyrażenia Kategorie / Słowniki
  27. 27. Strategie użycia rozwiązania 27
  28. 28. Dwa ekstremalne podejścia do DLP • Monitoruj wszystkich i wszystko – – – – Duża ilość incydentów  brak przejrzystości Tylko wartość dowodowa Brak wpływu na kulturę obchodzenia się z informacją Sugeruje nieufny stosunek do pracowników • Blokuj tylko kto czego wymagają przepisy – Strategia „alibi”? – Technologia DLP wykorzystana w małym stopniu – Brak dodatkowych informacji o informacjach wrażliwych
  29. 29. Moja sugestia: strategia pośrednia • Zalety: – Spełnienie wymagań prawnych – Dodatkowe wykorzystanie technologii w celu ochrony informacji – Dodatkowy efekt – podniesienia świadomości użytkowników • Utrudnienia (?) – Wypracowanie procesów biznesowych dotyczących informacji ważnych – Z reguły wymagana interakcja administratorów/helpdesku – Wypracowanie zasad obsługi incydentów
  30. 30. Zmiana modelu zachowań użytkowników
  31. 31. Technologia DLP jest Twoim sprzymierzeńcem! • Wewnętrzny PR dla technologii DLP – – – – Ochrona informacji jest ważna dla organizacji System monitoruje tylko nadużycia nie ingerując w Ochrona informacji chroni również pracownika przed ewentualnymi błędami Edukacja pracowników, podnoszenie ich świadomości nadrzędnym celem (konsekwencje wobec pracowników - ostateczność) • Aspekty prawne • DLP jest doskonałym narzędziem dla departamentu bezpieczeństwa – pozwala na rozpoznanie trendów i zagrożeń – Ma wpływ na kształtowanie polityki bezpieczeństwa – Pozwala wdrożyć istniejące zasady poiltyki bezpieczeństwa
  32. 32. Administracja i zarządzanie systemem 32
  33. 33. Zarządzanie Incydentami Wykonaj akcję Lista incydentów Złamane reguły Szczcegóły incydenu 33
  34. 34. Workflow incydentów oparty o powiadomienia pocztowe • Akcje możliwe z poziomu powiadomienia: – – – – – Zmiana rangi eskalowanie przypisanie incydentu ignorowanie etc.
  35. 35. Investigative Reports • Dostarczają wglądu do: – – – – Cele wycieku poprzez Web według kategorii Cele wycieku poprzez Email Źródła odpowiedzialne za wyciek informacji Polityki, które uległy naruszeniu • Używane są by: – – – – – Ustalić priorytety zagrożeń Ustalić potrzeby edukacji pracowników Wprowadzić poprawki polityk Zidentyfikować niedziałające procesy biznesowe Zademostrować zgodność z regulacjami prawnymi 35
  36. 36. Executive Summary Reports – Wykonywane automatycznie lub na żądanie – Czołowe incydenty na przestrzeni ostatnich 24 godzin – 30, 60, 90-dniowe raporty zbiorcze – Raporty Trendów – I wiele więcej… 36
  37. 37. Czy projekt się powiedzie? 37
  38. 38. Podsumowanie • Sukces projektu DLP zależy od kilku czynników: – Dobór odpowiedniej technologii DLP – Jasność celów, które powinny być osiągnięte dzięki projektowi DLP – Świadomość organizacji odnośnie wartości posiadanej informacji  kadra zarządzająca + departament bezpieczeństwa – Gotowość organizacji na zmiany  odpowiedni priorytet dla projektu
  39. 39. DZIĘKUJĘ TRITON STOPS MORE THREATS. WE CAN PROVE IT. © 2013 Websense, Inc. Page 39

×