Your SlideShare is downloading. ×
DLP (data leakage protection)
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
343
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
10
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. DLP (DATA LEAKAGE PROTECTION) MOŻLIWOŚCI OCHRONY INFORMACJI KRYTYCZNYCH PRZED ATAKAMI TYPU APT ARAZ BŁEDAMI LUDZKIMI. JAK Z SUKCESEM WDROŻYĆ DLP W ORGANIZACJI? Aleksander Raczyński araczynski@websense.com TRITON STOPS MORE THREATS. WE CAN PROVE IT.
  • 2. Poznać to, czego nie znamy. Dowiedzieć się tego, czego nie wiemy. NIE MOŻNA SIĘ OBRONIĆ PRZED NIEWIDZALNYM ZAGROŻENIEM
  • 3. Raport o zagrożeniach www.websense.com/2013ThreatReport 3
  • 4. Ofiary są z reguły kierowane do Web’u Wektory ataku Recon Mobile Phishing Malware Web Email Redirects Social Media Exploit Kits XSS C n C Dropper Files 4
  • 5. Wzrost zagrożenia ze strony Web Złośliwe witryny (URL) wzrost o 600% w skali światowej 5
  • 6. Kraje, które najczęściej są gospodarzami Malware’u United States Russian Federation Germany China Moldova Czech Republic United Kingdom France Netherlands Canada 6
  • 7. Zainfekowane witryny (wg. Kategorii) 1. 2. 3. 4. 5. Information Technology Business and Economy Sex Travel Shopping 85% zainfekowanych witryn zostało wykrytych na stronach „poprawnych”
  • 8. Phishing • W coraz większym stopniu koncentruje się na celach komercyjnych i rządowych Top 5 Countries Hosting Phishing • 69% wiadomości phishingowych jest wysyłanych w poniedziałek i piątek • Bardziej celowy – Lokoalizacja – Wzrost tzw. Spearphishing’u 8
  • 9. Malware • Staje się bardziej agresywny – 15% łaczy się w czasie pierwszych 60 sek. – 90% pobiera informacje – 50% wrzuca „dropper files” 9
  • 10. Malware: HTTPS • Kluczowe ryzyko infekcji: HTTPS – ½ najpopularniejszych 20 witryn używa HTTPS – Łatwy do penetracji „ślepy kąt” dla bezpieczeństwa • Komunikacja do serwerów CnC 10
  • 11. Kradzież danych Zagrożenie poprzez Insidera • Przypadkowa • Phishing • Dane osobowe (PII) • Karty kredytowe • ID (tożsamość) • Kradzież własności intelektualnej (IP) • Sektor rządowy • Sektor komercyjny • Zamierzona • Fizyczny dostęp • Elektronicznie 11
  • 12. 01 02 03 04 05 06 07 RECON LURE REDIRECT EXPLOIT KIT DROPPER FILE CALL HOME DATA THEFT Jak działają bardziej wyrafinowane ataki?
  • 13. Czy można się uchronić? 02 LURE RECON 01 Świadomość • • • • • • • Web & Email Facebook, Blogi, Tweety Spear-phishing Zaufany punk wejścia Celowe Dynamiczne Zgrane w czasie
  • 14. Czy można się uchronić? 04 EXPLOIT KIT REDIRECT 03 Analiza Real-Time • Kod wykonywany w przeglądarce & active scripts • Analiza URL • Analiza Exploitów • Wileskładnikowa punktacja / rating • Proaktywność
  • 15. • • • • • • Analiza Aplikacji Złośliwe PDFy Wielosilinikowy AV Pliki spakowane Dynamiczny DNS Botnety & CnC 05 06 CALL HOME Aktywna Ochrona DROPPER FILE Czy można się uchronić?
  • 16. Czy można się uchronić? • Ochrona przed kradzieżą informacji • Technologia DLP • Monitorowanie informacji wypływających • Geolokacja • Szczegółowe Forensic & oraz raportowanie • Alerty / Priorytety 07 DATA THEFT Ograniczenie zakresu
  • 17. TECHNOLOGIA DLP – MOŻLIWOŚCI, WDROŻENIE I PRAKTYCZNE UWAGI TRITON STOPS MORE THREATS. WE CAN PROVE IT.
  • 18. Websense TRITON - Architektura
  • 19. DLP - technologia i możliwości
  • 20. Co to jest DLP? DLP = data loss prevention również data leak/leakage prevention DLP solutions (n.) “Products that, based on central policies, identify, monitor, and protect data at rest, in motion, and in use through deep content analysis.” – Rich Mogull (securosis.com), former Gartner analyst for DLP Rozwiązania DLP “Produkty, które w oparciu o centralne polityki, identyfikują, monitorują, oraz chronią dane w spoczynku, w ruchu, i w użyciu poprzez dogłębną analizę treści.” – Rich Mogull (securosis.com), były analityk DLP firmy Gartner
  • 21. Gdzie rozwiązania DLP chronią wrażliwe informacje? Data in Motion Dane płynące do wewnątrz i na zewnątrz organizacji Data at Rest Data in Use Dane przechowywane w granicach naszej infrastruktury Podczas manipulacji przez różne aplikacje Data Discovery Data Usage (Endpoint) Typowe kanały komunikacyjne Repozytoria danych Monitorowane akcje (Endpoint)               Data Usage (Network) HTTP(S) FTP SMTP Instant Messangers Network Printer       Network Shares (NTFS, NFS, Novell) SharePoint Databases (via ODBC) Exchange Lotus Domino Pst files Endpoint Cut / Copy / Paste Print Print Screen Access Files Endpoint LAN/Web Removable Media Outlook / Lotus Plugin Printers (local, net)
  • 22. Przykład reguły Lekarzom nie wolno wysyłać danych pacjentów do… (Who: From) Rule Properties | Source | Edit: Directory Entries (Action) Rule Properties | Severity: (High) / Action Plan: (Block_All) (How) Rule Properties | Destinations | R Email R Web (What) R HTTP/HTTPS Rule Properties | Condition | R Chat Add: PreciseID FP – DB Records (Who: To) Rule Properties | Destinations | R Email: All R Web: All
  • 23. Wybierz twój kraj i sektor
  • 24. Wybierz interesujące Cię polityki
  • 25. Przejrzyj reguły
  • 26. Świadomość treści oraz kontekstu KONTEKST + Klasyfikatory informacji KTO •Websense User Service DOKĄD PreciseID Websense Web Intelligence Analiza statystyczna File Matching Regularne wyrażenia Kategorie / Słowniki
  • 27. Strategie użycia rozwiązania 27
  • 28. Dwa ekstremalne podejścia do DLP • Monitoruj wszystkich i wszystko – – – – Duża ilość incydentów  brak przejrzystości Tylko wartość dowodowa Brak wpływu na kulturę obchodzenia się z informacją Sugeruje nieufny stosunek do pracowników • Blokuj tylko kto czego wymagają przepisy – Strategia „alibi”? – Technologia DLP wykorzystana w małym stopniu – Brak dodatkowych informacji o informacjach wrażliwych
  • 29. Moja sugestia: strategia pośrednia • Zalety: – Spełnienie wymagań prawnych – Dodatkowe wykorzystanie technologii w celu ochrony informacji – Dodatkowy efekt – podniesienia świadomości użytkowników • Utrudnienia (?) – Wypracowanie procesów biznesowych dotyczących informacji ważnych – Z reguły wymagana interakcja administratorów/helpdesku – Wypracowanie zasad obsługi incydentów
  • 30. Zmiana modelu zachowań użytkowników
  • 31. Technologia DLP jest Twoim sprzymierzeńcem! • Wewnętrzny PR dla technologii DLP – – – – Ochrona informacji jest ważna dla organizacji System monitoruje tylko nadużycia nie ingerując w Ochrona informacji chroni również pracownika przed ewentualnymi błędami Edukacja pracowników, podnoszenie ich świadomości nadrzędnym celem (konsekwencje wobec pracowników - ostateczność) • Aspekty prawne • DLP jest doskonałym narzędziem dla departamentu bezpieczeństwa – pozwala na rozpoznanie trendów i zagrożeń – Ma wpływ na kształtowanie polityki bezpieczeństwa – Pozwala wdrożyć istniejące zasady poiltyki bezpieczeństwa
  • 32. Administracja i zarządzanie systemem 32
  • 33. Zarządzanie Incydentami Wykonaj akcję Lista incydentów Złamane reguły Szczcegóły incydenu 33
  • 34. Workflow incydentów oparty o powiadomienia pocztowe • Akcje możliwe z poziomu powiadomienia: – – – – – Zmiana rangi eskalowanie przypisanie incydentu ignorowanie etc.
  • 35. Investigative Reports • Dostarczają wglądu do: – – – – Cele wycieku poprzez Web według kategorii Cele wycieku poprzez Email Źródła odpowiedzialne za wyciek informacji Polityki, które uległy naruszeniu • Używane są by: – – – – – Ustalić priorytety zagrożeń Ustalić potrzeby edukacji pracowników Wprowadzić poprawki polityk Zidentyfikować niedziałające procesy biznesowe Zademostrować zgodność z regulacjami prawnymi 35
  • 36. Executive Summary Reports – Wykonywane automatycznie lub na żądanie – Czołowe incydenty na przestrzeni ostatnich 24 godzin – 30, 60, 90-dniowe raporty zbiorcze – Raporty Trendów – I wiele więcej… 36
  • 37. Czy projekt się powiedzie? 37
  • 38. Podsumowanie • Sukces projektu DLP zależy od kilku czynników: – Dobór odpowiedniej technologii DLP – Jasność celów, które powinny być osiągnięte dzięki projektowi DLP – Świadomość organizacji odnośnie wartości posiadanej informacji  kadra zarządzająca + departament bezpieczeństwa – Gotowość organizacji na zmiany  odpowiedni priorytet dla projektu
  • 39. DZIĘKUJĘ TRITON STOPS MORE THREATS. WE CAN PROVE IT. © 2013 Websense, Inc. Page 39

×