Презентация поддерживающая мое выступление на DLP Russia 2010 с темой «Вечная битва за безопасность: угроза велика, а отступать некуда – позади мои данные».
Главная мысль: Endpoints – арена грядущих сражений. Курс - на endpoints! - слайд 22.
Итоговые выводы полностью - слайд 24.
Впервые публично представлена волшебная формула (так зовем ее внутри) защиты endpoints - слайд 25.
В контексте внутренних угроз был сделан акцент на важности user awareness (обучение, учет психологии и т.п.) и обязательности забот по минимизации ущерба инсайдерами - слайд 19.
PDF в материалах конференции DLP-Russia 2010:
http://dlp-expert.ru/sites/default/files/archives/2010/dlp-russia2010-valery_boronin_kl.pdf
Data Luxury Protection - защита данных с удовольствием!
Valery Boronin on DLP Russia 2010
1. Валерий Боронин,
руководитель лаборатории защиты информации от внутренних угроз, Kaspersky Lab
14 октября 2010 года / DLP Russia 2010, Президент-Отель, Москва
Вечная битва за безопасность:
угроза велика, а отступать некуда – позади мои данные.
2. Валерий Боронин,
руководитель лаборатории защиты
информации от внутренних угроз,
ЗАО "Лаборатория Касперского".
15+ лет в IT
В индустрии (ИБ) с 1999 года
До ЛК трудился в компаниях
• Parallels (SwSoft)
• TrustDigital (недавно поглощена McAfee)
• Lumension (SecureWave)
Разрешите представиться
Об авторе доклада
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 2 |
3. Угроза велика, а отступать некуда – позади мои данные.
Ни шагу назад!
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 3 |
4. Часть 1 / Вечная битва за безопасность
Что надо оберегать в первую очередь?
Что для этого понадобится?
Часть 2 / Внешние угрозы
Часть 3 / Внутренние угрозы
Часть 4 / Тенденция, которае изменит мир
Часть 5 / Подведение итогов и ответы на поставленные вопросы
Вопросы и ответы
5. Часть 1 / Что надо охранять в первую очередь?
3 уровня защиты информации
Защита информации в DLP-системе осуществляется на трех уровнях
Когда данные
• в покое (at rest), т.е. постоянно хранящяяся информация. Хранилища.
• в движении, (in motion), сетевой канал перемещения информации. Сети.
• в использовании (in use), обрабатываемые в данный момент. Endpoints.
6. Часть 1 / Вечная битва за безопасность
Они сошлись. Волна и камень, стихи и проза, лед и пламень…
Компьютерная и сетевая безопасность, защита ПО:
Как правило, у атакующего есть врожденное преймущество
Атакующему нужно найти лишь одну брешь, один дефект
Тогда как защищаемуся нужно найти и устранить ВСЕ!
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 6 |
7. Часть 1 / Криптография - исключение
Наш ответ Чемберлену
в криптографии у защищающегося математическое преймущество
увеличение размера ключа увеличивает количество работы для
защищающегося линейно, тогда как для атакующего экспоненциально.
Но криптография – не панацея!
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 7 |
8. Часть 1 / Для чего нужна криптография?
Пример утечки при потере носителя
Проблема, которую призвана решить криптография – это безопасность
передачи данных (data in motion).
Безопасность хранения данных (data at rest) – сводится к случаю
передачи данных самому себе во времени.
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 8 |
В Национальном управлении архивов и документации National
Archives and Records Administration (NARA) произошла крупная
утечка информации, в результате которой скомпрометированы
персональные данные более 70 млн человек.
Когда один из дисков RAID-массива с БД ветеранов вышел из
строя, его отправили поставщику оборудования на
диагностику. Анализ выявил непригодность винчестера к
ремонту, и диск был передан третьей компании для
утилизации. Конфиденциальные сведения с дисков при
этом уничтожены не были
9. Часть 1 / Проблема криптографии в современных Сетях
ШИФРОВАНИЕ РАНЬШЕ
Время жизни ключа шифрования >= время жизни закрытых им данных
БЕЗОПАСНОСТЬ КЛЮЧЕЙ = БЕЗОПАСНОСТЬ ОТКРЫТЫХ ДАННЫХ.
Управление ключами исторически работало для данных в покое потому что
ключ хранился в безопасном месте:
что это за место
?
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 9 |
10. РАНЬШЕ:
Ключи хранились в "компьютере",
который не был привязан ни к какой
Сети.
СЕЙЧАС:
Большая часть данных, хранящихся
в Сети - в первую очередь для
машин.
ПРОБЛЕМА. Ключи не могут быть
сохранены в мозгах людей.
Они должны быть в том же
компьютере или в той же Сети, что
и данные – чтобы ПО могло их
найти.
А ЭТО ГОРАЗДО РИСКОВАННЕЙ!
Часть 1 / Проблема криптографии в современных Сетях
ШИФРОВАНИЕ РАНЬШЕ И СЕЙЧАС. ГДЕ КЛЮЧИ ОТ КВАРТИРЫ?
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 10 |
11. Часть 1 / Вечная битва за безопасность
ВЫВОДЫ
В Сети (особенно Интернет), безопасность
линий связи гораздо менее важна, чем
безопасность конечных точек (endpoints).
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 11 |
12. Часть 2 / Внешние угрозы
Плюсы и минусы антивирусов.
Белое окружение.
13. Часть 2 / Внешние угрозы
Плюсы и минусы антивирусов.
Реактивный подход. Теория.
Минус только один – слишком поздно пить боржоми.
• Существует временное окно, когда защиты нет.
Реактивный подход. Практика.
• Эффективность. Защита от известных угроз.
• Автоматический режим, Штатная работа в фоне.
• Производительность. Снижение практически незаметно.
• Низкая цена. Радует!
ВЫВОДЫ:
Защита в компьютерной безопасности по своей сути очень хрупкая.
AV и antimalware защита по-прежнему нужна и экономически более чем
оправдана. Разумный выбор!
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 13 |
14. Часть 2 / Внешние угрозы
Плюсы и минусы антивирусов. Белое окружение.
Проактивный подход.
Белое окружение. Доверенные программы. Application Control (AC).
Список доверенного ПО на большом Предприятии – это не миф.
AC защищает от внутренних угроз также хорошо как и от внешних!
Device Control – аналогичная AC модель применима и здесь.
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 14 |
15. Часть 3 / Внутренние угрозы
Инсайдеры и вопрос доверия людям.
Могут ли компьютеры решить проблему?
Минимизируем ущерб.
16. Инсайдеры - извечная проблема.
Инсайдеры - самые опасные из
нападающих, потому что
Им доверяют.
Они знают, как работает система.
Они знают, как обеспечивается ее
безопасность, ее слабые места.
У них есть доступ.
У них есть возможность.
У них могут быть скрытые мотивы.
Они уже внутри системы
безопасности
http://baltimore.fbi.gov/dojpressrel/pressrel10/ba100410a.htm
14 октября 2010Доклад Валерия Боронина, R&D, ЛК
PAGE 16
|
Часть 3 / Внутренние угрозы
Инсайдеры. История Раджендрасинха Макваны.
17. Часть 3 / Внутренние угрозы
Инсайдеры. Минимизируем возможный ущерб.
ТЕХНИКА БЕЗОПАСНОСТИ. Меры по снижению возможного ущерба.
1.Ограничьте число пользующихся доверием лиц
2.Проверяйте что они все еще заслуживают доверия
3.Ограничьте степень доверия для каждого. Компартментализация.
• Выдавать лишь то, что необходимо для выполнения работы.
• На время работы, если возможно.
1.Defense in depth: Создавайте перекрывающиеся области доверия.
• В одиночку становится на порядок сложнее обойти систему.
1.Обнаружение нарушений по факту, публичное наказание виновных
• чтобы обеспечить сдерживающий эффект
• повысить общий уровень безопасности в обществе / компании / среде.
• Вот почему аудит столь важен!
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 17 |
18. Часть 3 / Внутренние угрозы
Выводы.
Меры по минимизации ущерба и обеспечению безопасности - не только для
защиты от мошенничества или саботажа, они защищают от более общей
проблемы: ОШИБКИ (допущенные по любой причине).
Хорошие системы безопасности используют несколько мер защиты, причем
все они работают сообща.
Безопасность предназначена для защиты от нечестных меньшинств.
Защита от внутренних угроз – это в том числе учет психологии
делегирования полномочий и доверия.
Это обязательная реализация основных мер по минимизации нанесения
ущерба инсайдерами при проектировании систем безопасности, их
внедрении и эксплуатации. В том числе и в соответствующем программном
обеспечении.
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 18 |
19. Часть 4 / Тенденция, которая изменит мир
как сегодня меняется наше информационно-технологичное завтра?
20. Часть 4 / Тенденции: Консьюмеризация.
Мечты сбываются?
Консьюмеризация – когда новые технологии становятся
доступными для потребительского рынка, прежде чем они станут
доступными для Бизнеса, прежде чем он сможет к ним
адаптироваться.
Для Бизнеса это означает, что у людей - сотрудников,
клиентов, партнеров - будет доступ к Сети
предприятия
• практически отовсюду
• с любого устройства
• с помощью любого ПО.
Это будет очень-очень УДОБНО!!!
21. Часть 4 / Тенденции: Консьюмеризация.
Жесткая реальность: удобство за счет безопасности.
Консьюмеризация – не будет никакой возможности
понять, что люди там у себя используют, и - что еще
более важно – тут нет никакого контроля.
Консьюмеризация – просто кошмар для
IT и СБ отделов.
Процесс будет только набирать ход.
22. Часть 4 / Тенденции, которые изменят мир.
Консьюмеризация / 3. Выводы.
В консьюмиризированной среде связь между узлами (endpoints) происходит
без создания отношений доверия между ними.
• Ненадежные компьютеры подключаются к ненадежным сетям.
• Ненадежные компьютеры подключаются к надежным сетям.
• Проверенные компьютеры подключаются к ненадежным сетям.
Сама идея "безопасных вычислений" (safe computing) содержит
совершенно новый смысл – теперь каждый сам за себя.
Микрософт уже предложил отключать «от аппарата» зараженные машины.
Вывод 1. Корпоративной Cети будет нужен антивирус на шлюзе и
серверах. И каждому пользователю тоже понадобится аналогичная
программа для защиты своего компьютера, включая новые устройства.
Вывод 2. Ровно те же соображения касаются и DLP-решений.
Endpoints – арена грядущих сражений. Курс - на endpoints!
23. Часть 5 / Подводим итоги
Выстраиваем звенья защиты для endpoints.
Лаборатория Касперского – новый игрок на DLP рынке.
24. Часть 5 / Подводим итоги
Все выводы на одном слайде.
Курс на endpoints!
Обязательное шифрование данных в покое.
Применяем техники минимизации ущерба.
Белое окружение и контроль устройств.
Консумеризация. Мобильные устройства.
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 24 |
25. Часть 5 / Выстраиваем звенья защиты
Protection Suite for Endpoints
Application
control
(AC)
Device
Control
(DC)
Full Disk /
Removable Media
Encryption
(FDE / RME)
File Level
Encryption
+
Shadow
Copies
(FLE)
Mobile
Devices
Android
iPhone
WM
Content-
Aware
DLP
Capabilities
(DLP)
Universal Policy Management
Universal Key Management
Security Center
Breadth of Functionality
Organizational
Scale/Size
Mail & Web
Filtering
26. Новое R&D подразделение DLP Research (DLPR).
Новости от Лаборатории Касперского: в ногу со временем
В 2010 году ЛК ввела в действие
специализированный центр исследований и
разработки в области DLP.
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 26 |
г. Новосибирск, 630099,
Димитрова проспект, 2,
БЦ РосЕвроПлаза,
офис 708
27. Спасибо! Вопросы?
Валерий Боронин,
руководитель лаборатории защиты информации от внутренних угроз, Kaspersky Lab
14 октября 2010 года / DLP Russia 2010, Президент-Отель, Москва
Вечная битва за безопасность:
угроза велика, а отступать некуда – позади мои данные.