Successfully reported this slideshow.

McAfee DLP

1,811 views

Published on

  • Be the first to comment

McAfee DLP

  1. 1. McAfee DLP Константин Здыбель БАКОТЕК August 20, 2010
  2. 2. Потеря данных: Неизбежная катастрофа для компаний? Рост числа моб. Усиление Финансовые потери устройств нормативов при разглашении USB Sold Memory Sticks Units BlackBerry SmartPhone Palm/Treo PocketPC + Laptops Desktops 1995 2000 2005 2010 Защита данных: главный приоритет CISO 2007 CISO Survey 2 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  3. 3. Страх неизвестного порождает тревогу • Потери ноутбуков Решенные • Потеря USB-устройств проблемы • Обучение персонала • Device Control Как обеспечить защиту «Где» «вовремя»? Неудовлетво- информация? Как ренные «автоматизировать» потребности процессы для «Какая» «Кто» должен снижения затрат на информация иметь аудит? нуждается в доступ? защите? Нынешние продукты не решают эти задачи 3 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  4. 4. Два типа информации, которой нужна защита: Простая и Сложная • Каждое DLP-решение может защищать очевидные данные • До сих пор вы должны были знать, что защищать – Множественные «команды», определения и политики • McAfee Network DLP позволяет быстро изучить, какие данные важны! – Правила и политики – Хранение и индексация всего контента… нет ложных срабатываний! – Развертывание, внедрение и защита в течении недель, а не месяцев 4 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  5. 5. «Кошмар» точечных решений • Device Control • Network DLP • Data Discovery • Host DLP • Email Filtering • Disk Encryption • Email Encryption GW • File Encryption • Web Filtering Отключенные Защищенная корпоративная сеть Граница/DMZ 5 Confidential McAfee Internal Use Only
  6. 6. Архитектура решений McAfee • Host DLP • Network DLP Discover • Network DLP Monitor • Device Control • Endpoint Encryption • Host DLP • Device Control • Endpoint Encryption • Encrypted Media SPAN Port or Tap • Network DLP Prevent MTA or Proxy Центр управления • ePolicy Orchestrator (ePO) Отключенные • Network DLP Manager корпоративная Защищенная сеть Граница/DMZ 6 Confidential McAfee Internal Use Only
  7. 7. McAfee Data Protection Suite Выбирайте, что вам нужно: • Полная защита • Необходимые компоненты Полная защита данных • ePolicy Orchestrator реализует отчетность для всех Data Protection продуктов • Network DLP Manager предоставляет более тонкие возможности управления, при полной интеграции с ePO Data Loss Prevention Endpoint Encryption Host DLP Network DLP EEPC Removable Media •Контроль над •DLP Manager •Пароль для •Кто имеет доступ к устройствами •Настройка и Windows? Этого мало чувствительным •Слежение за корректировка •Единый вход (SSO) данным? данными политик с течением •Защита EEFF •Предотвращение времени •EERM случайных и •Интеграция с ePO •И даже аппаратное намеренных утечек шифрование! See slide‘s notes section for ePO integration details. 7 Confidential McAfee Internal Use Only
  8. 8. Почему DLP для хостов необходим? • Только DLP на хосте может защитить от: – Копирования на внешние носители – Записи CD/DVD – Печати документов – Отправки данных по https и прочим шифрованным протоколам • Только DLP на хосте может предоставить защиту в режиме офф-лайн 8 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  9. 9. Каналы Host Data Loss Protection Физические устройства • USB Сетевые каналы • Принтеры • Email • CDDVD • HTTP Web Post • IM, ICQ • FTP 9 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  10. 10. Компоненты Host DLP Host DLP Management Device Control DLP Engine 10 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  11. 11. Host DLP Management • Агенты централизованно устанавливает ePO • Политика DLP назначается из ePO • Интеграция с Active Directory • Гранулированные политики для пользователей • Централизованный сбор событий DLP 11 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  12. 12. Device Control MCAFEE DLP FOR A DYNAMIC WORLD August 20, 2010 Confidential McAfee Internal Use Only
  13. 13. McAfee Device Control • Основан на технологии McAfee Data Loss Prevention ePO • Контентная и контекстная блокировка устройств Политики События • Управление копированием данных на внешние носители Serial/Parallel Other • Полный контроль над любыми внешними CD/DVD устройствами WI/IRDA FireWire Bluetooth USB 13 Confidential McAfee Internal Use Only
  14. 14. Device Control • Управление на уровне – Съемных носителей – Устройств Plug-and-play • Гибкое определение устройств – Например, по уникальным Vendor/Product ID – Или, например, по Serial Number • McAfee Encrypted USB определены заранее 14 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  15. 15. Device Control • Реакция – Блокирование – Мониторинг – Уведомление – Доступ «Только чтение» (для съемных носителей) • Реакция может быть разной для состояний Online/Offline 15 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  16. 16. Host DLP MCAFEE DLP FOR A DYNAMIC WORLD August 20, 2010 Confidential McAfee Internal Use Only
  17. 17. Поток DLP Форсирование Пометка данных| Неизменность правил Классификация меток реагирования 17 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  18. 18. Методы теггирования/классификации • На основании содержимого • На основании приложения • На основании местоположения • Вручную • Теги именуются 18 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  19. 19. Классификация по содержимому • Классификация по: – Регулярным выражениям (например, номер кредитной карты) – Ключевым словам (например, финансовые термины) • Могут применяться пороговые значения – Например, критичным будет обнаружение 10-ти и более номеров кредитных карт в одном документе 19 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  20. 20. Теггирование по приложению • Данные помечаются в соответствии с приложением, которое их сгенерировало • Наиболее частое применение – Файлы без текста: графика, разработка игр и пр. 20 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  21. 21. Теггирование по местоположению • Данные помечаются в зависимости от места хранения – Например, помечать все файлы взятые из папки общего доступа servershare • Теггирование может уточняться: – Тип файла – Расширение файла – Содержимое файла 21 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  22. 22. Постоянство тегов • Host DLP следит за тегами по мере изменения их носителя: – Переименование файлов – Изменение формата (например, .doc -> .txt) – Копирование/Вставка – Архивирование – Шифрование 22 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  23. 23. Правила реагирования • Форсирование политики DLP • Для каждого канала свои правила • Возможные реакции: – Блокирование – Мониторинг – Уведомление пользователя – Сохранение улики – Принудительное шифрование • Может применяться к состояниям Online/Offline 23 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  24. 24. Типы правил реагирования • Электронная почта • Съемные носители • Печать • Размещение в Web • Сетевые соединения • Копирование по сети • Снимок экрана 24 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  25. 25. Дополнительные функции • Привилегированные пользователи – Блокировки превращаются в мониторинг • Возможность генерации временного ключа обхода правил DLP 25 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  26. 26. Network DLP MCAFEE DLP FOR A DYNAMIC WORLD August 20, 2010 Confidential McAfee Internal Use Only
  27. 27. McAfee Network Data Loss Prevention Компоненты •―Monitor‖: Захват всего трафика •―Prevent‖: Блокировка Web и Email •―Discover‖: Где прячется информация? •―Network Manager‖: Управление Технические данные • iGuard 1650 — 1RU chassis w/ 16GB RAM — 500GB RAID1-protected SATA2 datastore McAfee iGuard 1650 McAfee iGuard 1650 capacity — Up to 10Mbps WAN supports remote offices or small data centers • iGuard 3650 — 3RU chassis w/ 16GB RAM — 6TB RAID5-protected SATA2 datastore capacity — Up to 1Gbps WAN supports enterprise data center locations McAfee iGuard 3650 27 Confidential McAfee Internal Use Only
  28. 28. Что делает нас уникальными? • Большинство DLP-решений требуют ЧТО Я ЗНАЮ ЧЕГО Я НЕ ЗНАЮ от вас ЗНАТЬ, что нужно защищать Create Create Rules Rules • Но как быть с тем, что вы for: for: НЕ УМЕЕТЕ искать? ? Marketing ─ Интеллектуальная собственность HIPAA Plans ? Product Plans ─ Маркетинговые планы ─ Прогнозы SSN ? Sales Forecast ─ Финансовые записи CNN ? Inventory Turn Reports • Способность McAfee ―ОБУЧАТЬСЯ” ? реализует адаптивную защиту ЧТО ТАКОЕ ОБУЧЕНИЕ? ─ Сила Google – в индексировании Интернета Сила Google: Сила McAfee: • Индексирование 1. Индексирование и ─ Обучение а-ля Google Интернета классификация всего фокусируется на передаваемой и • Когда вы делаете запрос – он говорит, где находится контента передаваемого по каналам связи хранящейся информации наиболее релевантная 2. Capture Index поможет: информация Повысить точность правил, проводить расследования и понять, ЧТО и ОТ КОГО защищать 28 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  29. 29. Knowledge Mining • Захват и индексирование Поиск по содержимому ‗confidential‘ всего контента • Обнаружение чувствительной Кто и куда отправил? информации • Расследование активности • Настройка правил Где это хранится в сети? 29 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  30. 30. McAfee Network DLP и ePO Data-in-Motion Incident Status (by Data-at-Rest Top Shares Host DLP Severity) Data-in-Motion Top Policies Data-at-Rest Top Policies System Health and Monitoring 30 Risk and Compliance Sales Accreditation Presentation August 20, 2010 Confidential McAfee Internal Use Only
  31. 31. Спасибо!

×