Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
1. 1
Программный комплекс
DeviceLock 7.2 Endpoint DLP Suite.
Эффективная защита от утечек данных.
Презентация для конференции
Вахонин Сергей
Директор по ИТ
DeviceLock, Inc.
#codeIB
Челябинск,
19 сентября 2013 г.
2. 2
Факты
Более 70 000 клиентов и более 5 000 000 инсталляций по всему миру
Международный лидер
разработки
программных средств
для защиты
от утечек данных
с корпоративных
компьютеров (DLP)
Зарубежные офисы продаж и технической поддержки
США, Канада, Великобритания, Германия, Италия
Основана в 1996 году Штаб-квартира и основной офис разработки
находятся в Москве
Основной
разрабатываемый
продукт – DeviceLock
Endpoint DLP Suite
Крупнейшие инсталляции – более 70 тыс. компьютеров (США), более 30 тыс. (РФ)
Информация о компании
3. 3
в России
Примеры внедрения
«Опыт эксплуатации DeviceLock в Банке показал, что этот продукт является достаточно функциональным и
надежным, вопрос о его замене не рассматривался – и сегодня DeviceLock контролирует около 8000 рабочих мест. Также
мы видим, что разработчики системы DeviceLock постоянно совершенствуют свой продукт, наполняя его новым
востребованным функционалом, что дает нам надежду, что данный продукт и дальше будет сохранять свою
лидирующую позицию на данном рынке.».
Дмитрий Эдуардович Шпонько,
Начальник отдела защиты информации УИБ ДБ Банка ВТБ24
Информация о компании
4. 4
Награды и достижения
DeviceLock Endpoint DLP Suite
DeviceLock отмечен наградами и титулами рядом
авторитетных российских и зарубежных изданий и
независимых аналитических агентств
Независимая аналитическая компания The Radicati Group
признала компанию DeviceLock одним из ключевых
разработчиков DLP-систем в своем последнем детальном
аналитическом отчете “Content-Aware Data Loss Prevention
Market, 2013-2017”
DeviceLock DLP Suite 7.1 получил 5 звезд и знак
"Рекомендовано" от журнала SC Magazine в 2013 и 2012 г.г.
Максимальная оценка в 5 звезд дана по всем пунктам обзора:
функционал, простота
использования, производительность, документация, поддержка, це
на-качество
DeviceLock назван победителем ежегодного обзора 2013 года
“Выбор читателей” издания WindowSecurity.com
Компания Смарт Лайн Инк отмечена Золотой медалью
Национальной отраслевой премии «ЗУБР» в категории
«Кибербезопасность» за DeviceLock 7.2
Более 70 000 клиентов и более 5 000 000 инсталляций по
всему миру
5. 5
Каналы утечки данных
Проблематика утечки данных
Согласно исследованиям Ponemon Institute и Symantec, более 60%
увольняемых сотрудников «сохраняют за собой» конфиденциальные данные
своих компаний
Рост популярности облаков,
доступность мобильных устройств
Высокая доступность и емкость мобильных
устройств и устройств хранения данных
Социальные сети
Личные ящики веб-почты
и онлайн-службы мгновенных сообщений
Сайты облачных файловых хранилищ
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ РАБОЧИХ
СТАНЦИЙ АКТУАЛЬНО КАК НИКОГДА РАНЕЕ
6. 6
Skype становится межкорпоративным стандартом взаимодействия
Проблематика утечки данных
Более 300 миллионов активных пользователей
35% пользователей Skype – малый и средний
бизнес, основное средство коммуникаций
С 08.04.2013 прекращена поддержка Live
Messenger, пользователи переведены в Skype;
Microsoft объединила Lync и Skype; Skype
интегрирован в Outlook 2013/365
Поддерживается для любой ОС
Позволяет чат, быструю передачу файлов,
аудио- и видео-конференции
Все коммуникации в Skype зашифрованы,
перехват на уровне корпоративных шлюзов
невозможен
7. 7
Модель BYOD представляет огромную угрозу ИТ безопасности
Мобильные устройства
распространены повсеместно
Модель BYOD становится нормой
ДИЛЕММА «ПРЕДОСТАВЛЕНИЕ
ДОСТУПА - ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ»
Microsoft
RDP / RemoteFX
Citrix ICA/HDXCorporate Data
iPad’ы, iPhone’ы, iPod’ы, смартфоны и планшеты на
платформе Android и Windows, лэптопы и домашние
компьютеры
Традиционный сетевой периметр
неспособен контролировать личные устройства
Все они напрямую подключаются к корпоративной
сети и позволяют «вытаскивать» информацию из нее
Проблематика утечки данных
8. 8
Основные состояния данных и пути их миграции
Data in motion
Данные, перемещаемые по сетевым протоколам или
временно хранимые в памяти ПК с целью чтения или
изменения
Data in use
Активные постоянно редактируемые данные, физически
расположенные в хранилищах данных, съемных
носителях и т.п.
Data at rest
Пассивные данные, физически расположенные в базах и
хранилищах данных, таблицах, архивах, на ленточных
накопителях, устройствах резервного копирования и т.п.
9. 9
Шлюзовое решение с возможностью блокирования
• Перехват только сетевого трафика, невозможность контролировать устройства и зашифрованные сетевые
протоколы (Skype!), сложности с протоколами, защищенными SSL
• Относительная легкость развертывания и управления
• Низкая гибкость по отношению к пользователям
• Высокая защищенность от взлома
Необработанный сетевой трафик Обработанный сетевой трафик
Коммутатор
Прокси-сервер
DLP-шлюз
Рабочая станция
Лэптоп
Рабочая станция
Интернет
Сервер DLP
10. 10
Шлюзовое решение в режиме мониторинга
Коммутатор
Прокси-сервер
DLP-шлюзРабочая станция
Рабочая станция
Необработанный сетевой трафик
Интернет
Сервер DLP
Лэптоп
Интернет
• Перехват только сетевого трафика, невозможность контролировать устройства и зашифрованные сетевые
протоколы (Skype!), сложности с протоколами, защищенными SSL
• Относительная легкость развертывания и управления
• Низкая гибкость по отношению к пользователям
• Невозможность блокировать нежелательный трафик – реакция только на уже произошедшие инциденты
11. 11
Смешанное шлюзово-хостовое DLP-решение
DLP-шлюз
Рабочая станция
Рабочая станция
Агент DLP (Device Control, Skype control)
Сервер DLP
Лэптоп
Прокси-сервер
Необработанный сетевой трафик Обработанный сетевой трафик
Интернет
• Возможность контролировать зашифрованные сетевые протоколы и SSL-трафик, устройства и порты
• Необходимость развертывания на каждый компьютер в сети
• Высокая гибкость по отношению к пользователям
• Возможность блокировать нежелательный трафик для предотвращения утечек, а не выявления
• Повышенная нагрузка на каналы передачи данных
12. 12
Полностью хостовое DLP-решение
Коммутатор
Рабочая станция
Рабочий ноутбук
Рабочая станция
Интернет
Агент DLP Обработанный сетевой трафик
Сервер AD
Передача DLP-политик на агенты
Прокси-сервер
Сбор информации
Консоль администратора
Сервер DLP
• Полный контроль сетевого трафика с точки передачи данных, включая SSL-трафик; контроль устройств и портов
• Необходимость развертывания на каждый компьютер в сети
• Высокая гибкость по отношению к пользователям
• Возможность блокировать нежелательный трафик для предотвращения утечек, а не выявления
• Повышенная нагрузка на каналы передачи данных
13. 13
Основные сценарии применения DLP на предприятиях
Проблематика утечки данных
Наиболее часто встречающиеся задачи при внедрении DLP-системы для защиты от утечек
информации:
• отслеживание и предотвращение фактов передачи защищаемой информации c использованием
электронной почты по почтовым протоколам и через почтовые веб-сервисы (избирательное
блокирование и аудит каналов);
• отслеживание и предотвращение фактов передачи защищаемой информации в сеть Интернет по
сетевым протоколам HTTP, HTTPS, FTP, FTPS, через социальные сети (избирательное блокирование и
аудит перечисленных каналов);
• отслеживание и предотвращение фактов передачи защищаемой информации с использованием
Instant Messengers (избирательное блокирование и аудит каналов Skype, ICQ и ряда других);
• отслеживание и предотвращение фактов записи защищаемой информации на съемные носители
(избирательное блокирование и аудит USB-накопителей, оптических дисков, flash-носители и др.);
• отслеживание и предотвращение печати документов, содержащих защищаемую информацию
(избирательное блокирование и аудит печати на локальных, сетевых и виртуальных принтерах);
• отслеживание фактов хранения защищаемой информации на общие сетевые ресурсы;
• отслеживание и предотвращение копирования защищаемой информации из терминальных сессий (из
буфера обмена), контроль перенаправленных устройств в терминальных средах;
• создание и ведение архива переданных пользователями данных и файлов по сети Интернет, а также
через съемные накопители, принтеры и другие средства хранения и передачи информации в целях
дальнейшего криминалистического анализа и расследования инцидентов информационной
безопасности;
• создание подсистемы оперативного реагирования на ключевые инциденты информационной
безопасности;
• создание организационно-распорядительной документации как правовой основы деятельности
подразделения, ответственного за информационную безопасность.
14. 14
DeviceLock Endpoint DLP Suite
"С введением режима конфиденциального
документооборота на предприятии и
согласованного плана мероприятий по
обеспечению защиты информации от разного
рода угроз, руководство Завода приняло решение
использовать программное обеспечение
DeviceLock российской компании Смарт Лайн
Инк, как одно из средств защиты информации.
Отдел информационных технологий
Челябинского механического завода изучил
аналогичные программные продукты с целью
предотвращения утечки конфиденциальной
информации, и по наиболее приемлемому
соотношению цена/качество предпочтение было
отдано именно DeviceLock"
Михаил Мещеряков,
Начальник отдела информационных технологий
Комплекс состоит из трѐх взаимодополняющих
отдельно лицензируемых функциональных
компонентов
Контекстный
контроль
Контентный
контроль
DeviceLock
Контроль периферийных устройств и интерфейсов
подключения, централизованное управление
(инфраструктурное ядро архитектуры комплекса)
NetworkLock
Всесторонний контроль сетевых коммуникаций
ContentLock
Технологии контентного анализа и фильтрации
DeviceLock DLP Suite – первая российская DLP-система
15. 15
Архитектура программного комплекса DeviceLock
DeviceLock Endpoint DLP Suite
Терминальная сессия
Групповые политики
Контроллер домена
Active Directory
Сеть
Консоли управления
DeviceLock
Management Console
DeviceLock
Enterprise Manager
DeviceLock WebConsole
DeviceLock
GroupPolicy Manager
Агенты DeviceLock
Service
Компоненты
DeviceLock, NetworkLock,
ContentLock
(для физических компьютеров
и терминальных сессий)
DeviceLock Search Server
SQL Server Может быть использована бесплатная
редакция SQL Express для небольших сетей/объемов
хранения данных аудита и теневого копирования
DeviceLock Enterprise Server
Дополнительно лицензируется компонент DeviceLock
Search Server – по числу индексируемых документов
и записей в БД аудита и теневого копирования
Остальные компоненты и функции комплекса (консоли управления, апплеты, отчеты,
сервер DeviceLock Enterprise Server) не лицензируются и могут быть использованы в
любом количестве в соответствии с требованиями инфраструктуры организации
Программный комплекс DeviceLock Endpoint DLP Suite лицензируется строго по числу защищаемых компьютеров (т.е. тех, на которых
установлен Агент DeviceLock – DeviceLock Service или по числу защищенных терминальных сессий).
** Использование групповых политик контроллера домена Active Directory является опциональным, но наиболее оптимальным способом
развертывания и управления DeviceLock Endpoint DLP Suite.
* В архитектуре DeviceLock Endpoint DLP Suite отсутствует такой компонент, как выделенный сервер управления.
16. 16
Контролируемые каналы утечки данных
DeviceLock Endpoint DLP Suite
Флешки и другие съѐмные
носители с интерфейсом
подключения USB
Смартфоны
CD и DVD R/RW
Карты памяти стандартов
Compact Flash и SD
Bluetooth
Устройства, перенаправленны
е в терминальную сессию
iPad’ы, iPhone’ы и iPod’ы
Цифровые фотоаппараты
FireWire
Принтеры (канал печати)
Социальные сети
Корпоративная почта
(SMTP, MAPI)
Облачные
файлообменные сервисы
HTTP / HTTPS
Веб-почта
Службы мгновенных
сообщений, Skype
FTP / FTPS
Общие сетевые ресурсы
(SMB)
Telnet
Буфер обмена
Полностью программное решение, не
требующее дополнительных аппаратных
модулей
Защита от локальных утечек данных
непосредственно на источнике угрозы
Полная интеграция в групповые политики
Active Directory
17. 17
Рабочая станция
+
локальный DLP-агент
(Endpoint Agent)
Endpoint DLP-система
DeviceLock
Wi-Fi, 3G
Локальная
синхронизация
Съѐмные
носители
Локальные
принтеры
Локальная
сеть
Удаленная
терминальная
сессия (RDP)
Архитектура и контроль каналов в DeviceLock DLP
Сервер DLES Сервер AD
DeviceLock Endpoint DLP Suite
18. 18
Технологии для контроля данных
DeviceLock Endpoint DLP Suite
Детальное событийное протоколирование действий пользователей, административных
процессов и состояния комплекса, включая теневое копирование данных, с хранением их
в централизованной базе данных. Собственный сервер полнотекстового поиска данных.
Встроенная система построения отчетов, в т.ч. графических.
Интеграция с внешними программными и аппаратными средствами шифрования
съѐмных носителей (определение прав доступа к шифрованным носителям).
Задание разных политик для компьютеров в режимах online/offline с автоматическим
распознаванием режимов.
Оповещения системы безопасности о событиях в реальном времени.
Блокировка аппаратных кейлоггеров (USB и PS/2).
Гранулированный контроль доступа пользователей ко всем типам устройств и портов
локальных компьютеров, в т.ч. канала локальной синхронизации с мобильными
устройствами. Контроль наиболее применимых каналов сетевых коммуникаций.
Распознавание реального типа файлов для расширения возможностей контроля, аудита и
теневого копирования. Более 4 000 типов (форматов) файлов с возможностью расширения
для новых форматов.
Встроенная защита агентов от несанкционированных воздействий пользователей
и локальных администраторов. Автоматизированный мониторинг состояния агентов и
применяемых политик.
19. 19
Компонент DeviceLock: контроль устройств и интерфейсов
Устройства хранения данных,
буфер обмена
Флеш-накопители,
карты памяти
Интерфейсы
подключения
Терминальные сессии
и виртуальные среды
Канал
печати
Мобильные
устройства
Компонент DeviceLock обеспечивает контроль доступа к устройствам и интерфейсам, событийное протоколирование (аудит), тревожные
оповещения и теневое копирование, а также реализует такие функции, как Белые списки USB-устройств и CD/DVD носителей, защиту агента
DeviceLock от локального администратора, поддержку сторонних криптопродуктов, обнаружение и блокирование аппаратных кейлоггеров и др.
Компоненты комплекса DeviceLock Endpoint DLP Suite
20. 20
Компонент NetworkLock: защита от угроз сетевого происхождения
MAPI
SMTP
SMTP-SSL
Социальные
сети
Службы
мгновенных
сообщений
Сетевые сервисы
файлового обмена и
синхронизации,
внутрисетевые
файловые ресурсы
Почтовые
протоколы и
web-почта
Интернет-
протоколы
HTTP/HTTPS
FTP
FTP-SSL
Telnet
Компонент NetworkLock обеспечивает избирательный контекстный контроль каналов сетевых коммуникаций, событийное протоколирование
(аудит), тревожные оповещения и теневое копирование для них.
Компоненты комплекса DeviceLock Endpoint DLP Suite
21. 21
NetworkLock: Белый список сетевых протоколов
Возможности Белого списка могут быть с успехом использованы для расширенного
решения задачи контроля почтового трафика – можно ограничить область адресатов
почтовых сообщений до известных службе безопасности доменов, разрешить
использование только допустимых почтовых ящиков и сервисов и т.д.
По аналогии с Белым списком USB-устройств в модуле DeviceLock, в модуле NetworkLock реализован «Белый
список» сетевых протоколов, позволяющий гибко предоставлять доступ ключевым сотрудникам только к тем
сервисам и узлам, которые необходимы им для работы.
Компоненты комплекса DeviceLock Endpoint DLP Suite
Реализация сценария «минимальные привилегии»:
Расширенный гибкий контроль сетевых протоколов
в зависимости от ряда параметров
Диапазоны IP-адресов
Диапазоны портов
Типы протоколов и приложений
Идентификаторы локальных
пользователей/адреса
e-mail, имеющих право отправлять
мгновенные сообщения и почту
(Local Sender)
Допустимые получатели мгновенных
сообщений и почты (Remote Recipient)
22. 22
Компонент ContentLock: контентный анализ и фильтрация
Контентный анализ электронной
почты и веб-почты; служб
мгновенных сообщений,
социальных сетей и передаваемых
по сети файлов; канала печати,
съемных носителей и др. типов
устройств – в более чем 80 типах
файлов и документов.
Контентный анализ для
данных теневого копирования.
Комбинирование различных
методов фильтрации на базе
различных численных и логических
условий.
Поиск по ключевым словам с применением
морфологического анализа и использованием
промышленных и отраслевых словарей.
Анализ по шаблонам регулярных выражений с
различными условиями соответствия
критериям, в т.ч. встроенным.
Анализ по расширенным свойствам
документов и файлов, считывание отпечатков
Oracle IRM.
80+
Контроль данных в архивах и составных
файлов, детектирование текста в графике.
Компоненты комплекса DeviceLock Endpoint DLP Suite
23. 23
Технологии DeviceLock Virtual DLP
Доступ к корпоративным
данным –
только на время работы.
DLP-политики позволяют передачу между двумя средами только необходимых для сотрудников бизнес –
данных.
DLP-защита для виртуальных сред и BYOD-модели, основанной на виртуализации рабочих сред и
приложений, является универсальной и работает на всех видах личных устройств.
Использование виртуальной рабочей среды вместо локального контейнера.
Отсутствие зависимости от особенностей реализации мобильной платформы:
применимость на любых персональных устройствах (планшеты, лэптопы, тонкие клиенты, домашние
компьютеры с любыми операционными системами).
DLP-агент функционирует внутри терминальной сессии (в виртуальной среде).
Технологии Virtual DLP
DeviceLock: Интеграция DLP-технологий в терминальную среду.
24. 24
Используется
виртуальная рабочая
среда,
с подключением через
браузер по протоколу
HTML5 через RDP-
HTML5 прокси.
Локальные
устройства и буфер
обмена
перенаправлены в
терминальную сессию.
DeviceLock перехватывает обращения к перенаправленным устройствам и в
режиме реального времени осуществляет проверку, допустимы ли их
использование и специфические операции с данными.
DeviceLock проверяет содержимое (контент) передаваемых данных на предмет
их соответствия DLP-политикам.
Ведется аудит и теневое копирование передаваемых данных,
отправляются тревожные сообщения (алерты).
Сценарий использования DeviceLock для DLP-защиты в модели BYOD
Технологии Virtual DLP
25. 25
Пример использования DeviceLock для DLP-защиты в модели BYOD
Технологии Virtual DLP
На iPad используется приложение MS Outlook, с подключением через Remote Desktop (RDP).
Проверка контента передаваемых данных на предмет их соответствия DLP-политикам.
Аудит и теневое копирование передаваемых сообщений, алерты.
26. 26
Новая версия - DeviceLock 7.3!
DeviceLock Endpoint DLP Suite
Поддержка Microsoft Windows 8/8.1 и
Windows Server 2012
Агент для Mac-компьютеров
(ОС MacOS X 10.6.8 (Snow Leopard),
10.7 (Lion), 10.8 (Mountain Lion). )
Talking about IMs, indeed, Skype is the globally dominating platform. With more than a billion of registered users and 2 billion minutes of call traffic a day, it is already used by 35% of SMBs as their main communication media. And now, after Skype has become a Microsoft business, Microsoft is moving Skype to the enterprise market. Since tomorrow, there will be no Live Messenger and all its users will use Skype instead. Besides, Microsoft has already integrated Skype with Outlook 2013/365 and the integration with Lync is expected later this year.
Basically, the DeviceLock DLP solution helps organizations protect corporate computers against insiderdata leaks.The threatening variety of endpoint data leak scenarios can be seen from their propagation mechanics depicted on this diagram. From the technical standpoint, there are five distinctive channels through which corporate data could leak from an endpoint computer: - The first channel is wired network communications through Email, Web-mail, Instant Messaging, Social Networking, P2P networks, FTP, Web browsing, other network applications. - The second channel is Removable Memory and Storage Media, as well as other PnP devices (USB memory sticks, flash memory cards, MP3 players, digital cameras, CD/DVD, Floppy, etc.). - Third data leakage channel is wireless communications over 3G mobile networks and non-corporate Wi-Fi hotspots reachable for employee computers in the office. This threat vector is especially dangerous as all endpoint network communications in this case avoid DLP gateways and undetectably cross the corporate network perimeter. - Local printing (or technically speaking – Print Spooler) is another channel that could be used to print documents to locally-attached rogue printers without any control from the corporate IT department. - And the last but not least dangerous local channel is synchronization applications that perform data exchanges with locally connected personal smartphones and tablets. Among these applications are iTunes,Microsoft ActiveSync, Windows Mobile Device Center and others. By inspecting the context and the content of data access and transfer operations right on the protected computer and applying real-time controls as specified in DLP policies, DeviceLock stops leaks at their source – on corporate endpoints.