Документ описывает решения McAfee по защите данных и предотвращению утечек информации (DLP), включая использование модульных решений для контроля доступа и шифрования. Владислав Радецький делится опытом и инструментами, которые помогают защищать IT-активы в организациях, а также различными сценариями использования DLP. Основное внимание уделяется возможностям интеграции и контроля данных, а также эффективным мерам против утечек информации.

1. .
McAfee Confidential
1
Надежная защита от утечек
информации
в условиях современных тенденций ИТ
Владислав Радецкий
radetskiy.wordpress.com
vr@bakotech.com

2. 2012 – Англия, фото принца Уильяма
Зачем нужен DLP?

3. 2014 – Бразилия, чемпионат мира по футболу
Зачем нужен DLP?

4. 2015 – Франция, канал TV5Monde
Зачем нужен DLP?

5. 2015 – Англия, телепередача ВВС о Ватерлоо
Зачем нужен DLP?

6. Пару слов о себе
Владислав Радецкий
radetskiy.wordpress.com
vr@bakotech.com
С 2011 года работаю в Группе компаний БАКОТЕК.
Занимаюсь технической поддержкой проектов ИБ.
Отвечаю за такие направления McAfee:
• Data Protection
• Email Security
• Endpoint Security
• Mobile Security
• ATD + TIE + MAR
• Security-as-a-Service
• Security Management

7. .
McAfee Confidential
7
Intel Security – решения ИБ
Управление
ИБ
Аналитика Защита
Web
Защита
сети
DLP
Шифрование
Защита
серверов
Контроль
приложений
Микросхемы
Intel®
on-premises | private cloud | public cloud | hybrid
Лидер в производстве микросхем
Компания основана в 1968
Цель: Обеспечить потребность
людей в быстрых и надежных
вычислительных устройствах.
Лидер на рынке ИБ решений
Компания основана в 1987
Приобретена Intel в 2010
Цель: Обеспечить защиту ИТ
активов заказчиков
Объединение разработок McAfee с продукцией Intel.

8. McAfee = ~ 70 решений, единая консоль управления
DLP
Encryption
Web & Email
Gateway
Endpoint
Protection
DB
Protection
Vulnerability
Manager
IPS & NGFW
SaaS
SIEM
TIE + ATD

9. ePO – основы: агент
McAfee ePO
McAfee
Agent Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в
зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.
Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.

10. ePO – основы: агент
McAfee ePO
McAfee
Agent
VSE
Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в
зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.
Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.

11. ePO – основы: агент
McAfee ePO
McAfee
Agent
VSE
DLP
Encryption
HIPS
Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в
зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.
Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.

12. Тезисы доклада
 Инструменты защиты данных
 Пару историй из практики
 Возможности DLP
 Защита от утечек и не только
 Ответы на вопросы

13. Инструменты
 Device Control / DLP Endpoint - контроль устройств, отслеживание действий
 File & Removable Media Protection - выборочное шифрование файлов/каталогов/USB
 Drive Encryption - шифрование дисков, защита от НСД
 Management of Native Encryption - управление BitLocker & FileVault
 Компоненты EPS, ATD + TIE - интеграция защиты даных в общий комплекс

14. Инструменты для защиты информации
McAfee ePO
• McAfee MNE
• MS BitLocker
• McAfee Device Control
• McAfee MNE
• Apple FileVault
• McAfee DLP
• McAfee Drive Encryption
• McAfee File and Media

15. Тезисы доклада
 Инструменты защиты данных
 Пару историй из практики
 Возможности DLP
 Защита от утечек и не только
 Ответы на вопросы

16. Зачем нужен DLP?

17. Зачем нужен DLP?

18. Зачем нужен DLP?

19. Зачем нужен DLP?

20. Зачем нужен DLP?

21. Зачем нужен DLP?

22. Зачем нужен DLP?

23. Зачем нужен DLP?

24. Зачем нужен DLP?

25. Тезисы доклада
 Инструменты защиты данных
 Пару историй из практики
 Возможности DLP
 Защита от утечек и не только
 Ответы на вопросы

26. McAfee DLP – модульный комплекс решений
Data-in-Motion
Data-at-Rest
Data-in-Use
Типы данных Каналы утечек информации Модуль защиты
DLP Prevent
DLP Monitor
DLP Discover
DLP Endpoint
Почта Веб Сеть Skype,
Viber
АРМБД
Носители СнимокПечать
Общие
каталоги
Буфер
обмена

27. McAfee DLP – модульный комплекс решений
Switch
Data Repositories
Firewall
DLP Prevent
DLP MonitorEmail & Web
Gateway
DLP Discover
McAfee ePO
DLP Endpoint

28. Сетевые устройства DLP

29. Потенциальные источники утечек
Ноутбуки и
мобильные
устрйоства
1
Передача данных
через USB
накопители
2
НСД к хранилищам данных
7
Умышленная кража
сотрудником
4
Трудно отследить
используемые
документы
3
Копирование
либо распечатка
документов
5
Вирусы либо вторжения
злоумышленников
6

30. Апгрейд до полноценного DLP агента на конечных точках
Device Control –> DLP Endpoint
Контроль устройств. Мониторинг, блокирование, r/o USB носителей.
Интегрируется с выборочным шифрованием файлов и каталогов.
Классификация: 1) цифровые отпечатки; 2) текстовые шаблоны, словари
Не поддерживает метки (теги).
Device Control + контроль действий пользователей (Email, Web, Print..).
Классификация: 1) цифровые отпечатки; 2) текстовые шаблоны, словари; 3) метки
Операции Discover файловой системы и OST/PST архивов на рабочих станциях.
Интегрируется с выборочным шифрованием файлов и каталогов.
Поддерживает как рабочие станции так и серверные ОС, в т.ч. сервера терминалов*
* Оба решения поддерживают Windows и Mac OS
Сравнение возможностей – см. статью в моем блоге
Device Control
DLP Endpoint

31. Сценарий №1:
“Нужно контролировать данные на лету”
31
Возможности агента DLP Endpoint:
• Отслеживание и блокировка каналов:
• Почта, печать, Web;
• Skype, Viber, ICQ;
• Облачные хранилища;
• Внешние накопители;
• Снимки экрана;
• Буфер обмена
• Может интегрироваться с выборочным шифрованием
• Возможность обновить DeviceControl до DLP Endpoint
• Поддерживает рабочие станции и сервера терминалов
Модули
защиты
MAR
ATD + TIE
File & Removable
Media Protection
Management of Native
Encryption
Drive Encryption
DLP Endpoint & Device
Control
Windows
Macs

32. Методы классификации данных
Словари, текстовые шаблоны, устойчивые выражения
Используются для идентификации текстовых документов
Цифровые отпечатки, т.н. “fingerprints”, хеши файлов
Используются для файлов различного типа
Метки, т.н. “Tags”, метаданные, которые использует DLP
Endpoint
Используются когда контент документов трудно формализовать

33. Методы назначения меток
1. По приложению ( .xls, .xlsx созданные 1c.exe -> бухгалтерия)
2. По расположению (файлы взятые с serverfinance -> $)
3. По адрессной строке (файлы с http://crm -> документооборот)
4. Вручную (пункт контекстного меню -> руководителю ИБ)
5. При поиске информации на рабочих станциях
В последствии метки используються для отслеживания документа

34. Сценарий №2:
“Нужно шифровать данные на носителях”
34
Возможности выборочного шифрования:
• Разделение доступа к зашифрованной информации
• Защита от случайного/умышленного копирования
• Шифрование файлов при передаче в облачные хранилища
• Управление ключами = управление доступом к информации
• Интеграция с агентом DLP Endpoint
Модули
защиты
File & Removable
Media Protection
Management of Native
Encryption
Drive Encryption
DLP Endpoint & Device
Control
Windows
ATD + TIE
MAR

35. 35
Возможности полнодискового шифрования
• Надежное шифрование Windows систем алгоритмом AES-256
• 6 вариантов восстановления доступа к данным
• Поддержка XP, Vista, 7, 8.x, 10; 2003 – 2012
• Аутентификация по паролю, токену, смарткарте, отпечаткам
• Поддержка SSO, AES-NI, GPT, UEFI …
Модули
защиты
File & Removable
Media Protection
Management of Native
Encryption
Drive Encryption
DLP Endpoint & Device
Control Windows
Сценарий №3:
“Опасаюсь НСД к ноутбукам/серверам”
ATD + TIE
MAR

36. Работа DLP – сотрудник подключил флешку
1. Устройство отслежено
2. Черный / белый список ?
3. Если белый, то RO или RW ?
4. Если RW , то что менно можно записывать?
5. Если копирует важный документ – шифровать?

37. Работа DLP – попытка передать файл через...
Агент DLP позволяет блокировать обращение
приложений из черного списка к
конфиденциальным документам.
Т.е. попытка перетянуть/открыть файл будет блокирована

38. Работа DLP – облачные хранилища (DropBox и т.д.)
1. Отслеживать
2. Блокировать
3. Шифровать

39. Работа DLP – почта
1. Отслеживать письмо
2. Блокировать отправку

40. Возможности DLP
Контроль содержимого
• Email, web
• Печать
• Буфер обмена
• Облака
• Приложения
. . .
Контроль устройств
• PlugnPlay
• USB Storage
• Доступ к файлам USB
. . .
Поиск информации
• По файловой системе
• В PST/OST файлах Outlook

41. Тезисы доклада
 Инструменты защиты данных
 Пару историй из практики
 Возможности DLP
 Защита от утечек и не только
 Ответы на вопросы

42. Пакеты EPS
Модули Endpoint Protection
Endpoint Protection
Advanced Suite
Complete Endpoint
Protection Business
(only 2k< users)
Complete Endpoint
Protection Enterprise
Suite
VSE for Windows √ √ √ √
VSE for Linux √ √ √ √
VSE for command line √ √ √ √
EPS for Mac √ √ √ √
HIPS for Windows (Desktop) √ √ √
Site Advisor (web-filtering) √ √ √ √
Firewall √ √ √ √
Device Control √ √ √ √
Application Control √
EMM (MDM) √ √
Encryption (DE + MNE + FRM) √
Security for Exch. & Lotus √ √ √ √

43. ATD + TIE

44. ATD + TIE + DLP
Агенты DLP а серверах и рабочих
станциях могут блокировать
доступ к конфиденциальной
информации со стороны
потенциально опасных
приложений, которые прошли
анализ по облаку intel (GTI) либо
через “песочницу” ATD
• McAfee DLP
McAfee ATD

45. Тезисы доклада
 Инструменты защиты данных
 Пару историй из практики
 Возможности DLP
 Защита от утечек и не только
 Ответы на вопросы

46. Владислав Радецкий
radetskiy.wordpress.com
vr@bakotech.com

47. Источники полезной информации
 www.mcafee.com/expertcenter - каталог инструкций
 https://kc.mcafee.com - база знаний
 https://radetskiy.wordpress.com - мой блог
 https://www.youtube.com/user/McAfeeTechnical - канал на YouTube
 ftp://ftp.bakotech.com/Evaluation/Docs/ - документация на нашем FTP
ftp login: mcafee
ftp pass: mcafee