August 20, 2010 McAfee DLP Константин Здыбель БАКОТЕК
August 20, 2010
McAfee DLP
Константин Здыбель
БАКОТЕК
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 2
Потеря данных: Неизбежная катастрофа для компаний?
Усиление
нормативов
Финансовые потери
при разглашении
+
Защита данных: главный приоритет CISO
2007 CISO Survey
Рост числа моб.
устройств
USB Memory
Sticks
BlackBerry SmartPhone
Palm/Treo PocketPC
Laptops
Desktops
1995 2000 2005 2010
Sold Units
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 3
Страх неизвестного порождает тревогу
Нынешние продукты не решают эти задачи
«Где»
информация?
Как обеспечить защиту
«вовремя»? Как
«автоматизировать»
процессы для
снижения затрат на
аудит? «Какая»
информация
нуждается в
защите?
«Кто» должен
иметь
доступ?
Решенные
проблемы
Неудовлетво-
ренные
потребности
• Потери ноутбуков
• Потеря USB-устройств
• Обучение персонала
• Device Control
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 4
Два типа информации, которой нужна защита: Простая и Сложная
• Каждое DLP-решение может защищать очевидные данные
• До сих пор вы должны были знать, что защищать
– Множественные «команды», определения и политики
• McAfee Network DLP позволяет быстро изучить, какие данные важны!
– Правила и политики
– Хранение и индексация всего контента… нет ложных срабатываний!
– Развертывание, внедрение и защита в течении недель, а не месяцев
Confidential McAfee Internal Use Only
«Кошмар» точечных решений
5
Защищенная корпоративная сеть Граница/DMZ Отключенные
• Host DLP
• Data Discovery
• Email Filtering
• File Encryption
• Network DLP
• Email Encryption GW
• Disk Encryption
• Device Control
• Web Filtering
Confidential McAfee Internal Use Only 6
Архитектура решений McAfee
Защищенная корпоративная сеть Граница/DMZ
MTA or Proxy
SPAN Port or Tap
Отключенные
• Network DLP Monitor
• Network DLP Prevent
• Network DLP Discover • Host DLP
• Device Control
• Endpoint Encryption
• Host DLP
• Device Control
• Endpoint Encryption
• Encrypted Media
Центр управления
• ePolicy Orchestrator (ePO)
• Network DLP Manager
Confidential McAfee Internal Use Only
McAfee Data Protection Suite
7
Выбирайте, что вам нужно:
• Полная защита
• Необходимые компоненты
Data Loss Prevention Endpoint Encryption
See slide‘s notes section for ePO integration details.
Host DLP
•Контроль над
устройствами
•Слежение за
данными
•Предотвращение
случайных и
намеренных утечек
Network DLP
•DLP Manager
•Настройка и
корректировка
политик с течением
времени
•Интеграция с ePO
EEPC
•Пароль для
Windows? Этого мало
•Единый вход (SSO)
Removable Media
•Кто имеет доступ к
чувствительным
данным?
•Защита EEFF
•EERM
•И даже аппаратное
шифрование!
• ePolicy Orchestrator реализует отчетность для всех Data Protection продуктов
• Network DLP Manager предоставляет более тонкие возможности управления, при полной
интеграции с ePO
Полная защита данных
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 8
Почему DLP для хостов необходим?
• Только DLP на хосте может защитить от:
– Копирования на внешние носители
– Записи CD/DVD
– Печати документов
– Отправки данных по https и прочим шифрованным протоколам
• Только DLP на хосте может предоставить защиту в режиме офф-лайн
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 9
Каналы Host Data Loss Protection
Физические устройства
• USB
• Принтеры
• CD\DVD
Сетевые каналы
• HTTP Web Post
• IM, ICQ
• FTP
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 10
Компоненты Host DLP
Host DLP Management
Device Control DLP Engine
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 11
Host DLP Management
• Агенты централизованно устанавливает ePO
• Политика DLP назначается из ePO
• Интеграция с Active Directory
• Гранулированные политики для пользователей
• Централизованный сбор событий DLP
Confidential McAfee Internal Use Only
MCAFEE DLP FOR A DYNAMIC WORLD
Device Control
August 20, 2010
Confidential McAfee Internal Use Only 13
McAfee Device Control
• Основан на технологии McAfee Data Loss Prevention
• Контентная и контекстная блокировка устройств
• Управление копированием данных на внешние носители
• Полный контроль над любыми внешними устройствами
Serial/Parallel
CD/DVD
FireWire
USB
Bluetooth
WI/IRDA
Other
ePO
Политики События
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 14
Device Control
• Управление на уровне
– Съемных носителей
– Устройств Plug-and-play
• Гибкое определение устройств
– Например, по уникальным Vendor/Product ID
– Или, например, по Serial Number
• McAfee Encrypted USB определены заранее
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 15
Device Control
• Реакция
– Блокирование
– Мониторинг
– Уведомление
– Доступ «Только чтение» (для съемных носителей)
• Реакция может быть разной для состояний Online/Offline
Confidential McAfee Internal Use Only
MCAFEE DLP FOR A DYNAMIC WORLD
Host DLP
August 20, 2010
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 17
Поток DLP
Форсирование
правил
реагирования
Неизменность
меток
Пометка данных|
Классификация
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 18
Методы теггирования/классификации
• На основании содержимого
• На основании приложения
• На основании местоположения
• Вручную
• Теги именуются
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 19
Классификация по содержимому
• Классификация по:
– Регулярным выражениям (например, номер кредитной карты)
– Ключевым словам (например, финансовые термины)
• Могут применяться пороговые значения
– Например, критичным будет обнаружение 10-ти и более номеров кредитных карт в одном документе
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 20
Теггирование по приложению
• Данные помечаются в соответствии с приложением, которое их сгенерировало
• Наиболее частое применение
– Файлы без текста: графика, разработка игр и пр.
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 21
Теггирование по местоположению
• Данные помечаются в зависимости от места хранения
– Например, помечать все файлы взятые из папки общего доступа \\server\share
• Теггирование может уточняться:
– Тип файла
– Расширение файла
– Содержимое файла
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 22
Постоянство тегов
• Host DLP следит за тегами по мере изменения их носителя:
– Переименование файлов
– Изменение формата (например, .doc -> .txt)
– Копирование/Вставка
– Архивирование
– Шифрование
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 23
Правила реагирования
• Форсирование политики DLP
• Для каждого канала свои правила
• Возможные реакции:
– Блокирование
– Мониторинг
– Уведомление пользователя
– Сохранение улики
– Принудительное шифрование
• Может применяться к состояниям Online/Offline
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 24
Типы правил реагирования
• Электронная почта
• Съемные носители
• Печать
• Размещение в Web
• Сетевые соединения
• Копирование по сети
• Снимок экрана
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 25
Дополнительные функции
• Привилегированные пользователи
– Блокировки превращаются в мониторинг
• Возможность генерации временного ключа обхода правил DLP
Confidential McAfee Internal Use Only
MCAFEE DLP FOR A DYNAMIC WORLD
Network DLP
August 20, 2010
Confidential McAfee Internal Use Only
Компоненты
•―Monitor‖: Захват всего трафика
•―Prevent‖: Блокировка Web и Email
•―Discover‖: Где прячется информация?
•―Network Manager‖: Управление
Технические данные
• iGuard 1650 — 1RU chassis w/ 16GB RAM
— 500GB RAID1-protected SATA2 datastore capacity
— Up to 10Mbps WAN supports remote offices or small data centers
• iGuard 3650 — 3RU chassis w/ 16GB RAM
— 6TB RAID5-protected SATA2 datastore capacity
— Up to 1Gbps WAN supports enterprise data center locations
McAfee iGuard 1650 McAfee iGuard 1650
McAfee iGuard 3650
McAfee Network Data Loss Prevention
27
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 28
Что делает нас уникальными?
CNN
SSN
HIPAA
ЧТО Я ЗНАЮ
Create Rules for:
Inventory Turn Reports
?
Sales Forecast ?
Product Plans ?
Marketing Plans
?
?
ЧЕГО Я НЕ ЗНАЮ
Create Rules for:
Сила Google:
• Индексирование Интернета
• Когда вы делаете запрос – он говорит, где находится наиболее релевантная информация
Сила McAfee:
1. Индексирование и классификация всего контента передаваемого по каналам связи
2. Capture Index поможет: Повысить точность правил, проводить расследования и понять, ЧТО и ОТ КОГО защищать
ЧТО ТАКОЕ ОБУЧЕНИЕ?
• Большинство DLP-решений требуют от вас ЗНАТЬ, что нужно защищать
• Но как быть с тем, что вы НЕ УМЕЕТЕ искать?
─ Интеллектуальная собственность
─ Маркетинговые планы
─ Прогнозы
─ Финансовые записи
• Способность McAfee ―ОБУЧАТЬСЯ” реализует адаптивную защиту
─ Сила Google – в индексировании Интернета
─ Обучение а-ля Google фокусируется на передаваемой и хранящейся информации
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 29
Knowledge Mining
• Захват и индексирование всего контента
• Обнаружение чувствительной информации
• Расследование активности
• Настройка правил
Поиск по содержимому ‗confidential‘
Кто и куда отправил?
Где это хранится в сети?
Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 30
McAfee Network DLP и ePO
System Health and Monitoring
Host DLP Data-in-Motion Incident Status (by
Severity)
Data-at-Rest Top Shares
Data-at-Rest Top Policies Data-in-Motion Top Policies
Спасибо!