Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Обеспечение безопасности активов современного бизнеса с помощью криптографии

- управление 4-мя разными средствами шифрования из одной консоли,
- преимущества и отличия полнодискового шифрования от Intel Security,
- практические советы по использованию выборочного шифрования,
- интеграция выборочного шифрования с DLP для конечных точек,
- советы и замечания по шифрованию из личной практики.

  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Обеспечение безопасности активов современного бизнеса с помощью криптографии

  1. 1. . McAfee Confidential 1 Обеспечение безопасности бизнеса с помощью криптографии Владислав Радецкий radetskiy.wordpress.com vr@bakotech.com
  2. 2. Пару слов о себе Владислав Радецкий radetskiy.wordpress.com vr@bakotech.com С 2011 года работаю в Группе компаний БАКОТЕК. Занимаюсь технической поддержкой проектов ИБ. Отвечаю за такие направления McAfee: • Data Protection • Email Security • Endpoint Security • Mobile Security • ATD + TIE + MAR • Security-as-a-Service • Security Management
  3. 3. . McAfee Confidential 3 Intel Security – решения ИБ Управление ИБ Аналитика Защита Web Защита сети DLP Шифрование Защита серверов Контроль приложений Микросхемы Intel® on-premises | private cloud | public cloud | hybrid Лидер в производстве микросхем Компания основана в 1968 Цель: Обеспечить потребность людей в быстрых и надежных вычислительных устройствах. Лидер на рынке ИБ решений Компания основана в 1987 Приобретена Intel в 2010 Цель: Обеспечить защиту ИТ активов заказчиков Объединение разработок McAfee с продукцией Intel.
  4. 4. McAfee = ~ 70 решений, единая консоль управления DLP Encryption Web Gateway Endpoint Protection DB Protection MAR IPS MOVE SIEM TIE + ATD
  5. 5. ePO – основы: агент McAfee ePO McAfee Agent Endpoint Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса. Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
  6. 6. ePO – основы: агент McAfee ePO McAfee Agent DLP Endpoint Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса. Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
  7. 7. ePO – основы: агент McAfee ePO McAfee Agent DLP Drive Encryption FRP MNE Endpoint Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса. Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
  8. 8. Тезисы доклада  Зачем нам шифрование?  Инструменты шифрования Intel Security  [Практика] DLP + шифрование файлов  [Практика] Шифрование жестких дисков  Ответы на вопросы
  9. 9. Зачем нам шифрование? “There are two kinds of cryptography in this world: cryptography that will stop your kid sister from reading your files, and cryptography that will stop major governments from reading your files.” ~ (Криптография бывает двух типов: криптография, которая помешает читать ваши файлы вашей младшей сестре, и криптография, которая помешает читать ваши файлы людям из правительства) ~ Криптография (шифрование) – средство защиты приватности каждого человека, данных бизнеса. Брюс Шнайер Писатель, криптограф, ИБ эксперт https://www.schneier.com/books/
  10. 10. Зачем нам шифрование? Брюс Шнайер Писатель, криптограф, ИБ эксперт https://www.schneier.com/books/ 1. Прикладная криптография, 2-е издание. 2. Секреты и ложь. Безопасность данных в цифровом мире
  11. 11. Зачем нам шифрование? Нил Стивенсон Писатель (киберпанк) http://www.nealstephenson.com/books/ 1. Криптономикон (криптография на практике) 2. Лавина (просто шикарный киберпанк)
  12. 12. Зачем нам шифрование? Dan Boneh Professor Stanford University Cryptography (Coursera) https://www.coursera.org/course/crypto Практический бесплатный онлайн курс по шифрованию
  13. 13. Зачем нам шифрование?  Защита от несанкционированного доступа к данным (НСД) в случае  Кражи/утери устройства (в т.ч. и носителей)    * Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое. E : M -> C D : C -> M
  14. 14. Зачем нам шифрование?  Защита от несанкционированного доступа к данным (НСД) в случае  Кражи/утери устройства (в т.ч. и носителей)  Изъятия систем   * Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое. E : M -> C D : C -> M
  15. 15. Зачем нам шифрование?  Защита от несанкционированного доступа к данным (НСД) в случае  Кражи/утери устройства (в т.ч. и носителей)  Изъятия систем  Передачи техники в ремонт  * Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое. E : M -> C D : C -> M
  16. 16. Зачем нам шифрование?  Защита от несанкционированного доступа к данным (НСД) в случае  Кражи/утери устройства (в т.ч. и носителей)  Изъятия систем  Передачи техники в ремонт  Защиты от LiveCD/USB (DLP + инсайдер / обиженный сотрудник / ATP) * Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое. E : M -> C D : C -> M
  17. 17. Тезисы доклада  Зачем нужно шифровать данные?  Инструменты шифрования Intel Security  [Практика] DLP + шифрование файлов  [Практика] Шифрование жестких дисков  Ответы на вопросы
  18. 18. Инструменты шифрования Intel Security  File & Removable Media Protection 5.0 - шифрование файлов/каталогов
  19. 19. Инструменты шифрования Intel Security  File & Removable Media Protection 5.0 - шифрование файлов/каталогов  Drive Encryption 7.1.3 - шифрование дисков (Windows)
  20. 20. Инструменты шифрования Intel Security  File & Removable Media Protection 5.0 - шифрование файлов/каталогов  Drive Encryption 7.1.3 - шифрование дисков (Windows)  Management of Native Encryption 4.0 - управление BitLocker & FileVault
  21. 21. Инструменты шифрования Intel Security  File & Removable Media Protection 5.0 - шифрование файлов/каталогов  Drive Encryption 7.1.3 - шифрование дисков (Windows)  Management of Native Encryption 4.0 - управление BitLocker & FileVault  McAfee ePolicy Orchestrator 5.1.3 - единая консоль управления * не забываем про KB51109 – “Supported platforms & operating systems for McAfee products ” https://kc.mcafee.com/corporate/index?page=content&id=kb51109
  22. 22. Инструменты шифрования Intel Security McAfee ePO McAfee MNE (BitLocker) McAfee MNE (FileVault) McAfee Drive Encryption McAfee FRP McAfee DLP Endpoint
  23. 23. Инструменты шифрования Intel Security McAfee ePO McAfee MNE (BitLocker) McAfee MNE (FileVault) McAfee Drive Encryption McAfee FRP McAfee DLP Endpoint Conduit / Endpoint Assistant iOS And
  24. 24. Сценарий №1: “Нужно шифровать данные на носителях” Возможности выборочного шифрования: • Разделение доступа к зашифрованной информации • Защита от случайного/умышленного копирования • Шифрование файлов при передаче в облачные хранилища • Управление ключами = управление доступом к информации • Интеграция с агентом DLP Endpoint Модули защиты File & Removable Media Protection Management of Native Encryption Drive Encryption DLP Endpoint & Device Control Windows ATD + TIE MAR
  25. 25. Возможности полнодискового шифрования • Надежное шифрование Windows систем алгоритмом AES-256 • 6 вариантов восстановления доступа к данным • Поддержка XP, Vista, 7, 8.x, 10; 2003 – 2012 • Аутентификация по паролю, токену, смарткарте, отпечаткам • Поддержка SSO, AES-NI, GPT, UEFI … Модули защиты File & Removable Media Protection Management of Native Encryption Drive Encryption DLP Endpoint & Device Control Windows Сценарий №2: “Опасаюсь НСД к ноутбукам/серверам” ATD + TIE MAR
  26. 26. Сценарий №3: “Нужно контролировать данные на лету” Возможности агента DLP Endpoint: • Отслеживание и блокировка каналов: • Почта, печать, Web; • Skype, Viber, ICQ; • Облачные хранилища; • Внешние накопители; • Снимки экрана; • Буфер обмена • Может интегрироваться с выборочным шифрованием • Возможность обновить DeviceControl до DLP Endpoint • Поддерживает рабочие станции и сервера терминалов Модули защиты MAR ATD + TIE File & Removable Media Protection Management of Native Encryption Drive Encryption DLP Endpoint & Device Control Windows Macs
  27. 27. Короткая характеристика решения File and Removable Media Protection (FRP) • Симметричное шифрование локальных/сетевых файлов/каталогов (AES 256) • Шифрование внешних USB накопителей, CD/DVD, вложений электронной почты • Гибкое делегирование ключей (User based / System based)
  28. 28. Работа с CD/DVD и USB накопителями File and Removable Media Protection • Без шифрования/вручную/принудительно либо Read Only • (USB) возможность привязки накопителя к конкретной системе • (USB) возможность доступа на внешней системе (Windows & Mac) • Доступ к зашифрованному без необходимости доп. ПО
  29. 29. Делегирование доступа к документам на основе ключей File and Removable Media Protection
  30. 30. Делегирование доступа к документам на основе ключей File and Removable Media Protection
  31. 31. Делегирование доступа к документам на основе ключей File and Removable Media Protection К1 К2 К3 К4
  32. 32. Делегирование доступа к документам на основе ключей File and Removable Media Protection К1 К2 К3 К4
  33. 33. Доступ к файлам с мобильных устройств File and Removable Media Protection McAfee Drive Encryption McAfee FRP Android – уже есть (!) iOS – после НГ* само приложение в маркете есть, добавят поддержку FRP ключей • allows users to securely access encrypted files (FRP encrypted files) on their mobile device; • simplifies the process of recovering a forgotten credential for a PC encrypted with MDE.
  34. 34. Особенности использования или о чем следует помнить File and Removable Media Protection • Развертывается только на клиентские ОС Windows, тем не менее может шифровать документы на сетевых хранилищах • Может интегрироваться с McAfee Device Control / DLP Endpoint • Позволяет осуществлять доступ к зашифрованным файлам с мобильных устройств • Рекомендуется использовать для усиления с Drive Encryption • При шифровании CD/DVD методом Onsite Access Only нужно использовать Windows Burner, Nero либо Roxio • Отдельные накопители можно исключить из действия политики (KB75531) • Процессы и каталоги ОС и ПО не шифровать
  35. 35. Короткая характеристика решения Drive Encryption • Система FDE с поддержкой HDD, Opal, SED и SSD дисков • Широкий перечень поддерживаемых редакций Windows XP – 8.1 (KB79422) • Поддержка технологий: AES-NI, SSO, TPM, AMT, UEFI, GPT, Secure/Hybrid Boot… • Возможность добавить в pre-boot как доменных, так и недоменных пользователей • Поддержка различных токенов (KB79787) и кард-ридеров (KB79788) • Возможность сброса забытого пароля 6 разными способами • Симметричное шифрование секторов жесткого диска алгоритмом AES‐256-CBC • Для генерации случайных чисел DRBG использует HMAC SHA256 • Для аутентификации используется асимметричное шифрование RSA 2048 bit
  36. 36. Методы сброса пароля/восстановления доступа к зашифрованной системе Drive Encryption  Self-recovery - автономно  Admin recovery (challenge-response) - email, phone  EETech boot USB/CD - локально  DeepCommand on intel AMT systems - через Internet (IPsec)  Endpoint Assistant (Android & iOS devices) - автономно / 7.1  Self Service Portal (DPSSP) - через Internet / 7.2 Итого: 6 различных сценариев восстановления доступа
  37. 37. Короткая характеристика решения Management of Native Encryption • Контроль Apple FileVault и MS BitLocker средствами еРО • Два режима работы (report only & control) • При использовании MNE нет необходимости в MBAM сервере • Self Service Portal (DPSSP) • Поддержка DEGO для Mac • Периодическая ротация ключей восстановления • Поддержка устройств Windows To Go, Microsoft Surface Tablets
  38. 38. Три основных порта, необходимых для коммуникации Агент-Сервер ePO – основы: агент McAfee ePO McAfee Agent Encryption Endpoint 443 TCP 80 TCP 8081 TCP
  39. 39. Перечень систем ePO – основы: дерево систем Формируется • Вручную • Синхронизация с MS AD Возможна сортировка систем по • Тегам (меткам) • IP адресам/подсетям
  40. 40. Разделяем системы между группами ePO – основы: метки (теги) Могут назначаться • По критериям • Вручную (без критериев) Используются для • Сортировки систем • Выборочного запуска задач • Выбор. применения политик
  41. 41. Каждый модуль имеет свой набор политик ePO – основы: политики Политика My Default применяется сразу! Принцип управления: Создаем наборы политик и переключаем - наследование - по системам - по группам
  42. 42. Делегируем наборы разрешений ePO – основы: ролевая модель доступа Операции могут быть распределены между: • Администраторами (политики); • Help-Desk`ом (сброс паролей); • Инженерами (восстановление доступа); • Аудиторами/руководством (отчетность)…
  43. 43. Тезисы доклада  Зачем нам шифрование?  Инструменты шифрования Intel Security  [Практика] DLP + шифрование файлов  [Практика] Шифрование жестких дисков  Ответы на вопросы
  44. 44. Использование шифрования в правилах DLP 1. Принудительное шифрование файлов при записи на носитель
  45. 45. Использование шифрования в правилах DLP 1. Принудительное шифрование файлов при записи на носитель 2. Принудительное шифрование файлов при записи на сетевой каталог
  46. 46. Использование шифрования в правилах DLP 1. Принудительное шифрование файлов при записи на носитель 2. Принудительное шифрование файлов при записи на сетевой каталог 3. Принудительное шифрование файлов при передаче в облако
  47. 47. Использование шифрования в правилах DLP 1. Принудительное шифрование файлов при записи на носитель 2. Принудительное шифрование файлов при записи на сетевой каталог 3. Принудительное шифрование файлов при передаче в облако 4. Принудительное шифрование файлов при выполнении File System Discovery* * FS Discovery – задача проверки рабочих систем на наличие конфиденциальных документов
  48. 48. Тезисы доклада  Зачем нам шифрование?  Инструменты шифрования Intel Security  [Практика] DLP + шифрование файлов  [Практика] Шифрование жестких дисков  Ответы на вопросы
  49. 49. Правильная последовательность внедрения Drive Encryption  Выполнить резервное копирование важной информации с целевых систем  Настроить задачу синхронизации учетных записей из MS AD  Определить политики по отношению к дереву систем, назначить пользователей  Установить DEGO для проверки конфликтного ПО и SMART  Установить модули шифрования при неактивной политике (Encryption_OFF)  Активировать шифрование (Encryption_ON) с включенным Pre-Boot Smart Check  По завершению процесса перезагрузить систему и пройти pre-boot * Подробнее см. заметку в блоге
  50. 50. Полезные советы от автора вебкаста Реальные внедрения шифрования • (MA) C:Program FilesMcAfeeAgentcmdAgent.exe -s • (DE) Используйте Autobooting для регламентных работ (обновление ОС, ПО) • (DE) Всегда добавляйте в pre-boot сервисную учетную запись • (DE) Pre-Boot Smart Check требует ~10 перезагрузок перед началом шифрования • (DE) Automatic Repair Windows 8 off [ bcdedit /set {current} recoveryenabled No ] • (MNE) Помните про исключения из парольной политики и DEGO для Mac • (FRP) Ключи лучше деактивировать а не удалять, избегайте Local Keys • (FRP) Если ключи не приходят по RDP – выполните logon локально • (FRP) Шифрует файлы на уровне I/O, не сокетов(!) помнить о blocking process • (FRP) При шифровании накопителя возможно три сценария
  51. 51. Комплекты в которые входит шифрование • McAfee Complete EndPoint Protection – Business (защита конечных точек) • McAfee Complete Data Protection Advanced (DLP Endpoint + шифрование) • McAfee Complete Data Protection (Ширфование) • McAfee Complete Data Protection Essential (MNE + FRP)
  52. 52. Источники полезной информации  www.mcafee.com/expertcenter - каталог инструкций  https://kc.mcafee.com - база знаний  https://radetskiy.wordpress.com - мой блог  https://www.youtube.com/user/McAfeeTechnical - канал на YouTube  ftp://ftp.bakotech.com/Evaluation/Docs/ - документация на нашем FTP ftp login: mcafee ftp pass: mcafee
  53. 53. Мои заметки по шифрованию:  https://radetskiy.wordpress.com/2013/06/27/mcafee-encryption-intro/  https://radetskiy.wordpress.com/2014/04/24/mcafee-drive-encryption/  https://radetskiy.wordpress.com/2014/08/01/encryption-vrad-man-part1/  https://radetskiy.wordpress.com/2014/08/13/encryption-vrad-man-part2/  https://radetskiy.wordpress.com/2015/03/03/mcafee-encryption-2015tech/
  54. 54. Тезисы доклада  Зачем нужно шифровать данные?  Инструменты шифрования Intel Security  [Практика] DLP + шифрование файлов  [Практика] Шифрование жестких дисков  Ответы на вопросы
  55. 55. Владислав Радецкий radetskiy.wordpress.com vr@bakotech.com

    Sé el primero en comentar

    Inicia sesión para ver los comentarios

- управление 4-мя разными средствами шифрования из одной консоли, - преимущества и отличия полнодискового шифрования от Intel Security, - практические советы по использованию выборочного шифрования, - интеграция выборочного шифрования с DLP для конечных точек, - советы и замечания по шифрованию из личной практики.

Vistas

Total de vistas

641

En Slideshare

0

De embebidos

0

Número de embebidos

6

Acciones

Descargas

6

Compartidos

0

Comentarios

0

Me gusta

0

×