MID_McAfee_DLP_Vlad_Radetskiy_RU

McAfee Confidential—Internal Use Only
McAfee
Защита от утечек.
Эффективные инструменты.
Владислав Радецкий
vr@bakotech.com
15.10.2013

Инструменты защиты
McAfee Data Protection
Шифрование DLP
Жестких дисков
Файлов/каталогов
Клиент для
конечных точек
Устройства
сетевого уровня

Демо

McAfee Endpoint Encryption – варианты
Защита от НСД в случае кражи/утери ноутбука, изъятия серверов.
Обеспечение аутентификации по паролю/токену.
Защита от перебора паролей.
Работает под Windows и Mac.
Централизованное управление ключами шифрования.
Гибкие политики назначения ключей.
Решение проблем с «субординацией».
Пользователи могут не знать о том, что файлы зашифрованы.
Может создавать криптоконтейнеры на USB носителях.
Работает на клиентских редакциях Windows.
Drive Encryption
File and Media

McAfee DLP – методы классификации данных
Словари, текстовые шаблоны, устойчивые выражения
Используются для идентификации текстовых документов
Цифровые отпечатки, т.н. “fingerprints”, хеши файлов
Используются для файлов различного типа
Метки, т.н. “Tags”, метаданные, которые использует DLP Endpoint
Используются когда контент документов трудно формализовать

McAfee DLP Endpoint – варианты
Контроль устройств. Мониторинг, блокирование, r/o USB носителей.
С поддержкой «отпечатков», но без меток.
Входит в пакет Content Security Suite (легкий старт DLP)
Device Control + контроль действий пользователей (Email, Web, Print..).
Полный спектр механизмов классификации.
Кроме мониторинга и блокировки «умеет» осуществлять т.н. Discover
файловой системы рабочей станции.
Интегрируется с выборочным шифрованием файлов и каталогов.
Полный функционал на рабочих станциях и серверах*
* Включая сервера терминалов
** оба решения предназначены для Windows
Device Control
DLP Endpoint

McAfee DLP Endpoint – работа с устройствами
• «Белые»/«Черные» списки устройств
• Блокирование неявных каналов утечки
• «Понимает» разные классы устройств

McAfee DLP Endpoint – защита
• Контроль доступа приложений к документам
• Контроль буфера обмена
• Контроль электронной почты (Outlook + Lotus)
• Контроль доступа к файловой системе
• Контроль сетевых соединений + метки
• Блокирование PDF и XPS принтеров
• Контроль печати (локально + по сети)
• Контроль съемных носителей
• Блокирование снимков экрана + «ножницы»
• Контроль публикаций Web (IE + FF)
• Контроль различных устройств, включая:
– Контейнеры TrueCrypt
– Устройства тонких клиентов Citrix;
– Не системные жесткие диски…

McAfee DLP Endpoint – типы действий
• Блокирование
• Шифрование
• Мониторинг
• Обоснование запроса
• Теневая копия (подтверждение)
• Уведомление пользователя
* Действия одной политики
могут отличатся в зависимости
от состояния системы
Online/Offline

На что стоит обратить внимание
• Тех. специалистам
– Интеграция с AD, выборочные политики на группу или отдельного пользователя;
– Различные типы реакций в зависимости от состояния online/offline;
– Интеграция с шифрованием от McAfee или RMS от Microsoft;
– Централизованное развертывание из консоли ePO;
– Быстрая корректировка политик.
• Руководству
– Режим т.н. «обхода», когда блокировка отключается, но не мониторинг;
– Единый инструмент для серверов и рабочих станций;
– Оптимизация стоимости владения при широком функционале.

McAfee Network DLP – составляющие
Координирует работу остальных модулей
Отвечает за синхронизацию политик и хранение инцидентов
Manager
Discover
Monitor
Prevent
Осуществляет поиск, идентификацию и «дактилоскопию» данных
Которые хранятся в БД и на сетевых хранилищах
Пассивный перехват (sniffing) сетевых пакетов.
Обеспечивает поиск утечек и контроль исходящего трафика
Интегрируется с Web proxy (ICAP) и MTA (SMTP)
Модифицирует исходящий трафик, предотвращая утечки данных

McAfee Network DLP – анализ Web запросов
1. Клиент запрашивает страницу / пытается что-то отправить;
2. Запрос поступает на Web proxy (MWG);
3. Web proxy перенаправляет контент запроса на NDLP Prevent;
4. NDLP Prevent выполняет анализ и принимает решение;
5. Web proxy осуществляет принятое решение*.
*
Разрешить
Заблокировать

McAfee Network DLP – анализ электронной почты
1. Клиент отправляет письмо;
2. Почтовый сервер перенаправляет сообщение на MTA (MEG);
3. MTA передает письмо на NDLP Prevent;
4. Prevent анализирует содержимое и внедряет X-header;
5. MTA выполняет действие* в зависимости от заголовка.
*
Разрешить
Заблокировать
Зашифровать
Вернуть отправителю
Поместить в карантин
Переслать в СБ

McAfee Network DLP – схема внедрения

На что стоит обратить внимание
• Тех. специалистам
– Анализ больших объемов данных в сетевом трафике и на хранилищах;
– Защита от утечек на периметре не зависимо от источника;
– Автоматизация поиска, регистрации и обнаружения информации;
– Модульность (заказчик может развернуть столько устройств сколько ему необходимо);
– Интеграция сетевой части с клиентской = единая политика.
• Руководству
– Политика лицензирования;
– McAfee Content Security Suite (DLP + усиление защиты периметра);
– За счет методики Security Connected упрощается сопровождение системы.

Внимание
Если Вы хотите чтобы DLP система была не просто…
игрушкой

Внимание
А надежным инструментом защиты Ваших инвестиций и активов

О чем нужно помнить внедряя/используя DLP
• Принцип «установили и забыли» не работает!
• По максимуму, где можно, использовать шифрование
• Ставить пароли на BIOS Setup (boot from live CD/USB)
• Отбирать привилегии локального администратора
• Проводить инвентаризацию/стандартизацию ПО

• Новый софт = аудит политик DLP
• Нужно блокировать любой контент, который не проходит анализ*
* Пример:
Email и Web Gateway с легкостью обработают архив со степенью вложенности >20.
Но если архив будет зашифрован – DLP не сможет проанализировать содержимое.
Вывод – на Email и Web Gateway блокировать отправку зашифрованных вложений.

• DLP Endpoint должен быть в исключениях антивирусной системы
• В системных требованиях указано количество свободной оперативной памяти
• Модули Network DLP могут быть развернуты в виде ВМ или фирменного «железа»
• Email и Web Gateway не обязательны, но упрощают внедрение + доп. функционал
• Email Gateway помимо штатных функций может шифровать почту

• Каждый из модулей NDLP может работать отдельно, однако если нужно чтобы Prevent
мог блокировать передачу контента, который зарегистрировал Discover, оба устройства
нужно объединить через Manager
• Discover помимо «инвентаризации» и «дактилоскопии» может искать
зарегистрированные ранее документы и проводить операции по их:
– Удалению
– Перемещению
• Аналогичная функция есть в DLP Endpoint с возможностью поиска как
по файловой системе так и по PST/OST файлам.
Карантин/Удаление/Шифрование обнаруженных документов.
Включая применения ограничений RMS.

Источники полезной информации
• Официальный сайт McAfee - описание продуктов, пробные версии
http://www.mcafee.com/ru/
• Раздел McAfee на сайте БАКОТЕК - новости, мероприятия, пресс-релизы
http://bakotech.ua/vendor/mcafee/
• McAfee Ukraine Technical Club - технические заметки
https://www.facebook.com/McAfeeUkraineTechnical
• Мой личный блог - статьи на русском по настройке решений
https://radetskiy.wordpress.com/
• База знаний по продуктам McAfee - очень, очень много подсказок
http://kc.mcafee.com

Пару слов о себе
Работаю в Группе компаний БАКОТЕК.
Занимаюсь технической поддержкой проектов по ИБ.
Отвечаю за такие направления McAfee:
» Data Protection
» Email Security
» Web Security
» Endpoint Security
» Mobile Security
» One Time Password
» Security-as-a-Service
» Security Management
Vladislav Radetskiy
Technical Support Engineer
BAKOTECH GROUP
M: +380 95 880-7370
О: +380 44 273-3333
vr@bakotech.com

p.s.
• McAfee – это не только антивирус (более 70 решений в портфеле)
• Если у Вас есть насущные задачи в области ИБ – свяжитесь с нами*
• Мы* сможем:
– подобрать к вашим задачам оптимальные решения;
– провести толковую презентацию выбранных решений;
– помочь с PoC (т.н. «пилотный проект»);
– провести обучение ваших специалистов;
– оказать техническую поддержку.
* Мы = БАКОТЕК + наши партнеры по McAfee

Владислав Радецкий
facebook.com/McAfeeUkraineTechnical
radetskiy.wordpress.com
vr@bakotech.com

MID_McAfee_DLP_Vlad_Radetskiy_RU

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (7)

Similar a MID_McAfee_DLP_Vlad_Radetskiy_RU

Similar a MID_McAfee_DLP_Vlad_Radetskiy_RU (20)

Más de Vladyslav Radetsky

Más de Vladyslav Radetsky (20)

MID_McAfee_DLP_Vlad_Radetskiy_RU