DLP (data leakage protection)

1. DLP (DATA LEAKAGE PROTECTION) MOŻLIWOŚCI OCHRONY INFORMACJI KRYTYCZNYCH PRZED ATAKAMI TYPU APT ARAZ BŁEDAMI LUDZKIMI. JAK Z SUKCESEM WDROŻYĆ DLP W ORGANIZACJI? Aleksander Raczyński araczynski@websense.com TRITON STOPS MORE THREATS. WE CAN PROVE IT.

2. Poznać to, czego nie znamy. Dowiedzieć się tego, czego nie wiemy. NIE MOŻNA SIĘ OBRONIĆ PRZED NIEWIDZALNYM ZAGROŻENIEM

3. Raport o zagrożeniach www.websense.com/2013ThreatReport 3

4. Ofiary są z reguły kierowane do Web’u Wektory ataku Recon Mobile Phishing Malware Web Email Redirects Social Media Exploit Kits XSS C n C Dropper Files 4

5. Wzrost zagrożenia ze strony Web Złośliwe witryny (URL) wzrost o 600% w skali światowej 5

6. Kraje, które najczęściej są gospodarzami Malware’u United States Russian Federation Germany China Moldova Czech Republic United Kingdom France Netherlands Canada 6

7. Zainfekowane witryny (wg. Kategorii) 1. 2. 3. 4. 5. Information Technology Business and Economy Sex Travel Shopping 85% zainfekowanych witryn zostało wykrytych na stronach „poprawnych”

8. Phishing • W coraz większym stopniu koncentruje się na celach komercyjnych i rządowych Top 5 Countries Hosting Phishing • 69% wiadomości phishingowych jest wysyłanych w poniedziałek i piątek • Bardziej celowy – Lokoalizacja – Wzrost tzw. Spearphishing’u 8

9. Malware • Staje się bardziej agresywny – 15% łaczy się w czasie pierwszych 60 sek. – 90% pobiera informacje – 50% wrzuca „dropper files” 9

10. Malware: HTTPS • Kluczowe ryzyko infekcji: HTTPS – ½ najpopularniejszych 20 witryn używa HTTPS – Łatwy do penetracji „ślepy kąt” dla bezpieczeństwa • Komunikacja do serwerów CnC 10

11. Kradzież danych Zagrożenie poprzez Insidera • Przypadkowa • Phishing • Dane osobowe (PII) • Karty kredytowe • ID (tożsamość) • Kradzież własności intelektualnej (IP) • Sektor rządowy • Sektor komercyjny • Zamierzona • Fizyczny dostęp • Elektronicznie 11

12. 01 02 03 04 05 06 07 RECON LURE REDIRECT EXPLOIT KIT DROPPER FILE CALL HOME DATA THEFT Jak działają bardziej wyrafinowane ataki?

13. Czy można się uchronić? 02 LURE RECON 01 Świadomość • • • • • • • Web & Email Facebook, Blogi, Tweety Spear-phishing Zaufany punk wejścia Celowe Dynamiczne Zgrane w czasie

14. Czy można się uchronić? 04 EXPLOIT KIT REDIRECT 03 Analiza Real-Time • Kod wykonywany w przeglądarce & active scripts • Analiza URL • Analiza Exploitów • Wileskładnikowa punktacja / rating • Proaktywność

15. • • • • • • Analiza Aplikacji Złośliwe PDFy Wielosilinikowy AV Pliki spakowane Dynamiczny DNS Botnety & CnC 05 06 CALL HOME Aktywna Ochrona DROPPER FILE Czy można się uchronić?

16. Czy można się uchronić? • Ochrona przed kradzieżą informacji • Technologia DLP • Monitorowanie informacji wypływających • Geolokacja • Szczegółowe Forensic & oraz raportowanie • Alerty / Priorytety 07 DATA THEFT Ograniczenie zakresu

17. TECHNOLOGIA DLP – MOŻLIWOŚCI, WDROŻENIE I PRAKTYCZNE UWAGI TRITON STOPS MORE THREATS. WE CAN PROVE IT.

18. Websense TRITON - Architektura

19. DLP - technologia i możliwości

20. Co to jest DLP? DLP = data loss prevention również data leak/leakage prevention DLP solutions (n.) “Products that, based on central policies, identify, monitor, and protect data at rest, in motion, and in use through deep content analysis.” – Rich Mogull (securosis.com), former Gartner analyst for DLP Rozwiązania DLP “Produkty, które w oparciu o centralne polityki, identyfikują, monitorują, oraz chronią dane w spoczynku, w ruchu, i w użyciu poprzez dogłębną analizę treści.” – Rich Mogull (securosis.com), były analityk DLP firmy Gartner

21. Gdzie rozwiązania DLP chronią wrażliwe informacje? Data in Motion Dane płynące do wewnątrz i na zewnątrz organizacji Data at Rest Data in Use Dane przechowywane w granicach naszej infrastruktury Podczas manipulacji przez różne aplikacje Data Discovery Data Usage (Endpoint) Typowe kanały komunikacyjne Repozytoria danych Monitorowane akcje (Endpoint)               Data Usage (Network) HTTP(S) FTP SMTP Instant Messangers Network Printer       Network Shares (NTFS, NFS, Novell) SharePoint Databases (via ODBC) Exchange Lotus Domino Pst files Endpoint Cut / Copy / Paste Print Print Screen Access Files Endpoint LAN/Web Removable Media Outlook / Lotus Plugin Printers (local, net)

23. Wybierz twój kraj i sektor

24. Wybierz interesujące Cię polityki

25. Przejrzyj reguły

26. Świadomość treści oraz kontekstu KONTEKST + Klasyfikatory informacji KTO •Websense User Service DOKĄD PreciseID Websense Web Intelligence Analiza statystyczna File Matching Regularne wyrażenia Kategorie / Słowniki

27. Strategie użycia rozwiązania 27

28. Dwa ekstremalne podejścia do DLP • Monitoruj wszystkich i wszystko – – – – Duża ilość incydentów  brak przejrzystości Tylko wartość dowodowa Brak wpływu na kulturę obchodzenia się z informacją Sugeruje nieufny stosunek do pracowników • Blokuj tylko kto czego wymagają przepisy – Strategia „alibi”? – Technologia DLP wykorzystana w małym stopniu – Brak dodatkowych informacji o informacjach wrażliwych

29. Moja sugestia: strategia pośrednia • Zalety: – Spełnienie wymagań prawnych – Dodatkowe wykorzystanie technologii w celu ochrony informacji – Dodatkowy efekt – podniesienia świadomości użytkowników • Utrudnienia (?) – Wypracowanie procesów biznesowych dotyczących informacji ważnych – Z reguły wymagana interakcja administratorów/helpdesku – Wypracowanie zasad obsługi incydentów

30. Zmiana modelu zachowań użytkowników

31. Technologia DLP jest Twoim sprzymierzeńcem! • Wewnętrzny PR dla technologii DLP – – – – Ochrona informacji jest ważna dla organizacji System monitoruje tylko nadużycia nie ingerując w Ochrona informacji chroni również pracownika przed ewentualnymi błędami Edukacja pracowników, podnoszenie ich świadomości nadrzędnym celem (konsekwencje wobec pracowników - ostateczność) • Aspekty prawne • DLP jest doskonałym narzędziem dla departamentu bezpieczeństwa – pozwala na rozpoznanie trendów i zagrożeń – Ma wpływ na kształtowanie polityki bezpieczeństwa – Pozwala wdrożyć istniejące zasady poiltyki bezpieczeństwa

32. Administracja i zarządzanie systemem 32

33. Zarządzanie Incydentami Wykonaj akcję Lista incydentów Złamane reguły Szczcegóły incydenu 33

34. Workflow incydentów oparty o powiadomienia pocztowe • Akcje możliwe z poziomu powiadomienia: – – – – – Zmiana rangi eskalowanie przypisanie incydentu ignorowanie etc.

35. Investigative Reports • Dostarczają wglądu do: – – – – Cele wycieku poprzez Web według kategorii Cele wycieku poprzez Email Źródła odpowiedzialne za wyciek informacji Polityki, które uległy naruszeniu • Używane są by: – – – – – Ustalić priorytety zagrożeń Ustalić potrzeby edukacji pracowników Wprowadzić poprawki polityk Zidentyfikować niedziałające procesy biznesowe Zademostrować zgodność z regulacjami prawnymi 35

36. Executive Summary Reports – Wykonywane automatycznie lub na żądanie – Czołowe incydenty na przestrzeni ostatnich 24 godzin – 30, 60, 90-dniowe raporty zbiorcze – Raporty Trendów – I wiele więcej… 36

37. Czy projekt się powiedzie? 37

38. Podsumowanie • Sukces projektu DLP zależy od kilku czynników: – Dobór odpowiedniej technologii DLP – Jasność celów, które powinny być osiągnięte dzięki projektowi DLP – Świadomość organizacji odnośnie wartości posiadanej informacji  kadra zarządzająca + departament bezpieczeństwa – Gotowość organizacji na zmiany  odpowiedni priorytet dla projektu

DLP (data leakage protection)

Estás leyendo una previsualización.

Eche un vistazo a continuación

DLP (data leakage protection)

Más Contenido Relacionado

Similares a DLP (data leakage protection) (20)

Más de Wydział ds. eZdrowia, Departament Polityki Zdrowotnej, Urząd Marszałkowski w Łodzi (20)

Más reciente (20)