Uszczelniamy systemy ochrony

Transkrypt

1 Uszczelniamy systemy ochrony Nieświadomi sabotażyści są wśród nas. Tomasz Zawicki CISSP Specjalista ds. Bezpieczeństwa IT

2 Jakimi systemami dysponujemy

3 Systemy obrony zasobów informatycznych Aktywne: Blokujące: Firewalle, kontrola dostępu Bronią przed znanymi zagrożeniami: IDS/IPS, NG-firewall. Anty-DDoS Wspomagające i monitorujące: Monitoring firewall i Zarządzanie podatnościami SIEM Zabezpieczenie przed atakami i zagrożeniami zdefiniowanymi w sygnaturach.

4 Incydenty bezpieczeństwa

5 Umyślne działanie Przed połową incydentów możemy się zabezpieczyć systemami sygnaturowymi Pracownik Do drugiej połowy musimy przygotować się we własnym zakresie Źródło: Electronic Privacy Information Center r. Baza ok. 300 mln. Incydentów. Analiza 1380 wykazała utratę danych

6 Wycieki danych Incydenty czy norma?

7 Sprawcami 96% nieumyślnych wycieków danych są pracownicy Około 1% wycieków to działanie kodu złośliwego lub hakera Przez przeoczenie Niewłaściwie zaplanowany proces biznesowy Pracownik Źródło: Symantec Data Loss Prevention Risk Assessment findings

8 Identyfikacja wycieku danych

9 Sieciowo czy Endpoint owo Jak udostępniane są dane pomiędzy wieloma komputerami, smartfonami, tabletami? Pamięć USB lub płyta CD/DVD Wysłanie do siebie wiadomości z załącznikiem Dysk sieciowy Serwisy wymiany plików OneDrive, DropBox itp. Aplikacje pracy grupowej Synchroniz acja kopia zapasowa Inne Z wyjątkiem nośników optycznych i USB dane transmitowane są przez sieć. Nie wiem

10 Monitoring przepływu danych 69% wycieków lokalizują użytkownicy lub partnerzy 9% wycieków identyfikują klienci 22% wycieków lokalizują sami zainteresowani bezpieczeństwem danych Identyfikacja wycieku w 2012r. trwała średnio 7 miesięcy Partnerzy i pracownicy Klienci Źródło: Wycieki własności intelektualnej

11 Zabezpieczenia przed utratą danych

12 Informatyczne systemy ochrony danych Integralność i dostępność: Backup Wydajne i wysokodostępne systemy IT oraz storage Zarządzanie tożsamością + kontrola dostępu Poufność: Bezpieczne kanały transmisji danych SSH, VPN, SMTP+PGP Szyfrowanie plików/dysków DLP ochrona przed wyciekiem danych Poufność w środowisku informatycznym może zapewnić połączenie środków proceduralnych i technicznych

13 Kto powinien odpowiadać za bezpieczeństwo danych?

14 Fakty i wnioski 33% przypadków wycieku danych doszło z winy pracowników IT To nie jest jedyna grupa, która powinna bronić danych 16% przypadków wycieku nastąpiło z winy firmy współpracującej Klasyfikacja informacji musi być widoczna Źródło: CyberARK

15 Fakty i wnioski cd. 88%administratorów jest gotowych zabrać ważne dane w przypadku odejścia z pracy Rozpoznawanie wycieku danych powinno opierać się o pasywny nasłuchu sieci lub w 100% wdrożony system DLP 74%securityofficerówwskazuje jako zagrożenie brak wiedzy administratorów Źródło: MediaRecovery

16 Fakty i wnioski cd. Lepiej zaangażować w ochronę użytkowników niż zapracowanych administratorów i działy bezpieczeństwa. Zespół bezpieczeństwa Pracownicy

17 Środki proceduralne Prawidłowa organizacja bezpieczeństwa informacji wymaga: Identyfikacji i inwentaryzacji zasobów informacyjnych Opracowania polityki klasyfikowania informacji Efektywne rozwiązania muszą funkcjonować w środowisku IT

18 Środki techniczne System klasyfikacji przyjazny użytkownikowi Umożliwiający jednoznaczne nadanie klasyfikacji tworzonym wiadomościom

19 Środki techniczne System klasyfikacji przyjazny użytkownikowi Umożliwiający jednoznaczne nadanie klasyfikacji tworzonym lub modyfikowanym plikom pakietu Office Szybki sukces - łatwe zwycięstwo

20 Środki techniczne Klasyczne systemy DLP Etapy wdrożenia siłami IT: Ietap data discovery-> tworzenie wzorców i skrótów II etap definiowanie polityk opartych o utworzone skróty III etap instalacja agentów na serwerach i stacjach roboczych Wady: Małe zaangażowani użytkowników Ostatecznie w środowisku produkcyjnym systemy działają w trybie monitorowania Duże spowolnienie środowiska pracy Szybka decyzja o wycofaniu się z projektu

21 Ochrona będzie tak dobra jak klasyfikacja Brak klasyfikacji skazuje nas na: Definiowanie skomplikowanych polityk DLP Przyjmowanie zleceń wykonywania nowych i modyfikacji istniejących polityk Zaawansowane systemy klasy network DLP Content fingerprinting, porównywanie wzorców z przetwarzaną zawartością. Systemy świadome przesyłanej treści - content aware np. Fidelis XPS

22 Pierwsze kroki w kierunku zabezpieczenia danych przed wyciekiem Inwentaryzacja informacji

23 Środowiska przetwarzania informacji 1. Narodziny informacji: Stacja robocza lub urządzenie mobilne 2. Lokalizacja danych: Stacja robocza lub urządzenie mobilne Pamięć przenośna Oprogramowanie do pracy grupowej Serwer np. plików lub poczty Dysk chmurowy (np. OneDrive)

24 Urządzenia mobilne - zagrożenia Smartfon- dostęp do służbowej poczty, otwierane załączniki Laptop zaginięcie lub kradzież Współużytkowanie przez członków rodziny Niedostateczne zabezpieczenie przed niepowołanym dostępem Dalsze przesyłanie wiadomości na prywatne skrzynki pocztowe

25 Główny problem: aktywne DLP, czy klasyfikacja?

26 Zabieranie pracy do domu? Rozpoznawanie wycieku oparte na pasywnym nasłuchu sieci Podczas testów przeprowadzanych u klientów firmy Passus praktycznie zawsze identyfikowana jest wysyłka poczty zawierającej załączniki o niepokojących nazwach : umowa z firmą ABC, czarna lista, lista płac, dane medyczne Jan Nowak Wysyłki do niezaufanych odbiorców -użytkowników bezpłatnych kont

27 Łagodny sposób perswazji Dlaczego tak się dzieje: Niska świadomość i/lub brak konsekwencji Jest to możliwe -systemy DLP pracują tylko w trybie monitorowania Załącznik ma wyższy poziom klasyfikacji niż wiadomość! Blokowanie

28 BYOD Bezpieczne dane na smartfonie Szyfrowany magazyn izolujący dane służbowe od prywatnych. Współpraca z MS RMS Możliwość definiowania polityk DLP kiedy i gdzie Pełne wsparcie klasyfikacji wiadomości i plików Aplikacja dla ios oraz Android Współpraca z Mobile Device Management

29 Sam system klasyfikacji może bardzo pomóc

30 Klasyfikacja korzyści z wdrożenia kompleksowego rozwiązania Zaangażowanie użytkowników Prowadzanie dzienników zdarzeń zapewnia rozliczalność. Użytkownik nadaje stałą klasyfikacje w postaci widocznej i w postaci metadanych Świadomość Widoczne oznaczenia dodawane do wiadomości i dokumentów informują odbiorców jak postępować Zgodność z regulacjami Spełnienie wymogów zawartych w PB Ochrona informacji Klasyfikacja może wymusić szyfrowanie jak i zapobiec wyciekowi przez zabezpieczenia brzegowe Edukacja użytkowników Poprzez interaktywne komunikaty z podpowiedziami nt. postępowania z informacją klasyfikowaną

31 Informacje techniczne -metadane

32 Nasłuch sieci Jak sieciowy system DLP lub SAD możne lokalizować transmisje sklasyfikowanych danych

33 Integracja Titusa Fidelis DLP Ambience SAD SIEM Endpoint DLP Microsoft RMS i FCI Microsoft Azure i Sharepoint

34 Podsumowanie

35 Dwa podstawowe obszary normy ISO Problemy 1. Polityka bezpieczeństwa Nie możemy analizować treści poczty ponieważ zabrania tego polityka bezpieczeństwa 2. Organizacja bezpieczeństwa informacji Identyfikacja i inwentaryzacja zasobów informacyjnych Potrzebujemy systemu, który odkłada wszystkie informacje o przesyłanych danych Opracowanie polityki klasyfikowania informacji Rozwiązanie problemu wynikającego z zaniedbań organizacyjnych przekazywane jest do działu IT lub bezpieczeństwa IT

36 Podsumowanie -realia ochrony danych Sabotażyści: Specjaliści i użytkownicy, co ich łączy? Problemy: Praca w domui kontrola nośników mobilnych i dysków USB Monitoring środowiska DLP serwerowe + endpoint = Rozwiązana: Klasyfikacja i późniejsze wyszukiwanie sklasyfikowanych danych Zabezpieczenia poczty DLP dla urządzeń mobilnych

37 Q&A Czas na pytania

38 Dziękuję za uwagę