Tomasz Zawicki CISSP Passus SA

Transkrypt

1 Utrata danych wrażliwych Tomasz Zawicki CISSP Passus SA

2 Źródła utraty danych Pracownicy Outsourcing Atak zewnętrzny

3 Monitoring przepływu danych 69% wycieków lokalizują użytkownicy lub partnerzy 9% wycieków identyfikują klienci 22% wycieków lokalizują sami zainteresowani bezpieczeństwem danych Identyfikacja wycieku w 2012r. trwała średnio 7 miesięcy Partnerzy i pracownicy Klienci Źródło: Wycieki własności intelektualnej

4 Zabezpieczenia przed utratą danych

5 Informatyczne systemy ochrony danych Integralność i dostępność: Backup Wydajne i wysokodostępne systemy IT oraz storage Zarządzanie tożsamością + kontrola dostępu Poufność: Bezpieczne kanały transmisji danych SSH, VPN, SMTP+PGP Szyfrowanie plików/dysków DLP ochrona przed wyciekiem danych Monitoring dostępu zdalnego/administracyjnego Poufność w środowisku informatycznym może zapewnić połączenie środków proceduralnych i technicznych

6 Kradzież danych

7 Umyślne działanie Przed połową incydentów możemy się zabezpieczyć systemami sygnaturowymi Pracownik Do drugiej połowy musimy przygotować się we własnym zakresie Źródło: Electronic Privacy Information Center r. Baza ok. 300 mln. Incydentów. Analiza 1380 wykazała utratę danych

8 Wycieki danych Incydenty czy norma?

9 Sprawcami 96% nieumyślnych wycieków danych są pracownicy Około 1% wycieków to działanie kodu złośliwego lub hakera Przez przeoczenie Niewłaściwie zaplanowany proces biznesowy Pracownik Źródło: Symantec Data Loss Prevention Risk Assessment findings

10 Fakty i wnioski 33% przypadków wycieku danych doszło z winy pracowników IT To nie jest jedyna grupa, która powinna bronić danych 16% przypadków wycieku nastąpiło z winy firmy współpracującej Klasyfikacja informacji musi być widoczna Źródło: CyberARK

11 Fakty i wnioski cd. 88% administratorów jest gotowych zabrać ważne dane w przypadku odejścia z pracy Rozpoznawanie wycieku danych powinno opierać się o pasywny nasłuch sieci lub w 100% wdrożony system DLP 74% security officerów wskazuje jako zagrożenie brak wiedzy administratorów Źródło: MediaRecovery

12 Kto powinien odpowiadać za bezpieczeństwo danych?

13 Specjalista vs User Lepiej zaangażować w ochronę użytkowników niż zapracowanych administratorów i działy bezpieczeństwa. Zespół bezpieczeństwa Pracownicy

14 Środki proceduralne Prawidłowa organizacja bezpieczeństwa informacji wymaga: Identyfikacji i inwentaryzacji zasobów informacyjnych Opracowania polityki klasyfikowania informacji Efektywne rozwiązania muszą funkcjonować w środowisku IT

15 Środki techniczne System klasyfikacji przyjazny użytkownikowi Umożliwiający jednoznaczne nadanie klasyfikacji tworzonym wiadomościom

16 Środki techniczne System klasyfikacji przyjazny użytkownikowi Umożliwiający jednoznaczne nadanie klasyfikacji tworzonym lub modyfikowanym plikom pakietu Office Szybki sukces - łatwe zwycięstwo

17 Zabieranie pracy do domu? Rozpoznawanie wycieku oparte na pasywnym nasłuchu sieci Podczas testów przeprowadzanych u klientów firmy Passus praktycznie zawsze identyfikowana jest wysyłka poczty zawierającej załączniki o niepokojących nazwach : umowa z firmą ABC, czarna lista, lista płac, dane medyczne Jan Nowak Wysyłki do niezaufanych odbiorców - użytkowników bezpłatnych kont

18 Łagodny sposób perswazji Dlaczego tak się dzieje: Niska świadomość i/lub brak konsekwencji Jest to możliwe - systemy DLP pracują tylko w trybie monitorowania Załącznik ma wyższy poziom klasyfikacji niż wiadomość! Blokowanie

19 Bezpieczne dane na smartfonie BYOD Szyfrowany magazyn izolujący dane służbowe od prywatnych. Współpraca z MS RMS Możliwość definiowania polityk DLP kiedy i gdzie Pełne wsparcie klasyfikacji wiadomości i plików Aplikacja dla ios oraz Android Współpraca z Mobile Device Management

20 Korzyści Miękkie - zaangażowanie użytkowników To oni są przyczyną ~80% wycieków informacji To oni tworzą dokumenty/informacje To oni najlepiej znają wartość informacji Twarde - uszczelnienie rozwiązań DLP i innych Ochrona przed przypadkowym wyciekiem informacji

21 Wyciek danych w ruchu dozwolonym

22 Ruch dozwolony Jeśli ktoś ma dostęp do danych to znaczy, że może z nich korzystać. W taki sposób w jaki zechce. Nie możemy wszystkim zablokować całego ruchu i dostępu do danych

23 Nie można zablokować, ale można śledzić anomalie Nietypowe operacje na bazach danych Wadliwe procedury (np. niezlikwidowane konta byłych pracowników) Pobieranie wyjątkowo dużej liczby plików przez pracowników Nagły wzrost zapytań do baz danych Wykorzystywanie uprawnień administratora w celu dostępu do poufnych danych Zapomniane aplikacje lub hosty Udostępnianie folderów

24 Anonimizacja NIP REGON PESEL Rachunek bankowy Dowód osobisty Paszport Karta kredytowa Dowolny ciąg (regex)

25 Administracyjne sesje zdalne

26 Zdalny dostęp administracyjny dar czy przekleństwo Przyspiesza czas reakcji, obniża koszty Daje szerokie uprawnienia, a tym samym możliwość: Nieuprawnionego dostępu do danych, Kasowania lub modyfikacji informacji, Niedozwolonych operacji w systemie, A przy okazji: Duże środowisko = dużo kont i haseł, Problemy z audytem i rozliczalnością.

27 Zdalny dostęp jak się chronić Monitoring, kontrola i rejestracja zdalnych sesji

28 Monitoring i rejestracja zdalnych sesji administracyjnych

29 FUDO

30 Zasada działania sqeiloc1orbg1a3dq9ljljcm9hu sqeiloc1orbg1a3dq9ljljcm9hu YjCJZWAYkICHTCTAoywSBFr GW0XxG2IdU3A28SUsb4X3Staj GW0XxG2IdU3A28SUsb4X3Staj czap12ffomqijefxrw5tmzi5 51x20sM4XXEhzRdQNM0RPB2p 51x20sM4XXEhzRdQNM0RPB2p 2YykQ7ocEYewwRZ6CBMC8K root# komenda1 root# komenda1

31 Natywny klient RDP VNC SSH

32 Scenariusze wdrożenia 1/2 Tryb transparentny ssh p 22

33 Scenariusze wdrożenia 2/2 Tryb pośrednika

34 Korzyści Czynnik dyscyplinujący Personel obcy Personel własny Materiał szkoleniowy Wyciek danych wiemy co wyciekło

35 Q&A Czas na pytania

36 Dziękuję za uwagę