Jak technologia pomaga zaadresować wymagania rekomendacji D. Maciej Iwanicki Sr Systems Engineer

Transkrypt

1 Jak technologia pomaga zaadresować wymagania rekomendacji D Maciej Iwanicki Sr Systems Engineer 1

2 Symantec a Rekomendacja D Firma Symantec jest światowym liderem w zakresie zabezpieczeń, zarządzania systemami pamięci masowych, które pomagają firmom i klientom indywidualnym w bezpieczny sposób zarządzać danymi 2

3 Szyfrowanie oraz system DLP jest podstawą bezpieczeństwa informacji Tworzenie i wymuszanie polityk IT Control Compliance Suite Ochrona informacji Data Loss Prevention Suite and Encryption Autoryzacja osób Wydajne zarządzanie bezpieczeństwem Ochrona infrastruktury VeriSign Identity and Authentication IT Management Suite Symantec Protection Suites 3

4 Szyfrowanie (ang. Encryption) To proces polegający na zamianie tekstu jawnego (otwartego) szyfrogramem (tekstem zaszyfrowanym), którego treść można odtworzyć przy użyciu metod deszyfrowania. Tylko właściwa osoba posiadająca właściwy element (klucz) jest w stanie zdeszyfrować informacje i doprowadzić ją ponownie to tekstu jawnego. 4

5 Zapobieganie utracie danych (ang. DLP Data Loss Prevention), Content Aware DLP Rozwiązania te korzystają z centralnych reguł w celu daleko idącej analizy treści umożliwiającej identyfikowanie, monitorowanie i ochronę danych przechowywanych, przenoszonych i używanych. Nie ma potrzeby ręcznej ochrony danych, jak w przypadku szyfrowania. 5

6 Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach 6

7 Szyfrowanie informacji Dzisiejsze systemy Data Center Oddziały Punkty sprzedaży Ludzie Centrala

8 Ochrona danych na dysku Rekomendacja D: 9.13, 9.14, 19.5 Sytuacja Zgubienie/kradzież komputera przez prezesa/osobę posiadającą informacje o wysokim stopniu poufności. Przekazywanie sprzętu do naprawy. Wycofanie komputera z eksploatacji. Rozwiązanie Symantec Drive Encryption: szyfruje dane na laptopach oraz desktopach. Wynik Laptop został zaszyfrowany i dane znajdujące się na nim będą niedostępne dla osób nieupoważnionych. Ponieważ dane były zaszyfrowane, nie ma potrzeby raportować o utracie danych. 8

9 Ochrona plików na komputerach i serwerach Rekomendacja D: 9.32, 15.5, 19.5 Sytuacja Dokumenty infrastruktury teleinformatycznej przechowywane na serwerze plików lub lokalnie. Dokumenty o wysokim stopniu poufności przechowywane na serwerze plików do których administratorzy nie powinni mieć dostępu. Rozwiązanie Symantec File Share Encryption: Szyfruje pliki oraz foldery zarówno przechowywane lokalnie jaki i na udziałach sieciowych. Wynik Wszystkie dane przetrzymywane na komputerach oraz na udziałach sieciowych są zaszyfrowane. Dostęp do danych uzyskują tylko wskazane osoby. 9

10 10

11 Ochrona wiadomości pocztowych Rekomendacja D: 9.18, 18.9 Sytuacja Wymiana wiadomości pocztowych o wysokim stopniu poufności nie możność podglądnięcia wiadomości przez osoby niepowołane. Wymiana doświadczeń z przypadków naruszeń bezpieczeństwa. Rozwiązanie Symantec Desktop Encryption lub Gateway szyfruje/deszyfruje wiadomości pocztowe na desktopie lub też na wyjściu wiadomości z wyjściu z sieci (integracja z DLP). Wynik Wiadomości pocztowe zabezpieczone są przed opuszczeniem komputera. Administratorzy pocztowi nadal mają do nich dostęp na serwerze pocztowym, ale nie mogą ich odczytać. Kopia zapasowa wiadomości z serwera tez jest zabezpieczona. 11

12 12

13 Ochrona kopii danych Rekomendacja D: Sytuacja Transport kopii bezpieczeństwa poza siedzibę banku. Wymiana plików lub informacji elektronicznych poprzez niezabezpieczone protokoły, np. ftp. Rozwiązanie Symantec PGP Command Line: szyfruje/deszyfruje pliki z linii komend umożliwia integrację z innymi aplikacjami biznesowymi. Wynik Pliki kopii bezpieczeństwa pozostają zaszyfrowane. Pliki przesyłane w sieci są również zaszyfrowane, niedostępne dla osób nie posiadających właściwego klucza. 13

14 > pgp es dbdump.sql r admin@bank_a.com dbdump.sql:encrypt (0:output file dbdump.sql.pgp) Dystrybucja informacji Transfer plików Kopia danych 14

15 Dodatkowy klucz deszyfrujący Czym jest DKD? Zapewnia alternatywną metodę odszyfrowywania jeśli użytkownik jest niedostępny Alicja Administratorzy Bezpieczeństwo 15

16 Kompletna platforma do zarządzania Szyfrowanie całego dysku (FDE) Szyfrowanie urządzeń i poszczególnych plików FTP/Batch i kopie zapasowe Szyfrowanie Pliki/Foldery/Chmura Szyfrowanie wiadomości pocztowych na bramce Szyfrowanie wiadomości pocztowych End-to-End Zarządzanie Centralne zarządzanie aplikacjami do szyfrowania Symantec Encryption Management Server Zarządzanie kluczami PGP Key Management Server (KMS) Rozwiązania dla urządzeń mobilnych 16

17 Rekomendacja D a system Data Loss Prevention 17

18 Rozwiązanie Symantec chroni to co istotne Informacje o klientach Informacje przedsiębiorstwa Karty kredytowe Własność intelektualna Dokumentacja medyczna M&A i strategia Dane osobowe Audyt wewnętrzny Materiały finansowe Dane kadrowe 18

19 Przyczyny wycieku danych 19

20 Twarze DLP? Chodzi o ludzi... Nieświadomy/ nierozważny użytkownik wewnętrzny Użytkownik wewnętrzny o złych intencjach Ukierunkowane ataki 20

21 Rozwiązanie... Potrzebujemy więcej niż rozwiązania technologicznego. Gdzie znajdują się poufne dane? Jak są wykorzystywane? Jak najlepiej zapobiec ich utracie? IDENTYFIKACJA ŚLEDZENIE OCHRONA 21

22 Jak działa Symantec DLP Polityka chroniąca przed wyciekiem danych Detekcja Odpowiedź Zawartość Kontekst Akcja Powiadomienie Karty kredytowe Dane osobowe Własność intelektualna Kto? Co? Gdzie? Poinformuj Uzasadnij Zaszyfruj Zapobiegnij Użytkownik Manager Bezpieczeństwo Eskaluj Znajdz to. Napraw to. 22

23 Rekomendacja D a system Data Loss Prevention 23

24 DLP to ludzie Tomasz N. Nierozważny użytkownik wewnętrzny SYTUACJA: Poufne dane w niewłaściwym miejscu Rekomendacja D: 8.1, 19.5, inicjatywy sprzątania danych, klasyfikacji Detekcja i odpowiedź Problem Odpowiedź DLP Akcja Wynik Tomasz przypadkowo zapisuje dane osobowe/poufne na niechronionym udziale sieciowym Tomasz przechowuje na swoim komputerze dane, które nie powinny się tam znajdować Network/Endpoint Discover skanując znajduje wyeksponowane dane osobowe, Data Insight identyfikuje Tomasza jako właściciela danych Network/Endpoint Protect może: Poinformować Tomasza Zaszyfrować dane Przenieść dane Zaaplikować polityki DRM Szeroki zasięg skanowania danych Identyfikacja właściciela Szyfrowanie Naprawa przez właściciela Zabezpiecz swoje najbardziej wrażliwe dane zatrzymaj złośliwego użytkownika przed ich znalezieniem Nie przechowuj danych o istotnym znaczeniu w miejscach do tego nieprzeznaczonych 24

25 25

26 26

27 Skanowanie Serwer zarządzający 2 Agent wysyła informacje o incydencie do serwera zarządzającego 3 Serwer wysyła powiadomienie do użytkownika o naruszeniu polityki 1 Agent sprawdza pliki na komputerze, czy nie naruszają one ustawionych polityk Użytkownik Powiadom użytkownika Sieć LAN

28 28

29 29

30 DLP to ludzie Katarzyna W. Nierozważny użytkownik wewnętrzny Sytuacja: Kopiowanie danych poufnych na urządzenie przenośne Rekomendacja D: 14.x Edukacja pracowników Detekcja i odpowiedź Problem Odpowiedź DLP Akcja Wynik Katarzyna kopiuje dane poufne na urządzenie przenośne Katarzyna próbuje nieświadomie wysłać dane poufne Agent na komputerze analizuje informacje na podstawie polityk Monitorowanie, zapisanie zdarzenia, powiadomienie Automatycznie zaszyfruj korzystając z SEE Automatycznie zaszyfrowany plik Zrozumienie dokąd wędrują dane Zmiana zachowania użytkownika Lekki agent Zaufane urządzenie Polityki per grupa Automatyczne szyfrowanie 30

31 31

32 DLP to ludzie Anna L. Użytkownik wewnętrzny o złych intencjach SYTUACJA: Próba kopiowania informacji o klientach Detekcja i odpowiedź Problem Odpowiedź DLP Akcja Wynik Niezadowolony lub odchodzący pracownik kopiuje lub udostępnia poufne dane poprzez lub urządzenia zewnętrzne DLP monitoruje komputer i aktywność sieciową Informuje (ostrzega)użytkownika o jego czynach Informuje przełożonego, bezpieczeństwo, i/lub kadry Zatrzymuje transmisje lub kopiowanie Ciągłe monitorowanie PC Własne komunikaty Eskalacja incydentu Usunięcie zawartości Zasoby informacyjne nie odchodzą z pracownikiem Ludzie wiedzą, że są monitorowani 32

33 Architektura Symantec Data Loss Prevention Sieć LAN DMZ Storage Network Discover - Data Insight - Network Protect MTA lub Proxy Platforma Zarządzania Enforce Sieć Network Monitor - Network Prevent - Tablet Endpoint Endpoint Discover - Endpoint Prevent SPAN Port lub Tap 33

34 Incydenty na tydzień System DLP = Stałe obniżanie ryzyka Poziom wyjściowy Naprawa Redukcja ryzyka w czasie Competitive Trap Powiadamianie Ochrona 34

35 Rekomendacja D Niniejsza Rekomendacja ma na celu wskazanie bankom oczekiwań nadzorczych dotyczących ostrożnego i stabilnego zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tymi obszarami. Ryzyko to można określić jako niepewność związaną z prawidłowym, efektywnym i bezpiecznym wspieraniem działalności banku przez jego środowisko teleinformatyczne. 35

36 Idealne połącznie: DLP i szyfrowanie Gateway DLP: Znajdź Urządzenia zewnętrzne Szyfrowanie: Napraw Pliki, foldery 36

37 Dziękuję! Thank you! Maciej Iwanicki Copyright 2013 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. 37