Uszczelniamy systemy ochrony Nieświadomi sabotażyści są wśród nas. Tomasz Zawicki CISSP Specjalista ds. Bezpieczeństwa IT
Jakimi systemami dysponujemy
Systemy obrony zasobów informatycznych Aktywne: Blokujące: Firewalle, kontrola dostępu Bronią przed znanymi zagrożeniami: IDS/IPS, NG-firewall. Anty-DDoS Wspomagające i monitorujące: Monitoring firewall i Zarządzanie podatnościami SIEM Zabezpieczenie przed atakami i zagrożeniami zdefiniowanymi w sygnaturach.
Incydenty bezpieczeństwa
Umyślne działanie Przed połową incydentów możemy się zabezpieczyć systemami sygnaturowymi Pracownik Do drugiej połowy musimy przygotować się we własnym zakresie Źródło: Electronic Privacy Information Center www.epic.org 2014r. Baza ok. 300 mln. Incydentów. Analiza 1380 wykazała utratę danych
Wycieki danych Incydenty czy norma?
Sprawcami 96% nieumyślnych wycieków danych są pracownicy Około 1% wycieków to działanie kodu złośliwego lub hakera Przez przeoczenie Niewłaściwie zaplanowany proces biznesowy Pracownik Źródło: Symantec Data Loss Prevention Risk Assessment findings
Identyfikacja wycieku danych
Sieciowo czy Endpoint owo Jak udostępniane są dane pomiędzy wieloma komputerami, smartfonami, tabletami? Pamięć USB lub płyta CD/DVD Wysłanie do siebie wiadomości z załącznikiem Dysk sieciowy Serwisy wymiany plików OneDrive, DropBox itp. Aplikacje pracy grupowej Synchroniz acja kopia zapasowa Inne Z wyjątkiem nośników optycznych i USB dane transmitowane są przez sieć. Nie wiem
Monitoring przepływu danych 69% wycieków lokalizują użytkownicy lub partnerzy 9% wycieków identyfikują klienci 22% wycieków lokalizują sami zainteresowani bezpieczeństwem danych Identyfikacja wycieku w 2012r. trwała średnio 7 miesięcy Partnerzy i pracownicy Klienci Źródło: Wycieki własności intelektualnej http://www.wipo.int/.../infog_2012_wipo.pdf
Zabezpieczenia przed utratą danych
Informatyczne systemy ochrony danych Integralność i dostępność: Backup Wydajne i wysokodostępne systemy IT oraz storage Zarządzanie tożsamością + kontrola dostępu Poufność: Bezpieczne kanały transmisji danych SSH, VPN, SMTP+PGP Szyfrowanie plików/dysków DLP ochrona przed wyciekiem danych Poufność w środowisku informatycznym może zapewnić połączenie środków proceduralnych i technicznych
Kto powinien odpowiadać za bezpieczeństwo danych?
Fakty i wnioski 33% przypadków wycieku danych doszło z winy pracowników IT To nie jest jedyna grupa, która powinna bronić danych 16% przypadków wycieku nastąpiło z winy firmy współpracującej Klasyfikacja informacji musi być widoczna Źródło: CyberARK
Fakty i wnioski cd. 88%administratorów jest gotowych zabrać ważne dane w przypadku odejścia z pracy Rozpoznawanie wycieku danych powinno opierać się o pasywny nasłuchu sieci lub w 100% wdrożony system DLP 74%securityofficerówwskazuje jako zagrożenie brak wiedzy administratorów Źródło: MediaRecovery
Fakty i wnioski cd. Lepiej zaangażować w ochronę użytkowników niż zapracowanych administratorów i działy bezpieczeństwa. Zespół bezpieczeństwa Pracownicy
Środki proceduralne Prawidłowa organizacja bezpieczeństwa informacji wymaga: Identyfikacji i inwentaryzacji zasobów informacyjnych Opracowania polityki klasyfikowania informacji Efektywne rozwiązania muszą funkcjonować w środowisku IT
Środki techniczne System klasyfikacji przyjazny użytkownikowi Umożliwiający jednoznaczne nadanie klasyfikacji tworzonym wiadomościom e-mail
Środki techniczne System klasyfikacji przyjazny użytkownikowi Umożliwiający jednoznaczne nadanie klasyfikacji tworzonym lub modyfikowanym plikom pakietu Office Szybki sukces - łatwe zwycięstwo
Środki techniczne Klasyczne systemy DLP Etapy wdrożenia siłami IT: Ietap data discovery-> tworzenie wzorców i skrótów II etap definiowanie polityk opartych o utworzone skróty III etap instalacja agentów na serwerach i stacjach roboczych Wady: Małe zaangażowani użytkowników Ostatecznie w środowisku produkcyjnym systemy działają w trybie monitorowania Duże spowolnienie środowiska pracy Szybka decyzja o wycofaniu się z projektu
Ochrona będzie tak dobra jak klasyfikacja Brak klasyfikacji skazuje nas na: Definiowanie skomplikowanych polityk DLP Przyjmowanie zleceń wykonywania nowych i modyfikacji istniejących polityk Zaawansowane systemy klasy network DLP Content fingerprinting, porównywanie wzorców z przetwarzaną zawartością. Systemy świadome przesyłanej treści - content aware np. Fidelis XPS
Pierwsze kroki w kierunku zabezpieczenia danych przed wyciekiem Inwentaryzacja informacji
Środowiska przetwarzania informacji 1. Narodziny informacji: Stacja robocza lub urządzenie mobilne 2. Lokalizacja danych: Stacja robocza lub urządzenie mobilne Pamięć przenośna Oprogramowanie do pracy grupowej Serwer np. plików lub poczty Dysk chmurowy (np. OneDrive)
Urządzenia mobilne - zagrożenia Smartfon- dostęp do służbowej poczty, otwierane załączniki Laptop zaginięcie lub kradzież Współużytkowanie przez członków rodziny Niedostateczne zabezpieczenie przed niepowołanym dostępem Dalsze przesyłanie wiadomości na prywatne skrzynki pocztowe
Główny problem: aktywne DLP, czy klasyfikacja?
Zabieranie pracy do domu? Rozpoznawanie wycieku oparte na pasywnym nasłuchu sieci Podczas testów przeprowadzanych u klientów firmy Passus praktycznie zawsze identyfikowana jest wysyłka poczty zawierającej załączniki o niepokojących nazwach : umowa z firmą ABC, czarna lista, lista płac, dane medyczne Jan Nowak Wysyłki do niezaufanych odbiorców -użytkowników bezpłatnych kont e-mail
Łagodny sposób perswazji Dlaczego tak się dzieje: Niska świadomość i/lub brak konsekwencji Jest to możliwe -systemy DLP pracują tylko w trybie monitorowania Załącznik ma wyższy poziom klasyfikacji niż wiadomość! Blokowanie
BYOD Bezpieczne dane na smartfonie Szyfrowany magazyn izolujący dane służbowe od prywatnych. Współpraca z MS RMS Możliwość definiowania polityk DLP kiedy i gdzie Pełne wsparcie klasyfikacji wiadomości i plików Aplikacja dla ios oraz Android Współpraca z Mobile Device Management
Sam system klasyfikacji może bardzo pomóc
Klasyfikacja korzyści z wdrożenia kompleksowego rozwiązania Zaangażowanie użytkowników Prowadzanie dzienników zdarzeń zapewnia rozliczalność. Użytkownik nadaje stałą klasyfikacje w postaci widocznej i w postaci metadanych Świadomość Widoczne oznaczenia dodawane do wiadomości e-mail i dokumentów informują odbiorców jak postępować Zgodność z regulacjami Spełnienie wymogów zawartych w PB Ochrona informacji Klasyfikacja może wymusić szyfrowanie jak i zapobiec wyciekowi przez zabezpieczenia brzegowe Edukacja użytkowników Poprzez interaktywne komunikaty z podpowiedziami nt. postępowania z informacją klasyfikowaną
Informacje techniczne -metadane
Nasłuch sieci Jak sieciowy system DLP lub SAD możne lokalizować transmisje sklasyfikowanych danych
Integracja Titusa Fidelis DLP Ambience SAD SIEM Endpoint DLP Microsoft RMS i FCI Microsoft Azure i Sharepoint
Podsumowanie
Dwa podstawowe obszary normy ISO 27001 - Problemy 1. Polityka bezpieczeństwa Nie możemy analizować treści poczty ponieważ zabrania tego polityka bezpieczeństwa 2. Organizacja bezpieczeństwa informacji Identyfikacja i inwentaryzacja zasobów informacyjnych Potrzebujemy systemu, który odkłada wszystkie informacje o przesyłanych danych Opracowanie polityki klasyfikowania informacji Rozwiązanie problemu wynikającego z zaniedbań organizacyjnych przekazywane jest do działu IT lub bezpieczeństwa IT
Podsumowanie -realia ochrony danych Sabotażyści: Specjaliści i użytkownicy, co ich łączy? Problemy: Praca w domui kontrola nośników mobilnych i dysków USB Monitoring środowiska DLP serwerowe + endpoint = Rozwiązana: Klasyfikacja i późniejsze wyszukiwanie sklasyfikowanych danych Zabezpieczenia poczty DLP dla urządzeń mobilnych
Q&A Czas na pytania
Dziękuję za uwagę Tomasz.Zawicki@passus.com.pl http://www.passus.com.pl/