DLP i monitorowanie ataków on-line Robert Kępczyński Senior Consultant
Jakimi kanałami wyciekają wrażliwe dane? 1. Styk z Internetem (poczta elektroniczna, Webmail, HTTP, etc.) 2. Zewnętrzne nośniki (pendrive, DVD, dyski przenośne, etc.) 3. Sieci bezprzewodowe (Wifi, bluetooth, IR) 4. Fotografowanie dokumentów i obrazów na monitorach 5. Wydruki 2
Co to jest DLP? DLP (Data Leak Protection) to system bezpieczeństwa, który za pomocą środków technicznych przeciwdziała wyciekom wrażliwych informacji. Świadome wynoszenie wrażliwych danych na zewnątrz przez pracowników (np. zasilanie WikiLeaks) Kopiowanie wrażliwych danych na zewnątrz przez hakera, któremu udało się przełamać zabezpieczenia kontroli dostępu Pomyłkowe wysłanie wrażliwych danych (np. emailem) Głównym celem DLP jest wspomożenie zasad ochrony informacji środkami technicznymi 3
Architektura systemu DLP Większość systemów DLP składa się ze zdalnych agentów i konsoli zarządzającej Konsola zarządzająca ustala polityki i reguły dla agentów oraz reaguje na przychodzące od nich alerty Agent działając zgodnie z regułami i politykami - monitoruje, powiadamia i blokuje nieuprawnione operacje na danych wrażliwych Agent może pracować w trybie host-based lub network-based 4
DLP z agentami network-based (Fidelis XPS) 5
Analiza treści przesyłanych przez sieć stanowi poważne wyzwanie 6
Czym różni się sieciowy DLP od firewalla i IDS/IPS? Firewall i IDS/IPS analizują tylko zawartość pojedynczego pakietu i wyszukują konkretnych ciągów znaków (sygnatury) Dane opakowane (zip, pdf, MS Word, Excel javascript, etc.) DLP rozkodowuje formaty i protokoły warstwy prezentacyjnej aby analizować wszystkie dane w całej sesji Przepływ danych w sesji 7
Proces rozpakowania i rozkodowywania pakietów w sieci HTTP WebMail Kanał Tekst MIME Format ZIP Dane PDF PPT Tekst Deflate Tekst Excel JavaScript Tekst 8
Fidelis XPS: DLP na poziomie sieci Fidelis XPS CommandPost Fidelis XPS Direct, Edge, Proxy, Mail Internet Intranet Fidelis XPS Internal 9
Rodzina produktów Fidelis XPS Fidelis XPS CommandPost jest centralnym systemem zarządzania Fidelis XPS Internal dekoduje oraz analizuje SMB i protokoły bazodanowe (Oracle, DB2) dla sesji klient-serwer Fidelis XPS Proxy pracuje z ICAP web proxy oraz dekoduje i analizuje dane zaszyfrowane przez SSL Fidelis XPS Mail śledzi zawartość poczty elektronicznej i załączników ------------------------------------- XPS Scout jest mobilną wersją XPS Direct wraz XPS CommandPost używaną do analizy ruchu w sieci w trybie transparentnym Fidelis XPS Scout 10
Fidelis XPS Proxy Fidelis XPS Proxy Intranet ICAP Web Proxy (BlueCoat) ICAP Internet Firewall / IPS ICAP umożliwia kontrolę treści w HTTP, HTTPS i FTP Fidelis XPS Proxy obsługuje interfejsy 10/100/1000 Mbps i może przetwarzać do 1 Gbps W przypadku niewłaściwego postępowania Fidelis XPS Proxy blokuje stronę i może przekierować na stronę edukacyjną 11 11
Jak dział Fidelis XPS Malware Detection Engine? Plik Spakowany malware Publicznie znany malware i jego warianty Rozpoznanie typu i rozpakowanie Analiza bazująca na sygnaturach Statyczna analiza wg algorytmów Polimorficzne i zindywidualizowane wirusy oraz zero-day exploit y Kryptoanaliza (Deszyfracja) Wirtualne wykonanie 12 Copyright 2012 12
DLP z agentami host-based (Verdasys Digital Guardian ) 13
Rodzina produktów Verdasys Digital Guardian Command Center: konsola zarządzająca wszystkimi agentami i kolektor zdarzeń od agentów Endpoint/Server Agent: kontroluje operacje dostępu do danych z punktu widzenia uprawnień użytkowników. Może pracować w trybie tajnym Virtual Agent: pełni tą samą rolę co normalny agent w środowisku wirtualnych stacji roboczych (Citrix, VMware, MS Hyper-V ) Mobile Agent (np. Digital Guardian ios App): kontroluje mobilne urządzenie od strony urządzenia oraz zasobów z których ściągane są dane 14
Architektura Verdasys Digital Guardian 15
Verdasys Digital Guardian Data Discovery Automatyczne wyszukiwanie ciągu znaków w 300 różnych formatach plików Skanowanie repozytoriów danych bez zainstalowanego agenta Generuje raporty z klasyfikacją danych oraz sposobami ich użycia 16
Digital Guardian Investigative Module (Verdasys) W przypadku krytycznych komputerów możemy śledzić wszystkie operacje, które mogą być użyte do wycieku danych: każdy zapis na zewnętrzny nośnik wydruk operacje Print-Screen, Cut/Paste każdy naciśnięty klawisz wiele innych Digital Guardian Investigative Module rejestruje wszystkie ryzykowne operacje i zabezpiecza je w logu. Metoda odstraszania zniechęca do nieautoryzowanych operacji na konsolach zarządzających krytycznych systemów i zapewnia pełny zestaw danych w przypadku dochodzenia 17
Co decyduje o udanym wdrożeniu DLP? O skuteczności systemu DLP decydują pierwsze kroki projektu: 1. Stworzenie obrazu aktualnej sytuacji (faza discovery ) - identyfikacja kanałów wycieku danych - oszacowanie skali wycieku danych oraz ich niewłaściwego użycia - identyfikacja aplikacji, które są podatne na łatwe wycieki 2. Planowanie i określenie wymogów (poprzez warsztat z dostawcą rozwiązania) - analiza wyników fazy discovery - określenie wymogów związanych z biznesem i prawem - zdefiniowanie architektury i umiejscowienia agentów - określenie możliwych przepływu danych, które zosatną poza kontrolą DLP 18
Monitorowanie ruchu w sieci Monitorowanie komputerów Blokowanie ruchu w sieci Blokowanie operacji w komputerach Redukcja ryzyka IBM Security Services Efektywność różnych agentów DLP Skomplikowanie 19
Dziękuję za uwagę 20