Ochrona danych w urządzeniach mobilnych i nie tylko... Witold Mazanek witold.mazanek@solidex.com.pl niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań
Plan prezentacji Analiza rynku urządzeń przenośnych Oferta SOLIDEX w zakresie MDP McAfee EEPC McAfee EEFF Podsumowanie Pytania i odpowiedzi 2
Sytuacja na rynku urządzeń mobilnych Firma ubezpieczeniowa z listy Fortune 500 Posiadane urządzenia Zarejestrowane utraty W latach 2006-2009 w 2006 +49% 3127 39,000 2008 21,000 8,000 b.d. 14.9% +31% 2914 55,000 2008 38,000 7.7% 25,000 19,000 1219 59,000 2008 54,000 52,000 48,000 2.2% +5% 3
Główne zagrożenia dla danych 1 Zguba lub kradzież urządzeń mobilnych i laptopów 2 Nieautoryzowany transfer danych na urządzenia USB 3 7 Dostęp do poufnych danych przez nieautoryzowanych użytkowników 6 4 Brak świadomości treści oraz adekwatnej akcji na pojawiające się ataki 5 Drukowanie i kopiowanie danych klientów Trudności w określeniu, zlokalizowaniu oraz ochronie poufnych danych Kradzież tajemnicy firmowej przez pracowników 4
Ochrona danych wymaga zmiany podejścia Zarządzana infrastruktura bezpieczeństwa AV Utrata informacji Włamania Phishing NAC Spam Spyware Kradzież informacji Zewnętrzne ataki HIPS 5
Ochrona danych wymaga zmiany podejścia Łatwe do zgubienia Łatwe do wysłania Atrakcyjne dla złodzieja $490 $147 $147 $98 Wartość na rynku Black Market Dane muszą być chronione niezależnie od: Użycia Miejsca Urządzenia Sposobu dostępu 6
Jeżeli nie zmienimy podejścia to... 7
Kilka statystyk Według Gartnera, 47% danych należących do przedsiębiorstw jest przechowywanych na urządzeniach mobilnych 350 000 urządzeń mobilnych zostało skradzionych w ubiegłym roku 208 000 Smartfonów 31 469 PDA 11 303 Laptopów zostało pozostawionych w taksówkach największych miast świata w przeciągu 6 miesięcy! 8
Zrozumieć ryzyko Dane mają swoją wartość $980-$4,900 Trojan do kradzieży danych finansowych $490 Nr karty kredytowej z PIN $78-$294 Dane bilingowe $147 Prawo jazdy $147 Świadectwo urodzenia $98 Nr polisy ubezpieczeniowej $6-$24 Nr karty kredytowej $6 Logon i hasło do PayPal 9
Kilka przykładów z ostatniej chwili Przykład z życia firmy... 10
Jak się chronić?? Dwa główne zestawy narzędzi: Mobile Data Protection (szyfrowanie) Data Loss/Leakage Protection (ochrona przed wyciekiem) 11
Oferta SOLIDEX w zakresie MDP McAfee Endpoint Encryption for PC Endpoint Encryption for Files and Folders Endpoint Encryprion for Mobile Encrypted USB Total Protection for Data Data Loss Prevention Device Control Endpoint Encryption Encrypted USB Check Point Endpoint Security Full Disk Encryption Media Encryption Total Security 12
Rodzina McAfee Endpoint Encryption Endpoint Encryption for PC s (EEPC) Szybki czas szyfrowania Wydajne działanie, przeźroczyste dla użytkownika Mały wpływ na wydajność całego systemu Zintegrowane z konsolą epo mechanizmy wdrażania i raportowania Wsparcie dla kart inteligentnych, czytników biometrycznych i innych metod uwierzytelnienia Endpoint Encryption for Files & Folders (EEFF) Bez konieczności interakcji użytkownika pełna przeźroczystość Zintegrowane z konsolą epo mechanizmy wdrażania i raportowania Szyfrowanie zapisu na CD/DVD's Pełne szyfrowanie mediów przenośnych (removable media, USB stick) Encrypted USB Pełne centralne zarządzanie przez konsolę epo Odzyskiwanie hasła i danych Bez pozostawianiu śladu, brak problemów z kompatybilnością Endpoint Encryption for Mobile (EEM) Szyfrowanie urzadzeń Windows mobile, Wkrótce integracja z epo 13
14 Architektura Endpoint Encryption Podstawowe cechy 1 Pełne, centralne zarządzanie politykami szyfrowania w środowisku heterogenicznym Administrator zabezpieczeń Serwer katalogowy firmy 2 Pojedynczy punkt zarządzania uprawnieniami użytkowników 3 Synchronizacja kont na różnych urządzeniach i oprogramowaniu Zalety architektury 1 Centralny punkt raportowania i ustalania polityki zabezpieczeń 2 Integracja z zewnętrznymi bazami użytkowników Serwer plików Terminal server 3 Możliwa zdalne implementacja patchy i rozszerzeń 14
McAfee Endpoint Encryption for PC Sectory 0-62 Po włączeniu komputera, pierwsze startuje specjalny system operacyjny (RTOS). Wykonuje uwierzytelnienie w fazie pre-boot (PBA) za pomocą danych użytkownika hasło/token/karta inteligentna (np. certyfikat) Niepoprawne uwierzytelnienie w fazie preboot powoduje, że właściwy system operacyjny (Windows) nie jest uruchamiany i dane pozostają zaszyfrowane Po EEPC Przed FFPC SafeBoot Boot Master Boot Record Record Akjdf;auerpoaud;ajdsf;akj sdf;ajsdf;aslkjdf;ajkdf;ajks df;akjldsf;oiquewrpquwerf a;jkdf;quiipuqwerrpuqewrp quwerpqwuerpuqweef;asj dkfposdiufqpueq;kldnffasd ifjqpuqphidpaihgqpeiytpqo iadufpquerqpiuerequepwe uirqpuerasjdurpauqpuadfa nvkqerupqueerpajdf;aknq whrpquieasjdff;akljdpqyer aydhzcvna;knqw;lkntqera oidychva;knsdg;qehtjqpou erqpfdhja;vjna;vnaq;wehtq poeruqpwdfja;kvdna;cnva; hipoqiertqpwuefadjf;acvn: vcnkapijhpqoweurqwpeur a;dnkfa;lkdfnja;djpqouerq pweura;wdjfna;fkdvmnz;v ckma;jeqpoiuerpquer;adjf EEPC.fs a;dmva;zcvmkz;klcnvgae;i hrqopweytoyghsjgnvds;lfkj s rjtqiopaherapohdf;sjkv;sl kjdfmgwjrtpoiasiujgpzcjvm ;ajettwpouetpaoujfzkcvma ;jetpoawuertq;jaef;klamdv a;ehjitpwoeurahsasjn l as mfaqieurpqouera;sdjfjz;d mga;wehtpqoweaurs:djvf; asmsdt;peutpoawiuef;adjf m;amdva;shjtpoawuetaw;j ta;dmf;asdmfpaouerpquer ;admf/;azmdfa;jetpoawuer pqauerja;dfmna/szmvz;dsj fapouera;djf;z/mv/zmga;h pwaoieutpsjdg;zsmva;pih erpqoueras;jdkf;jadfpioay hrp890ayhraq;jfd;alkjm Sector 63 Początek OS Sector xxxxxxxxx 15
Uwierzytelnienie w Endpoint Encryption 16
McAfee Endpoint Encryption for PCs.DOC.XLS.APPS Pliki/Aplik. Lorem ipsum dolor sit amet 2 Lorem ipsum dolor sit amet 1 #$$%%#%%&& 4 #$$%%#%%&& 3 System Operacyjny Sterownik Szyfrujący Dysk twardy 1 Pliki są w pełni dostępne i widoczne dla autoryzowanych użytkowników i aplikacji 2 Pliki są konwertowane na sektory Sektory są składane w pliki 3 Sektory są szyfrowane w pamięci Zaszyfrowane sektory są odszyfrowane w pamięci 4 Zaszyfrowane sektory są zapisywane na dysk Sektory są odczytywane z dysku 17
Można szyfrować całe dyski, ale pojawiają się również inne problemy... Klasyfikacja dokumentów pod względem bezpieczeństwa Regulacje prawne Za duże zaangażowanie użytkownika Poufne informacje w różnych miejscach Wymuszenie polityki bezpieczeństwa dokumentów Współdzielenie zaszyfrowanych danych Rosnące użycie urządzeń przenośnych Endpoint Encryption for Files and Folders jest żeby pomóc 18
McAfee Endpoint Encryption File and Folder Encryption 1 Umożliwia ochronę w sposób bardziej granularny niż full-disk encryption 2 Serwer katalogowy Administrator 3 Pełna integracja z Windows Explorer 4 Automatyczna szyfracja i deszyfracja bez wpływu na wydajność pracy użytkownika i aplikacji Chroni pliki i foldery na stacjach desktop, laptopach i serwerach Komputer klient Komputer klient Komputer klient 5 Serwer plików 19
McAfee Endpoint Encryption for Files and Folders Persistent Encryption Technology Skalowalny i łatwy w użyciu, bazujący na filtrze plików nie tworzy wirtualnych dysków Zapewnia szyfrowanie zapewnia szyfrowanie pliku niezależnie od tego gdzie jest składowany Lokalnych plików i folderów Plików i folderów na serwerach Plików i folderów na urządzeniach przenośnych Szyfrowanie załączników poczty Zaszyfrowane pliki i foldery zawsze widoczne brak własnych formatów plików Wsparcie dla szyfrowania w środowiskach (Terminal Server,,NTFS, Novell i innych) 20
McAfee Endpoint Encryption for Files and Folders Jak działa Endpoint Encryption Files and Folders 1 1 Administrator tworzy grupy użytkowników lub importuje je z usług katalogowych takich jak Active Directory, Novell NDS lub PKI. 2 Serwer katalogowy Administrator 3 2 Klucze szyfrujące, polityki szyfrowania są tworzone Endpoint Encryption Management Center i są przypisane do użytkowników lub grup. Opcjonalnie można skonfigurować tokeny użytkowników 3 Klucze szyfrujące oraz polityki szyfrowania są 4 Komputer klient Komputer klient 5 Serwer plików Komputer klient dystrybuowane do komputerów podłączonych przez sieć. Klucze mogą być przechowywane lokalnie w celu umożliwienia pracy offline. 4 Pliki i foldery są automatycznie szyfrowane na lokalnym komputerze, oraz mediach przenośnych takich jak pamięci USB. Szyfrowanie jest w pełni transparentne dla użytkowników. 5 Pliki i foldery są automatycznie szyfrowane w zasobach sieciowych zgodnie ze zdefiniowaną polityką szyfrowania. Pliki i foldery mogą być również szyfrowane w środowisku usług terminalowych (Terminal Server). 21
McAfee Endpoint Encryption Szyfrowanie urządzeń mobilnych Ochrona danych wynoszonych na urządzeniach mobilnych poza firmę Tworzy zaszyfrowane, bezpiecznie miejsce składowania wrażliwych danych na urządzeniu mobilnym Obsługa silnej autentykacji użytkownika Zabezpiecza dane na urządzeniu mobilnym na wypadek zagubienia lub kradzieży Polityka szyfrownia urządzeń mobilnych jest określana centralnie 22
McAfee Encrypted USB Łatwe zarządzanie szyfrowaniem i wdrożenie poprzez centralną konsolę zarządzania - możliwe wdrożenia na dużą skalę Możliwość wykorzystania Active Directory dla określenia użytkowników i urządzeń Szyfracja i deszyfracja danych w sposób transparentny dla użytkownika Zapewnia bezpieczeństwo danych przez cały czas ich składowaniu na urządzeniu Silne szyfrowanie (AES 256-bit) testowane i przyjęte przez wiele organizacji rządowych Szyfrowanie jest wykonyane w sprzęcie, co oznacza, że klucz szyfrujący nigdy nie opuszcza urządzenia Certyfikacja FIPS 140-2 Do trzech możliwych parametrów autentykacji: hasło, biometryka i właściwe urządzenie "Zero-Footprint urządzenie nie zostawia żadanych śladów (klucze, oprogramowanie) na PC do którego było podłączone 23
Komponenty systemu i ich wymagania Management Center zawiera 2 podstawowe komponenty: baza obiektów (Object Database) - repozytorium dla przechowywania są kluczy, polityk szyfrowania, itp. aplikacja do zarządzania środowiskiem szyfrowania (Administration Application) Minimalne wymagania sprzętowe dla serwera zarządzającego (Management Center): Procesor: kompatybilny z Intel Pentium RAM: 128 MB (rekomendowane 512MB) Ilość miejsca na dysku: 200 MB Połączenie sieciowe: TCP/IP, statyczny adres IP Wymagania dla systemu operacyjnego dla serwera zarządzającego (Management Center) Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows Server 2003 24
Komponenty systemu i ich wymagania Pakiety instalacyjne oprogramowania agentów szyfrowania przygotowywane są na Mangement Center Wymagania produktu Endpoint Encryption for Devices: Wspierane platformy systemowe stacji użytkowników: Microsoft Windows 2000 through SP4 Microsoft Windows XP through SP2 Microsoft Windows 2003 Microsoft Vista 32bit and 64bit (wszystkie wersje) Microsoft Pocket Windows 2002 and 2003 Microsoft Windows Mobile 5.0/6.0 Minimalne wymagania sprzętowe dla stacji użytkowników Procesor: kompatybilny z Intel Pentium RAM: minimum 128 MB Ilość miejsca na dysku: 5 35 MB Połączenia sieciowe: TCP/IP dla zdalnej administracji Minimalne wymagania sprzętowe dla urządzeń mobilnych Procesor: minimum 195 MHz RAM: minimum 64 MB Połączenie sieciowe: TCP/IP dla zdalnej administracji Activesync 4.5 lub nowszy dla instalacji oprogramowania i update ów 25
Komponenty systemu i ich wymagania Wymagania systemowe produktu Endpoint Encryption for PC: Wspierane tokeny: ActivIdentity Smart Card ActivIdentity USB Aladdin etoken USB Charismathics USB DataKey Smart Card DOD CAC Smart Card Datev PKI Smartcard Embedded Infineon TPM Chip Estonian National ID Smart Card HP ProtectTools Smart Card IZN Certificate Smart Card Passfaces Password Only RSA SecurID RSA5100 Smart Card RSA SecurID SID800 PToken Identity Card SafeBoot Black Smart Card SafeBoot Red Smart Card SafeBoot Phantom Biometric USB Stick SafeNet IKEY 2032 USB Key Siemens CardOS 4.3b and 4.01a Smart Card Setec Identity Card Sony Puppy TEID Identity Card Telesec Identity Card Vasco Digipass 860 USB Key 26
Komponenty systemu i ich wymagania Wymagania systemowe produktu Endpoint Encryption for Files and Folders: System operacyjny: Windows NT4 (SP6 + IE5.5+), 2000 (wszystkie SP), XP SP1 i wyższe, Vista (32 i 64 bit) RAM: minimum 256MB Ilość miejsca na dysku: minimum 5MB Procesor: kompatybilny z Intel Pentium Łączność sieciowa: TCP/IP dla zdalnej administracji Obsługiwane systemy plików (lokalnie na komputerze użytkownika): NTFS, FAT32, FAT16, CDFS, UDFS Sieciowe udziały dyskowe: NTFS, FAT32, FAT16, NWFS (Novell 4) Wspierane tokeny: Aladdin etoken 32 MB and 64 MB SafeNet ikey RSA SID800 Generic PKI token module 27
Podsumowanie Problem ochrony danych na urządzeniach przenośnych istnieje Jest kilka metod ochrony, które wymagają zmiany podejścia: Albo zabronić przechowywania danych na urządzeniach mobilnych (obecnie nie możliwe) Albo stosować mechanizmy ochrony na skutek utraty urządzeń mobilnych Zastosować mechanizmy przed wyciekiem danych m.in. z urządzeń mobilnych 28
Pytania? 29
DZIĘKUJĘ ZA UWAGĘ! Witold.Mazanek@solidex.com.pl niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań