Utrata danych wrażliwych Tomasz Zawicki CISSP Passus SA
Źródła utraty danych Pracownicy Outsourcing Atak zewnętrzny
Monitoring przepływu danych 69% wycieków lokalizują użytkownicy lub partnerzy 9% wycieków identyfikują klienci 22% wycieków lokalizują sami zainteresowani bezpieczeństwem danych Identyfikacja wycieku w 2012r. trwała średnio 7 miesięcy Partnerzy i pracownicy Klienci Źródło: Wycieki własności intelektualnej http://www.wipo.int/.../infog_2012_wipo.pdf
Zabezpieczenia przed utratą danych
Informatyczne systemy ochrony danych Integralność i dostępność: Backup Wydajne i wysokodostępne systemy IT oraz storage Zarządzanie tożsamością + kontrola dostępu Poufność: Bezpieczne kanały transmisji danych SSH, VPN, SMTP+PGP Szyfrowanie plików/dysków DLP ochrona przed wyciekiem danych Monitoring dostępu zdalnego/administracyjnego Poufność w środowisku informatycznym może zapewnić połączenie środków proceduralnych i technicznych
Kradzież danych
Umyślne działanie Przed połową incydentów możemy się zabezpieczyć systemami sygnaturowymi Pracownik Do drugiej połowy musimy przygotować się we własnym zakresie Źródło: Electronic Privacy Information Center www.epic.org 2014r. Baza ok. 300 mln. Incydentów. Analiza 1380 wykazała utratę danych
Wycieki danych Incydenty czy norma?
Sprawcami 96% nieumyślnych wycieków danych są pracownicy Około 1% wycieków to działanie kodu złośliwego lub hakera Przez przeoczenie Niewłaściwie zaplanowany proces biznesowy Pracownik Źródło: Symantec Data Loss Prevention Risk Assessment findings
Fakty i wnioski 33% przypadków wycieku danych doszło z winy pracowników IT To nie jest jedyna grupa, która powinna bronić danych 16% przypadków wycieku nastąpiło z winy firmy współpracującej Klasyfikacja informacji musi być widoczna Źródło: CyberARK
Fakty i wnioski cd. 88% administratorów jest gotowych zabrać ważne dane w przypadku odejścia z pracy Rozpoznawanie wycieku danych powinno opierać się o pasywny nasłuch sieci lub w 100% wdrożony system DLP 74% security officerów wskazuje jako zagrożenie brak wiedzy administratorów Źródło: MediaRecovery
Kto powinien odpowiadać za bezpieczeństwo danych?
Specjalista vs User Lepiej zaangażować w ochronę użytkowników niż zapracowanych administratorów i działy bezpieczeństwa. Zespół bezpieczeństwa Pracownicy
Środki proceduralne Prawidłowa organizacja bezpieczeństwa informacji wymaga: Identyfikacji i inwentaryzacji zasobów informacyjnych Opracowania polityki klasyfikowania informacji Efektywne rozwiązania muszą funkcjonować w środowisku IT
Środki techniczne System klasyfikacji przyjazny użytkownikowi Umożliwiający jednoznaczne nadanie klasyfikacji tworzonym wiadomościom e-mail
Środki techniczne System klasyfikacji przyjazny użytkownikowi Umożliwiający jednoznaczne nadanie klasyfikacji tworzonym lub modyfikowanym plikom pakietu Office Szybki sukces - łatwe zwycięstwo
Zabieranie pracy do domu? Rozpoznawanie wycieku oparte na pasywnym nasłuchu sieci Podczas testów przeprowadzanych u klientów firmy Passus praktycznie zawsze identyfikowana jest wysyłka poczty zawierającej załączniki o niepokojących nazwach : umowa z firmą ABC, czarna lista, lista płac, dane medyczne Jan Nowak Wysyłki do niezaufanych odbiorców - użytkowników bezpłatnych kont e-mail
Łagodny sposób perswazji Dlaczego tak się dzieje: Niska świadomość i/lub brak konsekwencji Jest to możliwe - systemy DLP pracują tylko w trybie monitorowania Załącznik ma wyższy poziom klasyfikacji niż wiadomość! Blokowanie
Bezpieczne dane na smartfonie BYOD Szyfrowany magazyn izolujący dane służbowe od prywatnych. Współpraca z MS RMS Możliwość definiowania polityk DLP kiedy i gdzie Pełne wsparcie klasyfikacji wiadomości i plików Aplikacja dla ios oraz Android Współpraca z Mobile Device Management
Korzyści Miękkie - zaangażowanie użytkowników To oni są przyczyną ~80% wycieków informacji To oni tworzą dokumenty/informacje To oni najlepiej znają wartość informacji Twarde - uszczelnienie rozwiązań DLP i innych Ochrona przed przypadkowym wyciekiem informacji
Wyciek danych w ruchu dozwolonym
Ruch dozwolony Jeśli ktoś ma dostęp do danych to znaczy, że może z nich korzystać. W taki sposób w jaki zechce. Nie możemy wszystkim zablokować całego ruchu i dostępu do danych
Nie można zablokować, ale można śledzić anomalie Nietypowe operacje na bazach danych Wadliwe procedury (np. niezlikwidowane konta byłych pracowników) Pobieranie wyjątkowo dużej liczby plików przez pracowników Nagły wzrost zapytań do baz danych Wykorzystywanie uprawnień administratora w celu dostępu do poufnych danych Zapomniane aplikacje lub hosty Udostępnianie folderów
Anonimizacja NIP REGON PESEL Rachunek bankowy Dowód osobisty Paszport Karta kredytowa Dowolny ciąg (regex)
Administracyjne sesje zdalne
Zdalny dostęp administracyjny dar czy przekleństwo Przyspiesza czas reakcji, obniża koszty Daje szerokie uprawnienia, a tym samym możliwość: Nieuprawnionego dostępu do danych, Kasowania lub modyfikacji informacji, Niedozwolonych operacji w systemie, A przy okazji: Duże środowisko = dużo kont i haseł, Problemy z audytem i rozliczalnością.
Zdalny dostęp jak się chronić Monitoring, kontrola i rejestracja zdalnych sesji
Monitoring i rejestracja zdalnych sesji administracyjnych
FUDO
Zasada działania sqeiloc1orbg1a3dq9ljljcm9hu sqeiloc1orbg1a3dq9ljljcm9hu YjCJZWAYkICHTCTAoywSBFr GW0XxG2IdU3A28SUsb4X3Staj GW0XxG2IdU3A28SUsb4X3Staj czap12ffomqijefxrw5tmzi5 51x20sM4XXEhzRdQNM0RPB2p 51x20sM4XXEhzRdQNM0RPB2p 2YykQ7ocEYewwRZ6CBMC8K root# komenda1 root# komenda1
Natywny klient RDP VNC SSH
Scenariusze wdrożenia 1/2 Tryb transparentny ssh user@10.0.2.50 p 22
Scenariusze wdrożenia 2/2 Tryb pośrednika
Korzyści Czynnik dyscyplinujący Personel obcy Personel własny Materiał szkoleniowy Wyciek danych wiemy co wyciekło
Q&A Czas na pytania
Dziękuję za uwagę Tomasz.Zawicki@passus.com.pl http://www.passus.com.pl/