DLP (data leakage protection)

TRITON STOPS MORE THREATS. WE CAN PROVE IT.

Aleksander Raczyński

araczynski@websense.com

DLP (DATA LEAKAGE PROTECTION)

MOŻLIWOŚCI OCHRONY INFORMACJI KRYTYCZNYCH PRZED ATAKAMI TYPU APT ARAZ BŁEDAMI LUDZKIMI. JAK Z SUKCESEM WDROŻYĆ DLP W ORGANIZACJI?

Poznać to, czego nie znamy.Dowiedzieć się tego, czego nie wiemy.

NIE MOŻNA SIĘ OBRONIĆPRZED NIEWIDZALNYM ZAGROŻENIEM

Raport o zagrożeniach

3

www.websense.com/2013ThreatReport

4

Social Media

Email

Mobile

Wektory ataku

Web

Ofiary są z reguły kierowane do Web’u

Redirects

Malware

Recon

XSS

Dropper Files

CnCExploit

Kits

Phishing

Wzrost zagrożenia ze strony Web

5

Złośliwe witryny (URL) wzrost o 600% w skali światowej

6

Kraje, które najczęściej są gospodarzami Malware’u

United StatesRussian Federation

GermanyChina

MoldovaCzech RepublicUnited Kingdom

FranceNetherlands

Canada

85% zainfekowanych witryn zostało wykrytych na stronach „poprawnych”

1. Information Technology2. Business and Economy3. Sex4. Travel5. Shopping

Zainfekowane witryny(wg. Kategorii)

Top 5 Countries Hosting Phishing• W coraz większym stopniu koncentruje się na celach komercyjnych i rządowych

• 69% wiadomości phishingowych jest wysyłanych w poniedziałek i piątek

• Bardziej celowy

– Lokoalizacja

– Wzrost tzw. Spearphishing’u

Phishing

8

• Staje się bardziej agresywny

– 15% łaczy się w czasie pierwszych 60 sek.

– 90% pobiera informacje

– 50% wrzuca „dropper files”

9

Malware

10

Malware: HTTPS

• Kluczowe ryzyko infekcji: HTTPS– ½ najpopularniejszych 20 witryn używa HTTPS– Łatwy do penetracji „ślepy kąt” dla bezpieczeństwa

• Komunikacja do serwerów CnC

11

Kradzież danych

• Dane osobowe (PII)• Karty kredytowe• ID (tożsamość)

• Kradzież własności intelektualnej (IP)• Sektor rządowy• Sektor komercyjny

Zagrożenie poprzez Insidera• Przypadkowa

• Phishing

• Zamierzona• Fizyczny dostęp• Elektronicznie

Jak działają bardziej wyrafinowane ataki?

RE

CO

N01

LU

RE

02

RE

DIR

EC

T

03

EX

PL

OIT

KIT

04

DR

OP

PE

RF

ILE

05

CA

LL

HO

ME

06

DA

TAT

HE

FT

07

Czy można się uchronić?

RE

CO

N01

LU

RE

02 Świadomość

• Web & Email• Facebook, Blogi, Tweety• Spear-phishing• Zaufany punk wejścia• Celowe• Dynamiczne• Zgrane w czasie

Czy można się uchronić?

RE

DIR

EC

T

03

EX

PL

OIT

KIT

04 Analiza Real-Time

• Kod wykonywany w przeglądarce & active scripts

• Analiza URL• Analiza Exploitów• Wileskładnikowa

punktacja / rating• Proaktywność

Czy można się uchronić?

DR

OP

PE

RF

ILE

05

CA

LL

HO

ME

06Aktywna Ochrona

• Analiza Aplikacji• Złośliwe PDFy• Wielosilinikowy AV• Pliki spakowane• Dynamiczny DNS• Botnety & CnC

Czy można się uchronić?

DA

TAT

HE

FT

07Ograniczenie zakresu

• Ochrona przed kradzieżą informacji

• Technologia DLP• Monitorowanie

informacji wypływających

• Geolokacja• Szczegółowe Forensic

& oraz raportowanie• Alerty / Priorytety

TRITON STOPS MORE THREATS. WE CAN PROVE IT.

TECHNOLOGIA DLP –MOŻLIWOŚCI, WDROŻENIE I PRAKTYCZNE UWAGI

Websense TRITON - Architektura

DLP - technologia i możliwości

Co to jest DLP?

DLP = data loss preventionrównież data leak/leakage

preventionDLP solutions (n.)

“Products that, based on central policies, identify, monitor, and protect data at rest, in motion, and in use through deep content analysis.”

– Rich Mogull (securosis.com), former Gartner analyst for DLP

Rozwiązania DLP

“Produkty, które w oparciu o centralne polityki, identyfikują, monitorują, oraz chronią dane w spoczynku, w ruchu, i w użyciu poprzezdogłębną analizę treści.”

– Rich Mogull (securosis.com), były analityk DLP firmy Gartner

Gdzie rozwiązania DLP chronią wrażliwe informacje?

Dane płynące do wewnątrz i na zewnątrz organizacji

Data Usage (Network)

Typowe kanały komunikacyjne

HTTP(S) FTP SMTP Instant Messangers Network Printer

Data in MotionDane przechowywane w granicach naszej infrastruktury

Data Discovery

Repozytoria danych

Network Shares (NTFS, NFS, Novell)

SharePoint Databases (via ODBC) Exchange Lotus Domino Pst files Endpoint

Data at Rest Data in UsePodczas manipulacji przez różne aplikacje

Data Usage (Endpoint)

Monitorowane akcje (Endpoint)

Cut / Copy / Paste Print Print Screen Access Files Endpoint LAN/Web Removable Media Outlook / Lotus Plugin Printers (local, net)

Przykład reguły

Rule Properties | Severity: (High) / Action Plan: (Block_All)

Rule Properties | Source | Edit: Directory Entries

Rule Properties | Destinations | R EmailR Web R HTTP/HTTPS R Chat

Rule Properties | Condition | Add: PreciseID FP – DB Records

Rule Properties | Destinations | R Email: AllR Web: All

Lekarzom nie wolno wysyłać danych pacjentów do…

(Action)

(Who: From)

(How)

(What)

(Who: To)

Wybierz twój kraj i sektor

Wybierz interesujące Cię polityki

Przejrzyj reguły

Świadomość treści oraz kontekstu

• Websense User Service

Websense Web Intelligence

Kategorie / Słowniki

Regularne wyrażenia

File Matching

Analiza statystyczna

PreciseID

+Klasyfikatory informacji

KTO DOKĄD

KONTEKST

Strategie użycia rozwiązania

27

Dwa ekstremalne podejścia do DLP

• Monitoruj wszystkich i wszystko– Duża ilość incydentów brak przejrzystości– Tylko wartość dowodowa– Brak wpływu na kulturę obchodzenia się z informacją– Sugeruje nieufny stosunek do pracowników

• Blokuj tylko kto czego wymagają przepisy– Strategia „alibi”?– Technologia DLP wykorzystana w małym stopniu– Brak dodatkowych informacji o informacjach wrażliwych

Moja sugestia: strategia pośrednia

• Zalety:– Spełnienie wymagań prawnych– Dodatkowe wykorzystanie technologii w celu ochrony informacji– Dodatkowy efekt – podniesienia świadomości użytkowników

• Utrudnienia (?)– Wypracowanie procesów biznesowych dotyczących informacji ważnych– Z reguły wymagana interakcja administratorów/helpdesku– Wypracowanie zasad obsługi incydentów

Zmiana modelu zachowań użytkowników

Technologia DLP jest Twoim sprzymierzeńcem!

• Wewnętrzny PR dla technologii DLP– Ochrona informacji jest ważna dla organizacji– System monitoruje tylko nadużycia nie ingerując w – Ochrona informacji chroni również pracownika przed ewentualnymi błędami– Edukacja pracowników, podnoszenie ich świadomości nadrzędnym celem

(konsekwencje wobec pracowników - ostateczność)

• Aspekty prawne• DLP jest doskonałym narzędziem dla departamentu bezpieczeństwa

– pozwala na rozpoznanie trendów i zagrożeń– Ma wpływ na kształtowanie polityki bezpieczeństwa– Pozwala wdrożyć istniejące zasady poiltyki bezpieczeństwa

Administracja i zarządzanie systemem

32

Zarządzanie Incydentami

33

Listaincydentów

Złamanereguły

Szczcegóły incydenu

Wykonajakcję

Workflow incydentów oparty o powiadomienia pocztowe

• Akcje możliwe z poziomu powiadomienia:

– Zmiana rangi– eskalowanie– przypisanie incydentu– ignorowanie– etc.

Investigative Reports

35

• Dostarczają wglądu do:– Cele wycieku poprzez Web według kategorii– Cele wycieku poprzez Email– Źródła odpowiedzialne za wyciek informacji– Polityki, które uległy naruszeniu

• Używane są by:– Ustalić priorytety zagrożeń– Ustalić potrzeby edukacji pracowników– Wprowadzić poprawki polityk– Zidentyfikować niedziałające procesy biznesowe– Zademostrować zgodność z regulacjami

prawnymi

Executive Summary Reports

36

– Wykonywane automatycznie lub na żądanie– Czołowe incydenty na przestrzeni ostatnich

24 godzin– 30, 60, 90-dniowe raporty zbiorcze– Raporty Trendów– I wiele więcej…

Czy projekt się powiedzie?

37

Podsumowanie

• Sukces projektu DLP zależy od kilku czynników:

– Dobór odpowiedniej technologii DLP

– Jasność celów, które powinny być osiągnięte dzięki projektowi DLP

– Świadomość organizacji odnośnie wartości posiadanej informacji

kadra zarządzająca + departament bezpieczeństwa

– Gotowość organizacji na zmiany

odpowiedni priorytet dla projektu

© 2013 Websense, Inc. Page 39

TRITON STOPS MORE THREATS. WE CAN PROVE IT.

DZIĘKUJĘ