Data leakage protection

Aktuálne trendy v oblasti bezpečnosti IKT Technologický informačný seminár

„Data Leak Protect“

Ing. Peter Matej

Košice, 25.4.2012

Obsah

* definícia DLP (o čom sa to vlastne hovorí ?)* bezpečnostné pojmy, ich miesto, ...a dlp* takže: „to DLP or NOT to DLP“ ?* príklad možnej implementácie (ako to chápe Check Point)

DLP „definícia“

Data Loss Prevention najčastejšie identifikácia a sledovanie citlivých dát; zabezpečenie, že s nimi môžu manipulovať len autorizované subjekty a že sa tieto dáta nikdy a žiadnym spôsobom mimo tieto autorizované subjekty nedostanú.

Data Leakage Protectionmá tendenciu používať pri špecifickejších situáciách, najčastejšie v súvislosti s monitoringom a preventívnou ochranou citlivých dát pred opustením perimetra. Teda úklohou DLP je kontrola, akým spôsobom a aké dáta perimeter opúšťajú smerom von ( e-mail, web 2.0 aplikácie ako html e-mail, IM ) DLP je tu chápané primárne v pozícii stavu dát DIM (Data in Moution)

Data Loss/Leakage

= neúmyselný, náhodný únik (distribúcia) senzitívnych informácii k neautorizovanej entite

- intelektuálne hodnoty- finančné informácie- informácie o pacientoch- personálne informácie (kreditné karty, výplata, rodné číslo …)- iné informácie súvisiace s obchodnou činnosťou danej spoločnosti

= principiálne vedie k priamym, či nepriamym stratám

Data Loss/Leakage= neúmyselný, náhodný únik (distribúcia)

senzitívnych informácii k neautorizovanej entite => principiálne vedie k priamym, či nepriamym stratám

? + je organizácia povinná byť v zhode s niektorými reguláciami (HIPPA, PCI-DSS, SOX …) ?Záber bezpečnostného riešenia musí ísť jednoznačne za riešenie „klasických“ hrozieb (vírusy, trójske kone, … D/DoS útoky a prieniky...)

DLP – jeden z komponentov zabezpečujúcich manipuláciu a prenos citlivých dát ?

Organizácia

Aktívaorganizácie

Útočník

oceňujeaktíva

Má snahuzneužiť/zničiť

Stallings & Brown (2007)

Aktívum = hodnotová jednotka(majetok, informácie, ľudia ...)Manažment aktív (elementy tvorby stratégie manažmentu):

Inventarizácia aktív (viete aké aktíva máte a kde sú ?)Vlastníctvo aktív / zodpovednosť(viete, kto je za ktoré aktívum zodpovedný ?)Dôležitosť aktív(viete ktoré aktívum je ako dôležité vo vzťahu k iným aktívam ?)Ochrana aktív(je každé aktívum chránené adekvátne k jehovýznamu ?)

Organizácia

Aktívaorganizácie

Útočník

oceňujeaktíva

Má snahuzneužiť/zničiť

Stallings & Brown (2007)

Bezpečnostnériziko

Bezpečnostnémechanizmy

zavádza

v snaheminimalizovať

redukujúcena

Bezpečnostné mechanizmy:- FW- Antivír- IPS- ...atď.

Organizácia

Aktívaorganizácie

Útočník

oceňujeaktíva

Má snahuzneužiť/zničiť

Stallings & Brown (2007)

Bezpečnostnériziko

Bezpečnostnémechanizmy

zavádza

v snaheminimalizovať

redukujú na

Hrozby

zvyšujúna

Organizácia

Aktívaorganizácie

Útočník

oceňujeaktíva

Má snahuzneužiť/zničiť

Stallings & Brown (2007)

Bezpečnostnériziko

Bezpečnostnémechanizmy

zavádza

v snaheminimalizovať

redukujú na

Hrozby

zvyšujúna

spôsobuje / realizuje

Organizácia

Aktívaorganizácie

Útočník

oceňujeaktíva

Má snahuzneužiť/zničiť

Stallings & Brown (2007)

Bezpečnostnériziko

Bezpečnostnémechanizmy

zavádza

v snaheminimalizovať

redukujú na

Hrozby

zvyšujúna

spôsobuje / realizuje

Zraniteľnostiredu

kova

né

využívajúve

dú k

môžuvyvolať

Organizácia

Aktívaorganizácie

Útočník

oceňujeaktíva

Má snahuzneužiť/zničiť

Stallings & Brown (2007)

Bezpečnostnériziko

Bezpečnostnémechanizmy

zavádza

v snaheminimalizovať

redukujúcena

DLP (bezpečnostný mechanizmus)má redukovať riziko nežiadúcemu únikucitlivých dát (akých dát, kde sú ...v akom stave ?)

Status dátData at Rest (DAR)

tzv. „content discovery“ črta DLP riešeniaúloha: citlivé dáta majú byť uložené len naautorizovaných serveroch

Data in Use (DIU)monitoring dát pri používaní na koncovom zariadení(aj tenký klient) a pri ich transporte cez ľubovoľnýperiférny port)

Data in Motion (DIM)komunikačným kanálom je sieť

DLP = DAR, DIU, DIM ?

DAR: „content discovery“, data mining! musí byť realizovaná klasifikácia dát !

DIU: základnou myšlienkou je rozpoznať pokuso manipuláciu s citlivými dátami(copy-paste, sreen capture, transfer na externúpamäť, tlač, fax...) a reagovať

DIM: kontrola toku citlivých dát cez komunikačnékanály použitím známych protokolov, ale aj neznámych cez „packet content inspection“

A taxonomy of data leakage pevention solutionA.Shabtai at al., A Survey of Data Leakage Detection and Prevention Solution

„Skutočné“ DLP riešenie by malo vedieť doslova uzamknúťšpecifický klasifikovaný dokument a umožniť jemne granulované nastavovanie politík pre dátové elementy, aby bolo možné rozhodnúť:

* Kto môže/nemôže klasifikovať dátový element* Kto môže meniť/dopĺňať klasifikovaný dátový element (KDE) * Kto môže/nemôže tlačiť KDE * Kto môže KDE zaslať mailom ako obsah/ako attachment * Povolené/zakázané zariadenia na „prijatie“ KDE (USB...atď)* Prístup aplikácii ku KDE (ktoré áno/nie) * Vzdialený prístup ku KDE * Kryptovať/nekryptovať KDE ...ktoré, kedy * Vytváranie derivátov z KDE (copy and paste, clipboard)* Stabilita klasifikačného návestia pri premenovaní KDE * Notifikácia v reálnom čase pri pokuse o zneužitie * Retrospektívna analýza použivateľových aktivít vo vzťahu ku KDE

„Skutočná“ DLP funkcionalita ?

Ľudský faktornepozornosť: nedostatok času opakujúca sa činnosť únavadôverčivosť: malá miera podozrievavostineznalosť: nedostatočné vzdelávanie neznalosť procesov

Anatómia cieleného útokuAj keď sa môže vyskytnúť určite prekrývanie, anatómia cieleného útoku ma týchto 6 čŕt:• Identifikácia/Zacielenie—profilácia cieľa, získanie informácií o metóde ochrán,prevádzkovanom SW, pochopenie úloh a zodpovedností kľúčových osob a relevantnýchtematických záujmov týchto osôb• Mechanizmus doručenia—výber doručovacích mechanizmov, ako Email alebo IM, v spojení so sociálnym inžinieringom zabalenie malicious code do doručovacej obálky ( exploit code alebo malware zabalený do PDF)• Kompromitácie/Rozvinutie útoku—vykonanie zlomyseľného kódu = zvyčajne úspešné získaniekontroly nad cieľovým systémom.• Získanie kontroly nad systémom—útoćník dostáva informáciu o úspešnom vykonaní zlomyseľného kódu, ktorý umožňuje útočníkovi aplikovať ďalší malware na kompromitovaný systém • Usadenie sa a realizácia ďalších činností—mechanismus , ktorý umožňuje komunikovať sútočníkom (aj cez VPN) a vykonávať ďalšiu – prieskumnú činnosť systému • Ex-filtrácia citlivých údajov—získanie a prenos citlivých údajov, často šifrovaných akompresovaných na miesto pod kontrolou útočníka

Príklad útoku Form of email messages that warn

recipients of fake websites and organizations selling tickets to the London Olympics 2012. The mail contains the official logo of the event to possibly deceive users of its legitimacy. Included in the message is an attached .DOC file that lists these bogus ticket sellers. The attachment, however, is actually a malicious file detected by Trend Micro as TROJ_ARTIEF.ZIGS. The malware takes advantage of the RTF Stack Buffer Overflow Vulnerability (CVE-2010-3333) to drop the backdoor BKDR_CYSXL.A. This backdoor may perform several malicious routines that include deleting and creating files and shutting down the infected system.

blog.trendmicro.com

„To DLP or NOT to DLP“

Očakávania:* vyrieši „všetko“* jednoduchá implementácia* vysoký komfort správy* „bezúdržbová“ prevádzka* maximálny komfort v log a

audit súboroch* reporting* väzba s “compliance“ ...?* rozumné „price/performance“

Frustrácie:* rieši len parciálnu časť* implementácia 6-18 mesiacov* dedikovaný tím* 10-100 events / user / day !?!* komplikované logovanie a

dohľadávanie histórie* extra reporting* „manuálna“ väzba s compliance* vyššie vstupné a prevádzkové

náklady

> 100k $ pri > 1000 users> 100 udalostí denne/userdedikovaný tím pre eventyimplementácia >6 mesiacov

výsledok: detekčný móddowngrade z 95% na 30%funkčnosti

=10-20k $ pri 1000 usersusercheck = samovýchova,zachytených 70-80% udalostíprevenčný mód

„To DLP or NOT to DLP“

2121©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone |

Check Point DLP at Work

Block Web upload of proprietary information

Ask user to confirm and remediate potential breach

Filter communications of confidential information based on policy exception

Scenario 1: Prevent

Scenario 3:Alert, Ask

and Educate

Scenario 2:Enforce

2222©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone |

Jenn@gmail.com

jsimmons@dlpdemo.com

Code subroutine to work on from home

Preemptively Prevent Data Breaches

Web Upload of Proprietary Information

Software Developer

Developer uploads source

code to file share to work on from home

Rights to files posted to file-sharing sites transfer to

host site

Check Point DLP blocks upload and notifies user

http://mywebuploads.com

2323©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone |

Corporate VP sends M&A contract to

attorney

Filter Based on Corporate Data Policies

Policy Exception Allows Email to Pre-selected Recipients

Corporate Development

VP

jcraicg@mylawyer.com

M&A letter of intent for review

ProjectAtlantisLoI.pdf

Hi James,

We have revised the terms of the acquisition. Attached is the Letter of Intent for your review.

Thanks,David

Data Loss Prevention Alert

An email that you have just sent has been identified as containing sensitive information.

An email that you have just sent has been allowed based on DLP policy exception.

For additional details, please refer to the Corporate Data Security Policy

Alert notifies user of data

policy

2424©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone |

Alert, Ask and Educate Users

Check Point Brings User Remediation to DLP

Chief Financial Officer

Greg.Smith@ernstyoung.com

Preliminary Financial Statement

Preliminary_financials.pdf

Greg,

Sending you the Q1 preliminary financials for audit.

Thanks,Matt GerhartChief Financial OfficerACME Corp.mattg@acmecorp.com

Company CFO sends preliminary financial statement to external

auditor

Check Point Data Loss Prevention Reconsider sending this email (Prelimi… Fri 4/2/2010 3:45 PM

Rachel Greene PCI Audit Status Fri 4/2/2010 1:23 PM

Tom Peters Sales Planning Meeting Thu 3/2/2010 9:45 AM

mattg@dlpdemo.com

Reconsider sending this email (Preli…

Preliminary Financial Statement

The attached message, sent by you, is addressed to an external email address. The Check Point Data Loss Prevention System determined that it may contain confidential information.

Email’s attachment Preliminary_financials.pdf appears to contain financial records. The message is being held until further action.

Send, Discard, or Review Issue

Alert asks owner of sensitive data to

confirm communication

Preliminary Financial Statement

mattg@acmecorp.com

Hi,This information is OK to send to our outside auditor.Thanks, Matt

User provides an explanation of his

request to send

For Unified Control Across the Entire Security Infrastructure

Centralized Management

Quick scan of Data Loss Prevention incidents Ratio of

incidents to data inspected

Enforcing gateways’ data

Quick links to priority data

and actions to perform

Controlling Your DLP Policy

Enable rules and apply

policy

Install policy

DLP policy rule base

Compliance rules for PCI and HIPAA

DLP Policy Created and Enabled

Gill Shwedin interview for scmagazin 10.4.2010

“I hope our solution is going to change the DLP landscape, with all of the solutions

today from vendors I have a lot of respect for, all of the solutions are very complicated,

very expensive, usually do not work in present mode, just in detect mode, so give

you a lot of reports but do not actually block things.”

www.scmagazinuk.com

Network SecurityVendors

StandaloneDLP Vendors

Enterprise DLP Vendors

Check Point DLP

Network-based DLP

Data Classification

Multi-Parameter Data Type CorrelationIn-line Prevention

User Self-remediation

Integrated into Security Gateway

Data-typeCustomization

User Education on Sensitive Data

Ease of Administration

ComprehensiveDeployment Options

Ďakujem za pozornosť

Neverte, kým nevyskúšate:-)