McAfee Data Protection (DLP & Encryption)

McAfee® Data Protection

Шифрование, контроль внешних

устройств, DLP системы

Владислав Радецкий

vr@bakotech.com

Пару слов о себе:

July 10, 20132

Владислав Радецкий, работаю в БАКОТЕК

Отвечаю за техническую поддержку проектов ИБ

Отвечаю за такие направления McAfee:

• Data Protection [тема этого доклада]

• Email Security

• Endpoint Security

• Mobile Security

• One Time Password

• Security-as-a-Service

• Security Management

* Если у Вас возникнут вопросы по теме доклада или по направлениям,

которыми я занимаюсь – обращайтесь. Мои контакты в конце презентации.

0958807370

vr@bakotech.com

О чем я хочу рассказать:

July 10, 20133

• Особенности подхода McAfee

• Направление защиты информации

• Шифрование

• Контроль внешних устройств

• DLP

«Зоопарки»

July 10, 20134

Host IPS

Agent

Systems

Management

Agent

Audit

Agent

Antivirus

Agent

Encryption

NAC

DLP

Agent

У каждого

решения свій

агент

Каждый

агент имеет

свою

консоль

Для каждой консоли

нужен свій сервер

Серверу нужна ОС

и БД

ОС и БД требуют

сопровожденияДля IT

департамента

это хаос.

Не оптимально.

Неэффективно.

Подход компании McAfee

July 10, 20135

Единая консоль

управления

Единый

агент

McAfee ePO Server

(VSE, DLP, Encryption,

Site Advisor)

McAfee Agent

(политики, развертывание

клиентских модулей)

Направление защиты информации

July 10, 20136

• Шифрование (EEPC, EEFF)

• Контроль внешних устройств (Device Control)

• DLP для конечных точек (DLP Endpoint)

• Сетевой DLP (Network DLP)

McAfee Full Disk Encryption

July 10, 20137

• Полнодисковое шифрование данных

McAfee Full Disk Encryption

July 10, 20138

McAfee Full Disk Encryption

July 10, 20139

• HDD полностью зашифрован

• После аутентификации работа для ОС прозрачна

• SSO

• Шифрование/дешифрование «на лету»

Шифрование каталогов/файлов (EEFF)

July 10, 201310

• Файлы всегда в зашифрованном состоянии

• Минимум действий со стороны пользователя

• Централизированная/децентр. политика ключей

Шифрование USB накопителей (EERM)

July 10, 201311

• Аппаратно-независимый шифрованный контейнер

• Не требует доп. ПО или админ. привилегий

• Перенос/редактирование защищенных файлов

• Надежная защита съемных носителей

Преимущества и отличия EEPC

July 10, 201312

• решение McAfee позволяет защищать диски на системах не зависимо от наличия TPM модуля;

• решение McAfee поддерживает впечатляющий список токенов, в последней версии появилась поддержка

токенов с биометрической аутентификацией, включая встроенные считыватели отпечатков;

• решение McAfee поддерживает SSO (синхронизация пароля pre-boot с AD, т.е. пароль запрашивается лишь 1

раз и после этого пользователь попадает на рабочий стол);

• решение McAfee поддерживает 5 сценариев восстановления доступа к данным в случае утери токена/пароля

или сбоя файловой системы (self-recovery, admin recovery, intel AMT remote recovery…);

• решение McAfee поддерживает больше редакций ОС чем BitLocker, McAfee может шифровать серверные ОС

и кроме Windows поддерживается MacOS;

• решение McAfee поддерживает различные типы ввода, включая экранную клавиатуру и различные раскладки

обычной (не только US) + звуковое сопровождение для людей с ограничен. способностями;

• решение McAfee устойчиво к атакам типа cold-boot, решение обладает защитой от попытки выгрузить ключи

шифрования из памяти типа этого;

• решение McAfee полностью поддерживает Windows 8 включая GPT разбивку, UEFI, Secure Boot, Hybrid Boot

• решение McAfee разработано с учетом оптимизации процессов шифрования с помощью процессорных

инструкций Intel® AES-NI;

• решение McAfee развертывается и сопровождается из единой консоли ePolicy Orchestrator, что позволяет

упростить администрирование шифрования;

• решение McAfee позволяет проводить аутентификацию как для доменных пользователей так и для

локальных;

Преимущества и отличия EEFF

July 10, 201313

• perUser и perSystem политики, т.е. ключ можно назначить выборочно пользователям для выборочных систем

(к примеру можно делегировать ключ только для определенной комбинации пользователь:список систем);

• политики позволяют полностью скрыть факт шифрования от пользователей, которые работают с

файлами/каталогами в прозрачном режиме (вариант когда администратор зашифровал документы/каталог

одним ключем и распространил это ключ на целый отдел, все у кого есть ключ редактируют документы как и

раньше, но как только файл случайно или умышленно окажется на машине, на которой не делегируется ключ

или не установлено решение – как пример домашняя система пользователя, доступ к информации будет

невозможен);

• операции шифрования/дешифровки жестко контролируются политиками, к примеру есть возможность одной

группе пользователей дать право на оба действия, а второй – только на шифрование, (т.е. даже обладая

ключом пользователь не сможет случайно или умышленно расшифровать файлы );

• выборочное шифрование интегрируется с McAfee DLP Endpoint, что позволяет кроме

мониторинга/блокирования действий пользователя принудительно шифровать файлы;

• в модуль выборочного шифрования входит ПО для формирования крипто-контейнера на USB накопителях,

т.е. имея на системах развернутый EEFF, можно из любой флешки, не зависимо от объема и цены девайса

создать шифрованный контейнер для безопасной транспортировки данных;

• можно политиками принудительно ввести такой режим работы с USB накопителями, при котором в случае

подключения внешнего накопителя пользователю дается выбор – либо создать крипто контейнер (и тогда он

сможет писать информацию на накопитель), либо работа в Read Only.

July 10, 201314

Контроль внешних устр. (Device Control)

• Контроль

– Накопители

– Plug-and-play

• Классификация

– Vendor/Product ID

– Serial Number

• McAfee Encrypted USB

July 10, 201315

Контроль внешних устр. (Device Control)

• Типы действий

– Блокирование

– Мониторинг

– Оповещение

– Read Only

• Может отличаться в

зависимости от

состояния системы

(Online/Offline)

July 10, 201316

DLP Endpoint: Возможности

• Интеграция с AD => выборочные политики

(пользователь/группа)

• Развертывание и управление из консоли (ePO)

• Глобальные / выборочные политики

• Offline/Online

July 10, 201317

DLP Endpoint

• Методы классификации информации:

• Цифровые отпечатки

– Регистрация документов

• Метки (теги)

– По контенту

– По местоположению

– По процессу

– Вручную

DLP Endpoint

July 10, 201318

1. Приложение сохраняет/записывает файл на диске

2. DLP Endpoint автоматически добавляет тег (метку)

* в дальнейшем протегированные файлы легко контролировать

и по необходимости блокировать их передачу/печать/копирование

DLP Endpoint

July 10, 201319

McAfee DLP с помощью различных правил защиты (внешние

накопители, почта, Web, печать …) предотвращает случайную или

умышленную попытку передачи протегированного документа

третьему лицу.

* теги остаются при модификации/переименовании

July 10, 201320

DLP Endpoint

• Метки (теги) остаются даже если:

• Переименует файл

• Поменяет расширение

• Скопирует часть в другой документ

• Заархивирует файл

• Зашифрует файл

July 10, 201321

DLP Endpoint

• Защита:

• Email (Outlook, Lotus)

• Запись на USB

• Печать

• Публикация в Web

• Сетевые соединения

• Буфер обмена

• Снимки экрана

• Сетевые каталоги

July 10, 201322

DLP Endpoint

• Типы действий:

• Блокирование

• Мониторинг

• Уведомление

• Запрос причины

• Теневая копия

• Шифрование

* Могут отличаться в зависимости от состояния

системы (Online/Offline)

Network DLP

July 10, 201323

• Мониторинг всего сетевого трафика

• Поиск и идентификация информации в БД и сетевых ресурсах

• Предотвращение утечки на границе корпоративной сети

• Перехват информации в любом виде не зависимо от источника

• Обнаружение конфиденциальных данных в потоке информации

Network DLP Prevent

July 10, 201324

Предотвращение утечки информации

за пределы периметра корпоративной сети

(Data-in-Motion)

• Мониторинг сетевого трафика в активном режиме;

• Защита почты и Web трафика (интеграция по SMTP, и ICAP);

• Позволяет заблокировать передачу данных;

• Благодаря взаимодействию с остальными модулями, позволяет

блокировать неявной информации (той, которая не была жестко

задана политиками, но содержит конфиденц. информацию).

Network DLP Prevent – Web (ICAP)

July 10, 201325

1. Клиент запрашивает страницу / пытается что-то запостить;

2. Запрос поступает на Web proxy (WG);

3. Web proxy перенаправляет расшиф.копию запроса DLP Prevent;

4. DLP Prevent выполняет анализ и принимает решение;

5. Web proxy осуществляет принятое решение.

* ALLOW, BLOCK

Network DLP Prevent – Email (SMTP)

July 10, 201326

1. Клиент отправляет письмо (почтовый клиент – сервер почты);

2. Почтовый сервер перенаправляет сообщение на MTA (EG);

3. MTA передает письмо на DLP Prevent;

4. Prevent анализирует содержимое и внедряет X-header;

5. MTA выполняет действие* в зависимости от заголовка.

* ALLOW, BLOCK, ENCRYPT,

BOUNCE, QUARANTINE

Network DLP Monitor

July 10, 201327

Захват, анализ, индексирование сетевого трафика

(Data-in-Motion)

• Пассивный мониторинг сетевого трафика (TAP/SPAN)

• Отчеты позволяют получить картину перемещения конф. информ.

• На основе анализа – создание политик или расследование

• Двунаправленный захват, распознавание > 300 типов

содержимого

Network DLP Discover

July 10, 201328

Защита данных, которые хранятся на сетевых ресурсах

(Data-at-Rest)

• Выполняет поиск и тегирование конфиденциальной информации;

• Позволяет перемещать, копировать, удалять или шифровать;

• Поиск данных – отчет – анализ – создание политики – защита;

• Поддерживает:

CIFS, NFS, HTTP(S), FTP, Sharepoint, MS SQL (2005>), Oracle (10g>)

Network DLP Manager

July 10, 201329

Централизованное управление, интеграция с ePO

• Позволяет управлять остальными модулями Network DLP;

• Упрощает работу с политиками и инцидентами;

• Позволяет управлять DLP из одной консоли (Network + Endpoint);

• Позволяет производить поиск и анализ данных;

• Поддерживает до 39 устройств (масштабируемость).

Развертывание

July 10, 201330

Преимущества комплекса McAfee

July 10, 201331

• Модульность

• Централизированное управление

• Целостный подход

• Интеграция DLP Endpoint с EEFF

• Интеграция DLP Endpoint

с DLP Network

Контактная информация

July 10, 201332

Официальный сайт McAfee (документация, описание продуктов)

http://www.mcafee.com/ru/

Раздел McAfee на сайте БАКОТЕК (каталог решений, новости)

http://bakotech.ua/vendor/mcafee/

McAfee Ukraine Technical Club (техническая информ-я на русском)

https://www.facebook.com/McAfeeUkraineTechnical

Мой личный блог (заметки, статьи о настройке решений)

https://radetskiy.wordpress.com/

База знаний по продуктам McAfee (спецификации, FAQ и др.)

http://kc.mcafee.com/corporate/index?page=home

Владислав Радецкий

VR@bakotech.com

+38 (044) 273-33-33 | Раб.

+38 (095) 880-73-70 | Моб.

Благодарю за внимание