.

McAfee Confidential1

Надежная защита от утечек информации

в условиях современных тенденций ИТВладислав Радецкийradetskiy.wordpress.comvr@bakotech.com

2012 – Англия, фото принца Уильяма

Зачем нужен DLP?

2014 – Бразилия, чемпионат мира по футболу

Зачем нужен DLP?

2015 – Франция, канал TV5Monde

Зачем нужен DLP?

2015 – Англия, телепередача ВВС о Ватерлоо

Зачем нужен DLP?

Пару слов о себе

Владислав Радецкий

radetskiy.wordpress.com

vr@bakotech.com

С 2011 года работаю в Группе компаний БАКОТЕК.

Занимаюсь технической поддержкой проектов ИБ.

Отвечаю за такие направления McAfee:

• Data Protection

• Email Security

• Endpoint Security

• Mobile Security

• ATD + TIE + MAR

• Security-as-a-Service

• Security Management

.

McAfee Confidential7

Intel Security – решения ИБ

7

УправлениеИБ

Аналитика Защита Web

Защита сети

DLPШифрование

Защитасерверов

Контрольприложений

МикросхемыIntel®

on-premises | private cloud | public cloud | hybrid

Лидер в производстве микросхемКомпания основана в 1968Цель: Обеспечить потребность людей в быстрых и надежных вычислительных устройствах.

Лидер на рынке ИБ решенийКомпания основана в 1987Приобретена Intel в 2010Цель: Обеспечить защиту ИТ активов заказчиков

Объединение разработок McAfee с продукцией Intel.

McAfee = ~ 70 решений, единая консоль управления

DLP

Encryption

Web & Email Gateway

Endpoint Protection

DB Protection

Vulnerability Manager

IPS & NGFW

SaaS

SIEM

TIE + ATD

ePO – основы: агент

McAfee ePOMcAfee Agent Endpoint

Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.

ePO – основы: агент

McAfee ePOMcAfee Agent

VSE

Endpoint

Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.

ePO – основы: агент

McAfee ePOMcAfee Agent

VSE

DLP

Encryption

HIPS

Endpoint

Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.

Тезисы доклада

Инструменты защиты данных

Пару историй из практики

Возможности DLP

Защита от утечек и не только

Ответы на вопросы

Инструменты

Device Control / DLP Endpoint - контроль устройств, отслеживание действий

File & Removable Media Protection - выборочное шифрование файлов/каталогов/USB

Drive Encryption - шифрование дисков, защита от НСД

Management of Native Encryption - управление BitLocker & FileVault

Компоненты EPS, ATD + TIE - интеграция защиты даных в общий комплекс

Инструменты для защиты информации

McAfee ePO

• McAfee MNE• MS BitLocker

• McAfee Device Control• McAfee MNE• Apple FileVault

• McAfee DLP • McAfee Drive Encryption• McAfee File and Media

Тезисы доклада

Инструменты защиты данных

Пару историй из практики

Возможности DLP

Защита от утечек и не только

Ответы на вопросы

Зачем нужен DLP?

Зачем нужен DLP?

Зачем нужен DLP?

Зачем нужен DLP?

Зачем нужен DLP?

Зачем нужен DLP?

Зачем нужен DLP?

Зачем нужен DLP?

Зачем нужен DLP?

Тезисы доклада

Инструменты защиты данных

Пару историй из практики

Возможности DLP

Защита от утечек и не только

Ответы на вопросы

McAfee DLP – модульный комплекс решений

Data-in-Motion

Data-at-Rest

Data-in-Use

Типы данных Каналы утечек информации Модуль защиты

DLP PreventDLP Monitor

DLP Discover

DLP Endpoint

Почта Веб Сеть Skype, Viber

АРМБД

Носители СнимокПечать

Общие каталоги

Буфер

обмена

McAfee DLP – модульный комплекс решений

Switch

Data Repositories

Firewall

DLP Prevent

DLP MonitorEmail & Web Gateway

DLP Discover

McAfee ePO

DLP Endpoint

Сетевые устройства DLP

Потенциальные источники утечек

Ноутбуки и мобильные устрйоства

1Передача данных

через USB

накопители

2

НСД к хранилищам данных

7

Умышленная кража сотрудником

4

Трудно отследить используемые документы

3

Копирование либо распечатка

документов

5

Вирусы либо вторжения злоумышленников

6

Апгрейд до полноценного DLP агента на конечных точках

Device Control –> DLP Endpoint

Контроль устройств. Мониторинг, блокирование, r/o USB носителей.

Интегрируется с выборочным шифрованием файлов и каталогов.

Классификация: 1) цифровые отпечатки; 2) текстовые шаблоны, словари

Не поддерживает метки (теги).

Device Control + контроль действий пользователей (Email, Web, Print..).

Классификация: 1) цифровые отпечатки; 2) текстовые шаблоны, словари; 3) метки

Операции Discover файловой системы и OST/PST архивов на рабочих станциях.

Интегрируется с выборочным шифрованием файлов и каталогов.

Поддерживает как рабочие станции так и серверные ОС, в т.ч. сервера терминалов*

* Оба решения поддерживают Windows и Mac OS

Сравнение возможностей – см. статью в моем блоге

Device Control

DLP Endpoint

Сценарий №1: “Нужно контролировать данные на лету”

31

Возможности агента DLP Endpoint: • Отслеживание и блокировка каналов:

• Почта, печать, Web;• Skype, Viber, ICQ;• Облачные хранилища;• Внешние накопители;• Снимки экрана;• Буфер обмена

• Может интегрироваться с выборочным шифрованием• Возможность обновить DeviceControl до DLP Endpoint• Поддерживает рабочие станции и сервера терминалов

Модулизащиты

MAR

ATD + TIE

File & Removable Media Protection

Management of Native Encryption

Drive Encryption

DLP Endpoint & Device Control

WindowsMacs

Методы классификации данных

Словари, текстовые шаблоны, устойчивые выражения

Используются для идентификации текстовых документов

Цифровые отпечатки, т.н. “fingerprints”, хеши файлов

Используются для файлов различного типа

Метки, т.н. “Tags”, метаданные, которые использует DLP Endpoint

Используются когда контент документов трудно формализовать

Методы назначения меток

1. По приложению ( .xls, .xlsx созданные 1c.exe -> бухгалтерия)

2. По расположению (файлы взятые с \\server\finance\ -> $)

3. По адрессной строке (файлы с http://crm -> документооборот)

4. Вручную (пункт контекстного меню -> руководителю ИБ)

5. При поиске информации на рабочих станциях

В последствии метки используються для отслеживания документа

Сценарий №2: “Нужно шифровать данные на носителях”

34

Возможности выборочного шифрования: • Разделение доступа к зашифрованной информации• Защита от случайного/умышленного копирования• Шифрование файлов при передаче в облачные хранилища• Управление ключами = управление доступом к информации• Интеграция с агентом DLP Endpoint

Модулизащиты

File & Removable Media Protection

Management of Native Encryption

Drive Encryption

DLP Endpoint & Device Control

Windows

ATD + TIE

MAR

35

Возможности полнодискового шифрования• Надежное шифрование Windows систем алгоритмом AES-256• 6 вариантов восстановления доступа к данным• Поддержка XP, Vista, 7, 8.x, 10; 2003 – 2012• Аутентификация по паролю, токену, смарткарте, отпечаткам• Поддержка SSO, AES-NI, GPT, UEFI …

Модулизащиты

File & Removable Media Protection

Management of Native Encryption

Drive Encryption

DLP Endpoint & Device Control Windows

Сценарий №3: “Опасаюсь НСД к ноутбукам/серверам”

ATD + TIE

MAR

Работа DLP – сотрудник подключил флешку

1. Устройство отслежено

2. Черный / белый список ?

3. Если белый, то RO или RW ?

4. Если RW , то что менно можно записывать?

5. Если копирует важный документ – шифровать?

Работа DLP – попытка передать файл через...

Агент DLP позволяет блокировать обращение

приложений из черного списка к

конфиденциальным документам.

Т.е. попытка перетянуть/открыть файл будет блокирована

Работа DLP – облачные хранилища (DropBox и т.д.)

1. Отслеживать

2. Блокировать

3. Шифровать

Работа DLP – почта

1. Отслеживать письмо

2. Блокировать отправку

Возможности DLP

Контроль содержимого

• Email, web

• Печать

• Буфер обмена

• Облака

• Приложения

. . .

Контроль устройств

• PlugnPlay

• USB Storage

• Доступ к файлам USB

. . .

Поиск информации

• По файловой системе

• В PST/OST файлах Outlook

Тезисы доклада

Инструменты защиты данных

Пару историй из практики

Возможности DLP

Защита от утечек и не только

Ответы на вопросы

Пакеты EPS

Модули Endpoint ProtectionEndpoint Protection

Advanced Suite

Complete Endpoint Protection Business

(only 2k< users)

Complete Endpoint Protection Enterprise

Suite

VSE for Windows √ √ √ √

VSE for Linux √ √ √ √

VSE for command line √ √ √ √

EPS for Mac √ √ √ √

HIPS for Windows (Desktop) √ √ √

Site Advisor (web-filtering) √ √ √ √

Firewall √ √ √ √

Device Control √ √ √ √

Application Control √

EMM (MDM) √ √

Encryption (DE + MNE + FRM) √

Security for Exch. & Lotus √ √ √ √

ATD + TIE

ATD + TIE + DLP

Агенты DLP а серверах и рабочих станциях могут блокировать доступ к конфиденциальной

информации со стороны потенциально опасных

приложений, которые прошли анализ по облаку intel (GTI) либо

через “песочницу” ATD

• McAfee DLP

McAfee ATD

Тезисы доклада

Инструменты защиты данных

Пару историй из практики

Возможности DLP

Защита от утечек и не только

Ответы на вопросы

Владислав Радецкийradetskiy.wordpress.comvr@bakotech.com

Источники полезной информации

www.mcafee.com/expertcenter - каталог инструкций

https://kc.mcafee.com - база знаний

https://radetskiy.wordpress.com - мой блог

https://www.youtube.com/user/McAfeeTechnical - канал на YouTube

ftp://ftp.bakotech.com/Evaluation/Docs/ - документация на нашем FTP

ftp login: mcafee

ftp pass: mcafee