Embed Size (px)
DESCRIPTION
Prezentacia z technologickeho seminara IT Valley, 25.04.2012
Citation preview
Aktuálne trendy v oblasti bezpečnosti IKT Technologický informačný seminár
„Data Leak Protect“
Ing. Peter Matej
Košice, 25.4.2012
Obsah
* definícia DLP (o čom sa to vlastne hovorí ?)* bezpečnostné pojmy, ich miesto, ...a dlp* takže: „to DLP or NOT to DLP“ ?* príklad možnej implementácie (ako to chápe Check Point)
DLP „definícia“
Data Loss Prevention najčastejšie identifikácia a sledovanie citlivých dát; zabezpečenie, že s nimi môžu manipulovať len autorizované subjekty a že sa tieto dáta nikdy a žiadnym spôsobom mimo tieto autorizované subjekty nedostanú.
Data Leakage Protectionmá tendenciu používať pri špecifickejších situáciách, najčastejšie v súvislosti s monitoringom a preventívnou ochranou citlivých dát pred opustením perimetra. Teda úklohou DLP je kontrola, akým spôsobom a aké dáta perimeter opúšťajú smerom von ( e-mail, web 2.0 aplikácie ako html e-mail, IM ) DLP je tu chápané primárne v pozícii stavu dát DIM (Data in Moution)
Data Loss/Leakage
= neúmyselný, náhodný únik (distribúcia) senzitívnych informácii k neautorizovanej entite
- intelektuálne hodnoty- finančné informácie- informácie o pacientoch- personálne informácie (kreditné karty, výplata, rodné číslo …)- iné informácie súvisiace s obchodnou činnosťou danej spoločnosti
= principiálne vedie k priamym, či nepriamym stratám
Data Loss/Leakage= neúmyselný, náhodný únik (distribúcia)
senzitívnych informácii k neautorizovanej entite => principiálne vedie k priamym, či nepriamym stratám
? + je organizácia povinná byť v zhode s niektorými reguláciami (HIPPA, PCI-DSS, SOX …) ?Záber bezpečnostného riešenia musí ísť jednoznačne za riešenie „klasických“ hrozieb (vírusy, trójske kone, … D/DoS útoky a prieniky...)
DLP – jeden z komponentov zabezpečujúcich manipuláciu a prenos citlivých dát ?
Organizácia
Aktívaorganizácie
Útočník
oceňujeaktíva
Má snahuzneužiť/zničiť
Stallings & Brown (2007)
Aktívum = hodnotová jednotka(majetok, informácie, ľudia ...)Manažment aktív (elementy tvorby stratégie manažmentu):
Inventarizácia aktív (viete aké aktíva máte a kde sú ?)Vlastníctvo aktív / zodpovednosť(viete, kto je za ktoré aktívum zodpovedný ?)Dôležitosť aktív(viete ktoré aktívum je ako dôležité vo vzťahu k iným aktívam ?)Ochrana aktív(je každé aktívum chránené adekvátne k jehovýznamu ?)
Organizácia
Aktívaorganizácie
Útočník
oceňujeaktíva
Má snahuzneužiť/zničiť
Stallings & Brown (2007)
Bezpečnostnériziko
Bezpečnostnémechanizmy
zavádza
v snaheminimalizovať
redukujúcena
Bezpečnostné mechanizmy:- FW- Antivír- IPS- ...atď.
Organizácia
Aktívaorganizácie
Útočník
oceňujeaktíva
Má snahuzneužiť/zničiť
Stallings & Brown (2007)
Bezpečnostnériziko
Bezpečnostnémechanizmy
zavádza
v snaheminimalizovať
redukujú na
Hrozby
zvyšujúna
Organizácia
Aktívaorganizácie
Útočník
oceňujeaktíva
Má snahuzneužiť/zničiť
Stallings & Brown (2007)
Bezpečnostnériziko
Bezpečnostnémechanizmy
zavádza
v snaheminimalizovať
redukujú na
Hrozby
zvyšujúna
spôsobuje / realizuje
Organizácia
Aktívaorganizácie
Útočník
oceňujeaktíva
Má snahuzneužiť/zničiť
Stallings & Brown (2007)
Bezpečnostnériziko
Bezpečnostnémechanizmy
zavádza
v snaheminimalizovať
redukujú na
Hrozby
zvyšujúna
spôsobuje / realizuje
Zraniteľnostiredu
kova
né
využívajúve
dú k
môžuvyvolať
Organizácia
Aktívaorganizácie
Útočník
oceňujeaktíva
Má snahuzneužiť/zničiť
Stallings & Brown (2007)
Bezpečnostnériziko
Bezpečnostnémechanizmy
zavádza
v snaheminimalizovať
redukujúcena
DLP (bezpečnostný mechanizmus)má redukovať riziko nežiadúcemu únikucitlivých dát (akých dát, kde sú ...v akom stave ?)
Status dátData at Rest (DAR)
tzv. „content discovery“ črta DLP riešeniaúloha: citlivé dáta majú byť uložené len naautorizovaných serveroch
Data in Use (DIU)monitoring dát pri používaní na koncovom zariadení(aj tenký klient) a pri ich transporte cez ľubovoľnýperiférny port)
Data in Motion (DIM)komunikačným kanálom je sieť
DLP = DAR, DIU, DIM ?
DAR: „content discovery“, data mining! musí byť realizovaná klasifikácia dát !
DIU: základnou myšlienkou je rozpoznať pokuso manipuláciu s citlivými dátami(copy-paste, sreen capture, transfer na externúpamäť, tlač, fax...) a reagovať
DIM: kontrola toku citlivých dát cez komunikačnékanály použitím známych protokolov, ale aj neznámych cez „packet content inspection“
A taxonomy of data leakage pevention solutionA.Shabtai at al., A Survey of Data Leakage Detection and Prevention Solution
„Skutočné“ DLP riešenie by malo vedieť doslova uzamknúťšpecifický klasifikovaný dokument a umožniť jemne granulované nastavovanie politík pre dátové elementy, aby bolo možné rozhodnúť:
* Kto môže/nemôže klasifikovať dátový element* Kto môže meniť/dopĺňať klasifikovaný dátový element (KDE) * Kto môže/nemôže tlačiť KDE * Kto môže KDE zaslať mailom ako obsah/ako attachment * Povolené/zakázané zariadenia na „prijatie“ KDE (USB...atď)* Prístup aplikácii ku KDE (ktoré áno/nie) * Vzdialený prístup ku KDE * Kryptovať/nekryptovať KDE ...ktoré, kedy * Vytváranie derivátov z KDE (copy and paste, clipboard)* Stabilita klasifikačného návestia pri premenovaní KDE * Notifikácia v reálnom čase pri pokuse o zneužitie * Retrospektívna analýza použivateľových aktivít vo vzťahu ku KDE
„Skutočná“ DLP funkcionalita ?
Ľudský faktornepozornosť: nedostatok času opakujúca sa činnosť únavadôverčivosť: malá miera podozrievavostineznalosť: nedostatočné vzdelávanie neznalosť procesov
Anatómia cieleného útokuAj keď sa môže vyskytnúť určite prekrývanie, anatómia cieleného útoku ma týchto 6 čŕt:• Identifikácia/Zacielenie—profilácia cieľa, získanie informácií o metóde ochrán,prevádzkovanom SW, pochopenie úloh a zodpovedností kľúčových osob a relevantnýchtematických záujmov týchto osôb• Mechanizmus doručenia—výber doručovacích mechanizmov, ako Email alebo IM, v spojení so sociálnym inžinieringom zabalenie malicious code do doručovacej obálky ( exploit code alebo malware zabalený do PDF)• Kompromitácie/Rozvinutie útoku—vykonanie zlomyseľného kódu = zvyčajne úspešné získaniekontroly nad cieľovým systémom.• Získanie kontroly nad systémom—útoćník dostáva informáciu o úspešnom vykonaní zlomyseľného kódu, ktorý umožňuje útočníkovi aplikovať ďalší malware na kompromitovaný systém • Usadenie sa a realizácia ďalších činností—mechanismus , ktorý umožňuje komunikovať sútočníkom (aj cez VPN) a vykonávať ďalšiu – prieskumnú činnosť systému • Ex-filtrácia citlivých údajov—získanie a prenos citlivých údajov, často šifrovaných akompresovaných na miesto pod kontrolou útočníka
Príklad útoku Form of email messages that warn
recipients of fake websites and organizations selling tickets to the London Olympics 2012. The mail contains the official logo of the event to possibly deceive users of its legitimacy. Included in the message is an attached .DOC file that lists these bogus ticket sellers. The attachment, however, is actually a malicious file detected by Trend Micro as TROJ_ARTIEF.ZIGS. The malware takes advantage of the RTF Stack Buffer Overflow Vulnerability (CVE-2010-3333) to drop the backdoor BKDR_CYSXL.A. This backdoor may perform several malicious routines that include deleting and creating files and shutting down the infected system.
blog.trendmicro.com
„To DLP or NOT to DLP“
Očakávania:* vyrieši „všetko“* jednoduchá implementácia* vysoký komfort správy* „bezúdržbová“ prevádzka* maximálny komfort v log a
audit súboroch* reporting* väzba s “compliance“ ...?* rozumné „price/performance“
Frustrácie:* rieši len parciálnu časť* implementácia 6-18 mesiacov* dedikovaný tím* 10-100 events / user / day !?!* komplikované logovanie a
dohľadávanie histórie* extra reporting* „manuálna“ väzba s compliance* vyššie vstupné a prevádzkové
náklady
> 100k $ pri > 1000 users> 100 udalostí denne/userdedikovaný tím pre eventyimplementácia >6 mesiacov
výsledok: detekčný móddowngrade z 95% na 30%funkčnosti
=10-20k $ pri 1000 usersusercheck = samovýchova,zachytených 70-80% udalostíprevenčný mód
„To DLP or NOT to DLP“
2121©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone |
Check Point DLP at Work
Block Web upload of proprietary information
Ask user to confirm and remediate potential breach
Filter communications of confidential information based on policy exception
Scenario 1: Prevent
Scenario 3:Alert, Ask
and Educate
Scenario 2:Enforce
2222©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone |
Code subroutine to work on from home
Preemptively Prevent Data Breaches
Web Upload of Proprietary Information
Software Developer
Developer uploads source
code to file share to work on from home
Rights to files posted to file-sharing sites transfer to
host site
Check Point DLP blocks upload and notifies user
http://mywebuploads.com
2323©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone |
Corporate VP sends M&A contract to
attorney
Filter Based on Corporate Data Policies
Policy Exception Allows Email to Pre-selected Recipients
Corporate Development
VP
M&A letter of intent for review
ProjectAtlantisLoI.pdf
Hi James,
We have revised the terms of the acquisition. Attached is the Letter of Intent for your review.
Thanks,David
Data Loss Prevention Alert
An email that you have just sent has been identified as containing sensitive information.
An email that you have just sent has been allowed based on DLP policy exception.
For additional details, please refer to the Corporate Data Security Policy
Alert notifies user of data
policy
2424©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone |
Alert, Ask and Educate Users
Check Point Brings User Remediation to DLP
Chief Financial Officer
Preliminary Financial Statement
Preliminary_financials.pdf
Greg,
Sending you the Q1 preliminary financials for audit.
Thanks,Matt GerhartChief Financial OfficerACME [email protected]
Company CFO sends preliminary financial statement to external
auditor
Check Point Data Loss Prevention Reconsider sending this email (Prelimi… Fri 4/2/2010 3:45 PM
Rachel Greene PCI Audit Status Fri 4/2/2010 1:23 PM
Tom Peters Sales Planning Meeting Thu 3/2/2010 9:45 AM
Reconsider sending this email (Preli…
Preliminary Financial Statement
The attached message, sent by you, is addressed to an external email address. The Check Point Data Loss Prevention System determined that it may contain confidential information.
Email’s attachment Preliminary_financials.pdf appears to contain financial records. The message is being held until further action.
Send, Discard, or Review Issue
Alert asks owner of sensitive data to
confirm communication
Preliminary Financial Statement
Hi,This information is OK to send to our outside auditor.Thanks, Matt
User provides an explanation of his
request to send
For Unified Control Across the Entire Security Infrastructure
Centralized Management
Quick scan of Data Loss Prevention incidents Ratio of
incidents to data inspected
Enforcing gateways’ data
Quick links to priority data
and actions to perform
Controlling Your DLP Policy
Enable rules and apply
policy
Install policy
DLP policy rule base
Compliance rules for PCI and HIPAA
DLP Policy Created and Enabled
Gill Shwedin interview for scmagazin 10.4.2010
“I hope our solution is going to change the DLP landscape, with all of the solutions
today from vendors I have a lot of respect for, all of the solutions are very complicated,
very expensive, usually do not work in present mode, just in detect mode, so give
you a lot of reports but do not actually block things.”
www.scmagazinuk.com
Network SecurityVendors
StandaloneDLP Vendors
Enterprise DLP Vendors
Check Point DLP
Network-based DLP
Data Classification
Multi-Parameter Data Type CorrelationIn-line Prevention
User Self-remediation
Integrated into Security Gateway
Data-typeCustomization
User Education on Sensitive Data
Ease of Administration
ComprehensiveDeployment Options
Ďakujem za pozornosť
Neverte, kým nevyskúšate:-)
