Upload
vladislav-radetskiy
View
584
Download
2
Embed Size (px)
DESCRIPTION
Презентация по направлению McAfee Data Protection. Расширенная и дополненная с учетом возможностей новых версий решений.
Citation preview
McAfee Confidential—Internal Use Only
McAfee Data Protection
Шифрование данных.
Защита от утечек.
Владислав Радецкий
10-06-2014
McAfee Confidential—Internal Use Only
Пару слов о себе
Работаю в Группе компаний БАКОТЕК.
Занимаюсь технической поддержкой проектов по ИБ.
Отвечаю за такие направления McAfee:
» Data Protection
» Email Security
» Endpoint Security
» Mobile Security
» One Time Password
» Security-as-a-Service
» Security Management
Vladislav Radetskiy
Technical Support Engineer
BAKOTECH GROUP
M: +380 95 880-7370
О: +380 44 273-3333 # 131
McAfee Confidential—Internal Use Only
Основные пункты
1. Методика McAfee
2. Направление Data Protection
3. Шифрование
4. Комплекс McAfee DLP
5. DLP Endpoint
6. DLP Network
7. Выводы, источники
McAfee Confidential—Internal Use Only
Управление решениями McAfee
ePO
Directory * ePO = McAfee ePolicy Orchestrator
McAfee Confidential—Internal Use Only
Инструменты защиты
McAfee Data Protection
Шифрование DLP
Жестких дисков
Файлов/каталогов
Клиент для
конечных точек
Устройства
сетевого уровня
McAfee Confidential—Internal Use Only
Шифрование
Защита от НСД в случае кражи/утери ноутбука, изъятия серверов.
Аутентификация: пароль, токен+PIN, токен+сертификат, отпечаток
Защита от перебора паролей.
Работает на серверных и клиентских редакциях Windows.
Выборочное шифрование файлов/каталогов/съемных носителей.
Гибкие политики назначения ключей.
Решение проблем с «субординацией».
Пользователи могут не знать о том, что файлы зашифрованы.
Может создавать криптоконтейнеры на USB носителях.
Работает на клиентских редакциях Windows.
* Подробнее о шифровании в моем блоге: статья1, статья2
Drive Encryption
File and Media
McAfee Confidential—Internal Use Only
McAfee Drive Encryption 7.1.0
• Шифрование HDD используя AES256-CBC
• Аутентификация по паролю, USB токену, смарт-карте или
отпечатку пальца
• Предназначен для клиентских и серверных ОС Windows
(от XP и до 8.1; от 2003 до 2008 R2)
• Устойчив к т.н. “Cold boot” атакам
• Поддерживает SSO, TPM, Intel AMT (vPro), UEFI, GPT,
Secure Boot, Hybrid Boot
• Использует инструкции Intel AES-NI для ускорения
криптографических операций
• Развертывается и управляется через консоль еРО
.DOC .XLS .APPS
2
3
1
4
Files / App
OS
Encryption
Driver
HDD (SSD)
Lo
rem
ipsu
md
olo
r sit a
me
t#
$$
%%
#%
%&
&
Lo
rem
ipsu
md
olo
r sit a
me
t#
$$
%%
#%
%&
&
McAfee Confidential—Internal Use Only
McAfee File and Removable Media Protection 4.3.0
• Выборочное шифрование отдельных файлов/каталогов по алгоритму AES256;
• Создание криптоконтейнеров на внешних носителях с возможностью привязки к
конкретному рабочему месту либо же с возможностью доступа с других ПК;
• Гибкое делегирование ключей шифрования:
– На систему;
– На пользователя.
• Возможность принудительно переводить
USB накопители в “read only” режим без
установки DLP Endpoint
• Интеграция с DLP Endpoint
McAfee Confidential—Internal Use Only
Комплекс McAfee DLP
Data-in-Motion
Data-at-Rest
Data-in-Use
Data Types Data Loss Vectors Solution
DLP Prevent
DLP Monitor
DLP Discover
DLP Endpoint
Email Web Post Network IM Chat
Desktop/LaptopDatabase
Removable Media ScreenPrinter
File Share
Clipboard
McAfee Confidential—Internal Use Only
Комплекс McAfee DLP
Switch
Databases or Repositories
DLP Prevent
Firewall
DLP Prevent
DLP Monitor
Web Gateway
Email Gateway
DLP DiscoverMcAfee ePO
Data-in-Use
DLP Endpoint
Data-in-Motion
Data-at-Rest
Data-in-Use
Data-in-Motion
McAfee Confidential—Internal Use Only
Методы классификации данных
Словари, текстовые шаблоны, устойчивые выражения
Используются для идентификации текстовых документов
Цифровые отпечатки, т.н. “fingerprints”, хеши файлов
Используются для файлов различного типа
Метки, т.н. “Tags”, метаданные, которые использует DLP Endpoint
Используются когда контент документов трудно формализовать
McAfee Confidential—Internal Use Only
McAfee DLP Endpoint 9.3.200
Контроль устройств. Мониторинг, блокирование, r/o USB носителей.
С поддержкой «отпечатков», но без меток.
Входит в пакет Content Security Suite
(MWG + MEG + NDLP Prevent + DC = DLP для «начинающих»)
Device Control + контроль действий пользователей (Email, Web, Print..).
Полный спектр механизмов классификации.
Кроме мониторинга и блокировки «умеет» осуществлять т.н. Discover
файловой системы рабочей станции.
Интегрируется с выборочным шифрованием файлов и каталогов.
Полный функционал на рабочих станциях и серверах*
* Включая сервера терминалов
** оба решения поддерживают Windows и Mac OS
Device Control
DLP Endpoint
McAfee Confidential—Internal Use Only
Контроль устройств
• «Белые»/«Черные» списки устройств
• Блокирование неявных каналов утечки
• «Понимает» разные классы устройств
McAfee Confidential—Internal Use Only
Защита конечных точек _ DLP Endpoint 9.3.200
• Контроль доступа приложений к документам
• Контроль буфера обмена
• Контроль электронной почты (Outlook + Lotus)
• Контроль сетевых соединений + метки
• Блокирование PDF и XPS принтеров
• Контроль печати (локально + по сети)
• Контроль съемных носителей
• Блокирование снимков экрана + «ножницы»
• Контроль публикаций Web (IE + FF)
• Контроль различных устройств, включая:
– Контейнеры TrueCrypt
– Устройства тонких клиентов Citrix;
– Не системные жесткие диски…
McAfee Confidential—Internal Use Only
Настройка правил
• Блокирование
• Шифрование
• Мониторинг
• Обоснование запроса
• Теневая копия (подтверждение)
• Уведомление пользователя
* Действия одной и той же
политики могут отличатся
в зависимости от состояния
системы (Online/Offline)
** Подробнее о DLP Endpoint в моем блоге: статья
McAfee Confidential—Internal Use Only
McAfee Network DLP 9.3.2
Координирует работу остальных модулей
Отвечает за синхронизацию политик и хранение инцидентовManager
Discover
Monitor
Prevent
Осуществляет поиск, идентификацию и «дактилоскопию» данных
Которые хранятся в БД и на сетевых хранилищах
Пассивный перехват (sniffing) сетевых пакетов.
Обеспечивает поиск утечек и контроль исходящего трафика
Интегрируется с Web proxy (ICAP) и MTA (SMTP)
Модифицирует исходящий трафик, предотвращая утечки данных
McAfee Confidential—Internal Use Only
McAfee Network DLP 9.3.2
McAfee Confidential—Internal Use Only
McAfee Network DLP 9.3.2
При работе с инцидентами доступны различные фильтры: по категориям, по важности, по
конкретной политике или по конкретному источнику (пользователю, IP адресу и т.д.).
Система автоматически распознает тип передаваемого контента.
McAfee Confidential—Internal Use Only
McAfee Network DLP 9.3.2
NDLP Manager контролирует работу остальных модулей.
Чтобы объединить устройства, их необходимо зарегистрировать в Manager`е.
После регистрации на устройства автоматически распространяются текущие политики.
Отчетность поступает с устройств на Manager.
Если заказчик выбирает вариант развертывания модулей NDLP в виртуальной среде VMware,
заказчик может установить столько модулей, сколько необходимо для контроля его
инфраструктуры. Другими словами: лицензия на ВМ не ограничивает кол-во модулей.
McAfee Confidential—Internal Use Only
McAfee Network DLP 9.3.2
Лог аудита дает возможность отслеживать изменения, вносимые другими операторами.
McAfee Confidential—Internal Use Only
McAfee Network DLP Monitor
McAfee Confidential—Internal Use Only
McAfee Network DLP Monitor
McAfee Confidential—Internal Use Only
McAfee Network DLP Monitor
Одна из функций модуля NDLP
Monitor – поиск в отправленном,
т.е. ретроспекивный анализ
перехваченных сетевых пакетов
с возможностью доступа к
отправленным файлам.
Существует две стратегии
развертывания NDLP Monitor:
1. На периметре сети =
перехват информации после
всех фильтров
2. В ядре сети = анализ
внутреннего обмена
документами
McAfee Confidential—Internal Use Only
Анализ Web запросов
1. Клиент запрашивает страницу / пытается что-то отправить;
2. Запрос поступает на Web proxy (MWG);
3. Web proxy перенаправляет контент запроса на NDLP Prevent;
4. NDLP Prevent выполняет анализ и принимает решение;
5. Web proxy осуществляет принятое решение*.
*
Разрешить
Заблокировать
McAfee Confidential—Internal Use Only
Анализ электронной почты
1. Клиент отправляет письмо;
2. Почтовый сервер перенаправляет сообщение на MTA (MEG);
3. MTA передает письмо на NDLP Prevent;
4. Prevent анализирует содержимое и внедряет X-header;
5. MTA выполняет действие* в зависимости от заголовка.
*
Разрешить
Заблокировать
Зашифровать
Вернуть отправителю
Поместить в карантин
Переслать в СБ
McAfee Confidential—Internal Use Only
McAfee Web Gateway
• Шлюз Web безопасности (бывший WebWasher):
– Категоризация URL;
– Песочница для скриптов;
– Анализ загружаемого контента;
– Антивирусная защита;
– Организация SSO;
– NTLM, Kerberos, Basic;
– Кластеризация;
– Управление из еРО или отдельно.
* ВМ или «железка»
McAfee Confidential—Internal Use Only
McAfee Email Gateway
• Шлюз SMTP безопасности:
– Два антивирусных движка (McAfee, Commtouch);
– Проверка репутации отправителя, файла, URL;
– Анти-спам анализ сообщений;
– SPF, Sender ID, DKIM, reverse DNS lookup etc;
– Кластеризация;
– S/MIME, PGP, TLS шифрование;
– Карантин + обучение SPAM фильтра;
– Управление из еРО или отдельно.
* ВМ или «железка»
McAfee Confidential—Internal Use Only
McAfee Email Gateway _ шифрование писем
• Шифруется весь трафик между серверами
• Используется TLS, PGP, S/MIME
• Поддерживается импорт ключей/сертификатов
• Идеальное решение для защищенной коммуникации с бизнес-партнерами
Server to server
• Выборочное шифрование для отдельных адресатов
• Используется безопасный Web-портал
• Переписка и ключи хранятся на Email Gateway, а не на рабочих станциях
• Идеальное решение для безопасного общения с клиентами
Secure Web Mail – Pull (link)
• Адресат получает зашифрованное вложение
• Нет ограничения на хранение давней переписки
• Письма хранятся локально на рабочих станциях, а ключи – на Email Gateway
Secure Web Mail – Push (attachment)
McAfee Confidential—Internal Use Only
Схема внедрения
McAfee Confidential—Internal Use Only
Работа с инцидентами
• Вариант 1: все отдельно
– Управление сетевой частью через NDLP Manager, управление конечными точками через еРО;
– Два раздельных потока инцидентов.
• Вариант 2: т.н. Unified DLP
– Управление сетевой частью и конечными точками через NDLP Manager*;
– Единая политика распространяется на все компоненты, единый поток инцидентов.
• Вариант 3: т.н. Incident Copy Only
– Управление сетевой частью через NDLP Manager, управление конечными точками через еРО;
– Две политики, один поток инцидентов.
* С консолью NDLP Manager можно работать как непосредственно заходя на web-
интерфейс самого модуля, так и через еРО, если управление сетевой частью
делегировано еРО. Жестких ограничений нет. Используйте как Вам удобно.
McAfee Confidential—Internal Use Only
DLP Endpoint
На что стоит обратить внимание
• Тех. специалистам
– Интеграция с AD, выборочные политики на группу или отдельного пользователя;
– Различные типы реакций в зависимости от состояния online/offline;
– Интеграция с шифрованием от McAfee или RMS от Microsoft;
– Централизованное развертывание из консоли ePO;
– Быстрая корректировка политик.
• Руководству
– Режим т.н. «обхода», когда блокировка отключается, но не мониторинг;
– Единый инструмент для серверов и рабочих станций;
– Оптимизация стоимости владения при широком функционале.
McAfee Confidential—Internal Use Only
DLP Network
На что стоит обратить внимание
• Тех. специалистам
– Анализ больших объемов данных в сетевом трафике и на хранилищах;
– Защита от утечек на периметре не зависимо от источника;
– Автоматизация поиска, регистрации и обнаружения информации;
– Модульность (заказчик может развернуть столько устройств сколько ему необходимо);
– Интеграция сетевой части с клиентской = единая политика.
• Руководству
– Политика лицензирования;
– McAfee Content Security Suite (DLP + усиление защиты периметра);
– За счет методики Security Connected упрощается сопровождение системы.
McAfee Confidential—Internal Use Only
О чем нужно помнить внедряя/используя DLP
• Принцип «установили и забыли» не работает!
• По максимуму, где можно, использовать шифрование
• Ставить пароли на BIOS Setup (boot from live CD/USB)
• Отбирать привилегии локального администратора
• Проводить инвентаризацию/стандартизацию ПО
McAfee Confidential—Internal Use Only
О чем нужно помнить внедряя/используя DLP
• Новый софт = аудит политик DLP
• Нужно блокировать любой контент, который не проходит анализ*
* Пример:
Email и Web Gateway с легкостью обработают архив со степенью вложенности >20.
Но если архив будет зашифрован – DLP не сможет проанализировать содержимое.
Вывод – на Email и Web Gateway блокировать отправку зашифрованных вложений.
McAfee Confidential—Internal Use Only
О чем нужно помнить внедряя/используя DLP
• DLP Endpoint должен быть в исключениях антивирусной системы
• В системных требованиях указано количество свободной оперативной памяти
• Модули Network DLP могут быть развернуты в виде ВМ или фирменного «железа»
• Email и Web Gateway не обязательны, но упрощают внедрение + доп. функционал
• Email Gateway помимо штатных функций может шифровать почту
McAfee Confidential—Internal Use Only
О чем нужно помнить внедряя/используя DLP
• Каждый из модулей NDLP может работать отдельно, однако если нужно чтобы Prevent
мог блокировать передачу контента, который зарегистрировал Discover, оба устройства
нужно объединить через Manager
• Discover помимо «инвентаризации» и «дактилоскопии» может искать
зарегистрированные ранее документы и проводить операции по их:
– Удалению
– Перемещению
• Аналогичная функция есть в DLP Endpoint с возможностью поиска как
по файловой системе так и по PST/OST файлам.
Карантин/Удаление/Шифрование обнаруженных документов.
Включая применения ограничений RMS.
McAfee Confidential—Internal Use Only
Источники полезной информации
• Официальный сайт McAfee - описание продуктов, пробные версии
http://www.mcafee.com/ru/
• Раздел McAfee на сайте БАКОТЕК - новости, мероприятия, пресс-релизы
http://bakotech.ua/vendor/mcafee/
• Мой личный блог - статьи на русском по настройке решений
https://radetskiy.wordpress.com/
• База знаний по продуктам McAfee - очень, очень много подсказок
http://kc.mcafee.com
McAfee Confidential—Internal Use Only
p.s.
• McAfee – это не только антивирус (более 70 решений в портфеле)
• Если у Вас есть насущные задачи в области ИБ – свяжитесь с нами*
• Мы* сможем:
– подобрать к вашим задачам оптимальные решения;
– провести толковую презентацию выбранных решений;
– помочь с PoC (т.н. «пилотный проект»);
– провести обучение ваших специалистов;
– оказать техническую поддержку.
* Мы = БАКОТЕК + наши партнеры по McAfee
McAfee Confidential—Internal Use Only
Демонстрация работы
Если к Вам попала моя презентация и вы хотите посмотреть как работают вышеописанные
решения – просто свяжитесь со мной и я проведу демонстрацию в удобное для вас время.
Мои контакты на следующем слайде.
McAfee Confidential—Internal Use Only
Владислав Радецкий
radetskiy.wordpress.com