McAfee Data Protection 2014

McAfee Confidential—Internal Use Only

McAfee Data Protection

Шифрование данных.

Защита от утечек.

Владислав Радецкий

[email protected]

10-06-2014


Пару слов о себе

Работаю в Группе компаний БАКОТЕК.

Занимаюсь технической поддержкой проектов по ИБ.

Отвечаю за такие направления McAfee:

» Data Protection

» Email Security

» Endpoint Security

» Mobile Security

» One Time Password

» Security-as-a-Service

» Security Management

Vladislav Radetskiy

Technical Support Engineer

BAKOTECH GROUP

M: +380 95 880-7370

О: +380 44 273-3333 # 131

[email protected]

http://bakotech.ua/

http://www.mcafee.com/ru/products/data-protection/index.aspx

http://www.mcafee.com/ru/products/email-and-web-security/email-security.aspx

http://www.mcafee.com/ru/products/endpoint-protection/index.aspx

http://www.mcafee.com/ru/products/mobile-security/index.aspx

http://www.mcafee.com/ru/products/one-time-password.aspx

http://www.mcafee.com/ru/products/security-as-a-service/index.aspx

http://www.mcafee.com/ru/products/security-management/index.aspx

mailto:[email protected]


Основные пункты

1. Методика McAfee

2. Направление Data Protection

3. Шифрование

4. Комплекс McAfee DLP

5. DLP Endpoint

6. DLP Network

7. Выводы, источники


Управление решениями McAfee

ePO

Directory * ePO = McAfee ePolicy Orchestrator


Инструменты защиты

McAfee Data Protection

Шифрование DLP

Жестких дисков

Файлов/каталогов

Клиент для

конечных точек

Устройства

сетевого уровня


Шифрование

Защита от НСД в случае кражи/утери ноутбука, изъятия серверов.

Аутентификация: пароль, токен+PIN, токен+сертификат, отпечаток

Защита от перебора паролей.

Работает на серверных и клиентских редакциях Windows.

Выборочное шифрование файлов/каталогов/съемных носителей.

Гибкие политики назначения ключей.

Решение проблем с «субординацией».

Пользователи могут не знать о том, что файлы зашифрованы.

Может создавать криптоконтейнеры на USB носителях.

Работает на клиентских редакциях Windows.

* Подробнее о шифровании в моем блоге: статья1, статья2

Drive Encryption

File and Media

https://radetskiy.wordpress.com/2013/06/27/mcafee-encryption-intro/

https://radetskiy.wordpress.com/2014/04/24/mcafee-drive-encryption/


McAfee Drive Encryption 7.1.0

• Шифрование HDD используя AES256-CBC

• Аутентификация по паролю, USB токену, смарт-карте или

отпечатку пальца

• Предназначен для клиентских и серверных ОС Windows

(от XP и до 8.1; от 2003 до 2008 R2)

• Устойчив к т.н. “Cold boot” атакам

• Поддерживает SSO, TPM, Intel AMT (vPro), UEFI, GPT,

Secure Boot, Hybrid Boot

• Использует инструкции Intel AES-NI для ускорения

криптографических операций

• Развертывается и управляется через консоль еРО

.DOC .XLS .APPS

2

3

1

4

Files / App

OS

Encryption

Driver

HDD (SSD)

Lo

rem

ipsu

md

olo

r sit a

me

t#

$$

%%

#%

%&

&

Lo

rem

ipsu

md

olo

r sit a

me

t#

$$

%%

#%

%&

&


McAfee File and Removable Media Protection 4.3.0

• Выборочное шифрование отдельных файлов/каталогов по алгоритму AES256;

• Создание криптоконтейнеров на внешних носителях с возможностью привязки к

конкретному рабочему месту либо же с возможностью доступа с других ПК;

• Гибкое делегирование ключей шифрования:

– На систему;

– На пользователя.

• Возможность принудительно переводить

USB накопители в “read only” режим без

установки DLP Endpoint

• Интеграция с DLP Endpoint


Комплекс McAfee DLP

Data-in-Motion

Data-at-Rest

Data-in-Use

Data Types Data Loss Vectors Solution

DLP Prevent

DLP Monitor

DLP Discover

DLP Endpoint

Email Web Post Network IM Chat

Desktop/LaptopDatabase

Removable Media ScreenPrinter

File Share

Clipboard


Комплекс McAfee DLP

Switch

Databases or Repositories

DLP Prevent

Firewall

DLP Prevent

DLP Monitor

Web Gateway

Email Gateway

DLP DiscoverMcAfee ePO

Data-in-Use

DLP Endpoint

Data-in-Motion

Data-at-Rest

Data-in-Use

Data-in-Motion


Методы классификации данных

Словари, текстовые шаблоны, устойчивые выражения

Используются для идентификации текстовых документов

Цифровые отпечатки, т.н. “fingerprints”, хеши файлов

Используются для файлов различного типа

Метки, т.н. “Tags”, метаданные, которые использует DLP Endpoint

Используются когда контент документов трудно формализовать


McAfee DLP Endpoint 9.3.200

Контроль устройств. Мониторинг, блокирование, r/o USB носителей.

С поддержкой «отпечатков», но без меток.

Входит в пакет Content Security Suite

(MWG + MEG + NDLP Prevent + DC = DLP для «начинающих»)

Device Control + контроль действий пользователей (Email, Web, Print..).

Полный спектр механизмов классификации.

Кроме мониторинга и блокировки «умеет» осуществлять т.н. Discover

файловой системы рабочей станции.

Интегрируется с выборочным шифрованием файлов и каталогов.

Полный функционал на рабочих станциях и серверах*

* Включая сервера терминалов

** оба решения поддерживают Windows и Mac OS

Device Control

DLP Endpoint


Контроль устройств

• «Белые»/«Черные» списки устройств

• Блокирование неявных каналов утечки

• «Понимает» разные классы устройств


Защита конечных точек _ DLP Endpoint 9.3.200

• Контроль доступа приложений к документам

• Контроль буфера обмена

• Контроль электронной почты (Outlook + Lotus)

• Контроль сетевых соединений + метки

• Блокирование PDF и XPS принтеров

• Контроль печати (локально + по сети)

• Контроль съемных носителей

• Блокирование снимков экрана + «ножницы»

• Контроль публикаций Web (IE + FF)

• Контроль различных устройств, включая:

– Контейнеры TrueCrypt

– Устройства тонких клиентов Citrix;

– Не системные жесткие диски…


Настройка правил

• Блокирование

• Шифрование

• Мониторинг

• Обоснование запроса

• Теневая копия (подтверждение)

• Уведомление пользователя

* Действия одной и той же

политики могут отличатся

в зависимости от состояния

системы (Online/Offline)

** Подробнее о DLP Endpoint в моем блоге: статья

https://radetskiy.wordpress.com/2013/06/10/dlp-endpoint-9-3/


McAfee Network DLP 9.3.2

Координирует работу остальных модулей

Отвечает за синхронизацию политик и хранение инцидентовManager

Discover

Monitor

Prevent

Осуществляет поиск, идентификацию и «дактилоскопию» данных

Которые хранятся в БД и на сетевых хранилищах

Пассивный перехват (sniffing) сетевых пакетов.

Обеспечивает поиск утечек и контроль исходящего трафика

Интегрируется с Web proxy (ICAP) и MTA (SMTP)

Модифицирует исходящий трафик, предотвращая утечки данных





При работе с инцидентами доступны различные фильтры: по категориям, по важности, по

конкретной политике или по конкретному источнику (пользователю, IP адресу и т.д.).

Система автоматически распознает тип передаваемого контента.



NDLP Manager контролирует работу остальных модулей.

Чтобы объединить устройства, их необходимо зарегистрировать в Manager`е.

После регистрации на устройства автоматически распространяются текущие политики.

Отчетность поступает с устройств на Manager.

Если заказчик выбирает вариант развертывания модулей NDLP в виртуальной среде VMware,

заказчик может установить столько модулей, сколько необходимо для контроля его

инфраструктуры. Другими словами: лицензия на ВМ не ограничивает кол-во модулей.



Лог аудита дает возможность отслеживать изменения, вносимые другими операторами.


McAfee Network DLP Monitor





Одна из функций модуля NDLP

Monitor – поиск в отправленном,

т.е. ретроспекивный анализ

перехваченных сетевых пакетов

с возможностью доступа к

отправленным файлам.

Существует две стратегии

развертывания NDLP Monitor:

1. На периметре сети =

перехват информации после

всех фильтров

2. В ядре сети = анализ

внутреннего обмена

документами


Анализ Web запросов

1. Клиент запрашивает страницу / пытается что-то отправить;

2. Запрос поступает на Web proxy (MWG);

3. Web proxy перенаправляет контент запроса на NDLP Prevent;

4. NDLP Prevent выполняет анализ и принимает решение;

5. Web proxy осуществляет принятое решение*.

*

Разрешить

Заблокировать


Анализ электронной почты

1. Клиент отправляет письмо;

2. Почтовый сервер перенаправляет сообщение на MTA (MEG);

3. MTA передает письмо на NDLP Prevent;

4. Prevent анализирует содержимое и внедряет X-header;

5. MTA выполняет действие* в зависимости от заголовка.

*

Разрешить

Заблокировать

Зашифровать

Вернуть отправителю

Поместить в карантин

Переслать в СБ


McAfee Web Gateway

• Шлюз Web безопасности (бывший WebWasher):

– Категоризация URL;

– Песочница для скриптов;

– Анализ загружаемого контента;

– Антивирусная защита;

– Организация SSO;

– NTLM, Kerberos, Basic;

– Кластеризация;

– Управление из еРО или отдельно.

* ВМ или «железка»


McAfee Email Gateway

• Шлюз SMTP безопасности:

– Два антивирусных движка (McAfee, Commtouch);

– Проверка репутации отправителя, файла, URL;

– Анти-спам анализ сообщений;

– SPF, Sender ID, DKIM, reverse DNS lookup etc;

– Кластеризация;

– S/MIME, PGP, TLS шифрование;

– Карантин + обучение SPAM фильтра;

– Управление из еРО или отдельно.

* ВМ или «железка»


McAfee Email Gateway _ шифрование писем

• Шифруется весь трафик между серверами

• Используется TLS, PGP, S/MIME

• Поддерживается импорт ключей/сертификатов

• Идеальное решение для защищенной коммуникации с бизнес-партнерами

Server to server

• Выборочное шифрование для отдельных адресатов

• Используется безопасный Web-портал

• Переписка и ключи хранятся на Email Gateway, а не на рабочих станциях

• Идеальное решение для безопасного общения с клиентами

Secure Web Mail – Pull (link)

• Адресат получает зашифрованное вложение

• Нет ограничения на хранение давней переписки

• Письма хранятся локально на рабочих станциях, а ключи – на Email Gateway

Secure Web Mail – Push (attachment)


Схема внедрения


Работа с инцидентами

• Вариант 1: все отдельно

– Управление сетевой частью через NDLP Manager, управление конечными точками через еРО;

– Два раздельных потока инцидентов.

• Вариант 2: т.н. Unified DLP

– Управление сетевой частью и конечными точками через NDLP Manager*;

– Единая политика распространяется на все компоненты, единый поток инцидентов.

• Вариант 3: т.н. Incident Copy Only

– Управление сетевой частью через NDLP Manager, управление конечными точками через еРО;

– Две политики, один поток инцидентов.

* С консолью NDLP Manager можно работать как непосредственно заходя на web-

интерфейс самого модуля, так и через еРО, если управление сетевой частью

делегировано еРО. Жестких ограничений нет. Используйте как Вам удобно.


DLP Endpoint

На что стоит обратить внимание

• Тех. специалистам

– Интеграция с AD, выборочные политики на группу или отдельного пользователя;

– Различные типы реакций в зависимости от состояния online/offline;

– Интеграция с шифрованием от McAfee или RMS от Microsoft;

– Централизованное развертывание из консоли ePO;

– Быстрая корректировка политик.

• Руководству

– Режим т.н. «обхода», когда блокировка отключается, но не мониторинг;

– Единый инструмент для серверов и рабочих станций;

– Оптимизация стоимости владения при широком функционале.


DLP Network

На что стоит обратить внимание

• Тех. специалистам

– Анализ больших объемов данных в сетевом трафике и на хранилищах;

– Защита от утечек на периметре не зависимо от источника;

– Автоматизация поиска, регистрации и обнаружения информации;

– Модульность (заказчик может развернуть столько устройств сколько ему необходимо);

– Интеграция сетевой части с клиентской = единая политика.

• Руководству

– Политика лицензирования;

– McAfee Content Security Suite (DLP + усиление защиты периметра);

– За счет методики Security Connected упрощается сопровождение системы.


О чем нужно помнить внедряя/используя DLP

• Принцип «установили и забыли» не работает!

• По максимуму, где можно, использовать шифрование

• Ставить пароли на BIOS Setup (boot from live CD/USB)

• Отбирать привилегии локального администратора

• Проводить инвентаризацию/стандартизацию ПО



• Новый софт = аудит политик DLP

• Нужно блокировать любой контент, который не проходит анализ*

* Пример:

Email и Web Gateway с легкостью обработают архив со степенью вложенности >20.

Но если архив будет зашифрован – DLP не сможет проанализировать содержимое.

Вывод – на Email и Web Gateway блокировать отправку зашифрованных вложений.



• DLP Endpoint должен быть в исключениях антивирусной системы

• В системных требованиях указано количество свободной оперативной памяти

• Модули Network DLP могут быть развернуты в виде ВМ или фирменного «железа»

• Email и Web Gateway не обязательны, но упрощают внедрение + доп. функционал

• Email Gateway помимо штатных функций может шифровать почту



• Каждый из модулей NDLP может работать отдельно, однако если нужно чтобы Prevent

мог блокировать передачу контента, который зарегистрировал Discover, оба устройства

нужно объединить через Manager

• Discover помимо «инвентаризации» и «дактилоскопии» может искать

зарегистрированные ранее документы и проводить операции по их:

– Удалению

– Перемещению

• Аналогичная функция есть в DLP Endpoint с возможностью поиска как

по файловой системе так и по PST/OST файлам.

Карантин/Удаление/Шифрование обнаруженных документов.

Включая применения ограничений RMS.


Источники полезной информации

• Официальный сайт McAfee - описание продуктов, пробные версии

http://www.mcafee.com/ru/

• Раздел McAfee на сайте БАКОТЕК - новости, мероприятия, пресс-релизы

http://bakotech.ua/vendor/mcafee/

• Мой личный блог - статьи на русском по настройке решений

https://radetskiy.wordpress.com/

• База знаний по продуктам McAfee - очень, очень много подсказок

http://kc.mcafee.com

http://www.mcafee.com/ru/

http://bakotech.ua/vendor/mcafee/

https://radetskiy.wordpress.com/

http://kc.mcafee.com/


p.s.

• McAfee – это не только антивирус (более 70 решений в портфеле)

• Если у Вас есть насущные задачи в области ИБ – свяжитесь с нами*

• Мы* сможем:

– подобрать к вашим задачам оптимальные решения;

– провести толковую презентацию выбранных решений;

– помочь с PoC (т.н. «пилотный проект»);

– провести обучение ваших специалистов;

– оказать техническую поддержку.

* Мы = БАКОТЕК + наши партнеры по McAfee


Демонстрация работы

Если к Вам попала моя презентация и вы хотите посмотреть как работают вышеописанные

решения – просто свяжитесь со мной и я проведу демонстрацию в удобное для вас время.

Мои контакты на следующем слайде.


Владислав Радецкий

radetskiy.wordpress.com

[email protected]

http://radetskiy.wordpress.com/

mailto:[email protected]

Technology

McAfee Data Protection 2014