Post on 19-Feb-2017
.
McAfee Confidential1
Обеспечение безопасности бизнеса с помощью криптографии
Владислав Радецкийradetskiy.wordpress.comvr@bakotech.com
Пару слов о себе
Владислав Радецкий
radetskiy.wordpress.com
vr@bakotech.com
С 2011 года работаю в Группе компаний БАКОТЕК.
Занимаюсь технической поддержкой проектов ИБ.
Отвечаю за такие направления McAfee:
• Data Protection
• Email Security
• Endpoint Security
• Mobile Security
• ATD + TIE + MAR
• Security-as-a-Service
• Security Management
.
McAfee Confidential3
Intel Security – решения ИБ
УправлениеИБ
Аналитика Защита Web
Защита сети
DLPШифрование
Защитасерверов
Контрольприложений
МикросхемыIntel®
on-premises | private cloud | public cloud | hybrid
Лидер в производстве микросхемКомпания основана в 1968Цель: Обеспечить потребность людей в быстрых и надежных вычислительных устройствах.
Лидер на рынке ИБ решенийКомпания основана в 1987Приобретена Intel в 2010Цель: Обеспечить защиту ИТ активов заказчиков
Объединение разработок McAfee с продукцией Intel.
McAfee = ~ 70 решений, единая консоль управления
DLP
Encryption
Web Gateway
Endpoint Protection
DB Protection
MAR
IPS
MOVE
SIEM
TIE + ATD
ePO – основы: агент
McAfee ePOMcAfee Agent Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
ePO – основы: агент
McAfee ePOMcAfee Agent
DLP
Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
ePO – основы: агент
McAfee ePOMcAfee Agent
DLP
Drive Encryption
FRP
MNE
Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
Тезисы доклада
Зачем нам шифрование?
Инструменты шифрования Intel Security
[Практика] DLP + шифрование файлов
[Практика] Шифрование жестких дисков
Ответы на вопросы
Зачем нам шифрование?
“There are two kinds of cryptography in this world: cryptography that will stop your kid sister from reading
your files, and cryptography that will stop major governments from reading your files.”
~
(Криптография бывает двух типов: криптография, которая помешает читать ваши файлы вашей
младшей сестре, и криптография, которая помешает читать ваши файлы людям из правительства)
~
Криптография (шифрование) – средство защиты приватности каждого человека, данных бизнеса.
Брюс Шнайер
Писатель, криптограф, ИБ эксперт
https://www.schneier.com/books/
Зачем нам шифрование?
Брюс Шнайер
Писатель, криптограф, ИБ эксперт
https://www.schneier.com/books/
1. Прикладная криптография, 2-е издание.
2. Секреты и ложь. Безопасность данных в цифровом мире
Зачем нам шифрование?
Нил Стивенсон
Писатель (киберпанк)
http://www.nealstephenson.com/books/1. Криптономикон (криптография на практике)
2. Лавина (просто шикарный киберпанк)
Зачем нам шифрование?
Dan Boneh
Professor Stanford University
Cryptography (Coursera) https://www.coursera.org/course/crypto
Практический бесплатный онлайн курс по шифрованию
Зачем нам шифрование?
Защита от несанкционированного доступа к данным (НСД) в случае
Кражи/утери устройства (в т.ч. и носителей)
* Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое.
E : M -> C
D : C -> M
Зачем нам шифрование?
Защита от несанкционированного доступа к данным (НСД) в случае
Кражи/утери устройства (в т.ч. и носителей)
Изъятия систем
* Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое.
E : M -> C
D : C -> M
Зачем нам шифрование?
Защита от несанкционированного доступа к данным (НСД) в случае
Кражи/утери устройства (в т.ч. и носителей)
Изъятия систем
Передачи техники в ремонт
* Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое.
E : M -> C
D : C -> M
Зачем нам шифрование?
Защита от несанкционированного доступа к данным (НСД) в случае
Кражи/утери устройства (в т.ч. и носителей)
Изъятия систем
Передачи техники в ремонт
Защиты от LiveCD/USB (DLP + инсайдер / обиженный сотрудник / ATP)
* Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое.
E : M -> C
D : C -> M
Тезисы доклада
Зачем нужно шифровать данные?
Инструменты шифрования Intel Security
[Практика] DLP + шифрование файлов
[Практика] Шифрование жестких дисков
Ответы на вопросы
Инструменты шифрования Intel Security
File & Removable Media Protection 5.0 - шифрование файлов/каталогов
Инструменты шифрования Intel Security
File & Removable Media Protection 5.0 - шифрование файлов/каталогов
Drive Encryption 7.1.3 - шифрование дисков (Windows)
Инструменты шифрования Intel Security
File & Removable Media Protection 5.0 - шифрование файлов/каталогов
Drive Encryption 7.1.3 - шифрование дисков (Windows)
Management of Native Encryption 4.0 - управление BitLocker & FileVault
Инструменты шифрования Intel Security
File & Removable Media Protection 5.0 - шифрование файлов/каталогов
Drive Encryption 7.1.3 - шифрование дисков (Windows)
Management of Native Encryption 4.0 - управление BitLocker & FileVault
McAfee ePolicy Orchestrator 5.1.3 - единая консоль управления
* не забываем про KB51109 – “Supported platforms & operating systems for McAfee products ”
https://kc.mcafee.com/corporate/index?page=content&id=kb51109
Инструменты шифрования Intel Security
McAfee ePO
McAfee MNE(BitLocker)
McAfee MNE(FileVault)
McAfee Drive EncryptionMcAfee FRPMcAfee DLP Endpoint
Инструменты шифрования Intel Security
McAfee ePO
McAfee MNE(BitLocker)
McAfee MNE(FileVault)
McAfee Drive EncryptionMcAfee FRPMcAfee DLP Endpoint
Conduit /Endpoint Assistant
iOS And
Сценарий №1: “Нужно шифровать данные на носителях”
Возможности выборочного шифрования: • Разделение доступа к зашифрованной информации• Защита от случайного/умышленного копирования• Шифрование файлов при передаче в облачные хранилища• Управление ключами = управление доступом к информации• Интеграция с агентом DLP Endpoint
Модулизащиты
File & Removable Media Protection
Management of Native Encryption
Drive Encryption
DLP Endpoint & Device Control
Windows
ATD + TIE
MAR
Возможности полнодискового шифрования• Надежное шифрование Windows систем алгоритмом AES-256• 6 вариантов восстановления доступа к данным• Поддержка XP, Vista, 7, 8.x, 10; 2003 – 2012• Аутентификация по паролю, токену, смарткарте, отпечаткам• Поддержка SSO, AES-NI, GPT, UEFI …
Модулизащиты
File & Removable Media Protection
Management of Native Encryption
Drive Encryption
DLP Endpoint & Device Control Windows
Сценарий №2: “Опасаюсь НСД к ноутбукам/серверам”
ATD + TIE
MAR
Сценарий №3: “Нужно контролировать данные на лету”
Возможности агента DLP Endpoint: • Отслеживание и блокировка каналов:
• Почта, печать, Web;• Skype, Viber, ICQ;• Облачные хранилища;• Внешние накопители;• Снимки экрана;• Буфер обмена
• Может интегрироваться с выборочным шифрованием• Возможность обновить DeviceControl до DLP Endpoint• Поддерживает рабочие станции и сервера терминалов
Модулизащиты
MAR
ATD + TIE
File & Removable Media Protection
Management of Native Encryption
Drive Encryption
DLP Endpoint & Device Control
WindowsMacs
Короткая характеристика решения
File and Removable Media Protection (FRP)
• Симметричное шифрование локальных/сетевых файлов/каталогов (AES 256)
• Шифрование внешних USB накопителей, CD/DVD, вложений электронной почты
• Гибкое делегирование ключей (User based / System based)
Работа с CD/DVD и USB накопителями
File and Removable Media Protection
• Без шифрования/вручную/принудительно либо Read Only
• (USB) возможность привязки накопителя к конкретной системе
• (USB) возможность доступа на внешней системе (Windows & Mac)
• Доступ к зашифрованному без необходимости доп. ПО
Делегирование доступа к документам на основе ключей
File and Removable Media Protection
Делегирование доступа к документам на основе ключей
File and Removable Media Protection
Делегирование доступа к документам на основе ключей
File and Removable Media Protection
К1
К2
К3
К4
Делегирование доступа к документам на основе ключей
File and Removable Media Protection
К1
К2
К3
К4
Доступ к файлам с мобильных устройств
File and Removable Media Protection
McAfee Drive EncryptionMcAfee FRP
Android – уже есть (!)iOS – после НГ*
само приложение в маркете есть,добавят поддержку FRP ключей
• allows users to securely access encrypted files (FRP encrypted files) on their mobile device;
• simplifies the process of recovering a forgotten credential for a PC encrypted with MDE.
Особенности использования или о чем следует помнить
File and Removable Media Protection
• Развертывается только на клиентские ОС Windows, тем не менее может шифровать документы на сетевых хранилищах
• Может интегрироваться с McAfee Device Control / DLP Endpoint
• Позволяет осуществлять доступ к зашифрованным файлам с мобильных устройств
• Рекомендуется использовать для усиления с Drive Encryption
• При шифровании CD/DVD методом Onsite Access Only нужно использовать Windows Burner, Nero либо Roxio
• Отдельные накопители можно исключить из действия политики (KB75531)
• Процессы и каталоги ОС и ПО не шифровать
Короткая характеристика решения
Drive Encryption
• Система FDE с поддержкой HDD, Opal, SED и SSD дисков
• Широкий перечень поддерживаемых редакций Windows XP – 8.1 (KB79422)
• Поддержка технологий: AES-NI, SSO, TPM, AMT, UEFI, GPT, Secure/Hybrid Boot…
• Возможность добавить в pre-boot как доменных, так и недоменных пользователей
• Поддержка различных токенов (KB79787) и кард-ридеров (KB79788)
• Возможность сброса забытого пароля 6 разными способами
• Симметричное шифрование секторов жесткого диска алгоритмом AES‐256-CBC
• Для генерации случайных чисел DRBG использует HMAC SHA256
• Для аутентификации используется асимметричное шифрование RSA 2048 bit
Методы сброса пароля/восстановления доступа к зашифрованной системе
Drive Encryption
Self-recovery - автономно
Admin recovery (challenge-response) - email, phone
EETech boot USB/CD - локально
DeepCommand on intel AMT systems - через Internet (IPsec)
Endpoint Assistant (Android & iOS devices) - автономно / 7.1
Self Service Portal (DPSSP) - через Internet / 7.2
Итого: 6 различных сценариев восстановления доступа
Короткая характеристика решения
Management of Native Encryption
• Контроль Apple FileVault и MS BitLocker средствами еРО
• Два режима работы (report only & control)
• При использовании MNE нет необходимости в MBAM сервере
• Self Service Portal (DPSSP)
• Поддержка DEGO для Mac
• Периодическая ротация ключей восстановления
• Поддержка устройств Windows To Go, Microsoft Surface Tablets
Три основных порта, необходимых для коммуникации Агент-Сервер
ePO – основы: агент
McAfee ePO
McAfee Agent
Encryption
Endpoint
443 TCP
80 TCP
8081 TCP
Перечень систем
ePO – основы: дерево систем
Формируется
• Вручную
• Синхронизация с MS AD
Возможна сортировка систем по
• Тегам (меткам)
• IP адресам/подсетям
Разделяем системы между группами
ePO – основы: метки (теги)
Могут назначаться
• По критериям
• Вручную (без критериев)
Используются для
• Сортировки систем
• Выборочного запуска задач
• Выбор. применения политик
Каждый модуль имеет свой набор политик
ePO – основы: политики
Политика My Default применяется сразу!
Принцип управления:
Создаем наборы политик и переключаем
- наследование
- по системам
- по группам
Делегируем наборы разрешений
ePO – основы: ролевая модель доступа
Операции могут быть распределены между:
• Администраторами (политики);
• Help-Desk`ом (сброс паролей);
• Инженерами (восстановление доступа);
• Аудиторами/руководством (отчетность)…
Тезисы доклада
Зачем нам шифрование?
Инструменты шифрования Intel Security
[Практика] DLP + шифрование файлов
[Практика] Шифрование жестких дисков
Ответы на вопросы
Использование шифрования в правилах DLP
1. Принудительное шифрование файлов при записи на носитель
Использование шифрования в правилах DLP
1. Принудительное шифрование файлов при записи на носитель
2. Принудительное шифрование файлов при записи на сетевой каталог
Использование шифрования в правилах DLP
1. Принудительное шифрование файлов при записи на носитель
2. Принудительное шифрование файлов при записи на сетевой каталог
3. Принудительное шифрование файлов при передаче в облако
Использование шифрования в правилах DLP
1. Принудительное шифрование файлов при записи на носитель
2. Принудительное шифрование файлов при записи на сетевой каталог
3. Принудительное шифрование файлов при передаче в облако
4. Принудительное шифрование файлов при выполнении File System Discovery*
* FS Discovery – задача проверки рабочих систем на наличие конфиденциальных документов
Тезисы доклада
Зачем нам шифрование?
Инструменты шифрования Intel Security
[Практика] DLP + шифрование файлов
[Практика] Шифрование жестких дисков
Ответы на вопросы
Правильная последовательность внедрения
Drive Encryption
Выполнить резервное копирование важной информации с целевых систем
Настроить задачу синхронизации учетных записей из MS AD
Определить политики по отношению к дереву систем, назначить пользователей
Установить DEGO для проверки конфликтного ПО и SMART
Установить модули шифрования при неактивной политике (Encryption_OFF)
Активировать шифрование (Encryption_ON) с включенным Pre-Boot Smart Check
По завершению процесса перезагрузить систему и пройти pre-boot
* Подробнее см. заметку в блоге
Полезные советы от автора вебкаста
Реальные внедрения шифрования
• (MA) C:\Program Files\McAfee\Agent\cmdAgent.exe -s
• (DE) Используйте Autobooting для регламентных работ (обновление ОС, ПО)
• (DE) Всегда добавляйте в pre-boot сервисную учетную запись
• (DE) Pre-Boot Smart Check требует ~10 перезагрузок перед началом шифрования
• (DE) Automatic Repair Windows 8 off [ bcdedit /set {current} recoveryenabled No ]
• (MNE) Помните про исключения из парольной политики и DEGO для Mac
• (FRP) Ключи лучше деактивировать а не удалять, избегайте Local Keys
• (FRP) Если ключи не приходят по RDP – выполните logon локально
• (FRP) Шифрует файлы на уровне I/O, не сокетов(!) помнить о blocking process
• (FRP) При шифровании накопителя возможно три сценария
Комплекты в которые входит шифрование
• McAfee Complete EndPoint Protection – Business (защита конечных точек)
• McAfee Complete Data Protection Advanced (DLP Endpoint + шифрование)
• McAfee Complete Data Protection (Ширфование)
• McAfee Complete Data Protection Essential (MNE + FRP)
Источники полезной информации
www.mcafee.com/expertcenter - каталог инструкций
https://kc.mcafee.com - база знаний
https://radetskiy.wordpress.com - мой блог
https://www.youtube.com/user/McAfeeTechnical - канал на YouTube
ftp://ftp.bakotech.com/Evaluation/Docs/ - документация на нашем FTP
ftp login: mcafee
ftp pass: mcafee
Мои заметки по шифрованию:
https://radetskiy.wordpress.com/2013/06/27/mcafee-encryption-intro/
https://radetskiy.wordpress.com/2014/04/24/mcafee-drive-encryption/
https://radetskiy.wordpress.com/2014/08/01/encryption-vrad-man-part1/
https://radetskiy.wordpress.com/2014/08/13/encryption-vrad-man-part2/
https://radetskiy.wordpress.com/2015/03/03/mcafee-encryption-2015tech/
Тезисы доклада
Зачем нужно шифровать данные?
Инструменты шифрования Intel Security
[Практика] DLP + шифрование файлов
[Практика] Шифрование жестких дисков
Ответы на вопросы
Владислав Радецкийradetskiy.wordpress.comvr@bakotech.com