DLP (data leakage protection)
-
Upload
wydzial-ds-ezdrowia-departament-polityki-zdrowotnej-urzad-marszalkowski-w-lodzi -
Category
Health & Medicine
-
view
528 -
download
0
description
Transcript of DLP (data leakage protection)
![Page 1: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/1.jpg)
TRITON STOPS MORE THREATS. WE CAN PROVE IT.
Aleksander Raczyński
DLP (DATA LEAKAGE PROTECTION)
MOŻLIWOŚCI OCHRONY INFORMACJI KRYTYCZNYCH PRZED ATAKAMI TYPU APT ARAZ BŁEDAMI LUDZKIMI. JAK Z SUKCESEM WDROŻYĆ DLP W ORGANIZACJI?
![Page 2: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/2.jpg)
Poznać to, czego nie znamy.Dowiedzieć się tego, czego nie wiemy.
NIE MOŻNA SIĘ OBRONIĆPRZED NIEWIDZALNYM ZAGROŻENIEM
![Page 4: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/4.jpg)
4
Social Media
Mobile
Wektory ataku
Web
Ofiary są z reguły kierowane do Web’u
Redirects
Malware
Recon
XSS
Dropper Files
CnCExploit
Kits
Phishing
![Page 5: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/5.jpg)
Wzrost zagrożenia ze strony Web
5
Złośliwe witryny (URL) wzrost o 600% w skali światowej
![Page 6: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/6.jpg)
6
Kraje, które najczęściej są gospodarzami Malware’u
United StatesRussian Federation
GermanyChina
MoldovaCzech RepublicUnited Kingdom
FranceNetherlands
Canada
![Page 7: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/7.jpg)
85% zainfekowanych witryn zostało wykrytych na stronach „poprawnych”
1. Information Technology2. Business and Economy3. Sex4. Travel5. Shopping
Zainfekowane witryny(wg. Kategorii)
![Page 8: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/8.jpg)
Top 5 Countries Hosting Phishing• W coraz większym stopniu koncentruje się na celach komercyjnych i rządowych
• 69% wiadomości phishingowych jest wysyłanych w poniedziałek i piątek
• Bardziej celowy
– Lokoalizacja
– Wzrost tzw. Spearphishing’u
Phishing
8
![Page 9: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/9.jpg)
• Staje się bardziej agresywny
– 15% łaczy się w czasie pierwszych 60 sek.
– 90% pobiera informacje
– 50% wrzuca „dropper files”
9
Malware
![Page 10: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/10.jpg)
10
Malware: HTTPS
• Kluczowe ryzyko infekcji: HTTPS– ½ najpopularniejszych 20 witryn używa HTTPS– Łatwy do penetracji „ślepy kąt” dla bezpieczeństwa
• Komunikacja do serwerów CnC
![Page 11: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/11.jpg)
11
Kradzież danych
• Dane osobowe (PII)• Karty kredytowe• ID (tożsamość)
• Kradzież własności intelektualnej (IP)• Sektor rządowy• Sektor komercyjny
Zagrożenie poprzez Insidera• Przypadkowa
• Phishing
• Zamierzona• Fizyczny dostęp• Elektronicznie
![Page 12: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/12.jpg)
Jak działają bardziej wyrafinowane ataki?
RE
CO
N01
LU
RE
02
RE
DIR
EC
T
03
EX
PL
OIT
KIT
04
DR
OP
PE
RF
ILE
05
CA
LL
HO
ME
06
DA
TAT
HE
FT
07
![Page 13: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/13.jpg)
Czy można się uchronić?
RE
CO
N01
LU
RE
02 Świadomość
• Web & Email• Facebook, Blogi, Tweety• Spear-phishing• Zaufany punk wejścia• Celowe• Dynamiczne• Zgrane w czasie
![Page 14: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/14.jpg)
Czy można się uchronić?
RE
DIR
EC
T
03
EX
PL
OIT
KIT
04 Analiza Real-Time
• Kod wykonywany w przeglądarce & active scripts
• Analiza URL• Analiza Exploitów• Wileskładnikowa
punktacja / rating• Proaktywność
![Page 15: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/15.jpg)
Czy można się uchronić?
DR
OP
PE
RF
ILE
05
CA
LL
HO
ME
06Aktywna Ochrona
• Analiza Aplikacji• Złośliwe PDFy• Wielosilinikowy AV• Pliki spakowane• Dynamiczny DNS• Botnety & CnC
![Page 16: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/16.jpg)
Czy można się uchronić?
DA
TAT
HE
FT
07Ograniczenie zakresu
• Ochrona przed kradzieżą informacji
• Technologia DLP• Monitorowanie
informacji wypływających
• Geolokacja• Szczegółowe Forensic
& oraz raportowanie• Alerty / Priorytety
![Page 17: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/17.jpg)
TRITON STOPS MORE THREATS. WE CAN PROVE IT.
TECHNOLOGIA DLP –MOŻLIWOŚCI, WDROŻENIE I PRAKTYCZNE UWAGI
![Page 18: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/18.jpg)
Websense TRITON - Architektura
![Page 19: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/19.jpg)
DLP - technologia i możliwości
![Page 20: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/20.jpg)
Co to jest DLP?
DLP = data loss preventionrównież data leak/leakage
preventionDLP solutions (n.)
“Products that, based on central policies, identify, monitor, and protect data at rest, in motion, and in use through deep content analysis.”
– Rich Mogull (securosis.com), former Gartner analyst for DLP
Rozwiązania DLP
“Produkty, które w oparciu o centralne polityki, identyfikują, monitorują, oraz chronią dane w spoczynku, w ruchu, i w użyciu poprzezdogłębną analizę treści.”
– Rich Mogull (securosis.com), były analityk DLP firmy Gartner
![Page 21: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/21.jpg)
Gdzie rozwiązania DLP chronią wrażliwe informacje?
Dane płynące do wewnątrz i na zewnątrz organizacji
Data Usage (Network)
Typowe kanały komunikacyjne
HTTP(S) FTP SMTP Instant Messangers Network Printer
Data in MotionDane przechowywane w granicach naszej infrastruktury
Data Discovery
Repozytoria danych
Network Shares (NTFS, NFS, Novell)
SharePoint Databases (via ODBC) Exchange Lotus Domino Pst files Endpoint
Data at Rest Data in UsePodczas manipulacji przez różne aplikacje
Data Usage (Endpoint)
Monitorowane akcje (Endpoint)
Cut / Copy / Paste Print Print Screen Access Files Endpoint LAN/Web Removable Media Outlook / Lotus Plugin Printers (local, net)
![Page 22: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/22.jpg)
Przykład reguły
Rule Properties | Severity: (High) / Action Plan: (Block_All)
Rule Properties | Source | Edit: Directory Entries
Rule Properties | Destinations | R EmailR Web R HTTP/HTTPS R Chat
Rule Properties | Condition | Add: PreciseID FP – DB Records
Rule Properties | Destinations | R Email: AllR Web: All
Lekarzom nie wolno wysyłać danych pacjentów do…
(Action)
(Who: From)
(How)
(What)
(Who: To)
![Page 23: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/23.jpg)
Wybierz twój kraj i sektor
![Page 24: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/24.jpg)
Wybierz interesujące Cię polityki
![Page 25: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/25.jpg)
Przejrzyj reguły
![Page 26: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/26.jpg)
Świadomość treści oraz kontekstu
• Websense User Service
Websense Web Intelligence
Kategorie / Słowniki
Regularne wyrażenia
File Matching
Analiza statystyczna
PreciseID
+Klasyfikatory informacji
KTO DOKĄD
KONTEKST
![Page 27: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/27.jpg)
Strategie użycia rozwiązania
27
![Page 28: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/28.jpg)
Dwa ekstremalne podejścia do DLP
• Monitoruj wszystkich i wszystko– Duża ilość incydentów brak przejrzystości– Tylko wartość dowodowa– Brak wpływu na kulturę obchodzenia się z informacją– Sugeruje nieufny stosunek do pracowników
• Blokuj tylko kto czego wymagają przepisy– Strategia „alibi”?– Technologia DLP wykorzystana w małym stopniu– Brak dodatkowych informacji o informacjach wrażliwych
![Page 29: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/29.jpg)
Moja sugestia: strategia pośrednia
• Zalety:– Spełnienie wymagań prawnych– Dodatkowe wykorzystanie technologii w celu ochrony informacji– Dodatkowy efekt – podniesienia świadomości użytkowników
• Utrudnienia (?)– Wypracowanie procesów biznesowych dotyczących informacji ważnych– Z reguły wymagana interakcja administratorów/helpdesku– Wypracowanie zasad obsługi incydentów
![Page 30: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/30.jpg)
Zmiana modelu zachowań użytkowników
![Page 31: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/31.jpg)
Technologia DLP jest Twoim sprzymierzeńcem!
• Wewnętrzny PR dla technologii DLP– Ochrona informacji jest ważna dla organizacji– System monitoruje tylko nadużycia nie ingerując w – Ochrona informacji chroni również pracownika przed ewentualnymi błędami– Edukacja pracowników, podnoszenie ich świadomości nadrzędnym celem
(konsekwencje wobec pracowników - ostateczność)
• Aspekty prawne• DLP jest doskonałym narzędziem dla departamentu bezpieczeństwa
– pozwala na rozpoznanie trendów i zagrożeń– Ma wpływ na kształtowanie polityki bezpieczeństwa– Pozwala wdrożyć istniejące zasady poiltyki bezpieczeństwa
![Page 32: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/32.jpg)
Administracja i zarządzanie systemem
32
![Page 33: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/33.jpg)
Zarządzanie Incydentami
33
Listaincydentów
Złamanereguły
Szczcegóły incydenu
Wykonajakcję
![Page 34: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/34.jpg)
Workflow incydentów oparty o powiadomienia pocztowe
• Akcje możliwe z poziomu powiadomienia:
– Zmiana rangi– eskalowanie– przypisanie incydentu– ignorowanie– etc.
![Page 35: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/35.jpg)
Investigative Reports
35
• Dostarczają wglądu do:– Cele wycieku poprzez Web według kategorii– Cele wycieku poprzez Email– Źródła odpowiedzialne za wyciek informacji– Polityki, które uległy naruszeniu
• Używane są by:– Ustalić priorytety zagrożeń– Ustalić potrzeby edukacji pracowników– Wprowadzić poprawki polityk– Zidentyfikować niedziałające procesy biznesowe– Zademostrować zgodność z regulacjami
prawnymi
![Page 36: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/36.jpg)
Executive Summary Reports
36
– Wykonywane automatycznie lub na żądanie– Czołowe incydenty na przestrzeni ostatnich
24 godzin– 30, 60, 90-dniowe raporty zbiorcze– Raporty Trendów– I wiele więcej…
![Page 37: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/37.jpg)
Czy projekt się powiedzie?
37
![Page 38: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/38.jpg)
Podsumowanie
• Sukces projektu DLP zależy od kilku czynników:
– Dobór odpowiedniej technologii DLP
– Jasność celów, które powinny być osiągnięte dzięki projektowi DLP
– Świadomość organizacji odnośnie wartości posiadanej informacji
kadra zarządzająca + departament bezpieczeństwa
– Gotowość organizacji na zmiany
odpowiedni priorytet dla projektu
![Page 39: DLP (data leakage protection)](https://reader034.fdocument.pub/reader034/viewer/2022042623/54851119b4af9fa62d8b4acf/html5/thumbnails/39.jpg)
© 2013 Websense, Inc. Page 39
TRITON STOPS MORE THREATS. WE CAN PROVE IT.
DZIĘKUJĘ