Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита...
TRANSCRIPT
1
Программный комплекс
DeviceLock 7.2 Endpoint DLP Suite.
Эффективная защита от утечек данных.
Презентация для конференции
Вахонин СергейДиректор по ИТDeviceLock, Inc.
#codeIBЧелябинск,19 сентября 2013 г.
2
Факты
Более 70 000 клиентов и более 5 000 000 инсталляций по всему миру
Международный лидер разработки программных средствдля защитыот утечек данных с корпоративныхкомпьютеров (DLP)
Зарубежные офисы продаж и технической поддержкиСША, Канада, Великобритания, Германия, Италия
Основана в 1996 году
Штаб-квартира и основной офис разработки находятся в Москве
Основной разрабатываемый продукт – DeviceLock Endpoint DLP Suite
Крупнейшие инсталляции – более 70 тыс. компьютеров (США), более 30 тыс. (РФ)
Информация о компании
3
в России
Примеры внедрения
«Опыт эксплуатации DeviceLock в Банке показал, что этот продукт является достаточно функциональным и надежным, вопрос о его замене не рассматривался – и сегодня DeviceLock контролирует около 8000 рабочих мест. Также мы видим, что разработчики системы DeviceLock постоянно совершенствуют свой продукт, наполняя его новым востребованным функционалом, что дает нам надежду, что данный продукт и дальше будет сохранять свою лидирующую позицию на данном рынке.».
Дмитрий Эдуардович Шпонько,Начальник отдела защиты информации УИБ ДБ Банка ВТБ24
Информация о компании
4
Награды и достижения
DeviceLock Endpoint DLP Suite
DeviceLock отмечен наградами и титулами рядом авторитетных российских и зарубежных изданий и независимых аналитических агентств
Независимая аналитическая компания The Radicati Group признала компанию DeviceLock одним из ключевых разработчиков DLP-систем в своем последнем детальном аналитическом отчете “Content-Aware Data Loss Prevention Market, 2013-2017”
DeviceLock DLP Suite 7.1 получил 5 звезд и знак "Рекомендовано" от журнала SC Magazine в 2013 и 2012 г.г. Максимальная оценка в 5 звезд дана по всем пунктам обзора: функционал, простота использования, производительность, документация, поддержка, цена-качество
DeviceLock назван победителем ежегодного обзора 2013 года “Выбор читателей” издания WindowSecurity.com
Компания Смарт Лайн Инк отмечена Золотой медалью Национальной отраслевой премии «ЗУБР» в категории «Кибербезопасность» за DeviceLock 7.2
Более 70 000 клиентов и более 5 000 000 инсталляций по всему миру
5
Каналы утечки данных
Проблематика утечки данных
Согласно исследованиям Ponemon Institute и Symantec, более 60% увольняемых сотрудников «сохраняют за собой» конфиденциальные данные своих компаний
Рост популярности облаков,доступность мобильных устройств
Высокая доступность и емкость
мобильных устройств и устройств
хранения данных
Социальные сети
Личные ящики веб-почты
и онлайн-службы мгновенных
сообщений
Сайты облачных файловых хранилищ
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ
РАБОЧИХ СТАНЦИЙ АКТУАЛЬНО КАК
НИКОГДА РАНЕЕ
6
Skype становится межкорпоративным стандартом взаимодействия
Проблематика утечки данных
Более 300 миллионов активных
пользователей
35% пользователей Skype – малый и средний
бизнес, основное средство коммуникаций
С 08.04.2013 прекращена поддержка Live
Messenger, пользователи переведены в Skype;
Microsoft объединила Lync и Skype; Skype
интегрирован в Outlook 2013/365
Поддерживается для любой ОС
Позволяет чат, быструю передачу файлов,
аудио- и видео-конференции
Все коммуникации в Skype зашифрованы,
перехват на уровне корпоративных шлюзов
невозможен
7
Модель BYOD представляет огромную угрозу ИТ безопасности
Мобильные устройствараспространены повсеместно
Модель BYOD становится нормой
ДИЛЕММА «ПРЕДОСТАВЛЕНИЕ
ДОСТУПА - ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ»
Microsoft RDP /
RemoteFXCitrix ICA/HDXCorporate Data
iPad’ы, iPhone’ы, iPod’ы, смартфоны и
планшеты на платформе Android и Windows,
лэптопы и домашние компьютеры
Традиционный сетевой периметр
неспособен контролировать личные
устройства
Все они напрямую подключаются к
корпоративной сети и позволяют
«вытаскивать» информацию из нее
Проблематика утечки данных
8
Основные состояния данных и пути их миграции
Data in motionДанные, перемещаемые по сетевым протоколам или временно хранимые в памяти ПК с целью чтения или изменения
Data in useАктивные постоянно редактируемые данные, физически расположенные в хранилищах данных, съемных носителях и т.п.
Data at restПассивные данные, физически расположенные в базах и хранилищах данных, таблицах, архивах, на ленточных накопителях, устройствах резервного копирования и т.п.
9
Шлюзовое решение с возможностью блокирования
• Перехват только сетевого трафика, невозможность контролировать устройства и зашифрованные сетевые протоколы (Skype!), сложности с протоколами, защищенными SSL
• Относительная легкость развертывания и управления• Низкая гибкость по отношению к пользователям• Высокая защищенность от взлома
Необработанный сетевой трафик Обработанный сетевой трафик
Коммутатор
Прокси-сервер
DLP-шлюз
Рабочая станция
Лэптоп
Рабочая станция
Интернет
Сервер DLP
10
Шлюзовое решение в режиме мониторинга
Коммутатор
Прокси-сервер
DLP-шлюзРабочая станция
Рабочая станция
Необработанный сетевой трафик
Интернет
Сервер DLP
Лэптоп
Интернет
• Перехват только сетевого трафика, невозможность контролировать устройства и зашифрованные сетевые протоколы (Skype!), сложности с протоколами, защищенными SSL
• Относительная легкость развертывания и управления• Низкая гибкость по отношению к пользователям• Невозможность блокировать нежелательный трафик – реакция только на уже произошедшие
инциденты
11
Смешанное шлюзово-хостовое DLP-решение
DLP-шлюз
Рабочая станция
Рабочая станция
Агент DLP (Device Control, Skype control)
Сервер DLP
Лэптоп
Прокси-сервер
Необработанный сетевой трафик Обработанный сетевой трафик
Интернет
• Возможность контролировать зашифрованные сетевые протоколы и SSL-трафик, устройства и порты
• Необходимость развертывания на каждый компьютер в сети• Высокая гибкость по отношению к пользователям• Возможность блокировать нежелательный трафик для предотвращения утечек, а не выявления• Повышенная нагрузка на каналы передачи данных
12
Полностью хостовое DLP-решение
Коммутатор
Рабочая станция
Рабочий ноутбук
Рабочая станцияИнтернет
Агент DLP Обработанный сетевой трафик
Сервер AD
Передача DLP-политик на агенты
Прокси-сервер
Сбор информации
Консоль администратора
Сервер DLP
• Полный контроль сетевого трафика с точки передачи данных, включая SSL-трафик; контроль устройств и портов
• Необходимость развертывания на каждый компьютер в сети• Высокая гибкость по отношению к пользователям• Возможность блокировать нежелательный трафик для предотвращения утечек, а не выявления• Повышенная нагрузка на каналы передачи данных
13
Основные сценарии применения DLP на предприятиях
Проблематика утечки данных
Наиболее часто встречающиеся задачи при внедрении DLP-системы для защиты от утечек информации:
• отслеживание и предотвращение фактов передачи защищаемой информации c использованием электронной почты по почтовым протоколам и через почтовые веб-сервисы (избирательное блокирование и аудит каналов); • отслеживание и предотвращение фактов передачи защищаемой информации в сеть Интернет по сетевым протоколам HTTP, HTTPS, FTP, FTPS, через социальные сети (избирательное блокирование и аудит перечисленных каналов);• отслеживание и предотвращение фактов передачи защищаемой информации с использованием Instant Messengers (избирательное блокирование и аудит каналов Skype, ICQ и ряда других);• отслеживание и предотвращение фактов записи защищаемой информации на съемные носители (избирательное блокирование и аудит USB-накопителей, оптических дисков, flash-носители и др.);• отслеживание и предотвращение печати документов, содержащих защищаемую информацию (избирательное блокирование и аудит печати на локальных, сетевых и виртуальных принтерах);• отслеживание фактов хранения защищаемой информации на общие сетевые ресурсы;• отслеживание и предотвращение копирования защищаемой информации из терминальных сессий (из буфера обмена), контроль перенаправленных устройств в терминальных средах;• создание и ведение архива переданных пользователями данных и файлов по сети Интернет, а также через съемные накопители, принтеры и другие средства хранения и передачи информации в целях дальнейшего криминалистического анализа и расследования инцидентов информационной безопасности;• создание подсистемы оперативного реагирования на ключевые инциденты информационной безопасности;• создание организационно-распорядительной документации как правовой основы деятельности подразделения, ответственного за информационную безопасность.
14
DeviceLock Endpoint DLP Suite
"С введением режима конфиденциального документооборота на предприятии и согласованного плана мероприятий по обеспечению защиты информации от разного рода угроз, руководство Завода приняло решение использовать программное обеспечение DeviceLock российской компании Смарт Лайн Инк, как одно из средств защиты информации.
Отдел информационных технологий Челябинского механического завода изучил аналогичные программные продукты с целью предотвращения утечки конфиденциальной информации, и по наиболее приемлемому соотношению цена/качество предпочтение было отдано именно DeviceLock"
Михаил Мещеряков, Начальник отдела информационных технологий
Комплекс состоит из трёх взаимодополняющих отдельно лицензируемых функциональных компонентов
Контекстныйконтроль
Контентныйконтроль
DeviceLockКонтроль периферийных устройств и интерфейсов подключения, централизованное управление (инфраструктурное ядро архитектуры комплекса)NetworkLockВсесторонний контроль сетевых коммуникацийContentLockТехнологии контентного анализа и фильтрации
DeviceLock DLP Suite – первая российская DLP-система
15
Архитектура программного комплекса DeviceLock
DeviceLock Endpoint DLP Suite
Терминальная сессия
Групповые политикиКонтроллер
доменаActive Directory
Сеть
Консоли управления
DeviceLock
Management Console
DeviceLock Enterprise Manager
DeviceLock WebConsole
DeviceLock
GroupPolicy Manager
Агенты DeviceLock ServiceКомпоненты DeviceLock, NetworkLock, ContentLock (для физических компьютеров и терминальных сессий)
DeviceLock Search Server
SQL Server Может быть использована бесплатная редакция SQL Express для небольших сетей/объемов хранения данных аудита и теневого копирования
DeviceLock Enterprise Server
Дополнительно лицензируется компонент DeviceLock Search Server – по числу индексируемых документов и записей в БД аудита и теневого копирования
Остальные компоненты и функции комплекса (консоли управления, апплеты, отчеты, сервер DeviceLock Enterprise Server) не лицензируются и могут быть использованы в любом количестве в соответствии с требованиями инфраструктуры организации
Программный комплекс DeviceLock Endpoint DLP Suite лицензируется строго по числу защищаемых компьютеров (т.е. тех, на которых установлен Агент DeviceLock – DeviceLock Service или по числу защищенных терминальных сессий).
** Использование групповых политик контроллера домена Active Directory является опциональным, но наиболее оптимальным способом развертывания и управления DeviceLock Endpoint DLP Suite.
* В архитектуре DeviceLock Endpoint DLP Suite отсутствует такой компонент, как выделенный сервер управления.
16
Контролируемые каналы утечки данных
DeviceLock Endpoint DLP Suite
Флешки и другие съёмные носители с интерфейсом подключения USB Смартфоны
CD и DVD R/RW
Карты памяти стандартов Compact Flash и SD
Bluetooth
Устройства, перенаправленные в терминальную сессию
iPad’ы, iPhone’ы и iPod’ы
Цифровые фотоаппараты
FireWire
Принтеры (канал печати)
Социальные сети
Корпоративная почта(SMTP, MAPI)
Облачные файлообменные сервисыHTTP / HTTPS
Веб-почта
Службы мгновенныхсообщений, Skype
FTP / FTPS
Общие сетевые ресурсы (SMB)
TelnetБуфер обмена
Полностью программное решение, не требующее дополнительных аппаратных модулей
Защита от локальных утечек данных непосредственно на источнике угрозыПолная интеграция в групповые политики Active Directory
17
Рабочая станция+
локальный DLP-агент(Endpoint Agent)
Endpoint DLP-системаDeviceLock Wi-Fi, 3G
Локальная синхронизаци
я
Съёмныеносители
Локальныепринтеры
Локальная сеть
Удаленная терминальная
сессия (RDP)
Архитектура и контроль каналов в DeviceLock DLP
Сервер DLESСервер AD
DeviceLock Endpoint DLP Suite
18
Технологии для контроля данных
DeviceLock Endpoint DLP Suite
Детальное событийное протоколирование действий пользователей, административных процессов и состояния комплекса, включая теневое копирование данных, с хранением их в централизованной базе данных. Собственный сервер полнотекстового поиска данных. Встроенная система построения отчетов, в т.ч. графических.
Интеграция с внешними программными и аппаратными средствами шифрования съёмных носителей (определение прав доступа к шифрованным носителям).
Задание разных политик для компьютеров в режимах online/offline с автоматическим распознаванием режимов.
Оповещения системы безопасности о событиях в реальном времени.
Блокировка аппаратных кейлоггеров (USB и PS/2).
Гранулированный контроль доступа пользователей ко всем типам устройств и портов локальных компьютеров, в т.ч. канала локальной синхронизации с мобильными устройствами. Контроль наиболее применимых каналов сетевых коммуникаций.
Распознавание реального типа файлов для расширения возможностей контроля, аудита и теневого копирования. Более 4 000 типов (форматов) файлов с возможностью расширения для новых форматов.
Встроенная защита агентов от несанкционированных воздействий пользователей и локальных администраторов. Автоматизированный мониторинг состояния агентов и применяемых политик.
19
Компонент DeviceLock: контроль устройств и интерфейсов
Устройства хранения данных, буфер обмена
Флеш-накопители, карты памяти
Интерфейсы подключения
Терминальные сессиии виртуальные среды
Канал печати
Мобильныеустройства
Компонент DeviceLock обеспечивает контроль доступа к устройствам и интерфейсам, событийное протоколирование (аудит), тревожные оповещения и теневое копирование, а также реализует такие функции, как Белые списки USB-устройств и CD/DVD носителей, защиту агента DeviceLock от локального администратора, поддержку сторонних криптопродуктов, обнаружение и блокирование аппаратных кейлоггеров и др.
Компоненты комплекса DeviceLock Endpoint DLP Suite
20
Компонент NetworkLock: защита от угроз сетевого происхождения
MAPI SMTP SMTP-SSL
MAPI SMTP SMTP-SSL
Социальныесети
Службы мгновенных сообщений
Сетевые сервисы файлового обмена и синхронизации,внутрисетевые файловые ресурсы
Почтовые протоколы и web-почта
Интернет-протоколы HTTP/HTTPS FTP FTP-SSL Telnet
Компонент NetworkLock обеспечивает избирательный контекстный контроль каналов сетевых коммуникаций, событийное протоколирование (аудит), тревожные оповещения и теневое копирование для них.
Компоненты комплекса DeviceLock Endpoint DLP Suite
21
NetworkLock: Белый список сетевых протоколов
Возможности Белого списка могут быть с успехом использованы для расширенного решения задачи контроля почтового трафика – можно ограничить область адресатов почтовых сообщений до известных службе безопасности доменов, разрешить использование только допустимых почтовых ящиков и сервисов и т.д.
По аналогии с Белым списком USB-устройств в модуле DeviceLock, в модуле NetworkLock реализован «Белый список» сетевых протоколов, позволяющий гибко предоставлять доступ ключевым сотрудникам только к тем сервисам и узлам, которые необходимы им для работы.
Компоненты комплекса DeviceLock Endpoint DLP Suite
Реализация сценария «минимальные привилегии»: Расширенный гибкий контроль сетевых протоколов в зависимости от ряда параметров
Диапазоны IP-адресов Диапазоны портовТипы протоколов и приложенийИдентификаторы локальных пользователей/адреса e-mail, имеющих право отправлять мгновенные сообщения и почту(Local Sender)Допустимые получатели мгновенных сообщений и почты (Remote Recipient)
22
Компонент ContentLock: контентный анализ и фильтрация
Контентный анализ электронной почты и веб-почты; служб мгновенных сообщений, социальных сетей и передаваемых по сети файлов; канала печати, съемных носителей и др. типов устройств – в более чем 80 типах файлов и документов.
Контентный анализ для данных теневого копирования.
Комбинирование различных методов фильтрации на базе различных численных и логических условий.
Поиск по ключевым словам с применением морфологического анализа и использованием промышленных и отраслевых словарей.
Анализ по шаблонам регулярных выражений с различными условиями соответствия критериям, в т.ч. встроенным.
Анализ по расширенным свойствамдокументов и файлов, считывание отпечатков Oracle IRM.
80+
Контроль данных в архивах и составных файлов, детектирование текста в графике.
Компоненты комплекса DeviceLock Endpoint DLP Suite
23
Технологии DeviceLock Virtual DLP
Доступ к корпоративным данным – только на время работы.
DLP-политики позволяют передачу между двумя средами только необходимых для сотрудников бизнес –данных.DLP-защита для виртуальных сред и BYOD-модели, основанной на виртуализации рабочих сред и приложений, является универсальной и работает на всех видах личных устройств.Использование виртуальной рабочей среды вместо локального контейнера.Отсутствие зависимости от особенностей реализации мобильной платформы:применимость на любых персональных устройствах (планшеты, лэптопы, тонкие клиенты, домашние компьютеры с любыми операционными системами).DLP-агент функционирует внутри терминальной сессии (в виртуальной среде).
Технологии Virtual DLP
DeviceLock: Интеграция DLP-технологий в терминальную среду.
24
Используется виртуальная рабочая среда,с подключением через браузер по протоколу HTML5 через RDP-HTML5 прокси.Локальные устройства и буфер обмена перенаправлены в терминальную сессию.
DeviceLock перехватывает обращения к перенаправленным устройствам и в режиме реального времени осуществляет проверку, допустимы ли их использование и специфические операции с данными. DeviceLock проверяет содержимое (контент) передаваемых данных на предмет их соответствия DLP-политикам.
Ведется аудит и теневое копирование передаваемых данных, отправляются тревожные сообщения (алерты).
Сценарий использования DeviceLock для DLP-защиты в модели BYOD
Технологии Virtual DLP
25
Пример использования DeviceLock для DLP-защиты в модели BYOD
Технологии Virtual DLP
На iPad используется приложение MS Outlook, с подключением через Remote Desktop (RDP).Проверка контента передаваемых данных на предмет их соответствия DLP-политикам.
Аудит и теневое копирование передаваемых сообщений, алерты.
26
Новая версия - DeviceLock 7.3!
DeviceLock Endpoint DLP Suite
Поддержка Microsoft Windows 8/8.1 и Windows Server 2012
Агент для Mac-компьютеров(ОС MacOS X 10.6.8 (Snow Leopard), 10.7 (Lion), 10.8 (Mountain Lion). )