mcafee dlp

August 20, 2010

McAfee DLP

Константин Здыбель

БАКОТЕК

Confidential McAfee Internal Use Only August 20, 2010 Risk and Compliance Sales Accreditation Presentation 2

Потеря данных: Неизбежная катастрофа для компаний?

Усиление

нормативов

Финансовые потери

при разглашении

+

Защита данных: главный приоритет CISO

2007 CISO Survey

Рост числа моб.

устройств

USB Memory

Sticks

BlackBerry SmartPhone

Palm/Treo PocketPC

Laptops

Desktops

1995 2000 2005 2010

Sold Units


Страх неизвестного порождает тревогу

Нынешние продукты не решают эти задачи

«Где»

информация?

Как обеспечить защиту

«вовремя»? Как

«автоматизировать»

процессы для

снижения затрат на

аудит? «Какая»

информация

нуждается в

защите?

«Кто» должен

иметь

доступ?

Решенные

проблемы

Неудовлетво-

ренные

потребности

• Потери ноутбуков

• Потеря USB-устройств

• Обучение персонала

• Device Control


Два типа информации, которой нужна защита: Простая и Сложная

• Каждое DLP-решение может защищать очевидные данные

• До сих пор вы должны были знать, что защищать

– Множественные «команды», определения и политики

• McAfee Network DLP позволяет быстро изучить, какие данные важны!

– Правила и политики

– Хранение и индексация всего контента… нет ложных срабатываний!

– Развертывание, внедрение и защита в течении недель, а не месяцев

Confidential McAfee Internal Use Only

«Кошмар» точечных решений

5

Защищенная корпоративная сеть Граница/DMZ Отключенные

• Host DLP

• Data Discovery

• Email Filtering

• File Encryption

• Network DLP

• Email Encryption GW

• Disk Encryption

• Device Control

• Web Filtering

Confidential McAfee Internal Use Only 6

Архитектура решений McAfee

Защищенная корпоративная сеть Граница/DMZ

MTA or Proxy

SPAN Port or Tap

Отключенные

• Network DLP Monitor

• Network DLP Prevent

• Network DLP Discover • Host DLP

• Device Control

• Endpoint Encryption

• Host DLP

• Device Control

• Endpoint Encryption

• Encrypted Media

Центр управления

• ePolicy Orchestrator (ePO)

• Network DLP Manager


McAfee Data Protection Suite

7

Выбирайте, что вам нужно:

• Полная защита

• Необходимые компоненты

Data Loss Prevention Endpoint Encryption

See slide‘s notes section for ePO integration details.

Host DLP

•Контроль над

устройствами

•Слежение за

данными

•Предотвращение

случайных и

намеренных утечек

Network DLP

•DLP Manager

•Настройка и

корректировка

политик с течением

времени

•Интеграция с ePO

EEPC

•Пароль для

Windows? Этого мало

•Единый вход (SSO)

Removable Media

•Кто имеет доступ к

чувствительным

данным?

•Защита EEFF

•EERM

•И даже аппаратное

шифрование!

• ePolicy Orchestrator реализует отчетность для всех Data Protection продуктов

• Network DLP Manager предоставляет более тонкие возможности управления, при полной

интеграции с ePO

Полная защита данных


Почему DLP для хостов необходим?

• Только DLP на хосте может защитить от:

– Копирования на внешние носители

– Записи CD/DVD

– Печати документов

– Отправки данных по https и прочим шифрованным протоколам

• Только DLP на хосте может предоставить защиту в режиме офф-лайн


Каналы Host Data Loss Protection

Физические устройства

• USB

• Принтеры

• CD\DVD

Сетевые каналы

• Email

• HTTP Web Post

• IM, ICQ

• FTP


Компоненты Host DLP

Host DLP Management

Device Control DLP Engine


Host DLP Management

• Агенты централизованно устанавливает ePO

• Политика DLP назначается из ePO

• Интеграция с Active Directory

• Гранулированные политики для пользователей

• Централизованный сбор событий DLP


MCAFEE DLP FOR A DYNAMIC WORLD

Device Control

August 20, 2010

Confidential McAfee Internal Use Only 13

McAfee Device Control

• Основан на технологии McAfee Data Loss Prevention

• Контентная и контекстная блокировка устройств

• Управление копированием данных на внешние носители

• Полный контроль над любыми внешними устройствами

Serial/Parallel

CD/DVD

FireWire

USB

Bluetooth

WI/IRDA

Other

ePO

Политики События


Device Control

• Управление на уровне

– Съемных носителей

– Устройств Plug-and-play

• Гибкое определение устройств

– Например, по уникальным Vendor/Product ID

– Или, например, по Serial Number

• McAfee Encrypted USB определены заранее


Device Control

• Реакция

– Блокирование

– Мониторинг

– Уведомление

– Доступ «Только чтение» (для съемных носителей)

• Реакция может быть разной для состояний Online/Offline



Host DLP

August 20, 2010


Поток DLP

Форсирование

правил

реагирования

Неизменность

меток

Пометка данных|

Классификация


Методы теггирования/классификации

• На основании содержимого

• На основании приложения

• На основании местоположения

• Вручную

• Теги именуются


Классификация по содержимому

• Классификация по:

– Регулярным выражениям (например, номер кредитной карты)

– Ключевым словам (например, финансовые термины)

• Могут применяться пороговые значения

– Например, критичным будет обнаружение 10-ти и более номеров кредитных карт в одном документе


Теггирование по приложению

• Данные помечаются в соответствии с приложением, которое их сгенерировало

• Наиболее частое применение

– Файлы без текста: графика, разработка игр и пр.


Теггирование по местоположению

• Данные помечаются в зависимости от места хранения

– Например, помечать все файлы взятые из папки общего доступа \\server\share

• Теггирование может уточняться:

– Тип файла

– Расширение файла

– Содержимое файла


Постоянство тегов

• Host DLP следит за тегами по мере изменения их носителя:

– Переименование файлов

– Изменение формата (например, .doc -> .txt)

– Копирование/Вставка

– Архивирование

– Шифрование


Правила реагирования

• Форсирование политики DLP

• Для каждого канала свои правила

• Возможные реакции:

– Блокирование

– Мониторинг

– Уведомление пользователя

– Сохранение улики

– Принудительное шифрование

• Может применяться к состояниям Online/Offline


Типы правил реагирования

• Электронная почта

• Съемные носители

• Печать

• Размещение в Web

• Сетевые соединения

• Копирование по сети

• Снимок экрана


Дополнительные функции

• Привилегированные пользователи

– Блокировки превращаются в мониторинг

• Возможность генерации временного ключа обхода правил DLP



Network DLP

August 20, 2010


Компоненты

•―Monitor‖: Захват всего трафика

•―Prevent‖: Блокировка Web и Email

•―Discover‖: Где прячется информация?

•―Network Manager‖: Управление

Технические данные

• iGuard 1650 — 1RU chassis w/ 16GB RAM

— 500GB RAID1-protected SATA2 datastore capacity

— Up to 10Mbps WAN supports remote offices or small data centers

• iGuard 3650 — 3RU chassis w/ 16GB RAM

— 6TB RAID5-protected SATA2 datastore capacity

— Up to 1Gbps WAN supports enterprise data center locations

McAfee iGuard 1650 McAfee iGuard 1650

McAfee iGuard 3650

McAfee Network Data Loss Prevention

27


Что делает нас уникальными?

CNN

SSN

HIPAA

ЧТО Я ЗНАЮ

Create Rules for:

Inventory Turn Reports

?

Sales Forecast ?

Product Plans ?

Marketing Plans

?

?

ЧЕГО Я НЕ ЗНАЮ

Create Rules for:

Сила Google:

• Индексирование Интернета

• Когда вы делаете запрос – он говорит, где находится наиболее релевантная информация

Сила McAfee:

1. Индексирование и классификация всего контента передаваемого по каналам связи

2. Capture Index поможет: Повысить точность правил, проводить расследования и понять, ЧТО и ОТ КОГО защищать

ЧТО ТАКОЕ ОБУЧЕНИЕ?

• Большинство DLP-решений требуют от вас ЗНАТЬ, что нужно защищать

• Но как быть с тем, что вы НЕ УМЕЕТЕ искать?

─ Интеллектуальная собственность

─ Маркетинговые планы

─ Прогнозы

─ Финансовые записи

• Способность McAfee ―ОБУЧАТЬСЯ” реализует адаптивную защиту

─ Сила Google – в индексировании Интернета

─ Обучение а-ля Google фокусируется на передаваемой и хранящейся информации


Knowledge Mining

• Захват и индексирование всего контента

• Обнаружение чувствительной информации

• Расследование активности

• Настройка правил

Поиск по содержимому ‗confidential‘

Кто и куда отправил?

Где это хранится в сети?


McAfee Network DLP и ePO

System Health and Monitoring

Host DLP Data-in-Motion Incident Status (by

Severity)

Data-at-Rest Top Shares

Data-at-Rest Top Policies Data-in-Motion Top Policies

Спасибо!

mcafee dlp

Documents