Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Web security | data security | email security © 2010 Websense, Inc. All rights reserved. Praktyczne aspekty ochrony istotnych informacji w oparciu o rozwiązania.

Podobne prezentacje


Prezentacja na temat: "Web security | data security | email security © 2010 Websense, Inc. All rights reserved. Praktyczne aspekty ochrony istotnych informacji w oparciu o rozwiązania."— Zapis prezentacji:

1 web security | data security | security © 2010 Websense, Inc. All rights reserved. Praktyczne aspekty ochrony istotnych informacji w oparciu o rozwiązania Websense DLP Krzysztof Górowski, Clico

2 O firmie Websense 2 Wiodący dostawca rozwiązań bezpieczeństwa Web, oraz DLP Ponad klientów na świecie Dziesiątki milionów chronionych użytkowników Tysiące Resellerów z wartością dodaną (VAR) na świecie Nagradzany program partnerski Ośrodki rozwoju na całym świecie Około 100 dedykowanych badaczy bezpieczeństwa Globalne wsparcie i usługi

3

4 Zunifikowane bezpieczeństwo 4 4 Jedyny produkt łączący bezpieczeństwo w zakresie Web, oraz data security w sieci i w chmurze Jedno rozwiązanie dla wspólnego celu Przyszłość zabezpieczeń… Pojedyncze produkty Zunifikowana architektura Jedno rozwiązanie

5 Wokół ochrony informacji Sytuacja: Dane wymieniane są wewnątrz i na zewnątrz organizacji między firmami, partnerami, użytkownikami końcowymi, oraz klientami. Problem: Dane są często przechowywane, używane i wymieniane nieodpowiednio oraz bez kontroli. Czy wrażliwe i szczególnie cenne informacje są poprawnie zidentyfikowane i chronione?

6 Przykład z życia The revealed demographic data collected during the registration process for the McAfee Strategic Security Summit, held in Sydney on Friday July 17, as well as the full contact details of 1408 people who attended or registered. The details included the name, company, job title, address, phone number and of all those who attended, according to a Twitter post and series of Flickr images posted by sound engineer and teacher Steve Murphy, one of the people who received the .Flickr images Źródło:

7 Kim są klienci systemów DLP Firmy rynku finansowego operujące na danych osobowych lub pozyskujące klientów masowych: –Ubezpieczenia, Marketing, Handel Elektroniczny Instytucje przetwarzające informacje kwalifikowaną i dane osobowe: –Agencje rządowe, Urzędy Firmy Telekomunikacyjne –Operatorzy tradycyjni i komórkowi Firmy wchodzące i obecne na giełdzie –Audyty wykazują brak rozwiązań ochrony wrażliwych informacji Każda organizacja, która pragnie sprawnie działać na rynku musi zarządzać najważniejszymi aspektami swojej działalności

8 CUSTOMER LIST NEW DESIGN CONFIDENTIAL Ochrona istotnych informacji Monitor Discover Classify Wykrywanie Monitoring Klasyfikacja Ochrona DOKĄD CO KTO JAK Ochrona istotnych informacji Zagrożenia pozostają na zewnątrz Istotne informacje są bezpieczne

9 DLP w praktyce

10 Etapy i metodologia wdrożenia Ocena Wymagania biznesowe Definicja danych Kryteria sukcesu Wymagania techniczne Magazyny danych Prawa dostępu Kanały komunikacji Architektura sieciowa Projekt Architektura rozwiązania Zestaw polityk Zarządzanie i reagowanie na incydenty Plan gotowości operacyjnej Wdrożenie (etapami) Audyty i raporty Powiadomienia Egzekwowanie polityki Strojenie i optymalizacja Strojenie i rozbudowa polityk Kolejne obszary pokrycia © 2010 Websense, Inc. All rights reserved.

11 Etapy wdrożenia systemu DLP Ocena: zakres i cel wdrożenia - wymagania biznesowe –Definicja danych –Gdzie znajdują się wrażliwe dane i w jaki sposób użytkownicy z nich korzystają –Jakimi kanałami i dokąd są komunikowane –Kryteria sukcesu Ocena: przygotowanie platform – wymagania techniczne –Wymagania na sprzęt i OS (dokument Deployment Central) –Skalowanie rozwiązania

12 Dane w ruchu Informacje przesyłane z wykorzystaniem poczty, sieci web, oraz innych kanałów komunikacyjnych. Monitorowanie i ochrona danych w ruchu: i Web - najistotniejsze kanały komunikacyjne w kontekście DLP Monitorowanie sieci (pasywne, inline, serwer proxy Web Security Gtw) Oprogramowanie na stacji końcowej może monitorować i kontrolować ruch sieciowy, gdy stacja jest poza chronioną siecią

13 Dane w spoczynku Informacje przechowywane w repozytoriach takich jak bazy danych oraz serwery plików Wyszukiwanie (Discovery) danych w spoczynku: Skanowanie sieciowe z poziomu serwera DLP – pozwala sprawdzić do jakich danych ma dostęp regularny użytkownik w firmie Lokalny agent pozwala wykryć nieautoryzowane kopie danych na serwerach w firmie i komputerach pracowników Akcje naprawcze: Zidentyfikowane pliki zawierające chronione informacje mogą zostać usunięte, zaszyfrowane, lub przeniesione na chroniony serwer w celu poddania ich kwarantannie

14 Dane w użyciu Informacje wykorzystywane przez pracowników, np. kopiowane na nośniki USB, płyty CD/DVD, przetwarzane w aplikacjach. Ochrona realizowana przez oprogramowanie instalowane na komputerach pracowników : Różne polityki wewnątrz i na zewnątrz sieci firmy Różne polityki na komputerach stacjonarnych i laptopach Dostęp do tych wszystkich akcji, których nie możemy monitorować z poziomu sieci, np. kopiowanie plików na pendrive, przetwarzanie określonych informacji przez konkretną aplikację.

15 Etapy wdrożenia systemu DLP Projekt: architektura –Architektura zwarta lub rozproszona –Integracja z domeną –Integracja z innymi rozwiązaniami (np. Web Security Gateway, Security Gateway) Projekt: zestaw polityk –Określamy techniki identyfikacji informacji: Słowa kluczowe, wyrażenia regularne, wzorce, odciski palców –Uwzględniamy ustalenia z etapu oceny Projekt: incydenty –Określamy sposób postępowania z incydentami

16 Etapy wdrożenia systemu DLP Wdrożenie: –Instalacja komponentów –Uruchomienie systemu w trybie monitorowania Strojenie: dostosowanie produktu do potrzeb klienta –Wybór predefiniowanych polityk, tworzenie własnych polityk, np. RegExp dla specyficznych danych (numer projektu, numer układu pomiarowego) –Przełączenie systemu z monitorowania w tryb egzekwowania polityk Szkolenia dla administratorów, ale nie tylko –Szkolenia autoryzowane oraz nasze własne dostępne w Clico

17 Sprawdzona metodyka i rezultaty Aktywne egzekwowanie Powiadomienia Pasywny monitoring

18 Problemy wdrożeniowe w praktyce 1. Trudność inwentaryzacji danych Ogromna ilość danych Które dane mają być chronione? W większości przypadków firma przygotowuje inwentaryzację dokumentów po raz pierwszy wraz z wdrożeniem sytemu DLP W połowie przypadków firma określa po raz pierwszy, kto w firmie jest odpowiedzialny za dane wrażliwe 2. Inwentaryzacja danych w bazach SQL – problem organizacji i prawidłowości danych Systemy DLP ukazują sposób organizacji danych w bazach w firmie 3. Ochrona stacji roboczych Na każdym PC należy zainstalować klienta End-Point Należy przeszkolić pracowników ze sposobu reakcji na komunikaty DLP i uświadomić ISTNIENIE Polityki Ochrony Informacji w firmie Opcjonalnie można przygotować własne komunikaty dla pracowników

19 Problemy wdrożeniowe w praktyce 4. Ochrona przed wyciekiem danych przez kanały szyfrowane – np. SSL/HTTPS, S/MIME, PGP Jest możliwa przy czym należy pamiętać o ochronie prywatności !!! 5. Obsługa incydentów Wdrożenie precyzyjnej, realnej polityki może wymagać włączenia w ten proces również działów kadrowych, finansowych, prawnych oraz zarządu

20 Jak zatem bezpiecznie zacząć? Klasyfikacja informacji jako postawa do zaprojektowania zakresu DLP Określa znaczenie informacji dla organizacji ze względu na: 1. Poufność – informacje, które chronimy przed konkurencją, np. plany sprzedażowe, projekty nowych produktów i usług, dane klientów 2. Integralność – informacje, których nieautoryzowana zmiana mogłaby spowodować duże straty dla organizacji, np. receptury produktów, analizy i zestawienia do planowania strategicznego 3. Dostępność – informacje, które powinny być dostępne dla uprawnionych osób zawsze, gdy będą ich potrzebowały, np. dla handlowców będą to aktualne cenniki

21 Klasyfikacja informacji Właściwa klasyfikacja danych powinna: 1. zawierać odpowiednią (nie za dużą) ilość kategorii informacji, 2. umożliwiać przyporządkowanie określonego dokumentu do zidentyfikowanej grupy informacji 3. uzupełniać, ale nie pokrywać wymagań prawnych 4. wyznaczać najważniejsze informacje dla organizacji 5. w jasny sposób informować pracowników jak postępować z poszczególnymi informacjami Tylko dobrze opracowana klasyfikacja informacji może być solidną postawą do analizy ryzyka utraty informacji.

22 Analiza ryzyka utraty informacji Ocena ryzyka utraty informacji jest jednym z najważniejszych elementów wdrażania i utrzymywania systemu zarządzania bezpieczeństwem informacji Na początek należy określić zagrożenia, które są najbardziej prawdopodobne i mogą spowodować największe straty.

23 Identyfikacja informacji Identyfikacja użytkowników Kto używa informacji Świadomość przeznaczenia Dokąd informacje są wysyłane Słowa kluczowe i słowniki Wyrażenia regularne Odciski plików dokumentów Analiza statystyczna PreciseID

24 0.5%1.0%3.0% 5.0% 4,500 incydentów 2,700 incydentów 900 incydentów 450 incydentów Małe % stwarzają dużą różnicę Przy 90,000 wiadomościach na dzień… Potrzeba precyzji

25 Polityki wbudowane oraz własne Wykorzystanie wbudowanych mechanizmów identyfikacji danych Tworzenie polityki kilkoma kliknięciami

26 Klasyfikatory Wbudowane klasyfikatory –Słowa kluczowe, słowniki –Wyrażenia regularne –Właściwości plików –NLP – Natural Language Processing Możliwe jest tworzenie własnych klasyfikatorów w tym PreciseID FP. Modularna konstrukcja polityk pozwala na to, że klasyfikator jest tworzony raz, a następnie wykorzystywany w wielu regułach i politykach = mniej wysiłku przy zarządzaniu

27 Łączenie klasyfikatorów w regułach Logika pozwala połączyć klasyfikatory w celu tworzenia unikalnych i elastycznych polityk Polityka Reguła Klasyfikator

28 Monitorowane kanały komunikacji Na początek można rozpocząć od monitorowania kanałów najważniejszych lub najprostszych (najtańszych) w implementacji. Z czasem można dodawać monitorowanie kolejnych kanałów, np. HTTPS, End Point. Dostępne kanały komunikacyjne to: Na poziomie sieci Endpoint Web HTTP, HTTPS, FTP, Endpoint HTTP i HTTPS Mobile Printing Network Endpoint Endpoint Application cut, copy, paste, file access Endpoint Removable Media Endpoint LAN

29 Akcje W fazie testowania rozwiązania oraz w pierwszej fazie wdrożenia w produkcji system DLP powinien monitorować, audytować i powiadamiać. Dopiero później można włączyć blokowanie. Dostępne akcje + audyt i powiadomienia

30 Zarządzanie wieloma aspektami DLP Kto Dział kadr Obsługa klientów Dział finansowy Rachunkowość Dział prawny Dział handlowy Dział marketingu Dział wsparcia Dział techniczny Co Kod źródłowy Plany biznesowe Plany M&A Płace pracowników Dane pacjentów Oświadczenia finans. Dane klientów Dokumentacja tech. Info o konkurencji Dokąd Dostawcy świadczeń Osobisty magazyn Blog Klient USB Strona spyware Partner handlowy Konkurencja Analityk Jak Transfer plików Komunikator Peer-to-Peer Wydruk Web Audytuj Powiadom Usuń Kwarantanna Szyfruj Blokuj Removable Media Kopiuj / wklej Print Screen Akcja Potwierdź Jednolite polityki obejmują wszystkie aspekty ochrony informacji

31 Wybrane funkcje

32 Drip DLP – wyciek kropla po kropli Wykrywanie incydentów w horyzoncie czasu Pozornie nieznaczące zdarzenia sumują się w duży wyciek informacji Administratorzy zarządzają politykami biznesowymi, a nie wyłącznie incydentami © 2010 Websense, Inc. All rights reserved.32 Web Pojedynczy rekord z bazy

33 Wyciek danych - kropla po kropli

34 Geo-Location Uwzględnia lokalizację geograficzną Umożliwia wprowadzenie kolejnego wymiaru kontroli © 2010 Websense, Inc. All rights reserved.34

35 OCR dla danych w ruchu OCR – Optical Character Recognition, pozwala uzyskać tekst z analizowanych obrazów Jedna z największych przewag nad konkurencją © 2010 Websense, Inc. All rights reserved.35

36 Mobile DLP

37 Wiadomo co, kto i dokąd…

38 Pomocne materiały Dostępne na stronach websense.com oraz

39 Podsumujmy Websense = Ochrona istotnych informacji Mała złożoność, niskie TCO –Mniej sprzętu, proste wdrożenie, korzyści z integracji systemów Web, oraz Data Security Teraz łatwiejsze niż kiedykolwiek!

40 web security | data security | security © 2010 Websense, Inc. All rights reserved. Autoryzowane szkolenia Websense w Clico Zapraszamy! Autoryzowane szkolenia Websense w Clico Zapraszamy!

41 © 2010 Websense, Inc. All rights reserved.

42 Dziękuję! Krzysztof Górowski

43 Ochrona urządzeń mobilnych

44 TRITON Mobile Security Chroni przed : Złośliwymi aplikacjami Phishing i podobnymi Zaawansowanym malware Kradzieżą danych Pozwala kontrolować: BYOD Urządzenia firmowe Mobile DLP dla Web security i apps Zgodność

45 Live Demo

46 TRITON Mobile Security

47 Możliwości zarządzania urządzeniami Funkcje urządzenia Funkcje urządzenia Aplikacje Aplikacje Wymuszenie zabezpieczenia hasłem Zezwalaj na instalację aplikacji Zezwalaj na użycie kamery Zezwalaj na użycie FaceTime Zezwalaj na zrzuty ekranu Zezwalaj na auto sync podczas roamingu Zezwalaj na zakupy w aplikacjach (in-app purchases) Zezwalaj na gry z innymi graczami Zezwalaj na dodawanie znajomych do Game Center Wymuszaj szyfrowanie kopii zapasowych Zezwalaj na użycie YouTube Zezwalaj na użycie iTunes Store Zezwalaj na użycie Safari –Włącz automatyczne uzupełnianie –Wymuszaj ostrzeżenia o oszustwie –Włącz JavaScript –Blokuj wyskakujące okienka Zezwalaj na treści sklasyfikowane Ustaw region klasyfikacji Zdefiniuj akceptowalne poziomy klasyfikacji dla –Filmów –Programów telewizyjnych –Aplikacji


Pobierz ppt "Web security | data security | email security © 2010 Websense, Inc. All rights reserved. Praktyczne aspekty ochrony istotnych informacji w oparciu o rozwiązania."

Podobne prezentacje


Reklamy Google