Смарт Лайн Инк / DeviceLock, Inc. СЕРГЕЙ ВАХОНИН Директор по решениям 23 сентября 2015 г. Вопросы эффективности DLP-систем
Внутренние угрозы информационной безопасности
3 Середина 2000-х Взрывной рост емкости съемных PnP-устройств хранения данных, уменьшение габаритов, резкое снижение цен. Социальные медиа превратились в важный инструмент поддержки и ускорения как внутренних, так и внешних бизнес- процессов. Технологии Web 2.0 Незаменимое средство коммуникаций практически для любых организаций. Мгновенный обмен сообщениями Реинкарнация ультрапортативных устройств хранения данных в виртуальные диски, «живущие» в «облаке» Модель BYOD («принеси свое собственное устройство») вызвала взрывной рост консьюмеризации корпоративных ИТ. Последние годы Принципиальная смена парадигмы работы с данными за последние 10 лет Невиданные ранее темпы развития ИТ, электроники и телекоммуникаций последнего десятилетия в сочетании с активным проникновением в корпоративную информационную среду «личных» вычислительных устройств и программ для персонального использования принципиально изменили методы хранения, защиты, передачи и предоставления доступа к корпоративным данным.
4 Внедрение новых технологий создало среду для ряда новых угроз и рисков Факторы формирования угроз Межсетевые экраны, VPN, антивирусы и другие технологии информационной безопасности, эффективные для защиты корпоративной сети и компьютеров от интернет-угроз, практически не способны обеспечить контроль локальных устройств и портов. Сокращение пропускной способности сети Снижение производительности труда Попадание в корпоративную ИС запрещенного и вредоносного контента Утечки конфиденциальной информации Использование социальных сетей породило ряд проблем безопасности ИТ: коммуникаций и данных конечных пользователей. Skype защищает их от любой угрозы или попытки контроля со стороны внешней среды – будь то любое приложение на компьютере, операционная система или корпоративная сеть организации. Дизайн протокольной и программной архитектуры Skype ориентирован исключительно на защиту Неограниченный доступ сотрудников к облачным сервисам хранения и файлового обмена рассматривается сегодня корпоративными службами ИБ как гораздо более опасный, нежели бесконтрольное использование физических съемных устройств хранения данных. создало колоссальный вектор новых типов угроз корпоративной ИТ- безопасности, связанный с частной собственностью работников на используемые в производственных процессах личные вычислительные устройства. Внедрение в бизнес-практику организаций модели BYOD приоритетной целью киберпреступников становится финансовая прибыль от продажи или иного использования ценной информации, украденной у частных лиц, государственных и коммерческих организаций Коммерциализация индустрии киберпреступности: сегодня и в обозримом будущем
5 Кумулятивный эффект - бесполезность традиционных ИТ систем безопасности Современные атаки информационно-центричны Потери мировой экономики от действий киберпреступности – более чем 240 млрд евро в год. За первые девять месяцев 2014 года число зарегистрированных по всему миру инцидентов достигло 904 миллионов, более чем на 10% превысив их общее количество за весь 2013 г. Причиной 78% всех компрометированных учетных записей в прошлом году в США, были инсайдерские утечки. Средний размер ущерба от утечек данных для организаций в США – 5.85 миллиона долларов: 201 доллар на каждую скомпрометированную учетную запись пользователя. Причина 30% утечек в 2013 году – человеческий фактор. небрежность работников. 32% всех утечек персональных или конфиденциальных данных случились из-за их необоснованной передачи или пересылки ненадлежащему получателю, а 24% инцидентов были связаны с потерей мобильных устройств. Основной причиной инцидентов с данными были ошибки и
6 Сотрудники не разделяют часы личной и рабочей жизни Эту возможность им дает использование одних и тех же технических средств и сетевых сервисов для коммуникаций в обоих измерениях их жизни: личном и бизнес-измерении …а также к росту количества и качества угроз и рисков ИБ Попадание в корпоративную ИС запрещенного и вредоносного контента Умышленные или непреднамеренные утечки конфиденциальной информации Неспособность традиционных решений обеспечить безопасность данных Частная собственность сотрудников на используемые устройства Удобство использования, ведущее к повышению эффективности деятельности… СЛЕДСТВИЯ Борьба с угрозами и деятельность по снижению рисков службами ИБ Должны производиться вне зависимости от личных интересов и пристрастий Не должны разрушать производственные процессы
7 Наиболее примитивный сценарий утечки данных – наиболее вероятен Использование сотрудниками любых ИТ-сервисов, доступных на персональном уровне и не требующих обслуживания корпоративными службами ИТ – наиболее простой и вероятный сценарий утечки данных Отсутствие фокуса на безопасности Практически все сетевые приложения (социальные сети, облачные хранилища, мессенджеры), созданные для удобства пользователей, для удовлетворения их социальных потребностей – функционируют абсолютно без какой-либо обратной связи с инструментарием корпоративной безопасности. Решения принимаются пользователем Модель информационной безопасности потребительских приложений основывается на том, что все решения о способах и уровне авторизации, аутентификации и уровне доступа к данным принимает конечный пользователь – который далеко не всегда является владельцем данных, будучи при этом сотрудником организации.
8 Модель BYOD – двигатель прогресса и огромная угроза ИТ безопасности К 2017 году, по прогнозу Gartner, каждый второй работник будет пользоваться собственными гаджетами в рабочих целях. МОДЕЛЬ BYOD СТАНОВИТСЯ НОРМОЙ ДИЛЕММА «ПРЕДОСТАВЛЕНИЕ ДОСТУПА - ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ» Corporate Data iPadы, iPhoneы, iPodы, смартфоны и планшеты на платформе Android и Windows, лэптопы, ноутбуки и домашние компьютеры Традиционный сетевой периметр не способен контролировать личные устройства Все они напрямую подключаются корпоративной сети и позволяют «вытаскивать» информацию из нее, сохранять и неконтролируемо передавать дальше. 52% компаний не контролирует мобильных сотрудников
9 Направления утечки данных Порты и интерфейсы Устройства Буфер обмена данными Протоколы Службы, публичные общедоступные сервисы ПЕРЕДАЧА ПО ЛОКАЛЬНЫМ КАНАЛАМ ПЕРЕДАЧА ПО КАНАЛАМ СЕТЕВЫХ КОММУНИКАЦИЙ ХИЩЕНИЕ НОСИТЕЛЕЙ ДАННЫХ Мобильные устройства Оптические, съемные гибкие и ленточные носители (съемные накопители) УТЕРЯ НОСИТЕЛЕЙ ДАННЫХ Мобильные устройства Оптические, съемные гибкие и ленточные носители C интерфейсом USB или PS/2 Вручную или с помощью соответствующего ПО ВМЕШАТЕЛЬСТВО В РАБОТУ СИСТЕМЫ DLP АППАРАТНЫЕ КЛАВИАТУРНЫЕ ШПИОНЫ ПОТЕРЯ ДАННЫХ
10 ПЕРЕДАЧА ПО ЛОКАЛЬНЫМ КАНАЛАМ ПОРТЫ И ИНТЕРФЕЙСЫУСТРОЙСТВА ПОРТ USB Запись на съемные накопители, использование неавторизованных устройств передачи данных ПОРТ FIREWIRE Запись данных на внешний жесткий диск, подключение других скоростных устройств ИНТЕРФЕЙС WI-FI Подключение к неавторизованным беспроводным сетям ИНТЕРФЕЙС BLUETOOTH Подключение к неконтролируемой на уровне периметра корпоративной сети беспроводной точке доступа ПОСЛЕДОВАТЕЛЬНЫЙ ПОРТ Использование модема или иных устройств ПЕЧАТАЮЩИЕ УСТРОЙСТВА Печать информации через локальные, сетевые или виртуальные принтеры СЪЕМНЫЕ УСТРОЙСТВА ХРАНЕНИЯ ДАННЫХ Запись на карту памяти УСТРОЙСТВА, ПЕРЕНАПРАВЛЕННЫЕ В ТЕРМИНАЛЬНОЙ СЕССИИ Сохранение и печать данных на перенаправленных устройствах ПОРТ / ИНТЕРФЕЙС / УСТРОЙСТВО СИСТЕМНЫЙ БУФЕР ОБМЕНА ДАННЫМИ Операции копирования/вставки между приложениями с целью нарушения политики безопасности. Извлечение данных из терминальной сессии. ОПТИЧЕСКИЕ ПРИВОДЫ, ПРИВОДЫ ГИБКИХ ДИСКОВ, ЛЕНТОЧНЫЕ НАКОПИТЕЛИ Запись данных на оптический или ленточный носитель, гибкий диск МОБИЛЬНЫЕ УСТРОЙСТВА Синхронизация почтовой переписки, записной книжки, календаря, контактов и прочих нефайловых объектов ПРОТОКОЛ MTP Запись данных на мобильные устройства (Android и др.) ЖЕСТКИЙ ДИСК Намеренное или случайное форматирование Использование локальных устройств и интерфейсов МОБИЛЬНОЕ УСТРОЙСТВО (BYOD) Потеря или кража ноутбука мобильного сотрудника. Неконтролируемые использование и передача данных с персональных устройств сотрудников. СЪЕМНЫЕ НАКОПИТЕЛИ Утеря нешифрованного устройства с данными
11 ПРОТОКОЛ / СЛУЖБА FTP(S) Передача файлов на сервер FTP SMB Ошибочное или намеренное предоставление прав доступа другим сотрудникам, выкладывание закрытой информации в общий доступ, «обход» политик безопасности путем передачи данных сотрудникам с большими привилегиями. HTTP(S) Передача файлов на веб-ресурс (POST) SMTP(SSL), MAPI, IBM (LOTUS) NOTES Намеренная или ошибочная отправка электронных сообщений с конфиденциальными данными в теле сообщения или вложениях ПЕРЕДАЧА ПО СЕТЕВЫМ КАНАЛАМ ПРОТОКОЛЫ ВЕБ-ПОЧТА Отправка сообщений с несанкционированными содержимым СЛУЖБЫ МГНОВЕННЫХ СООБЩЕНИЙ Отправка конфиденциальных данных ОБЛАЧНЫЕ ХРАНИЛИЩА Сохранение конфиденциальных данных в неконтролируемом в дальнейшем службой ИБ хранилище СОЦИАЛЬНЫЕ СЕТИ Мгновенная массовая публикация конфиденциальных данных, передача конфиденциальных данных неавторизованным лицам СЛУЖБЫ Умышленная попытка пользователя с правами локального администратора остановить агент DLP системы (отключение служб, удаление файлов, изменение ключей системного реестра, др.) Намеренное использование программ-руткитов для удаления или отключения агента DLP системы ВМЕШАТЕЛЬСТВО В РАБОТУ DLP СИСТЕМЫ Использование каналов сетевых коммуникаций, прочие угрозы C ИНТЕРФЕЙСОМ USB ИЛИ PS/2 Умышленная попытка получения данных о учетных записях, используемых на объекте несанкционированного получения информации КЛАВИАУРНЫЕ ШПИНЫ
12 «Свежая» реальная (!) статистика Источник: Отчет JSOC Security flash report Q построен на данных, полученных в коммерческом центре мониторинга и реагирования JSOC за первый квартал 2015 года.
Технологии DLP для защиты от утечек
14 DLP = DATA LEAK PREVENTION / PROTECTION DATA LEAK PREVENTION = ПРЕДОТВРАЩЕНИЕ УТЕЧЕК ДАННЫХ «Почтовые архивы» на самом деле не являются DLP-системами. Рекомендовано к чтению -
15 Data Leak Prevention : комплекс мер для обеспечения безопасности Предотвращение утечек данных как защита корпоративной информации и персональных данных ТЕХНОЛОГИЧЕСКИЕ МЕРЫ ОРГАНИЗАЦИОННЫЕ МЕРЫ Расследование и анализ инцидентов Тщательное проектирование. Регламентирующие документы. Избирательная блокировка каналов передачи данных и устройств, Различные активные действия с хранимыми и передаваемыми данными, выполняемые для активного и проактивного предотвращения утечек Протоколирование событий доступа и передачи, Работа с журналами аудита, проверка теневых копий (контроль инцидентов ИБ) Обеспечение организационных (административных и правовых) мер по борьбе с утечками. Личная ответственность как сотрудников (за несанкционированную передачу данных), так и персонала служб ИБ (за непринятие решения о снижении рисков или полное игнорирование рисков от использования каналов передачи данных).
16 Методы обнаружения и предотвращения утечки Data in motion Контроль данных, перемещаемые по каналам сетевых коммуникаций Data in use Контроль данных при их использовании (активно и постоянно редактируемых данных) на рабочих станциях пользователей. Data at rest Контроль данных, физически расположенных на рабочих станциях и серверах, в базах и хранилищах данных, таблицах, архивах, на ленточных накопителях, устройствах резервного копирования и т.п.
17 Принципы принятия решений DLP-системами Контекстный анализ ПРИНЯТИЕ РЕШЕНИЯ НА ОСНОВЕ ФОРМАЛЬНЫХ ПРИЗНАКОВ И ПАРАМЕТРОВ ОКРУЖЕНИЯ Пользователь, его права, группы, в которых он состоит и т.п. Дата и время Местонахождение Источник / адресат Тип файла Направление передачи данных
18 ПРИНЯТИЕ РЕШЕНИЯ НА ОСНОВЕ АНАЛИЗА СОДЕРЖИМОГО Ключевые слова и сочетания слов, морфологический анализ, промышленные словари Встроенные шаблоны данных (номера карт страхования, кредитных карт, др.) Пользовательские шаблоны Проверка архивов и вложенных архивов, встроенных в файлы-контейнеры Возможность проверки как сообщений, так и вложений почты и мессенджеров Прочие критерии проверки Принципы принятия решений DLP-системами Контентный анализ и фильтрация
19 Схема принятия решения DLP-системой при контентном анализе Локальная синхронизация Контентный анализ и фильтрация Контентный анализ и фильтрация Контроль по типу устройств, протоколов или приложений Фильтрация типов данных Уровни контроля DLP-решений Контекстеные DLP-решения Форматы печати (PCL, PS, …) Данные, отправляемые на печать Типы объектов протоколов синхронизации Данные локальной синхронизации Диспетчер очереди печати, типы принтеров Приложения локальной синхронизации, типы смартфонов USB, FireWire, Bluetooth, LPT, сеть USB, Wi-Fi, COM, IrDA. Bluetooth Канал печати Периферийные устройства на удалённых терминалах Буфер обмена удалённого терминала Терминальные сессии и виртуальные рабочие столы Типы файлов и данных Данные, передаваемые по сети Сетевые протоколы и приложения Локальные порты передачи данных по Интернет Сетевые каналы (Интернет, общие сетевые ресурсы) Типы данных Данные в буфере обмена Процессы, приложения - Буфер обмена Типы файлов Файлы и их содержимое Типы/классы устройств Локальные порты Сменные устройства Данные, терминальной сессии Контроль на уровне порта или интерфейса Типы файлов и данных
20 Схема принятия решения при перехвате отдельных процессов Локальная синхронизация Контентный анализ и фильтрация Контентный анализ и фильтрация Перехват «маркерных» процессов Фильтрация типов данных Уровни контроля DLP-решений Контекстеные DLP-решения Форматы печати (PCL, PS, …) Данные, отправляемые на печать Типы объектов протоколов синхронизации Данные локальной синхронизации Приложения для организации рабочего места Канал печати Терминальные сессии и виртуальные рабочие столы Типы файлов и данных Данные, передаваемые по сети Сетевые приложения Сетевые каналы (Интернет, общие сетевые ресурсы) Типы данных Данные в буфере обмена Буфер обмена Типы файлов Файлы и их содержимое Сменные устройства Данные, терминальной сессии Контроль на уровне порта или интерфейса Типы файлов и данных ???Windows Explorer Системные службы Windows Контроль отдельных процессов (инжектом в приложения) всегда (!) лимитирован, не бывает универсальным и заведомо порождает «дыру» в системе противодействия утечкам
21 21 КОНТЕКСТНЫЙ МЕТОД Опосредован: контролируется доступ к портам, устройствам, другим интерфейсам Надежен, но неинтеллектуален: не может работать с информацией, содержащейся в формах данных КОНТЕНТНАЯ ФИЛЬТРАЦИЯ Эффективный анализ информации возможен только в рамках её контекста Эффективная контентная фильтрация невозможна без сопутствующих данных о её передаче, отвечающих на вопросы: «кто», «откуда/куда», «когда» и т.п. Для того, чтобы отфильтрованная информация была содержательной и применимой к конкретным задачам обеспечения информационной безопасности, методы контентной фильтрации должны включать обработку контекстных параметров Взаимозависимость контентной фильтрации и контекстного метода Для полноценного DLP решения требуется интеграция контекстных механизмов контроля с системой контентного анализа
22 Skype является межкорпоративным стандартом взаимодействия Более 300 миллионов активных пользователей 35% пользователей Skype – малый и средний бизнес, основное средство коммуникаций в бизнесе С прекращена поддержка Live Messenger, пользователи переведены в Skype; Microsoft объединила Lync и Skype; Skype интегрирован в Outlook 2013/365 Поддерживается для любой ОС Позволяет чат, быструю передачу файлов, аудио- и видео-конференции Все коммуникации в Skype зашифрованы, перехват на уровне корпоративных шлюзов невозможен
23 Skype: классический вариант контроля Передача всех типов данных разрешена Протоколирование отправки данных в центральном журнале событийной регистрации. Сохраняются теневые копии сообщений и вложений. Передача всех типов данных запрещена Нет протоколирования, Нет событийной регистрации Не сохраняются теневые копии сообщений и вложений Запрет на уровне файрволла «Простой» DLP-контроль
24 Skype: избирательный контроль Передача разрешена только между санкционированными учетными записями Skype Событийная регистрация попыток и фактов передачи данных Содержимое вложений анализируется и фильтруется Сохраняются теневые копии вложений Санкционированные учетные записи Полнофункциональная DLP-система
25 Основные варианты архитектуры DLP-систем Рабочая станция Агент (device control) Wi-Fi, 3G Локальная синхронизация Съёмные носители Локальные принтеры Локальная сеть (шлюз) Серверная DLP-система Удаленная терминальная сессия (RDP) DLP-сервер
26 Рабочая станция Полнофункциональный DLP-агент (Endpoint Agent) Endpoint DLP-система Wi-Fi, 3G Локальная синхронизация Съёмные носители Локальные принтеры Локальная сеть Удаленная терминальная сессия (RDP) Основные варианты архитектуры DLP-систем
27 Архитектура сетецентричной DLP-системы на практике Полный контроль всех каналов утечки Сервер DLP Филиалы Головной офис Использование единого сервера DLP Использование множества серверов DLP Неконтролируемые коммуникации Windows, Mac Любые ОС Частичный контроль каналов утечки (нет перехвата основных сетевых каналов) Linux
28 Архитектура хостовой DLP-системы на практике Головной офис Контролируемые коммуникации Неконтролируемые коммуникации Windows Mac Linux Windows Mac Linux Windows Linux Полный контроль всех каналов утечки Частичный контроль каналов утечки (нет перехвата основных сетевых каналов) Филиалы Mac
29 Методы социальной инженерии позволяют обойти ограничения доступа Ряд современных систем DLP существенно ограничен по ширине охвата контролируемых каналов и сервисов Популярные сетевые сервисы созданы для удобства использования, не для обеспечения ИБ Следствия ограниченного применения DLP-технологий Ограниченное применение DLP (контроль устройств и/или сетевых коммуникаций) не может полностью предотвратить риски утечки данных даже при повсеместном внедрении. Content Discovery Поиск и обнаружение в корпоративной ИТ- инфраструктуре конфиденциальных и данных Позволяет выявить факт несанкционированного хранения данных и осуществить превентивную защиту от утечки до момента передачи данных Важно предотвращение утечек не только передаваемых (data-in-motion) и используемых (data-in-use), но и хранимых данных (data-at-rest) Устраняет фактор неопределенности канала передачи данных: не важно, какой канал утечки кем и когда может быть задействован
30 Виртуализация и утечки данных Корпоративная инфраструктура Desktop Session Host Терминальная сессия или прямой доступ к корпоративным данным Corporate Virtual Desktop Корпоративная рабочая среда Персональное BYOD-устройство (Android, iOS, Windows RT, ноутбук, домашний компьютер…) или тонкий клиент Windows КАНАЛЫ УТЕЧКИ ДАННЫХ, не контролируемые на уровне периметра корпоративной сети Корпоративные данные
31 Технология Virtual DLP Desktop/Application Virtualization ДОСТУП К КОРПОРАТИВНЫМ ДАННЫМ – ТОЛЬКО НА ВРЕМЯ РАБОТЫ. Использование виртуальной рабочей среды вместо локального контейнера Отсутствие зависимости от особенностей реализации мобильной платформы: применимость на любых персональных устройствах (планшеты, лэптопы, тонкие клиенты, домашние компьютеры с любыми операционными системами). Функционирование DLP-системы внутри терминальной сессии (в виртуальной среде)
32 Профиль внутренних угроз Контекстный контроль Контентная фильтрация Набор технологий фильтрации контента, способный противодействовать угрозам, описанным в Профиле внутренних угроз Баланс между сложностью технологий контентной фильтрации и общими затратами на внедрение решения Решение закрывает все возможные варианты утечки данных в рамках Профиля внутренних угроз Контроль всех каналов утечки данных на уровне интерфейсов, устройств, сетевых каналов, типов данных Разрабатывается в рамках политики предотвращения утечки данных в организации Рассматривает все возможные на предприятии сценарии утечки данных с оконечных устройств в целях создания избирательной системы контроля передачи данных Корпоративная ИБ: интеграция DLP-технологий на практике
СПАСИБО ЗА ВНИМАНИЕ! ВЫ ВСЕГДА МОЖЕТЕ СО МНОЙ СВЯЗАТЬСЯ, ЧТОБЫ ОБСУДИТЬ ЧТО УГОДНО. Даже DLP. DeviceLock, Inc. СЕРГЕЙ ВАХОНИН Директор по решениям FACEBOOK SERGEY.VAKHONIN Стенд C3