Upload
se-cts-cert-gov-md
View
285
Download
0
Embed Size (px)
DESCRIPTION
Решения Symantec для защиты информации и архивирования данных в корпоративной ИТ-инфраструктуре Алексей Дудников
Citation preview
Решения Symantecдля защиты информации и архивирования данных в корпоративной ИТ-инфраструктуре
Алексей Дудников
Case study: Symantec
2
Традиционные методы защиты данных
Информация
Шифрование
Защита от вредоносного ПО
Защита периметра от аутсайдеров
Традиционные методы защиты данных
Информация
Шифрование
Защита от вредоносного ПО
Защита периметра от аутсайдеров
Традиционные
системы защиты
ориентированы
на хранилища
информации,
игнорируя сами данные
Решение DLP должно защищать ВАЖНЫЕ данные
5
Информация о клиентах Информация компании
Данные кредитных карт
Медицинские данные
Персональные данные
Финансовая информация
Интеллектуальная собственность
Внутренние аудиты
Стратегия и развитие
Данные отдела кадров
Инсайдеры добропорядочные
Инсайдеры злонамеренные
Внешние угрозы
За всем стоят люди
Угрозы данным
6
Нужно больше чем просто технологии.
7
Где находятся данные?
ПОИСК
Как используются?
МОНИТОРИНГ
Как предотвратить утечку?
ЗАЩИТА
Решение DLP должно защищать ВАЖНЫЕ данные
Как работает Symantec Data Loss Prevention
8
ПОЛИТИКА ЗАЩИТЫ ОТ УТЕЧКИ
Содержимое
Кредитные карты
Персональные данные
Интеллектуальная собственность
Контекст
Кто?
Что?
Куда?
Действие
Уведомление
Запрос объяснения
Шифрование
Предотвращение
Уведомление
Пользователь
Руководитель
Служба ИБ
Эскалация
РЕАГИРОВАНИЕОБНАРУЖЕНИЕ
Находит. Исправляет.
Действие
За всем стоят люди
9
Обнаружение и реакция
Проблема
Betty пытается отправить конфиденциальную информацию, не зная что она конфиденциальная
Реакция DLP Результат
Помощь в обучении пользователей
Блокировка или шифрование передаваемых данных
Betty G. Добропорядочный инсайдерAsst. HR Manager | Midwestern Insurance Company
Ситуация: Отправка данных по электронной почте
Network: DLPпроверяет контент и контекст совершаемого действия на границе периметра
Endpoint: DLP проверяет письмо после нажатия пользователем «отправить»
Network: Контроль, уведомление пользователя, шифрования или блокировка
Endpoint: Отображение окна предупреждения, запрос объяснения, блокировка письма или удаление контента
Преимущество Symantec
Обнаружение Производительность
Широкий охват Гибкость действий
Sanjay V. Добропорядочный инсайдерAssistant Controller | Manufacturing Company
Ситуация: Копирование данных на съемный носитель
Действие
10
Проблема
Sanjay копирует важные финансовые данные на съемный носитель
Реакция DLP
Endpoint агент анализирует контент согласно настроенным политикам
Контроль, фиксирование факта или уведомление
Автоматическое шифрование при помощи SEE
Результат
Автоматическоешифрование контента
Понимание каналов утечки информации
Изменение поведения пользователей
Конкурентное преимущество
Легковесный агент Доверенные устройстваПолитики на базе Автоматическоегрупп пользователей шифрование
За всем стоят люди
Обнаружение и реакция
Действие
11
Проблема
Charles хранит исходные коды на открытом внутреннем ресурсе
DLP Response
Network Discover сканирует ресурсы и находит исходные коды, Data Insightсообщает, что владельцем исходного кода является Charles
Network Protectможет:• Уведомить Charles • Зашифровать
данные• Переместить
данные• Применить
политику RM
Результат
Усиление безопасности данных, ограничение доступа к данным только минимально необходимыми правами
Широкий охват Определение владельцев
Шифрование Реакция на базе владельца
Charles N. Добропорядочный инсайдерSoftware Developer | Investment Banking Firm
Ситуация: Обследование инфраструктуры на наличие КИ
За всем стоят люди
Обнаружение и реакция
Конкурентное преимущество
Действие
12
Проблема
Недовольный или увольняющийся сотрудник передает данные по электронной почте или копирует на съемный носитель
Реакция DLP
DLP контролирует активность на рабочей станции и в сети
Уведомление пользователя о нарушении
Уведомление службы ИБ, руководителя, сотрудника отдела кадров
Блокировка передачи
Результат
Информация не покидает организацию
Люди знают, что за ними ведется наблюдение
Защита данных на ПКНастраиваемые уведомления
Эскалация инцидентов Блокировка передачи
Mimi L. Злонамеренный инсайдерSoon-to-be-former Account Executive | Staffing Firm
СИТУАЦИЯ: Попытка скопировать информацию о клиентах
За всем стоят люди
Обнаружение и реакция
Конкурентное преимущество
Современные механизмы анализа содержимого
13
DescribedContent Matching
Indexed Document Matching
Vector Machine Learning
Описание
Неиндексируемые данные
Слова
Идентификаторы
Структурированные данные
Данные заказчиков
Зарплаты, финансы, отчеты...
Практически 100% детектирования
Неструктурированные данные
Интеллектуальная собственностьРазрботки, финансовые
документы...
Очень низкая вероятность
ошибки
Неструктурированные данные
Интеллектуальная собственностьРазрботки, финансовые
документы...
Очень низкая вероятность
ошибки
Exact Data Matching
14
Архитектура Symantec DLP
Корпоративная ЛВС DMZВне сети
(отключена)
Network Discover
Network Protect
Endpoint Discover
Endpoint Prevent
MTA
SPAN Port or Tap
EnforcePlatform
Network Monitor
Network Prevent for Email
СетьХранение
Конечные точки
Политики/Управление
Network Prevent for Web
Web Proxy
Data Insight
Oracle
Нужно гораздо больше, чем просто технологии
90% DLP – это работа с инцидентами
15
Автоматизация: исправление, уведомление
Правильные люди: инциденты расследуют те, кто должны
Приоритеты: разбор инцидентов в порядке важности
Все данные в одном месте: 5 Second Test
Действия под рукой: выполнение за 1 щелчок мышью
Правильные метрики: для аудиторов и руководства
16
Enterprise VaultАрхивирование – основа стратегии управления информацией
Symantec: «Резервная копия – для восстановленияАрхив – для расследования»
• Восстановление систем после логического или физического сбоя
• Объекты – файл, БД, том, приложение
• Участники:
– IT
– Help desk
17
Восстановление Расследование
• Поиск по различным источникам – почта, файлы, портал SharePoint, мгновенные сообщения, социальные сети
• Судебные разбирательства, внутренние расследования, аудит
• Участники:
– IT Security
– Law
– HR
Задачи управления информацией
18
• Мышление пользователя: хранить все и вечно
• Дублирование информации приводит к увеличению объемов хранения
• Окна резервного копирования сокращаются
1
• Хранение больше необходимого увеличивает расходы
• Вечное хранение – бесконечные расходы
2
• Хранение дешево, поиск и обработка дороги
• Неправильное использование систем РК
• Неэффективные процедуры поиска
3
Объемы информации быстро растут
Боязнь удалить что-нибудь нужное
Поиск всегда проблема
LEGAL
Платформа архивирования Enterprise уровня
19
КЛАССИФИКАЦИЯ
Store
Миграция
Дедупликация
Сжатие
Прозрачность
Manage
Хранение
Сохранение
Удаление
Аудит
Архив
Discover
Поиск
Обработка
Расследования
Контроль
INFO SEC
EMAIL SERVERS
FILE SERVERS
IMSERVERS
SHAREPOINT
LEGACY DATABASES
DESKTOPS
ECM
HR
END USERS
Exchange+EV
• Платформа и миграция
– архивирование не только почты
– архивирование журнала почты Exchange
– архивирование старых версий Exchange
– архивные почтовые ящики малы по объему – быстрая миграция
– при миграции на 2010 не будет «раздутия» хранилищ
• Работа пользователей
– Доступ к архиву offline и из старых версий Outlook
– Быстрый и простой поиск по архиву
20
Electronic Discovery Reference Model
21
Information Management
Identification
Preservation
Collection
Processing
Review
Analysis
Production
eDiscovery Timeline
Symantec Enterprise Vault™
Clearwell
The Electronic Discovery Reference Model (EDRM)
Решения Symantec относительно EDRM
22
Discovery Accelerator
BackupExec
Information Management
Интеграция решений Symantec
23
The Electronic Discovery Reference Model (EDRM)
Information Management Identification
Preservation
Collection
Processing
Review
Analysis
Production
Enterprise Vault
Clearwell
Discovery/Compliance Accelerator
Data Classification Services
Data Loss Prevention Data Insight
NetBackup
EV Extensions (STEP)
Спасибо за внимание
24