Решения Symantecдля защиты информации и архивирования данных в корпоративной ИТ-инфраструктуре

Алексей Дудников

Case study: Symantec

2

Традиционные методы защиты данных

Информация

Шифрование

Защита от вредоносного ПО

Защита периметра от аутсайдеров

Традиционные методы защиты данных

Информация

Шифрование

Защита от вредоносного ПО

Защита периметра от аутсайдеров

Традиционные

системы защиты

ориентированы

на хранилища

информации,

игнорируя сами данные

Решение DLP должно защищать ВАЖНЫЕ данные

5

Информация о клиентах Информация компании

Данные кредитных карт

Медицинские данные

Персональные данные

Финансовая информация

Интеллектуальная собственность

Внутренние аудиты

Стратегия и развитие

Данные отдела кадров

Инсайдеры добропорядочные

Инсайдеры злонамеренные

Внешние угрозы

За всем стоят люди

Угрозы данным

6

Нужно больше чем просто технологии.

7

Где находятся данные?

ПОИСК

Как используются?

МОНИТОРИНГ

Как предотвратить утечку?

ЗАЩИТА

Решение DLP должно защищать ВАЖНЫЕ данные

Как работает Symantec Data Loss Prevention

8

ПОЛИТИКА ЗАЩИТЫ ОТ УТЕЧКИ

Содержимое

Кредитные карты

Персональные данные

Интеллектуальная собственность

Контекст

Кто?

Что?

Куда?

Действие

Уведомление

Запрос объяснения

Шифрование

Предотвращение

Уведомление

Пользователь

Руководитель

Служба ИБ

Эскалация

РЕАГИРОВАНИЕОБНАРУЖЕНИЕ

Находит. Исправляет.

Действие

За всем стоят люди

9

Обнаружение и реакция

Проблема

Betty пытается отправить конфиденциальную информацию, не зная что она конфиденциальная

Реакция DLP Результат

Помощь в обучении пользователей

Блокировка или шифрование передаваемых данных

Betty G. Добропорядочный инсайдерAsst. HR Manager | Midwestern Insurance Company

Ситуация: Отправка данных по электронной почте

Network: DLPпроверяет контент и контекст совершаемого действия на границе периметра

Endpoint: DLP проверяет письмо после нажатия пользователем «отправить»

Network: Контроль, уведомление пользователя, шифрования или блокировка

Endpoint: Отображение окна предупреждения, запрос объяснения, блокировка письма или удаление контента

Преимущество Symantec

Обнаружение Производительность

Широкий охват Гибкость действий

Sanjay V. Добропорядочный инсайдерAssistant Controller | Manufacturing Company

Ситуация: Копирование данных на съемный носитель

Действие

10

Проблема

Sanjay копирует важные финансовые данные на съемный носитель

Реакция DLP

Endpoint агент анализирует контент согласно настроенным политикам

Контроль, фиксирование факта или уведомление

Автоматическое шифрование при помощи SEE

Результат

Автоматическоешифрование контента

Понимание каналов утечки информации

Изменение поведения пользователей

Конкурентное преимущество

Легковесный агент Доверенные устройстваПолитики на базе Автоматическоегрупп пользователей шифрование

За всем стоят люди

Обнаружение и реакция

Действие

11

Проблема

Charles хранит исходные коды на открытом внутреннем ресурсе

DLP Response

Network Discover сканирует ресурсы и находит исходные коды, Data Insightсообщает, что владельцем исходного кода является Charles

Network Protectможет:• Уведомить Charles • Зашифровать

данные• Переместить

данные• Применить

политику RM

Результат

Усиление безопасности данных, ограничение доступа к данным только минимально необходимыми правами

Широкий охват Определение владельцев

Шифрование Реакция на базе владельца

Charles N. Добропорядочный инсайдерSoftware Developer | Investment Banking Firm

Ситуация: Обследование инфраструктуры на наличие КИ

За всем стоят люди

Обнаружение и реакция

Конкурентное преимущество

Действие

12

Проблема

Недовольный или увольняющийся сотрудник передает данные по электронной почте или копирует на съемный носитель

Реакция DLP

DLP контролирует активность на рабочей станции и в сети

Уведомление пользователя о нарушении

Уведомление службы ИБ, руководителя, сотрудника отдела кадров

Блокировка передачи

Результат

Информация не покидает организацию

Люди знают, что за ними ведется наблюдение

Защита данных на ПКНастраиваемые уведомления

Эскалация инцидентов Блокировка передачи

Mimi L. Злонамеренный инсайдерSoon-to-be-former Account Executive | Staffing Firm

СИТУАЦИЯ: Попытка скопировать информацию о клиентах

За всем стоят люди

Обнаружение и реакция

Конкурентное преимущество

Современные механизмы анализа содержимого

13

DescribedContent Matching

Indexed Document Matching

Vector Machine Learning

Описание

Неиндексируемые данные

Слова

Идентификаторы

Структурированные данные

Данные заказчиков

Зарплаты, финансы, отчеты...

Практически 100% детектирования

Неструктурированные данные

Интеллектуальная собственностьРазрботки, финансовые

документы...

Очень низкая вероятность

ошибки

Неструктурированные данные

Интеллектуальная собственностьРазрботки, финансовые

документы...

Очень низкая вероятность

ошибки

Exact Data Matching

14

Архитектура Symantec DLP

Корпоративная ЛВС DMZВне сети

(отключена)

Network Discover

Network Protect

Endpoint Discover

Endpoint Prevent

MTA

SPAN Port or Tap

EnforcePlatform

Network Monitor

Network Prevent for Email

СетьХранение

Конечные точки

Политики/Управление

Network Prevent for Web

Web Proxy

Data Insight

Oracle

Нужно гораздо больше, чем просто технологии

90% DLP – это работа с инцидентами

15

Автоматизация: исправление, уведомление

Правильные люди: инциденты расследуют те, кто должны

Приоритеты: разбор инцидентов в порядке важности

Все данные в одном месте: 5 Second Test

Действия под рукой: выполнение за 1 щелчок мышью

Правильные метрики: для аудиторов и руководства

16

Enterprise VaultАрхивирование – основа стратегии управления информацией

Symantec: «Резервная копия – для восстановленияАрхив – для расследования»

• Восстановление систем после логического или физического сбоя

• Объекты – файл, БД, том, приложение

• Участники:

– IT

– Help desk

17

Восстановление Расследование

• Поиск по различным источникам – почта, файлы, портал SharePoint, мгновенные сообщения, социальные сети

• Судебные разбирательства, внутренние расследования, аудит

• Участники:

– IT Security

– Law

– HR

Задачи управления информацией

18

• Мышление пользователя: хранить все и вечно

• Дублирование информации приводит к увеличению объемов хранения

• Окна резервного копирования сокращаются

1

• Хранение больше необходимого увеличивает расходы

• Вечное хранение – бесконечные расходы

2

• Хранение дешево, поиск и обработка дороги

• Неправильное использование систем РК

• Неэффективные процедуры поиска

3

Объемы информации быстро растут

Боязнь удалить что-нибудь нужное

Поиск всегда проблема

LEGAL

Платформа архивирования Enterprise уровня

19

КЛАССИФИКАЦИЯ

Store

Миграция

Дедупликация

Сжатие

Прозрачность

Manage

Хранение

Сохранение

Удаление

Аудит

Архив

Discover

Поиск

Обработка

Расследования

Контроль

INFO SEC

EMAIL SERVERS

FILE SERVERS

IMSERVERS

SHAREPOINT

LEGACY DATABASES

DESKTOPS

ECM

HR

END USERS

Exchange+EV

• Платформа и миграция

– архивирование не только почты

– архивирование журнала почты Exchange

– архивирование старых версий Exchange

– архивные почтовые ящики малы по объему – быстрая миграция

– при миграции на 2010 не будет «раздутия» хранилищ

• Работа пользователей

– Доступ к архиву offline и из старых версий Outlook

– Быстрый и простой поиск по архиву

20

Electronic Discovery Reference Model

21

Information Management

Identification

Preservation

Collection

Processing

Review

Analysis

Production

eDiscovery Timeline

Symantec Enterprise Vault™

Clearwell

The Electronic Discovery Reference Model (EDRM)

Решения Symantec относительно EDRM

22

Discovery Accelerator

BackupExec

Information Management

Интеграция решений Symantec

23

The Electronic Discovery Reference Model (EDRM)

Information Management Identification

Preservation

Collection

Processing

Review

Analysis

Production

Enterprise Vault

Clearwell

Discovery/Compliance Accelerator

Data Classification Services

Data Loss Prevention Data Insight

NetBackup

EV Extensions (STEP)

Спасибо за внимание

24