MID_McAfee_DLP_Vlad_Radetskiy_RU

McAfee Confidential—Internal Use Only

McAfee

Защита от утечек.

Эффективные инструменты.

Владислав Радецкий

[email protected]

15.10.2013


Инструменты защиты

McAfee Data Protection

Шифрование DLP

Жестких дисков

Файлов/каталогов

Клиент для

конечных точек

Устройства

сетевого уровня


Демо


McAfee Endpoint Encryption – варианты

Защита от НСД в случае кражи/утери ноутбука, изъятия серверов.

Обеспечение аутентификации по паролю/токену.

Защита от перебора паролей.

Работает под Windows и Mac.

Централизованное управление ключами шифрования.

Гибкие политики назначения ключей.

Решение проблем с «субординацией».

Пользователи могут не знать о том, что файлы зашифрованы.

Может создавать криптоконтейнеры на USB носителях.

Работает на клиентских редакциях Windows.

Drive Encryption

File and Media


McAfee DLP – методы классификации данных

Словари, текстовые шаблоны, устойчивые выражения

Используются для идентификации текстовых документов

Цифровые отпечатки, т.н. “fingerprints”, хеши файлов

Используются для файлов различного типа

Метки, т.н. “Tags”, метаданные, которые использует DLP Endpoint

Используются когда контент документов трудно формализовать


McAfee DLP Endpoint – варианты

Контроль устройств. Мониторинг, блокирование, r/o USB носителей.

С поддержкой «отпечатков», но без меток.

Входит в пакет Content Security Suite (легкий старт DLP)

Device Control + контроль действий пользователей (Email, Web, Print..).

Полный спектр механизмов классификации.

Кроме мониторинга и блокировки «умеет» осуществлять т.н. Discover

файловой системы рабочей станции.

Интегрируется с выборочным шифрованием файлов и каталогов.

Полный функционал на рабочих станциях и серверах*

* Включая сервера терминалов

** оба решения предназначены для Windows

Device Control

DLP Endpoint


McAfee DLP Endpoint – работа с устройствами

• «Белые»/«Черные» списки устройств

• Блокирование неявных каналов утечки

• «Понимает» разные классы устройств


McAfee DLP Endpoint – защита

• Контроль доступа приложений к документам

• Контроль буфера обмена

• Контроль электронной почты (Outlook + Lotus)

• Контроль доступа к файловой системе

• Контроль сетевых соединений + метки

• Блокирование PDF и XPS принтеров

• Контроль печати (локально + по сети)

• Контроль съемных носителей

• Блокирование снимков экрана + «ножницы»

• Контроль публикаций Web (IE + FF)

• Контроль различных устройств, включая:

– Контейнеры TrueCrypt

– Устройства тонких клиентов Citrix;

– Не системные жесткие диски…


McAfee DLP Endpoint – типы действий

• Блокирование

• Шифрование

• Мониторинг

• Обоснование запроса

• Теневая копия (подтверждение)

• Уведомление пользователя

* Действия одной политики

могут отличатся в зависимости

от состояния системы

Online/Offline


На что стоит обратить внимание

• Тех. специалистам

– Интеграция с AD, выборочные политики на группу или отдельного пользователя;

– Различные типы реакций в зависимости от состояния online/offline;

– Интеграция с шифрованием от McAfee или RMS от Microsoft;

– Централизованное развертывание из консоли ePO;

– Быстрая корректировка политик.

• Руководству

– Режим т.н. «обхода», когда блокировка отключается, но не мониторинг;

– Единый инструмент для серверов и рабочих станций;

– Оптимизация стоимости владения при широком функционале.


McAfee Network DLP – составляющие

Координирует работу остальных модулей

Отвечает за синхронизацию политик и хранение инцидентовManager

Discover

Monitor

Prevent

Осуществляет поиск, идентификацию и «дактилоскопию» данных

Которые хранятся в БД и на сетевых хранилищах

Пассивный перехват (sniffing) сетевых пакетов.

Обеспечивает поиск утечек и контроль исходящего трафика

Интегрируется с Web proxy (ICAP) и MTA (SMTP)

Модифицирует исходящий трафик, предотвращая утечки данных


McAfee Network DLP – анализ Web запросов

1. Клиент запрашивает страницу / пытается что-то отправить;

2. Запрос поступает на Web proxy (MWG);

3. Web proxy перенаправляет контент запроса на NDLP Prevent;

4. NDLP Prevent выполняет анализ и принимает решение;

5. Web proxy осуществляет принятое решение*.

*

Разрешить

Заблокировать


McAfee Network DLP – анализ электронной почты

1. Клиент отправляет письмо;

2. Почтовый сервер перенаправляет сообщение на MTA (MEG);

3. MTA передает письмо на NDLP Prevent;

4. Prevent анализирует содержимое и внедряет X-header;

5. MTA выполняет действие* в зависимости от заголовка.

*

Разрешить

Заблокировать

Зашифровать

Вернуть отправителю

Поместить в карантин

Переслать в СБ


McAfee Network DLP – схема внедрения


На что стоит обратить внимание

• Тех. специалистам

– Анализ больших объемов данных в сетевом трафике и на хранилищах;

– Защита от утечек на периметре не зависимо от источника;

– Автоматизация поиска, регистрации и обнаружения информации;

– Модульность (заказчик может развернуть столько устройств сколько ему необходимо);

– Интеграция сетевой части с клиентской = единая политика.

• Руководству

– Политика лицензирования;

– McAfee Content Security Suite (DLP + усиление защиты периметра);

– За счет методики Security Connected упрощается сопровождение системы.


Внимание

Если Вы хотите чтобы DLP система была не просто…

игрушкой


Внимание

А надежным инструментом защиты Ваших инвестиций и активов


О чем нужно помнить внедряя/используя DLP

• Принцип «установили и забыли» не работает!

• По максимуму, где можно, использовать шифрование

• Ставить пароли на BIOS Setup (boot from live CD/USB)

• Отбирать привилегии локального администратора

• Проводить инвентаризацию/стандартизацию ПО



• Новый софт = аудит политик DLP

• Нужно блокировать любой контент, который не проходит анализ*

* Пример:

Email и Web Gateway с легкостью обработают архив со степенью вложенности >20.

Но если архив будет зашифрован – DLP не сможет проанализировать содержимое.

Вывод – на Email и Web Gateway блокировать отправку зашифрованных вложений.



• DLP Endpoint должен быть в исключениях антивирусной системы

• В системных требованиях указано количество свободной оперативной памяти

• Модули Network DLP могут быть развернуты в виде ВМ или фирменного «железа»

• Email и Web Gateway не обязательны, но упрощают внедрение + доп. функционал

• Email Gateway помимо штатных функций может шифровать почту



• Каждый из модулей NDLP может работать отдельно, однако если нужно чтобы Prevent

мог блокировать передачу контента, который зарегистрировал Discover, оба устройства

нужно объединить через Manager

• Discover помимо «инвентаризации» и «дактилоскопии» может искать

зарегистрированные ранее документы и проводить операции по их:

– Удалению

– Перемещению

• Аналогичная функция есть в DLP Endpoint с возможностью поиска как

по файловой системе так и по PST/OST файлам.

Карантин/Удаление/Шифрование обнаруженных документов.

Включая применения ограничений RMS.


Источники полезной информации

• Официальный сайт McAfee - описание продуктов, пробные версии

http://www.mcafee.com/ru/

• Раздел McAfee на сайте БАКОТЕК - новости, мероприятия, пресс-релизы

http://bakotech.ua/vendor/mcafee/

• McAfee Ukraine Technical Club - технические заметки

https://www.facebook.com/McAfeeUkraineTechnical

• Мой личный блог - статьи на русском по настройке решений

https://radetskiy.wordpress.com/

• База знаний по продуктам McAfee - очень, очень много подсказок

http://kc.mcafee.com

http://www.mcafee.com/ru/

http://bakotech.ua/vendor/mcafee/

https://www.facebook.com/McAfeeUkraineTechnical

https://radetskiy.wordpress.com/

http://kc.mcafee.com/


Пару слов о себе

Работаю в Группе компаний БАКОТЕК.

Занимаюсь технической поддержкой проектов по ИБ.

Отвечаю за такие направления McAfee:

» Data Protection

» Email Security

» Web Security

» Endpoint Security

» Mobile Security

» One Time Password

» Security-as-a-Service

» Security Management

Vladislav Radetskiy

Technical Support Engineer

BAKOTECH GROUP

M: +380 95 880-7370

О: +380 44 273-3333

[email protected]

http://bakotech.ua/

http://www.mcafee.com/ru/products/data-protection/index.aspx

http://www.mcafee.com/ru/products/email-and-web-security/email-security.aspx

http://www.mcafee.com/ru/products/email-and-web-security/web-security.aspx

http://www.mcafee.com/ru/products/endpoint-protection/index.aspx

http://www.mcafee.com/ru/products/mobile-security/index.aspx

http://www.mcafee.com/ru/products/one-time-password.aspx

http://www.mcafee.com/ru/products/security-as-a-service/index.aspx

http://www.mcafee.com/ru/products/security-management/index.aspx

mailto:[email protected]


p.s.

• McAfee – это не только антивирус (более 70 решений в портфеле)

• Если у Вас есть насущные задачи в области ИБ – свяжитесь с нами*

• Мы* сможем:

– подобрать к вашим задачам оптимальные решения;

– провести толковую презентацию выбранных решений;

– помочь с PoC (т.н. «пилотный проект»);

– провести обучение ваших специалистов;

– оказать техническую поддержку.

* Мы = БАКОТЕК + наши партнеры по McAfee


Владислав Радецкий

facebook.com/McAfeeUkraineTechnical

radetskiy.wordpress.com

[email protected]

http://facebook.com/McAfeeUkraineTechnical

http://radetskiy.wordpress.com/

mailto:[email protected]

Technology

MID_McAfee_DLP_Vlad_Radetskiy_RU