際際滷

際際滷Share a Scribd company logo

DLP (data leakage protection)

Download as PPTX, PDF
Wydzia ds. eZdrowia, Departament Polityki Zdrowotnej, Urzd Marszakowski w odzi
Wydzia ds. eZdrowia, Departament Polityki Zdrowotnej, Urzd Marszakowski w odzi
1 of 39
Downloaded 12 times
DLP (DATA LEAKAGE PROTECTION) MO纏LIWOCI OCHRONY INFORMACJI KRYTYCZNYCH PRZED ATAKAMI TYPU APT ARAZ BEDAMI LUDZKIMI. JAK Z SUKCESEM WDRO纏Y DLP W ORGANIZACJI? Aleksander Raczyski araczynski@websense.com TRITON STOPS MORE THREATS. WE CAN PROVE IT.
Pozna to, czego nie znamy. Dowiedzie si tego, czego nie wiemy. NIE MO纏NA SI OBRONI PRZED NIEWIDZALNYM ZAGRO纏ENIEM
Raport o zagro甜eniach www.websense.com/2013ThreatReport 3
Ofiary s z reguy kierowane do Webu Wektory ataku Recon Mobile Phishing Malware Web Email Redirects Social Media Exploit Kits XSS C n C Dropper Files 4
Wzrost zagro甜enia ze strony Web Zoliwe witryny (URL) wzrost o 600% w skali wiatowej 5
Kraje, kt坦re najczciej s gospodarzami Malwareu United States Russian Federation Germany China Moldova Czech Republic United Kingdom France Netherlands Canada 6
Zainfekowane witryny (wg. Kategorii) 1. 2. 3. 4. 5. Information Technology Business and Economy Sex Travel Shopping 85% zainfekowanych witryn zostao wykrytych na stronach poprawnych
Phishing W coraz wikszym stopniu koncentruje si na celach komercyjnych i rzdowych Top 5 Countries Hosting Phishing 69% wiadomoci phishingowych jest wysyanych w poniedziaek i pitek Bardziej celowy Lokoalizacja Wzrost tzw. Spearphishingu 8
Malware Staje si bardziej agresywny 15% aczy si w czasie pierwszych 60 sek. 90% pobiera informacje 50% wrzuca dropper files 9
Malware: HTTPS Kluczowe ryzyko infekcji: HTTPS 遜 najpopularniejszych 20 witryn u甜ywa HTTPS atwy do penetracji lepy kt dla bezpieczestwa Komunikacja do serwer坦w CnC 10
Kradzie甜 danych Zagro甜enie poprzez Insidera Przypadkowa Phishing Dane osobowe (PII) Karty kredytowe ID (to甜samo) Kradzie甜 wasnoci intelektualnej (IP) Sektor rzdowy Sektor komercyjny Zamierzona Fizyczny dostp Elektronicznie 11
01 02 03 04 05 06 07 RECON LURE REDIRECT EXPLOIT KIT DROPPER FILE CALL HOME DATA THEFT Jak dziaaj bardziej wyrafinowane ataki?
Czy mo甜na si uchroni? 02 LURE RECON 01 wiadomo Web & Email Facebook, Blogi, Tweety Spear-phishing Zaufany punk wejcia Celowe Dynamiczne Zgrane w czasie
Czy mo甜na si uchroni? 04 EXPLOIT KIT REDIRECT 03 Analiza Real-Time Kod wykonywany w przegldarce & active scripts Analiza URL Analiza Exploit坦w Wileskadnikowa punktacja / rating Proaktywno
Analiza Aplikacji Zoliwe PDFy Wielosilinikowy AV Pliki spakowane Dynamiczny DNS Botnety & CnC 05 06 CALL HOME Aktywna Ochrona DROPPER FILE Czy mo甜na si uchroni?
Czy mo甜na si uchroni? Ochrona przed kradzie甜 informacji Technologia DLP Monitorowanie informacji wypywajcych Geolokacja Szczeg坦owe Forensic & oraz raportowanie Alerty / Priorytety 07 DATA THEFT Ograniczenie zakresu
TECHNOLOGIA DLP MO纏LIWOCI, WDRO纏ENIE I PRAKTYCZNE UWAGI TRITON STOPS MORE THREATS. WE CAN PROVE IT.
Websense TRITON - Architektura
DLP - technologia i mo甜liwoci
Co to jest DLP? DLP = data loss prevention r坦wnie甜 data leak/leakage prevention DLP solutions (n.) Products that, based on central policies, identify, monitor, and protect data at rest, in motion, and in use through deep content analysis. Rich Mogull (securosis.com), former Gartner analyst for DLP Rozwizania DLP Produkty, kt坦re w oparciu o centralne polityki, identyfikuj, monitoruj, oraz chroni dane w spoczynku, w ruchu, i w u甜yciu poprzez dogbn analiz treci. Rich Mogull (securosis.com), byy analityk DLP firmy Gartner
Gdzie rozwizania DLP chroni wra甜liwe informacje? Data in Motion Dane pynce do wewntrz i na zewntrz organizacji Data at Rest Data in Use Dane przechowywane w granicach naszej infrastruktury Podczas manipulacji przez r坦甜ne aplikacje Data Discovery Data Usage (Endpoint) Typowe kanay komunikacyjne Repozytoria danych Monitorowane akcje (Endpoint) Data Usage (Network) HTTP(S) FTP SMTP Instant Messangers Network Printer Network Shares (NTFS, NFS, Novell) SharePoint Databases (via ODBC) Exchange Lotus Domino Pst files Endpoint Cut / Copy / Paste Print Print Screen Access Files Endpoint LAN/Web Removable Media Outlook / Lotus Plugin Printers (local, net)
Przykad reguy Lekarzom nie wolno wysya danych pacjent坦w do (Who: From) Rule Properties | Source | Edit: Directory Entries (Action) Rule Properties | Severity: (High) / Action Plan: (Block_All) (How) Rule Properties | Destinations | R Email R Web (What) R HTTP/HTTPS Rule Properties | Condition | R Chat Add: PreciseID FP DB Records (Who: To) Rule Properties | Destinations | R Email: All R Web: All
Wybierz tw坦j kraj i sektor
Wybierz interesujce Ci polityki
Przejrzyj reguy
wiadomo treci oraz kontekstu KONTEKST + Klasyfikatory informacji KTO Websense User Service DOKD PreciseID Websense Web Intelligence Analiza statystyczna File Matching Regularne wyra甜enia Kategorie / Sowniki
Strategie u甜ycia rozwizania 27
Dwa ekstremalne podejcia do DLP Monitoruj wszystkich i wszystko Du甜a ilo incydent坦w brak przejrzystoci Tylko warto dowodowa Brak wpywu na kultur obchodzenia si z informacj Sugeruje nieufny stosunek do pracownik坦w Blokuj tylko kto czego wymagaj przepisy Strategia alibi? Technologia DLP wykorzystana w maym stopniu Brak dodatkowych informacji o informacjach wra甜liwych
Moja sugestia: strategia porednia Zalety: Spenienie wymaga prawnych Dodatkowe wykorzystanie technologii w celu ochrony informacji Dodatkowy efekt podniesienia wiadomoci 顎甜霞岳一看敬稼庄一坦敬 Utrudnienia (?) Wypracowanie proces坦w biznesowych dotyczcych informacji wa甜nych Z reguy wymagana interakcja administrator坦w/helpdesku Wypracowanie zasad obsugi incydent坦w
Zmiana modelu zachowa 顎甜霞岳一看敬稼庄一坦敬
Technologia DLP jest Twoim sprzymierzecem! Wewntrzny PR dla technologii DLP Ochrona informacji jest wa甜na dla organizacji System monitoruje tylko nadu甜ycia nie ingerujc w Ochrona informacji chroni r坦wnie甜 pracownika przed ewentualnymi bdami Edukacja pracownik坦w, podnoszenie ich wiadomoci nadrzdnym celem (konsekwencje wobec pracownik坦w - ostateczno) Aspekty prawne DLP jest doskonaym narzdziem dla departamentu bezpieczestwa pozwala na rozpoznanie trend坦w i zagro甜e Ma wpyw na ksztatowanie polityki bezpieczestwa Pozwala wdro甜y istniejce zasady poiltyki bezpieczestwa
Administracja i zarzdzanie systemem 32
Zarzdzanie Incydentami Wykonaj akcj Lista incydent坦w Zamane reguy Szczceg坦y incydenu 33
Workflow incydent坦w oparty o powiadomienia pocztowe Akcje mo甜liwe z poziomu powiadomienia: Zmiana rangi eskalowanie przypisanie incydentu ignorowanie etc.
Investigative Reports Dostarczaj wgldu do: Cele wycieku poprzez Web wedug kategorii Cele wycieku poprzez Email 店r坦da odpowiedzialne za wyciek informacji Polityki, kt坦re ulegy naruszeniu U甜ywane s by: Ustali priorytety zagro甜e Ustali potrzeby edukacji pracownik坦w Wprowadzi poprawki polityk Zidentyfikowa niedziaajce procesy biznesowe Zademostrowa zgodno z regulacjami prawnymi 35
Executive Summary Reports Wykonywane automatycznie lub na 甜danie Czoowe incydenty na przestrzeni ostatnich 24 godzin 30, 60, 90-dniowe raporty zbiorcze Raporty Trend坦w I wiele wicej 36
Czy projekt si powiedzie? 37
Podsumowanie Sukces projektu DLP zale甜y od kilku czynnik坦w: Dob坦r odpowiedniej technologii DLP Jasno cel坦w, kt坦re powinny by osignite dziki projektowi DLP wiadomo organizacji odnonie wartoci posiadanej informacji kadra zarzdzajca + departament bezpieczestwa Gotowo organizacji na zmiany odpowiedni priorytet dla projektu
DZIKUJ TRITON STOPS MORE THREATS. WE CAN PROVE IT. 息 2013 Websense, Inc. Page 39

More Related Content

DLP (data leakage protection)

  • 1. DLP (DATA LEAKAGE PROTECTION) MO纏LIWOCI OCHRONY INFORMACJI KRYTYCZNYCH PRZED ATAKAMI TYPU APT ARAZ BEDAMI LUDZKIMI. JAK Z SUKCESEM WDRO纏Y DLP W ORGANIZACJI? Aleksander Raczyski araczynski@websense.com TRITON STOPS MORE THREATS. WE CAN PROVE IT.
  • 2. Pozna to, czego nie znamy. Dowiedzie si tego, czego nie wiemy. NIE MO纏NA SI OBRONI PRZED NIEWIDZALNYM ZAGRO纏ENIEM
  • 4. Ofiary s z reguy kierowane do Webu Wektory ataku Recon Mobile Phishing Malware Web Email Redirects Social Media Exploit Kits XSS C n C Dropper Files 4
  • 5. Wzrost zagro甜enia ze strony Web Zoliwe witryny (URL) wzrost o 600% w skali wiatowej 5
  • 6. Kraje, kt坦re najczciej s gospodarzami Malwareu United States Russian Federation Germany China Moldova Czech Republic United Kingdom France Netherlands Canada 6
  • 7. Zainfekowane witryny (wg. Kategorii) 1. 2. 3. 4. 5. Information Technology Business and Economy Sex Travel Shopping 85% zainfekowanych witryn zostao wykrytych na stronach poprawnych
  • 8. Phishing W coraz wikszym stopniu koncentruje si na celach komercyjnych i rzdowych Top 5 Countries Hosting Phishing 69% wiadomoci phishingowych jest wysyanych w poniedziaek i pitek Bardziej celowy Lokoalizacja Wzrost tzw. Spearphishingu 8
  • 9. Malware Staje si bardziej agresywny 15% aczy si w czasie pierwszych 60 sek. 90% pobiera informacje 50% wrzuca dropper files 9
  • 10. Malware: HTTPS Kluczowe ryzyko infekcji: HTTPS 遜 najpopularniejszych 20 witryn u甜ywa HTTPS atwy do penetracji lepy kt dla bezpieczestwa Komunikacja do serwer坦w CnC 10
  • 11. Kradzie甜 danych Zagro甜enie poprzez Insidera Przypadkowa Phishing Dane osobowe (PII) Karty kredytowe ID (to甜samo) Kradzie甜 wasnoci intelektualnej (IP) Sektor rzdowy Sektor komercyjny Zamierzona Fizyczny dostp Elektronicznie 11
  • 13. Czy mo甜na si uchroni? 02 LURE RECON 01 wiadomo Web & Email Facebook, Blogi, Tweety Spear-phishing Zaufany punk wejcia Celowe Dynamiczne Zgrane w czasie
  • 14. Czy mo甜na si uchroni? 04 EXPLOIT KIT REDIRECT 03 Analiza Real-Time Kod wykonywany w przegldarce & active scripts Analiza URL Analiza Exploit坦w Wileskadnikowa punktacja / rating Proaktywno
  • 15. Analiza Aplikacji Zoliwe PDFy Wielosilinikowy AV Pliki spakowane Dynamiczny DNS Botnety & CnC 05 06 CALL HOME Aktywna Ochrona DROPPER FILE Czy mo甜na si uchroni?
  • 16. Czy mo甜na si uchroni? Ochrona przed kradzie甜 informacji Technologia DLP Monitorowanie informacji wypywajcych Geolokacja Szczeg坦owe Forensic & oraz raportowanie Alerty / Priorytety 07 DATA THEFT Ograniczenie zakresu
  • 17. TECHNOLOGIA DLP MO纏LIWOCI, WDRO纏ENIE I PRAKTYCZNE UWAGI TRITON STOPS MORE THREATS. WE CAN PROVE IT.
  • 18. Websense TRITON - Architektura
  • 19. DLP - technologia i mo甜liwoci
  • 20. Co to jest DLP? DLP = data loss prevention r坦wnie甜 data leak/leakage prevention DLP solutions (n.) Products that, based on central policies, identify, monitor, and protect data at rest, in motion, and in use through deep content analysis. Rich Mogull (securosis.com), former Gartner analyst for DLP Rozwizania DLP Produkty, kt坦re w oparciu o centralne polityki, identyfikuj, monitoruj, oraz chroni dane w spoczynku, w ruchu, i w u甜yciu poprzez dogbn analiz treci. Rich Mogull (securosis.com), byy analityk DLP firmy Gartner
  • 21. Gdzie rozwizania DLP chroni wra甜liwe informacje? Data in Motion Dane pynce do wewntrz i na zewntrz organizacji Data at Rest Data in Use Dane przechowywane w granicach naszej infrastruktury Podczas manipulacji przez r坦甜ne aplikacje Data Discovery Data Usage (Endpoint) Typowe kanay komunikacyjne Repozytoria danych Monitorowane akcje (Endpoint) Data Usage (Network) HTTP(S) FTP SMTP Instant Messangers Network Printer Network Shares (NTFS, NFS, Novell) SharePoint Databases (via ODBC) Exchange Lotus Domino Pst files Endpoint Cut / Copy / Paste Print Print Screen Access Files Endpoint LAN/Web Removable Media Outlook / Lotus Plugin Printers (local, net)
  • 22. Przykad reguy Lekarzom nie wolno wysya danych pacjent坦w do (Who: From) Rule Properties | Source | Edit: Directory Entries (Action) Rule Properties | Severity: (High) / Action Plan: (Block_All) (How) Rule Properties | Destinations | R Email R Web (What) R HTTP/HTTPS Rule Properties | Condition | R Chat Add: PreciseID FP DB Records (Who: To) Rule Properties | Destinations | R Email: All R Web: All
  • 26. wiadomo treci oraz kontekstu KONTEKST + Klasyfikatory informacji KTO Websense User Service DOKD PreciseID Websense Web Intelligence Analiza statystyczna File Matching Regularne wyra甜enia Kategorie / Sowniki
  • 28. Dwa ekstremalne podejcia do DLP Monitoruj wszystkich i wszystko Du甜a ilo incydent坦w brak przejrzystoci Tylko warto dowodowa Brak wpywu na kultur obchodzenia si z informacj Sugeruje nieufny stosunek do pracownik坦w Blokuj tylko kto czego wymagaj przepisy Strategia alibi? Technologia DLP wykorzystana w maym stopniu Brak dodatkowych informacji o informacjach wra甜liwych
  • 29. Moja sugestia: strategia porednia Zalety: Spenienie wymaga prawnych Dodatkowe wykorzystanie technologii w celu ochrony informacji Dodatkowy efekt podniesienia wiadomoci 顎甜霞岳一看敬稼庄一坦敬 Utrudnienia (?) Wypracowanie proces坦w biznesowych dotyczcych informacji wa甜nych Z reguy wymagana interakcja administrator坦w/helpdesku Wypracowanie zasad obsugi incydent坦w
  • 30. Zmiana modelu zachowa 顎甜霞岳一看敬稼庄一坦敬
  • 31. Technologia DLP jest Twoim sprzymierzecem! Wewntrzny PR dla technologii DLP Ochrona informacji jest wa甜na dla organizacji System monitoruje tylko nadu甜ycia nie ingerujc w Ochrona informacji chroni r坦wnie甜 pracownika przed ewentualnymi bdami Edukacja pracownik坦w, podnoszenie ich wiadomoci nadrzdnym celem (konsekwencje wobec pracownik坦w - ostateczno) Aspekty prawne DLP jest doskonaym narzdziem dla departamentu bezpieczestwa pozwala na rozpoznanie trend坦w i zagro甜e Ma wpyw na ksztatowanie polityki bezpieczestwa Pozwala wdro甜y istniejce zasady poiltyki bezpieczestwa
  • 34. Workflow incydent坦w oparty o powiadomienia pocztowe Akcje mo甜liwe z poziomu powiadomienia: Zmiana rangi eskalowanie przypisanie incydentu ignorowanie etc.
  • 35. Investigative Reports Dostarczaj wgldu do: Cele wycieku poprzez Web wedug kategorii Cele wycieku poprzez Email 店r坦da odpowiedzialne za wyciek informacji Polityki, kt坦re ulegy naruszeniu U甜ywane s by: Ustali priorytety zagro甜e Ustali potrzeby edukacji pracownik坦w Wprowadzi poprawki polityk Zidentyfikowa niedziaajce procesy biznesowe Zademostrowa zgodno z regulacjami prawnymi 35
  • 36. Executive Summary Reports Wykonywane automatycznie lub na 甜danie Czoowe incydenty na przestrzeni ostatnich 24 godzin 30, 60, 90-dniowe raporty zbiorcze Raporty Trend坦w I wiele wicej 36
  • 37. Czy projekt si powiedzie? 37
  • 38. Podsumowanie Sukces projektu DLP zale甜y od kilku czynnik坦w: Dob坦r odpowiedniej technologii DLP Jasno cel坦w, kt坦re powinny by osignite dziki projektowi DLP wiadomo organizacji odnonie wartoci posiadanej informacji kadra zarzdzajca + departament bezpieczestwa Gotowo organizacji na zmiany odpowiedni priorytet dla projektu
  • 39. DZIKUJ TRITON STOPS MORE THREATS. WE CAN PROVE IT. 息 2013 Websense, Inc. Page 39