Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
Device lock (code-ib пермь)
1. Эффективная защита от утечек данных.
Программный комплекс
DeviceLock 7 Endpoint DLP Suite.
Презентация для конференции
#codeIB
Пермь,
24 октября 2013 г.
Вахонин Сергей
Директор по ИТ
DeviceLock, Inc.
1
2. Информация о компании
Факты
Основана в 1996 году
Штаб-квартира и основной офис разработки
находятся в Москве
Международный лидер
разработки
программных средств
для защиты
от утечек данных
с корпоративных
компьютеров (DLP)
Основной
разрабатываемый
продукт – DeviceLock
Endpoint DLP Suite
Более 70 000 клиентов и более 5 000 000 инсталляций по всему миру
Крупнейшие инсталляции – более 70 тыс. компьютеров (США), более 30 тыс. (РФ)
Зарубежные офисы продаж и технической поддержки
США, Канада, Великобритания, Германия, Италия
2
3. Информация о компании
Примеры внедрения
в России
«Опыт эксплуатации DeviceLock в Банке показал, что этот продукт является достаточно функциональным и надежным,
вопрос о его замене не рассматривался – и сегодня DeviceLock контролирует около 8000 рабочих мест. Также мы видим,
что разработчики системы DeviceLock постоянно совершенствуют свой продукт, наполняя его новым востребованным
функционалом, что дает нам надежду, что данный продукт и дальше будет сохранять свою лидирующую позицию на
данном рынке.».
Дмитрий Эдуардович Шпонько,
Начальник отдела защиты информации УИБ ДБ Банка ВТБ24
3
4. DeviceLock Endpoint DLP Suite
Награды и достижения
DeviceLock отмечен наградами и титулами рядом
авторитетных российских и зарубежных изданий и
независимых аналитических агентств
Независимая аналитическая компания The Radicati Group
признала компанию DeviceLock одним из ключевых
разработчиков DLP-систем в своем последнем детальном
аналитическом отчете “Content-Aware Data Loss Prevention
Market, 2013-2017”
DeviceLock DLP Suite версий 7.1 и 7.2 получил 5 звезд
и знак "Рекомендовано" от журнала SC Magazine
в 2013 и 2012 г.г.
Максимальная оценка в 5 звезд дана по всем пунктам обзора:
функционал, простота использования, производительность,
документация, поддержка, цена-качество
DeviceLock назван победителем ежегодного обзора 2013 года
“Выбор читателей” издания WindowSecurity.com
Компания Смарт Лайн Инк отмечена Золотой медалью
Национальной отраслевой премии «ЗУБР» в категории
«Кибербезопасность» за DeviceLock 7.2
4
5. Проблематика утечки данных
Каналы утечки данных
Согласно исследованиям Ponemon Institute и Symantec, более 60%
увольняемых сотрудников «сохраняют за собой» конфиденциальные данные
своих компаний
Рост популярности облаков,
доступность мобильных устройств
Высокая доступность и емкость мобильных
устройств и устройств хранения данных
Социальные сети
Личные ящики веб-почты
и онлайн-службы мгновенных сообщений
Сайты облачных файловых хранилищ
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ РАБОЧИХ
СТАНЦИЙ АКТУАЛЬНО КАК НИКОГДА РАНЕЕ
5
6. Проблематика утечки данных
Skype становится межкорпоративным стандартом взаимодействия
Более 300 миллионов активных пользователей
35% пользователей Skype – малый и средний бизнес,
основное средство коммуникаций
С 08.04.2013 прекращена поддержка Live Messenger,
пользователи переведены в Skype; Microsoft
объединила Lync и Skype; Skype интегрирован в
Outlook 2013/365
Поддерживается для любой ОС
Позволяет чат, быструю передачу файлов,
аудио- и видео-конференции
Все коммуникации в Skype зашифрованы,
перехват на уровне корпоративных шлюзов
невозможен
6
7. Проблематика утечки данных
Модель BYOD представляет огромную угрозу ИТ безопасности
Модель BYOD становится нормой
Мобильные устройства
распространены повсеместно
Corporate Data
Microsoft
RDP / RemoteFX
Citrix ICA/HDX
iPad’ы, iPhone’ы, iPod’ы, смартфоны и планшеты на
платформе Android и Windows, лэптопы и домашние
компьютеры
Традиционный сетевой периметр
неспособен контролировать личные устройства
Все они напрямую подключаются к корпоративной
сети и позволяют «вытаскивать» информацию из нее
ДИЛЕММА «ПРЕДОСТАВЛЕНИЕ
ДОСТУПА - ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ»
7
8. Шлюзовое решение в режиме мониторинга
Рабочая станция
Лэптоп
DLP-шлюз
Сервер DLP
Коммутатор
Интернет
Рабочая станция
•
•
•
•
Прокси-сервер
Интернет
Перехват только сетевого трафика, невозможность контролировать устройства и зашифрованные сетевые
протоколы (Skype!), сложности с протоколами, защищенными SSL
Относительная легкость развертывания и управления
Низкая гибкость по отношению к пользователям
Невозможность блокировать нежелательный трафик – реакция только на уже произошедшие инциденты
Необработанный сетевой трафик
8
9. Шлюзовое решение с возможностью блокирования
DLP-шлюз
Рабочая станция
Лэптоп
Сервер DLP
Коммутатор
Интернет
Рабочая станция
•
•
•
•
Прокси-сервер
Перехват только сетевого трафика, невозможность контролировать устройства и зашифрованные сетевые
протоколы (Skype!), сложности с протоколами, защищенными SSL
Относительная легкость развертывания и управления
Низкая гибкость по отношению к пользователям
Высокая защищенность от взлома
Необработанный сетевой трафик
Обработанный сетевой трафик
9
10. Смешанное шлюзово-хостовое DLP-решение
Рабочая станция
Сервер DLP
Лэптоп
Интернет
Рабочая станция
•
•
•
•
•
DLP-шлюз
Прокси-сервер
Возможность контролировать зашифрованные сетевые протоколы и SSL-трафик, устройства и порты
Необходимость развертывания на каждый компьютер в сети дополнительно к развертыванию сервера,
практически нереально провести внедрение самостоятельно
Высокая гибкость по отношению к пользователям
Возможность блокировать нежелательный трафик для предотвращения утечек, а не выявления
Повышенная нагрузка на каналы передачи данных ((аудит и теневое копирование)
Необработанный сетевой трафик
Обработанный сетевой трафик
Агент DLP (Device Control, Skype control)
10
11. Полностью хостовое DLP-решение
Сервер AD
Консоль администратора
Рабочая станция
Сервер DLP
Рабочий ноутбук
Коммутатор
Прокси-сервер
Интернет
Рабочая станция
•
•
•
•
•
Полный контроль сетевого трафика с точки передачи данных, включая SSL-трафик; контроль устройств и портов
Необходимость развертывания на каждый компьютер в сети (возможно самостоятельное внедрение)
Высокая гибкость по отношению к пользователям
Возможность блокировать нежелательный трафик для предотвращения утечек, а не выявления
Повышенная нагрузка на каналы передачи данных (аудит и теневое копирование)
Агент DLP
Обработанный сетевой трафик
Передача DLP-политик на агенты
Сбор информации
11
12. Проблематика утечки данных
«Идеальная» структура DLP-решений для рабочих станций
Типы файлов и
данных
Типы файлов и
данных
Сетевые
протоколы и
приложения
Контроль по типу
устройств, протоколов
или приложений
Контроль на
уровне порта или
интерфейса
Данные,
терминальной
сессии
Данные в
буфере обмена
Данные,
отправляемые
на печать
Данные
локальной
синхронизации
Типы файлов
Типы данных
Форматы печати
(PCL, PS, …)
Типы объектов
протоколов
синхронизации
Периферийные
устройства на
удалѐнных
терминалах
Типы/классы
устройств
Процессы,
приложения
Диспетчер
очереди печати,
типы принтеров
Локальные
порты передачи
данных по
Интернет
Буфер обмена
удалѐнного
терминала
Локальные
порты
-
USB, FireWire,
Bluetooth, LPT,
сеть
Сетевые каналы
Терминальные
сессии и
виртуальные
рабочие
столы
Буфер обмена
Канал печати
Файлы и их
содержимое
Сменные
устройства
Приложения
локальной
синхронизации,
типы
смартфонов
Уровни контроля DLP-решений
Данные,
передаваемые
по сети
Фильтрация
типов данных
Контекстеные DLP-решения
Контентный
анализ и
фильтрация
USB, Wi-Fi, COM,
IrDA. Bluetooth
Локальная
синхронизация
Локальные каналы утечки данных
12
13. Проблематика утечки данных
Основные сценарии применения DLP на предприятиях
Наиболее часто встречающиеся задачи при внедрении DLP-системы для защиты от утечек
информации:
• отслеживание и предотвращение фактов передачи защищаемой информации c использованием
электронной почты по почтовым протоколам и через почтовые веб-сервисы (избирательное
блокирование и аудит каналов);
• отслеживание и предотвращение фактов передачи защищаемой информации в сеть Интернет по
сетевым протоколам HTTP, HTTPS, FTP, FTPS, через социальные сети (избирательное блокирование и
аудит перечисленных каналов);
• отслеживание и предотвращение фактов передачи защищаемой информации с использованием
Instant Messengers (избирательное блокирование и аудит каналов Skype, ICQ и ряда других);
• отслеживание и предотвращение фактов записи защищаемой информации на съемные носители
(избирательное блокирование и аудит USB-накопителей, оптических дисков, flash-носители и др.);
• отслеживание и предотвращение печати документов, содержащих защищаемую информацию
(избирательное блокирование и аудит печати на локальных, сетевых и виртуальных принтерах);
• отслеживание фактов хранения защищаемой информации на общие сетевые ресурсы;
• отслеживание и предотвращение копирования защищаемой информации из терминальных сессий (из
буфера обмена), контроль перенаправленных устройств в терминальных средах;
• создание и ведение архива переданных пользователями данных и файлов по сети Интернет, а также
через съемные накопители, принтеры и другие средства хранения и передачи информации в целях
дальнейшего криминалистического анализа и расследования инцидентов информационной
безопасности;
• создание подсистемы оперативного реагирования на ключевые инциденты информационной
безопасности;
• создание организационно-распорядительной документации как правовой основы деятельности
подразделения, ответственного за информационную безопасность.
13
14. DeviceLock Endpoint DLP Suite
DeviceLock DLP Suite – первая российская DLP-система
Контекстный
контроль
Контентный
контроль
Комплекс состоит из трѐх взаимодополняющих
отдельно лицензируемых функциональных
компонентов
DeviceLock
Контроль периферийных устройств и интерфейсов
подключения, централизованное управление
(инфраструктурное ядро архитектуры комплекса)
NetworkLock
Всесторонний контроль сетевых коммуникаций
ContentLock
Технологии контентного анализа и фильтрации
"С введением режима конфиденциального
документооборота на предприятии и
согласованного плана мероприятий по
обеспечению защиты информации от разного
рода угроз, руководство Завода приняло решение
использовать программное обеспечение
DeviceLock российской компании Смарт Лайн Инк,
как одно из средств защиты информации.
Отдел информационных технологий
Челябинского механического завода изучил
аналогичные программные продукты с целью
предотвращения утечки конфиденциальной
информации, и по наиболее приемлемому
соотношению цена/качество предпочтение было
отдано именно DeviceLock"
Михаил Мещеряков,
Начальник отдела информационных технологий
14
15. DeviceLock Endpoint DLP Suite
Архитектура программного комплекса DeviceLock
Программный комплекс DeviceLock Endpoint DLP Suite лицензируется строго по числу защищаемых компьютеров (т.е. тех, на которых
установлен Агент DeviceLock – DeviceLock Service или по числу защищенных терминальных сессий).
Остальные компоненты и функции комплекса (консоли управления, апплеты, отчеты,
сервер DeviceLock Enterprise Server) не лицензируются и могут быть использованы в
любом количестве в соответствии с требованиями инфраструктуры организации
Дополнительно лицензируется компонент DeviceLock
Search Server – по числу индексируемых документов
и записей в БД аудита и теневого копирования
Консоли управления
Агенты DeviceLock
Service
DeviceLock
Management Console
Сеть
DeviceLock
Enterprise Manager
Групповые политики
DeviceLock WebConsole
DeviceLock
GroupPolicy Manager
Контроллер домена
Active Directory
Компоненты
DeviceLock, NetworkLock,
ContentLock
(для физических компьютеров
и терминальных сессий)
Терминальная сессия
DeviceLock Search Server
DeviceLock Enterprise Server
SQL Server Может быть использована бесплатная
редакция SQL Express для небольших сетей/объемов
хранения данных аудита и теневого копирования
* В архитектуре DeviceLock Endpoint DLP Suite отсутствует такой компонент, как выделенный сервер управления.
** Использование групповых политик контроллера домена Active Directory является опциональным, но наиболее оптимальным способом
развертывания и управления DeviceLock Endpoint DLP Suite.
15
16. Программный комплекс DeviceLock Endpoint DLP Suite
Создание распределенной инфраструктуры
Консоли управления, апплеты, отчеты, сервер DeviceLock Enterprise Server не лицензируются и могут быть использованы в любом количестве в
соответствии с требованиями инфраструктуры организации.
Агенты
DeviceLock
Service
SQL Server
SQL Server
DeviceLock Enterprise Server
DeviceLock
Enterprise
Server
DeviceLock
Enterprise
Server
DeviceLock
Management
Console
Агенты DeviceLock Service
Агенты DeviceLock Service
Для равномерного распределения нагрузки в локальной сети можно установить несколько экземпляров DLES, которые, в свою очередь,
используют любое количество SQL-серверов для хранения данных. Для повышения эффективности использования сетевых ресурсов и ресурсов
БД SQL-сервера предлагаются такие механизмы, как потоковое сжатие данных аудита и теневого копирования, контроль пропускной
способности сети, автоматический выбор оптимального сервера DLES и локальной квоты кэша данных аудита и теневого копирования.
16
17. DeviceLock Endpoint DLP Suite
Контролируемые каналы утечки данных
Корпоративная почта
(SMTP, MAPI)
Флешки и другие съѐмные
носители с интерфейсом
подключения USB
Веб-почта
Смартфоны
Службы мгновенных
сообщений, Skype
iPad’ы, iPhone’ы и iPod’ы
Социальные сети
Цифровые фотоаппараты
Облачные
файлообменные сервисы
CD и DVD R/RW
HTTP / HTTPS
Карты памяти стандартов
Compact Flash и SD
FTP / FTPS
Bluetooth
Общие сетевые ресурсы
(SMB)
FireWire
Принтеры (канал печати)
Telnet
Полностью программное решение, не
требующее дополнительных аппаратных
модулей
Защита от локальных утечек данных
непосредственно на источнике угрозы
Буфер обмена
Устройства,
перенаправленные в
терминальную сессию
Полная интеграция в групповые политики
Active Directory
17
18. DeviceLock Endpoint DLP Suite
Управление и администрирование в домене Active Directory
Наиболее рациональный и удобный
подход к управлению – с использованием
объектов групповых политик домена
Microsoft Active Directory и
интегрированной в редактор групповых
политик (GPO Editor) консоли DeviceLock
Политики DeviceLock автоматически
распространяются средствами директории
как интегральная часть ее групповых
политик на все компьютеры домена
Автоматическая устанавливка агентов
DeviceLock на новые компьютеры,
подключаемые к корпоративной сети
Не требуется написания дополнительных
скриптов, изменения схемы домена или
шаблонов ADO
Агенты могут быть установлены на
удаленные компьютеры с уже
определенными политиками безопасности
(настройками) путем развертывания
специально созданного установочного
пакета Microsoft Installer (MSI)
С помощью стандартной оснастки Resultant
Set of Policy можно просмотреть
применяемые в настоящий момент
политики DeviceLock и проверить
задаваемый набор политик, применяемый
после его распространения в сети
18
19. DeviceLock Endpoint DLP Suite
Технологии для контроля данных
Гранулированный контроль доступа пользователей ко всем типам устройств и портов
локальных компьютеров, в т.ч. канала локальной синхронизации с мобильными
устройствами. Контроль наиболее применимых каналов сетевых коммуникаций.
Детальное событийное протоколирование действий пользователей, административных
процессов и состояния комплекса, включая теневое копирование данных, с хранением их
в централизованной базе данных. Собственный сервер полнотекстового поиска данных.
Встроенная система построения отчетов, в т.ч. графических.
Оповещения системы безопасности о событиях в реальном времени.
Распознавание реального типа файлов для расширения возможностей контроля, аудита и
теневого копирования. Более 4 000 типов (форматов) файлов с возможностью расширения
для новых форматов.
Интеграция с внешними программными и аппаратными средствами шифрования
съѐмных носителей (определение прав доступа к шифрованным носителям).
Блокировка аппаратных кейлоггеров (USB и PS/2).
Задание разных политик для компьютеров в режимах online/offline с автоматическим
распознаванием режимов.
Встроенная защита агентов от несанкционированных воздействий пользователей
и локальных администраторов. Автоматизированный мониторинг состояния агентов и
применяемых политик.
19
20. Компоненты комплекса DeviceLock Endpoint DLP Suite
Компонент DeviceLock: контроль устройств и интерфейсов
Компонент DeviceLock обеспечивает контроль доступа к устройствам и интерфейсам, событийное протоколирование (аудит), тревожные
оповещения и теневое копирование, а также реализует такие функции, как Белые списки USB-устройств и CD/DVD носителей, защиту агента
DeviceLock от локального администратора, поддержку сторонних криптопродуктов, обнаружение и блокирование аппаратных кейлоггеров и др.
Устройства хранения данных,
буфер обмена
Флеш-накопители,
карты памяти
Интерфейсы
подключения
Терминальные сессии
и виртуальные среды
Канал
печати
Мобильные
устройства
20
21. Компоненты комплекса DeviceLock Endpoint DLP Suite
Компонент NetworkLock: защита от угроз сетевого происхождения
Компонент NetworkLock обеспечивает избирательный контекстный контроль каналов сетевых коммуникаций, событийное протоколирование
(аудит), тревожные оповещения и теневое копирование для них.
Службы
мгновенных
сообщений
Почтовые
протоколы и
web-почта
Социальные
сети
MAPI
SMTP
SMTP-SSL
Интернетпротоколы
HTTP/HTTPS
FTP
FTP-SSL
Telnet
Сетевые сервисы
файлового обмена и
синхронизации,
внутрисетевые
файловые ресурсы
21
22. Компоненты комплекса DeviceLock Endpoint DLP Suite
NetworkLock: Белый список сетевых протоколов
По аналогии с Белым списком USB-устройств в модуле DeviceLock, в модуле NetworkLock реализован «Белый
список» сетевых протоколов, позволяющий гибко предоставлять доступ ключевым сотрудникам только к тем
сервисам и узлам, которые необходимы им для работы.
Реализация сценария «минимальные привилегии»:
Расширенный гибкий контроль сетевых протоколов
в зависимости от ряда параметров
Диапазоны IP-адресов
Диапазоны портов
Типы протоколов и приложений
Идентификаторы локальных
пользователей/адреса
e-mail, имеющих право отправлять
мгновенные сообщения и почту
(Local Sender)
Допустимые получатели мгновенных
сообщений и почты (Remote Recipient)
Возможности Белого списка могут быть с успехом использованы для расширенного
решения задачи контроля почтового трафика – можно ограничить область адресатов
почтовых сообщений до известных службе безопасности доменов, разрешить
использование только допустимых почтовых ящиков и сервисов и т.д.
22
23. Компоненты комплекса DeviceLock Endpoint DLP Suite
Компонент ContentLock: контентный анализ и фильтрация
80+
Поиск по ключевым словам с применением
морфологического анализа и использованием
промышленных и отраслевых словарей.
Анализ по шаблонам регулярных выражений с
различными условиями соответствия
критериям, в т.ч. встроенным.
Контентный анализ электронной
почты и веб-почты; служб
мгновенных сообщений,
социальных сетей и передаваемых
по сети файлов; канала печати,
съемных носителей и др. типов
устройств – в более чем 80 типах
файлов и документов.
Контентный анализ для
данных теневого копирования.
Комбинирование различных
методов фильтрации на базе
различных численных и логических
условий.
Анализ по расширенным свойствам
документов и файлов, считывание отпечатков
Oracle IRM.
Контроль данных в архивах и составных
файлов, детектирование текста в графике.
23
24. Компоненты комплекса DeviceLock Endpoint DLP Suite
Компонент DeviceLock Search Server
DeviceLock Search Server - модуль комплекса DeviceLock Endpoint DLP Suite,
позволяет проводить быстрый и удобный аудит безопасности, расследования
инцидентов, криминологический анализ.
Производит полнотекстовый поиск по базам данных теневого копирования (в том
числе внутри сохраненных файлов) и журналам аудита, хранящимся на сервере
DeviceLock Enterprise Server (в связанной SQL-базе данных).
• Индексирование и поиск: комбинация слов, фраз, регулярных выражений,
специальных символов, численных диапазонов, полей документов, записей
журналов аудита;
• Морфологический поиск и фильтрация «стоп-слов».
Автоматически распознаѐт, индексирует, находит и отображает документы
• 80+ файловых форматов:
• Adobe Acrobat (PDF), Ami Pro, архивы (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access,
Microsoft Excel, Microsoft PowerPoint, Microsoft Word, Microsoft Works, OpenOffice
(документы, таблицы и презентации), Quattro Pro, WordPerfect, Wordstar и многих
других;
• По определѐнным параметрам записи.
Сортирует результаты поиска по ряду параметров.
24
25. Технологии Virtual DLP
Технологии DeviceLock Virtual DLP
Доступ к корпоративным
данным –
только на время работы.
DeviceLock: Интеграция DLP-технологий в терминальную среду.
DLP-политики позволяют передачу между двумя средами только необходимых для сотрудников бизнес –
данных.
DLP-защита для виртуальных сред и BYOD-модели, основанной на виртуализации рабочих сред и приложений,
является универсальной и работает на всех видах личных устройств.
Использование виртуальной рабочей среды вместо локального контейнера.
Отсутствие зависимости от особенностей реализации мобильной платформы:
применимость на любых персональных устройствах (планшеты, лэптопы, тонкие клиенты, домашние
компьютеры с любыми операционными системами), работа через RDP-HTML5 Proxy.
DLP-агент функционирует внутри терминальной сессии (в виртуальной среде).
25
26. Технологии Virtual DLP
Пример использования DeviceLock для DLP-защиты в модели BYOD
На iPad используется приложение MS Outlook, с подключением через Remote Desktop (RDP).
Проверка контента передаваемых данных на предмет их соответствия DLP-политикам.
Аудит и теневое копирование передаваемых сообщений, алерты.
26
27. DeviceLock Endpoint DLP Suite
Новая версия - DeviceLock 7.3!
Поддержка Microsoft Windows 8/8.1 и
Windows Server 2012
Агент для Mac-компьютеров
(ОС MacOS X 10.6.8 (Snow Leopard),
10.7 (Lion), 10.8 (Mountain Lion). )
27
Talking about IMs, indeed, Skype is the globally dominating platform. With more than a billion of registered users and 2 billion minutes of call traffic a day, it is already used by 35% of SMBs as their main communication media. And now, after Skype has become a Microsoft business, Microsoft is moving Skype to the enterprise market. Since tomorrow, there will be no Live Messenger and all its users will use Skype instead. Besides, Microsoft has already integrated Skype with Outlook 2013/365 and the integration with Lync is expected later this year.