Свежая презентация по комплекту шифрования Intel Security (McAfee). Рассмотрены сценарии интеграции выборочного шифрования файлов с модулем DLP Endpoint. Даны практические рекомендации по внедрению шифрования. Рассмотрены особенности каждого из модулей шифрования.
2. Пару слов о себе
Владислав Радецкий
radetskiy.wordpress.com
vr@bakotech.com
С 2011 года работаю в Группе компаний БАКОТЕК.
Занимаюсь технической поддержкой проектов ИБ.
Отвечаю за такие направления McAfee:
• Data Protection
• Email Security
• Endpoint Security
• Mobile Security
• ATD + TIE + MAR
• Security-as-a-Service
• Security Management
3. .
McAfee Confidential
3
Intel Security – решения ИБ
Управление
ИБ
Аналитика Защита
Web
Защита
сети
DLP
Шифрование
Защита
серверов
Контроль
приложений
Микросхемы
Intel®
on-premises | private cloud | public cloud | hybrid
Лидер в производстве микросхем
Компания основана в 1968
Цель: Обеспечить потребность
людей в быстрых и надежных
вычислительных устройствах.
Лидер на рынке ИБ решений
Компания основана в 1987
Приобретена Intel в 2010
Цель: Обеспечить защиту ИТ
активов заказчиков
Объединение разработок McAfee с продукцией Intel.
4. McAfee = ~ 70 решений, единая консоль управления
DLP
Encryption
Web Gateway
Endpoint
Protection
DB
Protection
MAR
IPS
MOVE
SIEM
TIE + ATD
5. ePO – основы: агент
McAfee ePO
McAfee
Agent Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в
зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.
Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
6. ePO – основы: агент
McAfee ePO
McAfee
Agent
DLP
Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в
зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.
Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
7. ePO – основы: агент
McAfee ePO
McAfee
Agent
DLP
Drive
Encryption
FRP
MNE
Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в
зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.
Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
8. Тезисы доклада
Зачем нам шифрование?
Инструменты шифрования Intel Security
[Практика] DLP + шифрование файлов
[Практика] Шифрование жестких дисков
Ответы на вопросы
9. Зачем нам шифрование?
“There are two kinds of cryptography in this world:
cryptography that will stop your kid sister from reading
your files, and cryptography that will stop major
governments from reading your files.”
~
(Криптография бывает двух типов: криптография,
которая помешает читать ваши файлы вашей
младшей сестре, и криптография, которая помешает
читать ваши файлы людям из правительства)
~
Криптография (шифрование) – средство защиты
приватности каждого человека, данных бизнеса.
Брюс Шнайер
Писатель, криптограф, ИБ эксперт
https://www.schneier.com/books/
10. Зачем нам шифрование?
Брюс Шнайер
Писатель, криптограф, ИБ эксперт
https://www.schneier.com/books/
1. Прикладная криптография, 2-е издание.
2. Секреты и ложь. Безопасность данных в цифровом мире
11. Зачем нам шифрование?
Нил Стивенсон
Писатель (киберпанк)
http://www.nealstephenson.com/books/
1. Криптономикон (криптография на практике)
2. Лавина (просто шикарный киберпанк)
12. Зачем нам шифрование?
Dan Boneh
Professor Stanford University
Cryptography (Coursera)
https://www.coursera.org/course/crypto
Практический бесплатный онлайн курс по шифрованию
13. Зачем нам шифрование?
Защита от несанкционированного доступа к данным (НСД) в случае
Кражи/утери устройства (в т.ч. и носителей)
* Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое.
E : M -> C
D : C -> M
14. Зачем нам шифрование?
Защита от несанкционированного доступа к данным (НСД) в случае
Кражи/утери устройства (в т.ч. и носителей)
Изъятия систем
* Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое.
E : M -> C
D : C -> M
15. Зачем нам шифрование?
Защита от несанкционированного доступа к данным (НСД) в случае
Кражи/утери устройства (в т.ч. и носителей)
Изъятия систем
Передачи техники в ремонт
* Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое.
E : M -> C
D : C -> M
16. Зачем нам шифрование?
Защита от несанкционированного доступа к данным (НСД) в случае
Кражи/утери устройства (в т.ч. и носителей)
Изъятия систем
Передачи техники в ремонт
Защиты от LiveCD/USB (DLP + инсайдер / обиженный сотрудник / ATP)
* Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое.
E : M -> C
D : C -> M
17. Тезисы доклада
Зачем нужно шифровать данные?
Инструменты шифрования Intel Security
[Практика] DLP + шифрование файлов
[Практика] Шифрование жестких дисков
Ответы на вопросы
24. Сценарий №1:
“Нужно шифровать данные на носителях”
Возможности выборочного шифрования:
• Разделение доступа к зашифрованной информации
• Защита от случайного/умышленного копирования
• Шифрование файлов при передаче в облачные хранилища
• Управление ключами = управление доступом к информации
• Интеграция с агентом DLP Endpoint
Модули
защиты
File & Removable
Media Protection
Management of Native
Encryption
Drive Encryption
DLP Endpoint & Device
Control
Windows
ATD + TIE
MAR
25. Возможности полнодискового шифрования
• Надежное шифрование Windows систем алгоритмом AES-256
• 6 вариантов восстановления доступа к данным
• Поддержка XP, Vista, 7, 8.x, 10; 2003 – 2012
• Аутентификация по паролю, токену, смарткарте, отпечаткам
• Поддержка SSO, AES-NI, GPT, UEFI …
Модули
защиты
File & Removable
Media Protection
Management of Native
Encryption
Drive Encryption
DLP Endpoint & Device
Control Windows
Сценарий №2:
“Опасаюсь НСД к ноутбукам/серверам”
ATD + TIE
MAR
26. Сценарий №3:
“Нужно контролировать данные на лету”
Возможности агента DLP Endpoint:
• Отслеживание и блокировка каналов:
• Почта, печать, Web;
• Skype, Viber, ICQ;
• Облачные хранилища;
• Внешние накопители;
• Снимки экрана;
• Буфер обмена
• Может интегрироваться с выборочным шифрованием
• Возможность обновить DeviceControl до DLP Endpoint
• Поддерживает рабочие станции и сервера терминалов
Модули
защиты
MAR
ATD + TIE
File & Removable
Media Protection
Management of Native
Encryption
Drive Encryption
DLP Endpoint & Device
Control
Windows
Macs
27. Короткая характеристика решения
File and Removable Media Protection (FRP)
• Симметричное шифрование локальных/сетевых файлов/каталогов (AES 256)
• Шифрование внешних USB накопителей, CD/DVD, вложений электронной почты
• Гибкое делегирование ключей (User based / System based)
28. Работа с CD/DVD и USB накопителями
File and Removable Media Protection
• Без шифрования/вручную/принудительно либо Read Only
• (USB) возможность привязки накопителя к конкретной системе
• (USB) возможность доступа на внешней системе (Windows & Mac)
• Доступ к зашифрованному без необходимости доп. ПО
31. Делегирование доступа к документам на основе ключей
File and Removable Media Protection
К1
К2
К3
К4
32. Делегирование доступа к документам на основе ключей
File and Removable Media Protection
К1
К2
К3
К4
33. Доступ к файлам с мобильных устройств
File and Removable Media Protection
McAfee Drive Encryption
McAfee FRP
Android – уже есть (!)
iOS – после НГ*
само приложение в маркете есть,
добавят поддержку FRP ключей
• allows users to securely access encrypted files
(FRP encrypted files) on their mobile device;
• simplifies the process of recovering a forgotten
credential for a PC encrypted with MDE.
34. Особенности использования или о чем следует помнить
File and Removable Media Protection
• Развертывается только на клиентские ОС Windows, тем не менее может шифровать
документы на сетевых хранилищах
• Может интегрироваться с McAfee Device Control / DLP Endpoint
• Позволяет осуществлять доступ к зашифрованным файлам с мобильных устройств
• Рекомендуется использовать для усиления с Drive Encryption
• При шифровании CD/DVD методом Onsite Access Only нужно использовать Windows
Burner, Nero либо Roxio
• Отдельные накопители можно исключить из действия политики (KB75531)
• Процессы и каталоги ОС и ПО не шифровать
35. Короткая характеристика решения
Drive Encryption
• Система FDE с поддержкой HDD, Opal, SED и SSD дисков
• Широкий перечень поддерживаемых редакций Windows XP – 8.1 (KB79422)
• Поддержка технологий: AES-NI, SSO, TPM, AMT, UEFI, GPT, Secure/Hybrid Boot…
• Возможность добавить в pre-boot как доменных, так и недоменных пользователей
• Поддержка различных токенов (KB79787) и кард-ридеров (KB79788)
• Возможность сброса забытого пароля 6 разными способами
• Симметричное шифрование секторов жесткого диска алгоритмом AES‐256-CBC
• Для генерации случайных чисел DRBG использует HMAC SHA256
• Для аутентификации используется асимметричное шифрование RSA 2048 bit
36. Методы сброса пароля/восстановления доступа к зашифрованной системе
Drive Encryption
Self-recovery - автономно
Admin recovery (challenge-response) - email, phone
EETech boot USB/CD - локально
DeepCommand on intel AMT systems - через Internet (IPsec)
Endpoint Assistant (Android & iOS devices) - автономно / 7.1
Self Service Portal (DPSSP) - через Internet / 7.2
Итого: 6 различных сценариев восстановления доступа
37. Короткая характеристика решения
Management of Native Encryption
• Контроль Apple FileVault и MS BitLocker средствами еРО
• Два режима работы (report only & control)
• При использовании MNE нет необходимости в MBAM сервере
• Self Service Portal (DPSSP)
• Поддержка DEGO для Mac
• Периодическая ротация ключей восстановления
• Поддержка устройств Windows To Go, Microsoft Surface Tablets
38. Три основных порта, необходимых для коммуникации Агент-Сервер
ePO – основы: агент
McAfee ePO
McAfee Agent
Encryption
Endpoint
443 TCP
80 TCP
8081 TCP
39. Перечень систем
ePO – основы: дерево систем
Формируется
• Вручную
• Синхронизация с MS AD
Возможна сортировка систем по
• Тегам (меткам)
• IP адресам/подсетям
40. Разделяем системы между группами
ePO – основы: метки (теги)
Могут назначаться
• По критериям
• Вручную (без критериев)
Используются для
• Сортировки систем
• Выборочного запуска задач
• Выбор. применения политик
41. Каждый модуль имеет свой набор политик
ePO – основы: политики
Политика My Default применяется сразу!
Принцип управления:
Создаем наборы политик и переключаем
- наследование
- по системам
- по группам
42. Делегируем наборы разрешений
ePO – основы: ролевая модель доступа
Операции могут быть распределены между:
• Администраторами (политики);
• Help-Desk`ом (сброс паролей);
• Инженерами (восстановление доступа);
• Аудиторами/руководством (отчетность)…
43. Тезисы доклада
Зачем нам шифрование?
Инструменты шифрования Intel Security
[Практика] DLP + шифрование файлов
[Практика] Шифрование жестких дисков
Ответы на вопросы
45. Использование шифрования в правилах DLP
1. Принудительное шифрование файлов при записи на носитель
2. Принудительное шифрование файлов при записи на сетевой каталог
46. Использование шифрования в правилах DLP
1. Принудительное шифрование файлов при записи на носитель
2. Принудительное шифрование файлов при записи на сетевой каталог
3. Принудительное шифрование файлов при передаче в облако
47. Использование шифрования в правилах DLP
1. Принудительное шифрование файлов при записи на носитель
2. Принудительное шифрование файлов при записи на сетевой каталог
3. Принудительное шифрование файлов при передаче в облако
4. Принудительное шифрование файлов при выполнении File System Discovery*
* FS Discovery – задача проверки рабочих систем на наличие конфиденциальных документов
48. Тезисы доклада
Зачем нам шифрование?
Инструменты шифрования Intel Security
[Практика] DLP + шифрование файлов
[Практика] Шифрование жестких дисков
Ответы на вопросы
49. Правильная последовательность внедрения
Drive Encryption
Выполнить резервное копирование важной информации с целевых систем
Настроить задачу синхронизации учетных записей из MS AD
Определить политики по отношению к дереву систем, назначить пользователей
Установить DEGO для проверки конфликтного ПО и SMART
Установить модули шифрования при неактивной политике (Encryption_OFF)
Активировать шифрование (Encryption_ON) с включенным Pre-Boot Smart Check
По завершению процесса перезагрузить систему и пройти pre-boot
* Подробнее см. заметку в блоге
50. Полезные советы от автора вебкаста
Реальные внедрения шифрования
• (MA) C:Program FilesMcAfeeAgentcmdAgent.exe -s
• (DE) Используйте Autobooting для регламентных работ (обновление ОС, ПО)
• (DE) Всегда добавляйте в pre-boot сервисную учетную запись
• (DE) Pre-Boot Smart Check требует ~10 перезагрузок перед началом шифрования
• (DE) Automatic Repair Windows 8 off [ bcdedit /set {current} recoveryenabled No ]
• (MNE) Помните про исключения из парольной политики и DEGO для Mac
• (FRP) Ключи лучше деактивировать а не удалять, избегайте Local Keys
• (FRP) Если ключи не приходят по RDP – выполните logon локально
• (FRP) Шифрует файлы на уровне I/O, не сокетов(!) помнить о blocking process
• (FRP) При шифровании накопителя возможно три сценария
51. Комплекты в которые входит шифрование
• McAfee Complete EndPoint Protection – Business (защита конечных точек)
• McAfee Complete Data Protection Advanced (DLP Endpoint + шифрование)
• McAfee Complete Data Protection (Ширфование)
• McAfee Complete Data Protection Essential (MNE + FRP)
52. Источники полезной информации
www.mcafee.com/expertcenter - каталог инструкций
https://kc.mcafee.com - база знаний
https://radetskiy.wordpress.com - мой блог
https://www.youtube.com/user/McAfeeTechnical - канал на YouTube
ftp://ftp.bakotech.com/Evaluation/Docs/ - документация на нашем FTP
ftp login: mcafee
ftp pass: mcafee