Post on 21-Jul-2020
Robert Kępczyński
Senior Consultant
DLP i monitorowanie ataków on-line
Jakimi kanałami wyciekają wrażliwe dane?
1. Styk z Internetem (poczta elektroniczna, Webmail, HTTP, etc.)
2. Zewnętrzne nośniki (pendrive, DVD, dyski przenośne, etc.)
3. Sieci bezprzewodowe (Wifi, bluetooth, IR)
4. Fotografowanie dokumentów i obrazów na monitorach
5. Wydruki
Co to jest DLP?
DLP (Data Leak Protection) to system bezpieczeństwa, który za pomocą środków technicznych przeciwdziała wyciekom wrażliwych informacji.
• Świadome wynoszenie wrażliwych danych na zewnątrz przez pracowników (np. zasilanie WikiLeaks)
• Kopiowanie wrażliwych danych na zewnątrz przez hakera, któremu udało się przełamać zabezpieczenia kontroli dostępu
• Pomyłkowe wysłanie wrażliwych danych (np. emailem)
Głównym celem DLP jest wspomożenie zasad ochrony informacji środkami technicznymi
Architektura systemu DLP
• Większość systemów DLP składa się ze zdalnych agentów i konsoli zarządzającej
• Konsola zarządzająca ustala polityki i reguły dla agentów oraz reaguje na przychodzące od nich alerty
• Agent – działając zgodnie z regułami i politykami - monitoruje, powiadamia i blokuje nieuprawnione operacje na danych wrażliwych
• Agent może pracować w trybie host-based lub network-based
DLP z agentami network-based(Fidelis XPS)
Analiza treści przesyłanych przez sieć stanowi poważne wyzwanie
Firewall i IDS/IPS analizują tylko zawartość pojedynczego pakietu i wyszukują konkretnych ciągów znaków (sygnatury)
DLP rozkodowuje formaty i protokoły warstwy prezentacyjnej aby analizować wszystkie dane w całej sesji
Dane opakowane
(zip, pdf, MS Word, Excel
javascript, etc.)
Przepływ danych w sesji
Czym różni się sieciowy DLP od firewalla i IDS/IPS?
“Kanał”
“Dane”
“Format”
DeflateTekst
JavaScript
ExcelTekst
Tekst
ZIP
PPT
MIME
HTTP
WebMail
Tekst
Proces rozpakowania i rozkodowywania pakietów w sieci
Fidelis XPS: DLP na poziomie sieci
Internet
Intranet
Fidelis XPS CommandPost
Fidelis XPS Direct, Edge, Proxy, Mail
Fidelis XPS Internal
Rodzina produktów Fidelis XPS
Fidelis XPS CommandPost jest centralnym systemem zarządzania Fidelis XPS Internal dekoduje oraz analizuje SMB i protokoły bazodanowe (Oracle, DB2) dla sesji klient-serwerFidelis XPS Proxy pracuje z ICAP web proxy oraz dekoduje i analizuje dane zaszyfrowane przez SSLFidelis XPS Mail śledzi zawartość poczty elektronicznej i załączników-------------------------------------
XPS Scout jest mobilną wersją XPS Direct wraz XPS CommandPost używaną do analizy ruchu w sieci w trybie transparentnym
Fidelis XPS Scout
Fidelis XPS Proxy
• ICAP umożliwia kontrolę treści w HTTP, HTTPS i FTP • Fidelis XPS Proxy obsługuje interfejsy 10/100/1000 Mbps i może przetwarzać
do 1 Gbps• W przypadku niewłaściwego postępowania Fidelis XPS Proxy blokuje stronę i
może przekierować na stronę edukacyjną
11
ICAP Web Proxy
(BlueCoat) Internet
Intranet
Firewall / IPS
ICAP
Fidelis XPS Proxy
Jak dział Fidelis XPS Malware Detection Engine?
12Copyright © 2012
Wirtualne wykonanie
Kryptoanaliza(Deszyfracja)
Statyczna analiza wg algorytmów
Analiza bazuj ąca na sygnaturach
Rozpoznanie typu i rozpakowanie
Plik
Polimorficzne i zindywidualizowane wirusy oraz zero-day
exploit’y
Publicznie znanymalware i jego
warianty
Spakowanymalware
DLP z agentami host-based(Verdasys Digital Guardian )
Rodzina produktów Verdasys Digital Guardian
Command Center: konsola zarządzająca wszystkimi agentami i kolektor zdarzeń od agentów
Endpoint/Server Agent: kontroluje operacje dostępu do danych z punktu widzenia uprawnień użytkowników. Może pracować w trybie tajnym
Virtual Agent: pełni tą samą rolę co normalny agent w środowisku wirtualnych stacji roboczych (Citrix, VMware, MS Hyper-V )
Mobile Agent (np. Digital Guardian iOS App): kontroluje mobilne urządzenie od strony urządzenia oraz zasobów z których ściągane są dane
Architektura Verdasys Digital Guardian
Verdasys Digital Guardian Data Discovery
• Automatyczne wyszukiwanie ciągu znaków w 300 różnych formatach plików
• Skanowanie repozytoriów danych bez zainstalowanego agenta
• Generuje raporty z klasyfikacją danych oraz sposobami ich użycia
Digital Guardian Investigative Module (Verdasys)
W przypadku krytycznych komputerów możemy śledzić wszystkie operacje, które mogą być użyte do wycieku danych:
• każdy zapis na zewnętrzny nośnik• wydruk• operacje Print-Screen, Cut/Paste• każdy naciśnięty klawisz • wiele innych
Digital Guardian Investigative Module rejestruje wszystkie ryzykowne operacje i zabezpiecza je w logu.
Metoda „odstraszania” zniechęca do nieautoryzowanych operacji na konsolach zarządzających krytycznych systemów i zapewnia pełny zestaw danych w przypadku dochodzenia
O skuteczności systemu DLP decydują pierwsze kroki projektu:
1. Stworzenie obrazu aktualnej sytuacji (faza „discovery”)- identyfikacja kanałów wycieku danych- oszacowanie skali wycieku danych oraz ich niewłaściwego użycia- identyfikacja aplikacji, które są podatne na łatwe wycieki
2. Planowanie i określenie wymogów (poprzez warsztat z dostawcą rozwiązania)- analiza wyników fazy „discovery”- określenie wymogów związanych z biznesem i prawem- zdefiniowanie architektury i umiejscowienia agentów- określenie możliwych przepływu danych, które zosatną poza kontrolą DLP
Co decyduje o udanym wdrożeniu DLP?
Mon
itoro
wan
ie r
uchu
w s
ieci
Mon
itoro
wan
ie k
ompu
teró
w
Blo
kow
anie
ruch
u w
sie
ci
Blo
kow
anie
oper
acji
w k
ompu
tera
ch
Skomplikowanie
Red
ukcj
a ry
zyka
Efektywność różnych agentów DLP
Dziękuję za uwagę