Robert Kępczyński

Senior Consultant

DLP i monitorowanie ataków on-line

Jakimi kanałami wyciekają wrażliwe dane?

1. Styk z Internetem (poczta elektroniczna, Webmail, HTTP, etc.)

2. Zewnętrzne nośniki (pendrive, DVD, dyski przenośne, etc.)

3. Sieci bezprzewodowe (Wifi, bluetooth, IR)

4. Fotografowanie dokumentów i obrazów na monitorach

5. Wydruki

Co to jest DLP?

DLP (Data Leak Protection) to system bezpieczeństwa, który za pomocą środków technicznych przeciwdziała wyciekom wrażliwych informacji.

• Świadome wynoszenie wrażliwych danych na zewnątrz przez pracowników (np. zasilanie WikiLeaks)

• Kopiowanie wrażliwych danych na zewnątrz przez hakera, któremu udało się przełamać zabezpieczenia kontroli dostępu

• Pomyłkowe wysłanie wrażliwych danych (np. emailem)

Głównym celem DLP jest wspomożenie zasad ochrony informacji środkami technicznymi

Architektura systemu DLP

• Większość systemów DLP składa się ze zdalnych agentów i konsoli zarządzającej

• Konsola zarządzająca ustala polityki i reguły dla agentów oraz reaguje na przychodzące od nich alerty

• Agent – działając zgodnie z regułami i politykami - monitoruje, powiadamia i blokuje nieuprawnione operacje na danych wrażliwych

• Agent może pracować w trybie host-based lub network-based

DLP z agentami network-based(Fidelis XPS)

Analiza treści przesyłanych przez sieć stanowi poważne wyzwanie

Firewall i IDS/IPS analizują tylko zawartość pojedynczego pakietu i wyszukują konkretnych ciągów znaków (sygnatury)

DLP rozkodowuje formaty i protokoły warstwy prezentacyjnej aby analizować wszystkie dane w całej sesji

Dane opakowane

(zip, pdf, MS Word, Excel

javascript, etc.)

Przepływ danych w sesji

Czym różni się sieciowy DLP od firewalla i IDS/IPS?

“Kanał”

“Dane”

“Format”

PDF

DeflateTekst

JavaScript

ExcelTekst

Tekst

ZIP

PPT

MIME

HTTP

WebMail

Tekst

Proces rozpakowania i rozkodowywania pakietów w sieci

Fidelis XPS: DLP na poziomie sieci

Internet

Intranet

Fidelis XPS CommandPost

Fidelis XPS Direct, Edge, Proxy, Mail

Fidelis XPS Internal

Rodzina produktów Fidelis XPS

Fidelis XPS CommandPost jest centralnym systemem zarządzania Fidelis XPS Internal dekoduje oraz analizuje SMB i protokoły bazodanowe (Oracle, DB2) dla sesji klient-serwerFidelis XPS Proxy pracuje z ICAP web proxy oraz dekoduje i analizuje dane zaszyfrowane przez SSLFidelis XPS Mail śledzi zawartość poczty elektronicznej i załączników-------------------------------------

XPS Scout jest mobilną wersją XPS Direct wraz XPS CommandPost używaną do analizy ruchu w sieci w trybie transparentnym

Fidelis XPS Scout

Fidelis XPS Proxy

• ICAP umożliwia kontrolę treści w HTTP, HTTPS i FTP • Fidelis XPS Proxy obsługuje interfejsy 10/100/1000 Mbps i może przetwarzać

do 1 Gbps• W przypadku niewłaściwego postępowania Fidelis XPS Proxy blokuje stronę i

może przekierować na stronę edukacyjną

11

ICAP Web Proxy

(BlueCoat) Internet

Intranet

Firewall / IPS

ICAP

Fidelis XPS Proxy

Jak dział Fidelis XPS Malware Detection Engine?

12Copyright © 2012

Wirtualne wykonanie

Kryptoanaliza(Deszyfracja)

Statyczna analiza wg algorytmów

Analiza bazuj ąca na sygnaturach

Rozpoznanie typu i rozpakowanie

Plik

Polimorficzne i zindywidualizowane wirusy oraz zero-day

exploit’y

Publicznie znanymalware i jego

warianty

Spakowanymalware

DLP z agentami host-based(Verdasys Digital Guardian )

Rodzina produktów Verdasys Digital Guardian

Command Center: konsola zarządzająca wszystkimi agentami i kolektor zdarzeń od agentów

Endpoint/Server Agent: kontroluje operacje dostępu do danych z punktu widzenia uprawnień użytkowników. Może pracować w trybie tajnym

Virtual Agent: pełni tą samą rolę co normalny agent w środowisku wirtualnych stacji roboczych (Citrix, VMware, MS Hyper-V )

Mobile Agent (np. Digital Guardian iOS App): kontroluje mobilne urządzenie od strony urządzenia oraz zasobów z których ściągane są dane

Architektura Verdasys Digital Guardian

Verdasys Digital Guardian Data Discovery

• Automatyczne wyszukiwanie ciągu znaków w 300 różnych formatach plików

• Skanowanie repozytoriów danych bez zainstalowanego agenta

• Generuje raporty z klasyfikacją danych oraz sposobami ich użycia

Digital Guardian Investigative Module (Verdasys)

W przypadku krytycznych komputerów możemy śledzić wszystkie operacje, które mogą być użyte do wycieku danych:

• każdy zapis na zewnętrzny nośnik• wydruk• operacje Print-Screen, Cut/Paste• każdy naciśnięty klawisz • wiele innych

Digital Guardian Investigative Module rejestruje wszystkie ryzykowne operacje i zabezpiecza je w logu.

Metoda „odstraszania” zniechęca do nieautoryzowanych operacji na konsolach zarządzających krytycznych systemów i zapewnia pełny zestaw danych w przypadku dochodzenia

O skuteczności systemu DLP decydują pierwsze kroki projektu:

1. Stworzenie obrazu aktualnej sytuacji (faza „discovery”)- identyfikacja kanałów wycieku danych- oszacowanie skali wycieku danych oraz ich niewłaściwego użycia- identyfikacja aplikacji, które są podatne na łatwe wycieki

2. Planowanie i określenie wymogów (poprzez warsztat z dostawcą rozwiązania)- analiza wyników fazy „discovery”- określenie wymogów związanych z biznesem i prawem- zdefiniowanie architektury i umiejscowienia agentów- określenie możliwych przepływu danych, które zosatną poza kontrolą DLP

Co decyduje o udanym wdrożeniu DLP?

Mon

itoro

wan

ie r

uchu

w s

ieci

Mon

itoro

wan

ie k

ompu

teró

w

Blo

kow

anie

ruch

u w

sie

ci

Blo

kow

anie

oper

acji

w k

ompu

tera

ch

Skomplikowanie

Red

ukcj

a ry

zyka

Efektywność różnych agentów DLP

Dziękuję za uwagę