Data Loss Prevention

Data Loss Prevention
Karl-Heinz Holtschmit
Temario
• Antecedentes
• Monitoreo
- Introducción
- Ejemplo de Fuga de Información
- Nueva Ley - LFPDPPP
- Retos en prevención de Fuga de Datos
- ¿En qué nos ayudará?
- Modulos
- Datos en Reposo
- Datos en Movimiento
- Datos en Uso
• Introducción
- ¿Qué es DLP?
- Las Bases
- Múltiples facetas de fuga
- Requisitos
• Identificación
- Fuentes de Información
- Fingerprints
- Otros Métodos
• Proteger
- Metodología con resultados
comprobados
- Evidencia
• Conclusión
Empresa
Scanda
Antecedentes
Introducción
¿Cuál es y dónde está la
información clasificada?
¿Quién y cómo la utilizan?
¿Cómo protegerla?
• 1 / 400 correos contiene información confidencial
• 1 / 50 archivos de red están erróneamente expuestos
•El instituto Vontu and Ponemon en el 2007, estadística donde 1 / 2
empresas pierden información en USB’s.
• El 66% de las victimas no sabían que esos datos estaban en sus
equipos.
El caso más famoso de fuga de
información del momento
Antecedentes
Nueva Ley : LFPDPPP
Antecedentes
Tiene como finalidad:
• Regular el tratamiento
confidenciales.
legitimo
de
datos
• Controlar e Informar sobre el uso responsable de
la información.
• Garantizar la privacidad del contenido de los
mismos.
Los responsables deben:
• Observar los principios de licitud, consentimiento,
información,
calidad,
finalidad,
lealtad,
proporcionalidad y responsabilidad.
(Ley Federal de Protección de Datos Personales en Posesión de Particulares)
Retos en Prevención de Fuga de datos
Asegurar negocio in interrumpido con el manejo de cumplimiento de
normas al menor riesgo y previniendo perdida de información
asegurando los procesos de negocio.
•
Manejo y medición de riesgos y reglas
–
–
•
Visibilidad de datos en movimiento y
almacenados en reposo
–
–
•
Retrasos en generar reportes de auditoria y
requerimientos de normas.
Dificultad en recuperar malos o rotos procesos de
negocio.
Tipos de datos desconocidos
Riesgos desconocidos en cada canal de
comunicación.
Asegurar los procesos de Negocio
–
–
No poder asegurar quien envía que.
Posible daño a la reputación e imagen de la
compañía
¿En qué nos ayudara?
Financiero
Lavado de dinero
Fraudes
Auditorías informáticas
Cumplimiento CNBV, PCI, etc.
Hackeo y ataques
Malwares Indetectables
Fuga de información
Mejorar procesos
Antecedentes
Manufactura
Espionaje Industrial
Venta/Fuga de Información
Fraudes
Investigaciones de RH
Auditorías
Compliance
Búsqueda de evidencias
Introducción
¿Qué es DLP?
Es un termino de seguridad referente a un sistema que
identifica, monitorea y protege datos en uso, datos en
movimiento y datos en reposo por medio de mecanismos de
inspección, análisis contextual de transacciones (origen,
destino, medio, etc), siendo administrado desde una consola
central donde tiene la capacidad de detectar y prevenir uso
no autorizado así como transmisión de información
confidencial.
Donde está su riesgo
Introducción
Las bases
•
Diseño unificado de políticas
–
–
–
•
Única ofrecida con diseño de políticas unificado
Manejo de todas las facetas de una efectiva política de prevención de fuga.
Poderosa capacidad de monitoreo para rastrear cualquier cambio en la
información.
Bajo costo y poca complejidad
–
Solución modular adaptada para los requerimientos específicos del cliente.
IDENTIFICA
MONITOREA
NSI
Email
Block
SOX
Http
Encrypt
New Design
IM
Quarantine
PII
Print
Notify
HPIAA
Removable Media
Confirm
PCI DSS
Custom Channel
Application
PHI PFI
PROTEGE
Remediate
Database
Server
Administración y reporteo centralizado
Multiples facetas de fuga…
Quien
Recursos Humanos
Servicios
Mercadotecnia
Donde
Que
Código fuente
Planes de Negocio
Información de Clientes
Como
Acción
Proveedor
File Transfer
Respaldo personal Web
Web
Bloquear
Socio de Negocios
Instant Messaging
Notificar
Auditar
Finance
Planes de mercado
Blog
Peer-to-Peer
Remover
Contabilidad
Nomina
Clientes
Email
Encriptar
Ventas
Información Financiera
Spyware Site
Impresora
Legal
Información Proveedor
Soporte Técnico
Documento Técnico
Competidor
Print Screen
Ingeniería
Info. Competitiva
Analista
Copy/Paste
USB
Medio removible
Cuarentena
Confirmar
Requisitos: Buen nivel de Madurez
Para tomar en cuenta:
•
•
•
•
•
Clasificación de Información
Buenas políticas de seguridad, educación y tecnología
Diferente a otros productos de seguridad
Creación de un Consejo (CERT).
El proyecto de DLP económicamente se justifica solo tan solo con ponerlo en
modo monitor en la red en menos de 1 mes.
•
Efectivo contra malas prácticas de negocio
•
Active Directory
Fuentes de Información
Identificación
Fingerprint – Paso 1
Identificación
Fingerprint – Paso 2
Identificación
Eliminar caractéres extras, enters, controles de
caractéres, etc.
Fingerprint – Paso 3
Identificación
Eliminación de palabras como artículos, etc
Fingerprint – Paso 4
Palabras realmente importantes
Identificación
Fingerprint – Paso 5
Identificación
• Hashes de 5 palabras, de 5 en 5
Hash Hash
#1 Hash
#2Hash
#3 Hash
#4 #5
Hash #1 Hash #9 Hash #17 Hash #25 Hash #33 . . .
Fingerprint Stored in PreciseID DB
Identificación
Fingerprint – Paso 6
Análisis
Fingerprint:
01011100
11010011
00001011
00 100100
1000111
01110101
01101011
0110011
0111101
Extract
Database
Record or
Document
Algorithmic
Conversion
One-way
Mathematical
Representation
0xB6751
0xB61C1
0x37CB2
0x5BD41
0x190C1
0x93005
0x590A9
0xA0001
Fingerprint
Storage &
Indexing
Detect:
010111001
101001100
00101100
100100
Extract
Outbound Content
(E-mail, Web, Fax,
Print, etc.)
Algorithmic
Conversion
One-way
Mathematical
Representation
0x5BD41
0x190C1
0x93005
Fingerprint
Creation
0x59A06
0x66A1A
0x1678A
0x461BD
0x6678A
0x4D181
0xB678A
0x9678A
0xB6751
0xB61C1
0x37CB2
0x5BD41
0x190C1
0x93005
0x590A9
0xA0001
Real-Time
Fingerprint
Comparison
Identificación
Protección
Protección a los ataques
más comunes de
manipulacion de datos
Format
Manipulation
Data
Flooding
Copy
& Paste
Hidden
Data
Embedded
Files
Structure
Manipulation
Otros métodos…
Identificación
• Definición de palabras claves, ejemplo: confidencial, nips,
tarjeta de crédito, curps, amex, cc, etc, etc
• Expresiones regulares (cc:16 dígitos, estructura del CURP, IFE,
etc)
• Templates de normas PCI DSS, GLBA, HIPAA, SOX y muchas mas
por sectores.
Módulos
Monitorear
•
Data Discover—Detecta y clasifica los datos distribuidos
en toda la organización.
•
Data Monitor—Monitorea quién está utilizando
cuales datos y cómo lo hace.
•
Data Protect—Protege los datos con controles
basados en políticas que se asignan a los procesos
organizacionales.
•
Data Endpoint—Extiende la seguridad de datos al punto
final con administración integrada y elaboración de
informes.
Monitorear
Datos en Reposo
Discover
Analyze
Remediate
Rescan sources to measure and manage risk
Remediation
File shares, Servers, Laptops
•Windows file shares
•Unix file shares
•NAS / SAN storage
•Windows 2000, 2003,
2005
•Windows XP, Vista, 7
Tipos de Archivos
•Microsoft Office Files
•PDFs
•PSTs
•Zip files
• Delete
• Move
• Quarantine
• Notifications
• Encrypt
• Alert / Report
Monitorear
Datos en Movimiento
Monitor
Email
•SMTP email
•Exchange, Lotus, etc.
•Webmail
•Text and attachments
Analyze
Enforce
Instant Messages
Web Traffic
•Yahoo IM
•MSN Messenger
•AOL Messenger
•Gtalk
Remediation
•FTP
•HTTP
•HTTPS
•TCP/IP
•Audit
•Block
•Encrypt
•Log
Datos en Uso (Endpoint)
Monitor
Print & Burn
• Local printers
• Network printers
• Burn to CDs/DVDs
Analyze
USB
• External hard drives
• Memory sticks
• Removable media
Monitorear
Enforce
Copy and Save As
• Copy to Network shares
• Copy to external drives
• Save As to external drives
Actions & Controls
• Allow
• Justify
• Block
• Log
Metodología con resultados
comprobados
Proteger
Violaciones
14000
12000
10000
8000
6000
4000
2000
0
Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
Monitoreo
Remediación extrema, rm –rf /
Notificaciones
Políticas activas
Evidencia
Proteger
Conclusión
• DLP nos ayuda a cubrir todos los puntos de la ley.
• DLP nos ayudara a educar a los usuarios y evitar fugas.
• DLP es una herramienta que involucra a todas las áreas y tomara
su tiempo de implementación.
• DLP ayudara a las empresas a que pueden aumentar la seguridad
dentro de su organización y cumplir con los requerimientos
regulatorios para todas las áreas y regiones en las que la
compañía hace negocio..
Experiencia
Diferenciadores
Certificación CISA, CISM, CISSP.
Alineación a mejores prácticas Cobit, BS7799, ITIL.
Experiencia
Algunos Clientes
¿Preguntas?
Gracias
Contacto Comercial
Ing. de Preventa
Nélida Sanchez
Ing. Karl-Heinz Holtschmit
[email protected] [email protected]
+52 81 81299100