Symantec Information and Identity Protection Solutions
Transcripción
Symantec Information and Identity Protection Solutions
Data Loss Prevention Protegiendo la organización frente a fuga de datos Fernando Franceschi, CISSP Gerente de Investigación e Ingeniería - Urudata Agenda 1 Nuevos escenario y desafíos de Seguridad de TI 2 Principales causas de la Fuga de Datos 3 Identidad segura y Protección de la Información 4 Symantec Data Loss Prevention 1 Nuevos escenario y desafíos de Seguridad de TI Tendencias claves en Seguridad de TI Ataques sofisticados Infraestructura compleja y Heterogénea Explosión en los volúmenes de información Aumento en el costo de los incidentes CONFIDENCIAL Seguridad para un mundo completamente abierto EL PAPEL DE LA SEGURIDAD Riesgos y cumplimiento Habilitador de actividades empresariales Presupuesto limitado TI debe evolucionar para cumplir necesidades Centrado en Información Centrado en Sistemas • Aplicaciones transaccionales • Datos estructurados • Información centralizada • Seguridad basada en perímetro • Infraestrutcura local • Aplicaciones de colaboración y Social Media • Datos desestructurados • Información distribuida • Las personas son el nuevo perímetro • Infraestructura virtual y Cloud Computing Principales Proyectos de Seguridad TI Crecimiento del mercado: Proteccion y Control DLP: Protegiendo la organización frente a la fuga de datos Crecimiento del mercado: DLP DLP: Protegiendo la organización frente a la fuga de datos 2 Principales causas de la Fuga de Datos Posibles vectores de ataque Empleados “BienIntencionados” Empleados “Maliciosos” Ataques direccionados (externos) 11 Empleados “Bien-Intencionados” Hacker Fuentes posibles de fuga de datos: Desktop Firewall Server Empleado 1. Datos en Servidores y Desktops 2. Pérdida o Robo de Notebooks y Dispositivos Móviles (Teléfonos, Netbooks, Tablets, etc.) 3. Email, Web Mail, dispositivos removibles 4. Incidentes por pérdida de datos de terceros 5. Procesos de negocios Empleados “Bien-Intencionados” Fuentes posibles de fuga de datos: Desktop Firewall Server Empleado 1. Datos en Servidores y Desktops 2. Pérdida o Robo de Notebooks y Dispositivos Móviles (Teléfonos, Netbooks, Tablets, etc.) 3. Email, Web Mail, dispositivos removibles 4. Incidentes de pérdida de datos de terceros 5. Procesos de negocios Empleados “Bien-Intencionados” Firewall Fuentes posibles de fuga de datos: Email 1. Datos en Servidores y Desktops Web mail 2. Pérdida o Robo de Notebooks y Dispositivos Móviles (Teléfonos, Netbooks, Tablets, etc.) Dispositivo Móvil Empleado 3. Email, Web Mail, dispositivos removibles CD/DVD 4. Incidentes por pérdida de datos de terceros USB 5. Procesos de negocios Empleados “Bien-Intencionados” Fuentes posibles de fuga de datos: 3rd Party • Outsourcers/partners • Procesamiento de pagos (Salarios) Database • Procesamiento de pagos (Tarjetas de Crédito) Servers • Call centers, Support centers Desktop Sharepoint • Manejo de ordenes en cadena de suministros 1. Datos en Servidores y Desktops 2. Pérdida o Robo de Notebooks y Dispositivos Móviles (Teléfonos, Netbooks, Tablets, etc.) 3. Email, Web Mail, dispositivos removibles 4. Incidentes por pérdida de datos de terceros 5. Procesos de negocios Empleados “Bien-Intencionados” Tarea agendada que envía datos de forma automática Firewall Fuentes posibles de fuga de datos: 1. Datos en Servidores y Desktops 2. Pérdida o Robo de Notebooks y Dispositivos Móviles (Teléfonos, Netbooks, Tablets, etc.) 3. Email, Web Mail, dispositivos removibles 4. Incidentes por pérdida de datos de terceros 5. Procesos de negocios FTP Server Empleados “Malintencionados” Desktop del Hogar Firewall IM Empleado desconforme Webmail Tipos de Individuo: 1. Motivación económica (Fraude) Email 2. Empleado descontento 3. Cosntruyendo “Carrera” Dispositivo Móvil 4. Espía Industrial Empleado desconforme CD/DVD USB 17 Ataques direccionados (Externos) 1 2 3 4 INCURSIÓN DESCUBRIMIENTO CAPTURA EXFILTRACIÓN El atacante penetra a través de Malware, credenciales débiles o SQL Injection Mapeo de los sistemas de la organización Acceso s datos en sistemas desprotegidos Búsqueda de la información confidencial Instalación de herramientas para capturar datos de la red Datos confidenciales se envían al colaboradores externos en texto plano, encriptados o comprimidos con contraseñas. 18 3 Identidad segura y Protección de la Información Aspectos a tener en cuenta Quién es el usuario? Como se pueden mantener seguros los datos? Qué información debe poder poseer? Estrategia de protección de Información e Identidades Descubrir & Prevenir: DLP Proteger & Hacer cumplir: Encripción Identificar & Autenticar: Autenticación de usuarios • Descubrir los flujos/accesos de información sensible y prevenir transmisión/copia no autorizada • Encriptar la información sensible, tanto en reposo como en movimiento • Autenticar usuarios a las aplicaciones y almacenamientos de información sensible Proteger y Hacer cumplir: Encripción En reposo En movimiento Encripción En uso Identificar & Autenticar: Autenticación de usuarios Una combinación de dos o más factores de autenticación Algo que uno Conoce Algo que uno Tiene Algo que uno Es Usuario/Contraseña OTP Token (Hardware) Certificados digitales Smart Card Huellas Digitales Patrones de Iris Historia de transacciones Descubrir y Prevenir: DLP Donde se encuentran sus datos confidenciales? DISCOVER Como se utilizan? Cuál es la mejor forma de evitar pérdidas? MONITOR DATA LOSS PREVENTION (DLP) PROTECT Requisitos clave de la prevención contra la pérdida de datos DETECCIÓN • Localice datos donde sea que se encuentren almacenados. • Cree inventarios de datos confidenciales. • Administre la limpieza de datos. SUPERVISIÓN PROTECCIÓN • Comprenda cómo se usan los datos. • Obtenga visibilidad de las infracciones de políticas. • Comprenda el contenido y el contexto. • Proteja los datos de forma anticipada. • Obtenga visibilidad completa de la empresa. • Prevenga la pérdida de datos confidenciales. ADMINISTRACIÓN • Defina una política unificada en toda la empresa. • Repare los incidentes e informe sobre ellos. • Detecte el contenido con precisión. 4 Symantec Data Loss Prevention Symantec Data Loss Prevention: Productos Storage Symantec™ Data Loss Prevention Network Discover Symantec™ Data Loss Prevention Data Insight Symantec™ Data Loss Prevention Network Protect Endpoint Network Symantec™ Data Loss Prevention Endpoint Discover Symantec™ Data Loss Prevention Network Monitor Symantec™ Data Loss Prevention Endpoint Prevent Symantec™ Data Loss Prevention Network Prevent Management Platform Symantec™ Data Loss Prevention Enforce Platform Data Loss Prevention: Cobertura frente a amenzas USB/CD/DVD Email Webmail Impresión/ Fax Redes no confiables Datos almacenados Mensajería Instantánea DLP - Políticas Monitoreo & Prevención Descubrimiento & Protección FTP File Servers Web servers SharePoint / Notes / Exchange Databases 28 Symantec DLP: Arquitectura Storage Network Network Discover Data Insight Network Protect • NAS File servers Database Plataformas de colaboración Sitios Web Laptops/desktops • • • • • Endpoint Endpoint Prevent • • • • Descubre/relocaliza datos USB/CD/DVD Email, web, FTP, IM Impresión/Fax • • • Políticas/Mgmt Network shares Accesos a archivos y aplicaciones Copy/Paste LAN Corporativa • • • • • Enforce Platform • • • • Endpoint Discover Network Monitor Políticas Workflow Reporting Administración SMTP HTTP IM FTP Cualquier protocolo basado en TCP Network Prevent for Email • SMTP Network Prevent for Web • • HTTP and HTTPS FTP DMZ 29 Políticas: Reglas de Detección & Respuesta Network Storage Data Insight Network Discover Network Monitor Políticas/Mgmt Network Protect Enforce Platform Endpoint Endpoint Discover SPAN Port o Tap Network Prevent for Email Network Prevent for Web MTA Web Proxy Endpoint Prevent Desconectada LAN Corporativa DMZ 30 Políticas Políticas • Más de 60 templates o políticas creadas desde cero. • Residen en la plataforma Enforce Reglas de Detección • Dos formas de detección 1. Datos descritos (DCM) • • 2. Palabras clave, identificadores de datos, expresiones regulares, tipos de archivos, etc. Atributos del emisor y del receptor Datos del tipo “Huella Digital” • Datos estructurados (EDM) • Datos desestructurados (IDM) • Umbrales de cantidad de ocurrencias • Operadores lógicos And / Or / If, incluyendo excepciones Reglas de Respuesta • Notificaciones • Emails de alerta al emisor/manager /personal de de seguridad de TI, pop-ups en pantalla, alertas de SysLog, etc. • Bloqueo • SMTP, HTTP/S, FTP, IM, USB/CD/DVD, impresión/fax, Copy/paste, etc. • Modificación • Para encripción condicional • Relocalizar o copiar archivos • Network Protector Endpoint Discover • Generación de acciones personalizadas 31 Detección TrueMatch™ de Symantec DLP DCM EDM IDM Correlación de contenido descrito Correlación exacta de datos Correlación de documentos indexados Datos estructurados Datos de clientes Datos no estructurados Propiedad intelectual Datos descritos • Datos no indexables • Diccionarios • Identificadores de datos • Cliente/empleado/precios • Diseños/fuente/informes • Correlación parcial de filas financieros • Precisión casi perfecta • Correlaciones derivadas y • Más de 300 millones de filas por servidor de aprobación • Precisión casi perfecta • Más de 5 millones de documentos por servidor 25 Network DLP Storage Data Insight Network Network Discover Network Protect Network Monitor Políticas/Mgmt Enforce Platform Endpoint Endpoint Discover SPAN Port o Tap Network Prevent for Email Network Prevent for Web Endpoint Prevent MTA Desconectada LAN Corporativa Web Proxy DMZ 33 Funcionamiento: Network Monitor 3 1 La transmisión es inspeccionada en búsqueda de violaciones de políticas Network Monitor Usuarios envían datos a través de la red Internet SPAN port o tap Usuarios 2 LAN Corporativa SPAN port o tap envía transmisión al Network Monitor para su análisis.. DMZ Funcionamiento: Network Prevent (Email) 4 Se inspecciona y se modifica el encabezado en caso de violación de políticas 3 1 Usuario envía correo 2 Network Prevent for Email MTA rutea el correo a Prevent El correo se envía al MTA 5 Prevent devuelve el correo al MTA Internet Usuarios Servidor de correo 6 LAN Corporativa MTA Si el correo no se modifica, el MTA lo envía al destinatario original. Si el encabeza fue modificado, MTA tomará la acción correspondiente: cuarentena, nueva ruta (a encripción), eliminarlo. DMZ Funcionamiento: Network Prevent (Web) Los datos son inspeccionados en búsqueda de violación a políticas 4 3 1 Usuario envía trasmisión de datos Usuarios LAN Corporativa 2 Network Prevent for Web Proxy envía transmisión a Prevent 5 Datos enviados a Web Proxy Web Proxy DMZ 6 Si existe violación de políticas, Prevent puede indicarle al proxy que cierre o modifique la transmisión (y opcionalmente enviar una página nueva al usuario Si no existe violación de políticas, el proxy continua con la transmisión Internet Endpoint DLP Network Storage Data Insight Network Discover Network Protect Network Monitor Políticas/Mgmt Enforce Platform Endpoint Endpoint Discover SPAN Port o Tap Network Prevent for Email Network Prevent for Web MTA Web Proxy Endpoint Prevent Desconectada LAN Corporativa DMZ 37 Funcionamiento de Endpoint Prevent Endpoint Prevent 1 2 El agente inspecciona los archivos/datos en HDD internos, USB, CD/DVD, clientes de email/IM, navegador, FTP, controlador de impresión/fax , Windows clipboard, etc. en búsqueda de violaciones de políticas establecidas. En caso de violación de políticas, las reglas de respuesta se inician localmente (bloqueo, Pop-up, etc.). 3 El agente envía los datos del incidente al Enforcer Usuarios LAN Corporativa El diagrama asume solo detección DCM. En otros casos, las inspección se realiza en el servidor. El agente funciona cuando la estación esta desconectada y almacena los datos del incidente Desconectada Funcionamiento de Endpoint Discover Endpoint Discover 3 2 El agente envía los datos del incidente al Enforcer 1 El agente inspecciona archivos en los discos internos en búsqueda de violaciones a la política establecida Ubicación de cuarentena El agente puede El agente funciona ejecutar una cuando la estación respuesta, copiar esta desconectada y o relocalizar almacena los datos archivos que del incidente violen las políticas Usuarios LAN Corporativa El diagrama asume solo detección DCM. En otros casos, las inspección se realiza en el servidor. Desconectada Storage DLP Network Storage Data Insight Network Discover Network Protect Network Monitor Politicas/Mgmt Enforce Platform Endpoint Endpoint Discover SPAN Port o Tap Network Prevent for Email Network Prevent for Web Endpoint Prevent MTA Desconectada LAN Corporativa Web Proxy DMZ 40 Funcionamiento de Network Discover/Protect para File Shares “Típicos” (*) 3 Los archivos son inspeccionados verificando violaciones de políticas Network Discover Network Protect 1 Discover accede a al File System remoto 4 2 Discover lee los archivos File Systems Protect puede copiar o relocalizar los archivos que violan las políticas establecidas Ubicación de cuarentena LAN Corporativa * Para servidores de archivos que soporten el protocolo CIFS Funcionamiento de DLP y Data Insight 6 Network Data Discover Insight Network Protect 2 1 Data Insight envía de vuelta al Enforce el dueño del archivo y los datos del usuario Enforce Platform 5 Data Insight recupera información e históricos de uso Enforce realiza la búsqueda en Data Insight para el archivo generador del incidente 4 Incidents se envían a Enforce Usuarios acceden archivos en el NAS 3 Network Discover lee los archivos Network Discover NAS Filer LAN Corporativa 42 Symantec Confidential Gracias! Fernando Franceschi [email protected] Urudata: +598 24196457