Symantec Information and Identity Protection Solutions

Transcripción

Data Loss Prevention
Protegiendo la organización frente a fuga de datos
Fernando Franceschi, CISSP
Gerente de Investigación e Ingeniería - Urudata
Agenda
1
Nuevos escenario y desafíos de Seguridad de TI
2
Principales causas de la Fuga de Datos
3
Identidad segura y Protección de la Información
4
Symantec Data Loss Prevention
1
Nuevos escenario y desafíos de Seguridad de TI
Tendencias claves en Seguridad de TI
Ataques
sofisticados
Infraestructura
compleja y
Heterogénea
Explosión en
los volúmenes
de información
Aumento en
el costo de
los incidentes
CONFIDENCIAL
Seguridad para un mundo completamente abierto
EL PAPEL
DE LA
SEGURIDAD
Riesgos y cumplimiento Habilitador de
actividades empresariales
Presupuesto limitado
TI debe evolucionar para cumplir necesidades
Centrado en Información
Centrado en Sistemas
• Aplicaciones transaccionales
• Datos estructurados
• Información centralizada
• Seguridad basada en
perímetro
• Infraestrutcura local
• Aplicaciones de colaboración y
Social Media
• Datos desestructurados
• Información distribuida
• Las personas son el nuevo
perímetro
• Infraestructura virtual y Cloud
Computing
Principales Proyectos de Seguridad TI
Crecimiento del mercado: Proteccion y Control
DLP: Protegiendo la organización frente a la fuga de datos
Crecimiento del mercado: DLP
DLP: Protegiendo la organización frente a la fuga de datos
2
Principales causas de la Fuga de Datos
Posibles vectores de ataque
Empleados “BienIntencionados”
Empleados
“Maliciosos”
Ataques
direccionados
(externos)
11
Empleados “Bien-Intencionados”
Hacker
Fuentes posibles de fuga de datos:
Desktop
Firewall
Server
Empleado
1. Datos en Servidores y Desktops
2. Pérdida o Robo de Notebooks y Dispositivos
Móviles (Teléfonos, Netbooks, Tablets, etc.)
3. Email, Web Mail, dispositivos removibles
4. Incidentes por pérdida de datos de terceros
5. Procesos de negocios
Desktop
Firewall
Server
Empleado
4. Incidentes de pérdida de datos de terceros
Firewall
Email
Web mail
Dispositivo Móvil
Empleado
CD/DVD
USB
3rd Party
• Outsourcers/partners
• Procesamiento de pagos
(Salarios)
Database
• Procesamiento de pagos
(Tarjetas de Crédito)
Servers
• Call centers, Support
centers
Desktop
Sharepoint
• Manejo de ordenes en
cadena de suministros
Tarea agendada que
envía datos de
forma automática
Firewall
FTP Server
Empleados “Malintencionados”
Desktop
del Hogar
Firewall
IM
Empleado
desconforme
Webmail
Tipos de Individuo:
1. Motivación económica (Fraude)
Email
2. Empleado descontento
3. Cosntruyendo “Carrera”
Dispositivo
Móvil
4. Espía Industrial
Empleado
desconforme
CD/DVD
USB
17
Ataques direccionados (Externos)
1
2
3
4
INCURSIÓN
DESCUBRIMIENTO
CAPTURA
EXFILTRACIÓN
El atacante penetra a
través de Malware,
credenciales débiles o
SQL Injection
Mapeo de los sistemas
de la organización
Acceso s datos en
sistemas desprotegidos
Búsqueda de la
información confidencial
Instalación de
herramientas para
capturar datos de la red
Datos confidenciales se
envían al colaboradores
externos en texto plano,
encriptados o
comprimidos con
contraseñas.
18
3
Identidad segura y Protección de la Información
Aspectos a tener en cuenta
Quién es el
usuario?
Como se
pueden
mantener
seguros los
datos?
Qué
información
debe poder
poseer?
Estrategia de protección de Información e Identidades
Descubrir & Prevenir:
DLP
Proteger & Hacer cumplir:
Encripción
Identificar & Autenticar:
Autenticación de usuarios
• Descubrir los flujos/accesos de
información sensible y prevenir
transmisión/copia no autorizada
• Encriptar la información sensible,
tanto en reposo como en
movimiento
• Autenticar usuarios a las
aplicaciones y almacenamientos de
información sensible
Proteger y Hacer cumplir: Encripción
En reposo
En movimiento
Encripción
En uso
Identificar & Autenticar: Autenticación de usuarios
Una combinación de dos o más factores de autenticación
Algo que uno Conoce
Algo que uno Tiene
Algo que uno Es
Usuario/Contraseña
OTP Token (Hardware)
Certificados digitales
Smart Card
Huellas Digitales
Patrones de Iris
Historia de transacciones
Descubrir y Prevenir: DLP
Donde se encuentran sus
datos confidenciales?
DISCOVER
Como se
utilizan?
Cuál es la mejor forma
de evitar pérdidas?
MONITOR
DATA LOSS PREVENTION (DLP)
PROTECT
Requisitos clave de la prevención contra la pérdida de
datos
DETECCIÓN
• Localice datos donde sea
que se encuentren
almacenados.
• Cree inventarios de datos
confidenciales.
• Administre la limpieza de
datos.
SUPERVISIÓN
PROTECCIÓN
• Comprenda cómo se usan
los datos.
• Obtenga visibilidad de las
infracciones de políticas.
• Comprenda el contenido
y el contexto.
• Proteja los datos de
forma anticipada.
• Obtenga visibilidad
completa de la empresa.
• Prevenga la pérdida de
datos confidenciales.
ADMINISTRACIÓN
• Defina una política
unificada en toda la
empresa.
• Repare los incidentes e
informe sobre ellos.
• Detecte el contenido con
precisión.
4
Symantec Data Loss Prevention
Symantec Data Loss Prevention: Productos
Storage
Symantec™
Network Discover
Symantec™
Data Insight
Symantec™
Network Protect
Endpoint
Network
Symantec™
Endpoint Discover
Symantec™
Network Monitor
Symantec™
Endpoint Prevent
Symantec™
Network Prevent
Management Platform
Symantec™ Data Loss Prevention Enforce Platform
Data Loss Prevention: Cobertura frente a amenzas
USB/CD/DVD
Email
Webmail
Impresión/
Fax
Redes no
confiables
Datos
almacenados
Mensajería
Instantánea
DLP - Políticas
Monitoreo & Prevención
Descubrimiento & Protección
FTP
File Servers
Web servers
SharePoint
/ Notes /
Exchange
Databases
28
Symantec DLP: Arquitectura
Storage
Network
Network
Discover
Data
Insight
Network
Protect
•
NAS
File servers
Database
Plataformas de
colaboración
Sitios Web
Laptops/desktops
•
•
•
•
•
Endpoint
Endpoint
Prevent
•
•
•
•
Descubre/relocaliza
datos
USB/CD/DVD
Email, web, FTP, IM
Impresión/Fax
•
•
•
Políticas/Mgmt
Network shares
Accesos a archivos
y aplicaciones
Copy/Paste
LAN Corporativa
•
•
•
•
•
Enforce
Platform
•
•
•
•
Endpoint
Discover
Network
Monitor
Políticas
Workflow
Reporting
Administración
SMTP
HTTP
IM
FTP
Cualquier protocolo
basado en TCP
Network
Prevent
for Email
•
SMTP
Network
Prevent
for Web
•
•
HTTP and
HTTPS
FTP
DMZ
29
Políticas: Reglas de Detección & Respuesta
Network
Storage
Data
Insight
Network
Discover
Network
Monitor
Políticas/Mgmt
Network
Protect
Enforce
Platform
Endpoint
Endpoint
Discover
SPAN Port o Tap
Network
Prevent
for Email
Network
Prevent
for Web
MTA
Web Proxy
Endpoint
Prevent
Desconectada
LAN Corporativa
DMZ
30
Políticas
Políticas
• Más de 60 templates o
políticas creadas desde
cero.
• Residen en la
plataforma Enforce
Reglas de Detección
•
Dos formas de detección
1.
Datos descritos (DCM)
•
•
2.
Palabras clave, identificadores de datos,
expresiones regulares, tipos de archivos,
etc.
Atributos del emisor y del receptor
Datos del tipo “Huella Digital”
•
Datos estructurados (EDM)
•
Datos desestructurados (IDM)
•
Umbrales de cantidad de ocurrencias
•
Operadores lógicos And / Or / If, incluyendo
excepciones
Reglas de Respuesta
• Notificaciones
•
Emails de alerta al emisor/manager
/personal de de seguridad de TI, pop-ups en
pantalla, alertas de SysLog, etc.
• Bloqueo
•
SMTP, HTTP/S, FTP, IM, USB/CD/DVD,
impresión/fax, Copy/paste, etc.
• Modificación
•
Para encripción condicional
• Relocalizar o copiar archivos
• Network Protector Endpoint Discover
• Generación de acciones personalizadas
31
Detección TrueMatch™ de Symantec DLP
DCM
EDM
IDM
Correlación de contenido
descrito
Correlación exacta de datos
Correlación de documentos
indexados
Datos estructurados
Datos de clientes
Datos no estructurados
Propiedad intelectual
Datos descritos
• Datos no indexables
• Diccionarios
• Identificadores de
datos
• Cliente/empleado/precios
• Diseños/fuente/informes
• Correlación parcial de filas
financieros
• Precisión casi perfecta
• Correlaciones derivadas y
• Más de 300 millones de
filas por servidor
de aprobación
• Precisión casi perfecta
• Más de 5 millones de
documentos por servidor
25
Network DLP
Storage
Data
Insight
Network
Network
Discover
Network
Protect
Network
Monitor
Políticas/Mgmt
Enforce
Platform
Endpoint
Endpoint
Discover
SPAN Port o Tap
Network
Prevent
for Email
Network
Prevent
for Web
Endpoint
Prevent
MTA
Desconectada
LAN Corporativa
Web Proxy
DMZ
33
Funcionamiento: Network Monitor
3
1
La transmisión es
inspeccionada en
búsqueda de
violaciones de
políticas
Network
Monitor
Usuarios envían
datos a través de
la red
Internet
SPAN port o tap
Usuarios
2
LAN Corporativa
SPAN port o tap envía transmisión al
Network Monitor para su análisis..
DMZ
Funcionamiento: Network Prevent (Email)
4
Se inspecciona y
se modifica el
encabezado en
caso de violación
de políticas
3
1
Usuario envía
correo
2
Network
Prevent for
Email
MTA rutea
el correo a
Prevent
El correo se
envía al MTA
5
Prevent
devuelve el
correo al MTA
Internet
Usuarios
Servidor de correo
6
LAN Corporativa
MTA
Si el correo no se modifica, el MTA lo
envía al destinatario original. Si el
encabeza fue modificado, MTA tomará
la acción correspondiente: cuarentena,
nueva ruta (a encripción), eliminarlo.
DMZ
Funcionamiento: Network Prevent (Web)
Los datos son
inspeccionados
en búsqueda de
violación a
políticas
4
3
1
Usuario envía
trasmisión de
datos
Usuarios
LAN Corporativa
2
Network
Prevent
for Web
Proxy envía
transmisión a
Prevent
5
Datos
enviados a
Web Proxy
Web Proxy
DMZ
6
Si existe violación de
políticas, Prevent
puede indicarle al
proxy que cierre o
modifique la
transmisión (y
opcionalmente enviar
una página nueva al
usuario
Si no existe violación
de políticas, el proxy
continua con la
transmisión
Internet
Endpoint DLP
Network
Storage
Data
Insight
Network
Discover
Network
Protect
Network
Monitor
Políticas/Mgmt
Enforce
Platform
Endpoint
Endpoint
Discover
SPAN Port o Tap
Network
Prevent
for Email
Network
Prevent
for Web
MTA
Web Proxy
Endpoint
Prevent
Desconectada
LAN Corporativa
DMZ
37
Funcionamiento de Endpoint Prevent
Endpoint
Prevent
1
2
El agente inspecciona los
archivos/datos en HDD
internos, USB, CD/DVD,
clientes de email/IM,
navegador, FTP, controlador
de impresión/fax , Windows
clipboard, etc. en búsqueda
de violaciones de políticas
establecidas.
En caso de violación de políticas,
las reglas de respuesta se inician
localmente (bloqueo, Pop-up,
etc.).
3
El agente envía los
datos del incidente al
Enforcer
Usuarios
LAN Corporativa
El diagrama asume solo detección DCM. En otros casos, las inspección se realiza en el servidor.
El agente funciona
cuando la estación
esta desconectada y
almacena los datos del
incidente
Desconectada
Funcionamiento de Endpoint Discover
Endpoint
Discover
3
2
El agente envía los
datos del incidente al
Enforcer
1
El agente inspecciona
archivos en los discos
internos en búsqueda de
violaciones a la política
establecida
Ubicación de cuarentena
El agente puede
El agente funciona
ejecutar una
cuando la estación
respuesta, copiar
esta desconectada y
o relocalizar
almacena los datos
archivos que
del incidente
violen las políticas
Usuarios
LAN Corporativa
El diagrama asume solo detección DCM. En otros casos, las inspección se realiza en el servidor.
Desconectada
Storage DLP
Network
Storage
Data
Insight
Network
Discover
Network
Protect
Network
Monitor
Politicas/Mgmt
Enforce
Platform
Endpoint
Endpoint
Discover
SPAN Port o Tap
Network
Prevent
for Email
Network
Prevent
for Web
Endpoint
Prevent
MTA
Desconectada
LAN Corporativa
Web Proxy
DMZ
40
Funcionamiento de Network Discover/Protect para File
Shares “Típicos” (*)
3
Los archivos son
inspeccionados verificando
violaciones de políticas
Network
Discover
Network
Protect
1
Discover accede a
al File System
remoto
4
2
Discover lee los
archivos
File Systems
Protect puede
copiar o
relocalizar los
archivos que
violan las políticas
establecidas
Ubicación de cuarentena
LAN Corporativa
* Para servidores de archivos que soporten el protocolo CIFS
Funcionamiento de DLP y Data Insight
6
Network
Data
Discover
Insight
Network
Protect
2
1
Data Insight envía de
vuelta al Enforce el
dueño del archivo y los
datos del usuario
Enforce
Platform
5
Data Insight
recupera
información e
históricos de uso
Enforce realiza la
búsqueda en Data
Insight para el archivo
generador del
incidente
4
Incidents se
envían a Enforce
Usuarios acceden
archivos en el NAS
3
Network Discover
lee los archivos
Network
Discover
NAS Filer
LAN Corporativa
42
Symantec Confidential
Gracias!
Fernando Franceschi
[email protected]
Urudata: +598 24196457

Symantec Information and Identity Protection Solutions

Transcripción

Documentos relacionados

Diapositiva 1 - Cum Laude 21

Sistemas Distribuidos