Transcript DLP. Adatszivárgás. Mire elegendők az eszközök?

Adatszivárgás
DLP (Data Leak Prevention)
Mire elegendők az eszközök?
Antidotum – 2012
A jó hozzáállás az informatikai biztonsághoz
olyan, mint a
jó játékvezető
Jó döntések, a szabályok betartatása, nem lassítja a játékot
de alapvetően láthatatlan…
MIÉRT van szükség az adatszivárgás
elleni védekezésre?
- Jogszabályok (pl: 2009. évi CLV. Törvény
a minősített adat védelméről)
- Ellenőrzések (külső/belső)
- EU-s pályázatok, előírások
- Projektek
- …
Aktuális helyzet
• Minden szervezetben van „valami”, de:
–
–
–
–
Különböző pontokon, különböző szinteken
Különböző hatékonysággal
Különböző erőfeszítések
Nem konzisztens, nem egységes
Következmény: adatszivárgás, üzleti kockázat
Mik a jellemzők?
• Sokrétű, szerteágazó
–
–
–
–
–
•
•
•
•
Cyberterrorizmus
Cyberkémkedés
Trójai programok
Spyware
Phishing
Nem tudunk az adatszivárgásról
Későn értesülünk az adatszivárgásról
BELSŐ!!! Belülről irányul kifelé!
Nem lehet EGY pontot/folyamatot kijelölni, majd azt
védeni…
Összetett…
• A cél: a teljes informatikai biztonság
• Mindenhol vannak meglévő rendszerek
• Minden cég más!
Mindenki gyanús?
Forráselemzés
Forrás: Poneman intézet, 2010
Belsős probléma
• Nyilvános helyen, érzékeny vállalati adatokról beszélni
• Kijelentkezés (logoff) elmulasztása, gép védetlenül
hagyása
• Nem engedélyezett weboldalak látogatása
• Vállalati eszközök (laptopok, mobiltelefonok,
hordozható merevlemez) elvesztése vagy ellopása
• Vállalatban is használt személyes eszközök elvesztése
• e-mail
• IM (azonnali üzenetküldés)
• Titkosítás hiánya
• Távoli hozzáférés-vezérlés ellenőrzésének hiánya
Költségek
Countries Minimum total cost (US$) Maximum total cost (US$)
US
749,645
30,851,628
UK
556,933
5,982,083
FR
341,736
8,564,933
DE
542,093
8,476,477
AU
380,296
3,755,417
Forrás: Poneman intézet, 2010
Üzleti előnyök
• Kritikus adatok és szellemi tulajdon védelme
• Megfelelőség növelése (törvényi, szabályozási,
belső vállalati, stb.)
• Belső figyelemfelkeltés
• Üzleti folyamatok javítása
• Tárterület és sávszélesség optimalizálása
• Rosszindulatú szoftverek kiszűrése
• Pénzügyi előnyök
Adatok
• … tárolva
1. Érzékeny információk feltérképezése és katalogizálása
2. Merevlemez titkosítás, DR eljárások
• … mozgásban
1. Az érzékeny adatok mozgásának monitorozása a
hálózaton
2. e-mail, HTTP(S), FTP, IM: DLP szoftverek, tartalom
alapú szűrés
• … használatban
1. Az érzékeny adatok monitorozása a felhasználóknál
2. Eszközvédelem, portok védelme, sérülékenység elleni
védelem
Alapkoncepció
Vállalatokon belül saját-, illetve a
beérkező adatok védelme:
– Kockázatalapú hozzáállás
– Üzleti folyamatok alapján
– Meglévő rendszerek és megoldások
figyelembevételével
– Folyamatos üzemeltetés
– Ne kerüljön többe,mint amekkora kárt az
információ kompromittálódása okoz…
Alapelv
Kockázat = Valószínűség (%) x Hatás
Alap-ellenőrzések
Cél
Meg kell teremteni az adat minősítési
szintjének megfelelő
–
–
–
–
személyi
fizikai
adminisztratív (*)
elektronikus (*)
biztonsági feltételeket
Nem IT területek
Nem kevésbé fontos, csak nem a mi területünk:
• Személyes adatok védelme, emberi méltóság az
interneten
• Monitorozás, profilképzés
• Egyéb adatvédelmi kérdések (blogok, levéltitkok,
stb.)
• Vállalatokon belül
–
–
–
–
HR
Logisztika
Szervezés
Tájékoztatás, képzés
DLP bevezetés (újragondolás)
SW/HW telepítés,
monitorozás, oktatás
Üzleti folyamatok,
Szabályrendszer kialakítása
Alapelvek meghatározása, Elemzés, Adatvagyon
felmérése
Informatikai sorrend
•
•
•
•
•
•
•
Cégen belüli nem-IT felelősök bevonása!
Elemzés
Jogosultsági kérdések (pl. adatgazdák)
Szabályozások pontosítása
Irányítási kérdések
Tájékoztatás, felhívások, tréning
Technológia (hardver, szoftver)
Elemzés
• Üzleti folyamatok elemzése
• Adatvagyon felmérés
– Adattérkép
– Védendő adatok meghatározása, osztályozása
•
•
•
•
•
Kockázatelemzés
Meglévő biztonsági rendszerek elemzése
Meglévő szabályozási környezet elemzése
Kritikus folyamatok azonosítása
Kritikus adatok azonosítása
Miért kell elemezni?
Céges adatok
Riasztások elemzésére fordított idő
Incidensenként:
2-3 perc (??)
Óránként:
20-30 incidens
Naponta: 100-200 incidens/elemző
Kritikus, védendő adatok
Adminisztratív teendők
• Belső szabályozás
• Felelős részleg (nyilvántartás, kezelés,
elemzés, minősítés, reagálás: NEM IT!)
• CSO - biztonsági vezető
• CISO – informatikai biztonsági vezető
Holisztikus szemlélet
Megfelelő készségek
• Feladatok
–
–
–
–
1. és 2. szintű elemzés
Incidenskezelés
Operatív vezetés
…
• Tréning
–
–
–
–
–
–
IT biztonsági ismeretek
Log file elemzés
Log adminisztrálás
Biztonsági elemzés
ISACA, SANS, stb. képzések
…
Szabályozási feladatok
• Egy külön DLP-jellegű szabályzat
• DLP fejezet valamelyik meglévő
szabályzatban
• Meglévő szabályzatok felülvizsgálata e
szempont (kockázat) szerint
Példa
Műszaki korlátok
•
•
•
•
•
•
•
Titkosítás
Grafikus állományok
Harmadik fél szolgáltatásai
Mobil eszközök
Virtualizáció
Többnyelvűség
Technológiai
– Megoldás-bezártság
– Limitált kliens OS támogatás
– Alkalmazás-korlát
Belső, stratégiai kérdés
Egy területre (pl. IT biztonság) hány beszállítót?
- Mindent egy kézbe/szállítótol?
- Mindent mástól?
Mekkora az integráltság optimális mértéke?
Ne tévesszük szem elöl a célt!
Az üzleti folyamatok
támogatása!
Kérdés?
[email protected]