Gabriel Mira – Product Specialist Symantec Symantec Data Loss Prevention Agenda Conceito DLP Symantec Data Loss Prevention Overview Infraestrutura Mercado Risk Assessment Symantec Data Loss Prevention.
Download ReportTranscript Gabriel Mira – Product Specialist Symantec Symantec Data Loss Prevention Agenda Conceito DLP Symantec Data Loss Prevention Overview Infraestrutura Mercado Risk Assessment Symantec Data Loss Prevention.
Gabriel Mira – Product Specialist Symantec Symantec Data Loss Prevention 1 Agenda 1 Conceito DLP 2 Symantec Data Loss Prevention 3 Overview Infraestrutura 4 Mercado 5 Risk Assessment Symantec Data Loss Prevention 2 O que é DLP? • Data Loss Prevention • Prevenir perda/vazamento de dados confidenciais – Dados de clientes – Dados corporativos – Propriedade intelectual • Principal objetivo é educação dos usuários • Ocorrem violações de políticas diariamente – Muitos usuários não lêem as políticas – Usuários ingênuos armazenam ou usam dados de forma insegura – Tarefas de negócio que expõem dados precisam ser revisadas • Ladrões eventualmente terão sucesso – Mas muitas evidências serão geradas Symantec Data Loss Prevention 3 Visão de perda em vazamentos - Deloitte Global Security Survey - PrivacyRights.org O faturamento do Cyber-Crime ultrapassou o do narcotráfico em 2009. Funcionários Pessoas saem, também saem informações: 59% de ex-empregados levaram dados, incluíndo: • lista de clientes • dados de funcionários • informações financeiras 68% usou ou planeja usar o dado roubado num futuro emprego Métodos mais comuns usados para levar dados: Cópia para CD/DVD 53% Cópia para Drives USB 42% Envio para Email Pessoal 38% Symantec Data Loss Prevention Fonte: “Data Loss Risks During Downsizing: As Employees Exit, So Does Corporate Data,” Ponemon Institute, Fev 2009 5 CASOS REAIS Informações confidenciais Onde estão localizadas? Como estão sendo usadas? Como evitar sua perda? Reduzir mais de 90% do risco em 1 ano Symantec Data Loss Prevention 7 8 8 Como Funciona? MONITORA DESCOBERTA 2 3 • Scan para encontrar dados sensitivos na rede ou nas estações. • Identificar as informações PROTEGE 4 • Analisar as informações enviadas • Monitrando rede e estações • Bloquear, remover ou Criptografar • Copiar ou quarentenar arquivos • Notificar usuário. MANAGE 1 • Ativar e Gerenciar Políticas Symantec Data Loss Prevention GERENCIA 5 • Remediar e Gerar Relatórios 9 Identificação da informação DCM EDM IDM Described Content Exact Data Matching Indexed Document Matching Descrito Estruturado Documentos • Máscaras, fórmulas, … • Indexa bases de dados • Indexa arquivos • Palavras, termos, … • Dados de clientes, … • Projetos, Código Fonte, • Data identifiers • Alta precisão Designs, Contratos, … Vários exemplos prontos (inclusive PCI) Symantec Data Loss Prevention Mais de 300 milhões de registros por servidor Mais de 5 milhões de arquivos por servidor 10 Conteúdo, Contexto e Escala Conteúdo Escala Contexto Estruturado Pessoas Volume • PHI • Departamentos • Bilhões de registros • PII • Parceiros • Milhões de documentos • Prestadores de serviços • Inventário Locais Não estruturado • Documentos de projeto • Código-fonte • País + • Departamento • Filial • Arquivos de mídia • Resultados financeiros Descrito Rede • CPFs • Dicionários • Palavras-chave • Latência <100ms • Taxa de transferência: Gb+ Idiomas • Europeu • Cartões de crédito + • Asiático Armazenamento • TBs verificados por dia • Milhares de endpoints Contêiner • Tipo de documento • Protocolo de rede • Criptografado Symantec Data Loss Prevention 11 24 Symantec DLP Architecture Network Storage Data Insight Network Discover Policies/Mgmt Network Monitor Network Protect Enforce Platform SPAN Port or Tap Endpoint Network Prevent for Email Endpoint Discover Network Prevent for Web Endpoint Prevent MTA Disconnected Secured Corporate LAN Symantec DLP 11 – Technical Presentation Web Proxy DMZ 12 Symantec DLP Architecture Network Storage Network Discover Data Insight Policies/Mgmt Network Monitor Network Protect • NAS devices • • File servers Databases • • • Collaboration platforms Web sites Laptops/desktops Endpoint Endpoint Discover Endpoint Prevent • • • • Discover/relocate data • USB/CD/DVD • Email, web, FTP, IM • Print/fax Enforce Platform • • • • Policies Workflow Reporting Administration SMTP HTTP • • • IM FTP Any TCP-based Network Prevent for Email • Network shares App file access • • SMTP Network Prevent for Web • • HTTP and HTTPS FTP Copy/paste Secured Corporate LAN Symantec DLP 11 – Technical Presentation DMZ 13 Sample System Requirements For Large/Very Large Enterprise Enforce Network Interface Disk Space To communicate with detection servers: 1 Copper or Fiber 1Gb/100Mb Ethernet Recommended: 1 TB, RAID 0+1 configuration with four main drives, one redundant Network Monitor, Network Prevent Discover, Protect, & Endpoint To communicate with Enforce Platform*: 1 Copper or Fiber 1Gb/100Mb Ethernet To communicate with Enforce Platform: 1 Copper or Fiber 1Gb/100Mb Ethernet Recommended: 140 GB Ultra-fast SCSI Recommended: 140 GB Ultra-fast SCSI Endpoint Agent To communicate with Endpoint Server: 10/100Mb See requirements of the OS. New agent install typically takes up ~70 MB. Operating System • Windows 2003 Enterprise Edition (32-bit) • Windows Server 2008 Enterprise Edition R2 (64-bit) • Red Hat Enterprise Linux 5 Update 2 or higher (32-bit and 64-bit) • Windows XP Pro SP2 or SP3 (32bit) • Windows Vista Enterprise or Business SP 1 or SP2 (32-bit) • Windows 7 Enterprise, Pro, or Ultimate (32 and 64-bit) • Windows Server 2003 SP2 or R2 (32-bit) Processor Recommended: 2 x 3.0 GHz Dual Core CPU (Consider increasing CPU for faster Discover scan processing.) See requirements of the OS Memory Recommended: 8-16 GB RAM. (fingerprint size can increase memory requirements) See requirements of the OS. Agent RAM usage typically is ~40 MB. *For Network Monitor packet capture on Windows, use a NIC for traffic up to 350 Mbps, or an Endace card for > 350 Mbps. Symantec DLP 11 – Technical Presentation 14 14 Efficient Incident Workflow Fan-out Response Structure Fan-in Response Structure Escalation Team Extended Team Escalation Team Core IRT Human Resources Legal Business Unit A Suspected Theft HR Policy Violation Broken Business Process First Responders Core IRT Incident Response Procedures Data Flow Direction Critical Incidents First Responder Team Extended Team Business Unit A Business Unit B Incident Response Procedures Business Unit C • Right information, to the right person, in the right order Symantec DLP 11 – Technical Presentation 15 Fases de redução de risco 1000 Refine Policies Incidents per Week 800 Refine Policies 600 400 Refine Policies 200 0 0 Baseline 1 to 3 Remediation 3 to 6 Months Symantec DLP 11 – Technical Presentation Notification 7 to 9 Prevention & Protection 10 to 12 16 17 17 Symantec Named as a Leader in 2013 Gartner Magic Quadrant for Content-Aware Data Loss Prevention Source: Gartner, Inc., Magic Quadrant for ContentAware Data Loss Prevention,, Eric Ouellet, Rob McMillan The Magic Quadrant is copyrighted 2011 by Gartner, Inc. and is reused with permission. The Magic Quadrant is a graphical representation of a marketplace at and for a specific time period. It depicts Gartner's analysis of how certain vendors measure against criteria for that marketplace, as defined by Gartner. Gartner does not endorse any vendor, product or service depicted in the Magic Quadrant, and does not advise technology users to select only those vendors placed in the "Leaders" quadrant. The Magic Quadrant is intended solely as a research tool, and is not meant to be a specific guide to action. Gartner disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. This Magic Quadrant graphic was published by Gartner, Inc. as part of a larger research note and should be evaluated in the context of the entire report. The Gartner report is available upon request from Symantec. Symantec Worldwide Industry Analyst Relations 18 Symantec DLP is the Choice of Federal Market Leaders Symantec Data Loss Prevention 19 19 20 DLP Risk Assessment • Quatro etapas • Seus recursos – Levantamento – Acesso a decisores – Definição de políticas – Acesso a rede no período – Monitoração e Discovery – Sua participação nas fases – Apresentação executiva – 2 semanas* • Entregáveis • Recursos Symantec – Sumário do Risk Assessment – Especialistas – Comparação com mercado – Hardware e software – Scorecard de conformidade – Análise de riscos – Solução proposta para DLP – Atividade sem custo Symantec Data Loss Prevention 21 Exposição medida ao vivo durante o RA e com severidade 22 Tarefas e duração Agenda sugerida e recursos Habilitar Avaliar/Rever Conclusão Dias 1 e 2 2 semanas Últimos 2 dias • Reunião de abertura do projeto • 1-2 hours • Refinamento de políticas • 1-2 hours • Revisão de políticas • 1-4 hours • Análise de incidentes • 1-2 hours • 3-4 hours • Analisar impacto nas áreas-fim • Instalação da infra • Transferência de conhecimento básico • 1-3 hours • 1-2 hours • Análise final dos resultados • 1-3 hours • Finalização dos relatórios • 1 hour • Métricas de TCO • Destruição dos dados coletados • Análise de risco • Remoção da infra • 1-2 hours • Próximos passos Recursos do seu ambiente • Handoff • Não-integral •Não-integral • Não-integral • Patrocinador do projeto •Gerente do projeto e analista de segurança • Patrocinador do projeto • Gerente do projeto e analista de segurança • Analista do datacenter • Gerente do projeto e analista de segurança • Analista do datacenter * Todas as tarefas e durações em azul são aquelas compartilhadas pela Symantec e o cliente Symantec Data Loss Prevention 23 Cenários sugeridos para teste durante o Risk Assessment • Além de detectar incidentes reais, é possível testar: • Formas de detecção – Data Identifiers (ex: cartões, cpf, …) – Dados estruturados (ex: dados de clientes) – Não estruturados (código fonte, documentos) • Dados em arquivos de vários formatos • Envio por vários protocolos • Exemplos de remediação para simular processo de escalação e workflow • Criar filtros e sumários de incidentes e gerar relatórios • Diferentes níveis de acesso Symantec Data Loss Prevention 24 INGRAM MICRO Primeiro contato com a Ingram? Entre em contato e agente uma visita! Roberto Pontes [email protected] (11) 9771-0844 SP Renata Lima [email protected] (11) 7170-7867 SP - Interior Emerson Klettner [email protected] (51) 9592-0709 Região Sul Rangel Soares [email protected] (31) 9708-8876 CO, MG e ES Elieser elias [email protected] (21) 9663-2803 RJ André cavalcanti [email protected] (81) 8232-4150 N e NE Raquel Maia [email protected] (31) 9784-5767 MG NETBACKUP, NETBACKUP APPLIANCE E MBS 25 OBRIGADO! Entre em contato com nossa equipe! [email protected] Gabriel Mira Product Specialist Symantec [email protected] 11 - 9 - 9773 6160 11 – 2078-4359 NETBACKUP, NETBACKUP APPLIANCE E MBS Saiba mais... www.ingramsym.com.br 26 Cont. Adicional Symantec Data Loss Prevention - Gerdau 27 Data Loss Prevention Threat Coverage Email USB/CD/DVD Webmail Print/Fax Untrusted networks Stored data DLP Policy Monitoring & Prevention Discovery & Protection File Servers FTP Web servers SharePoint / Lotus Notes / Exchange Symantec DLP 11 – Technical Presentation Instant Message Databases 28 PCI DSS Mapping RISK ANALYSIS IT PROJECT BUILD AND MAINTAIN A SECURE NETWORK SOLUTION SYMANTEC PRODUCTS ENDPOINT PROTECTION SNAC / SEP / SCSP ENTITLEMENTS CCS DATA LOSS PREVENTION VONTU DLP, Brightmail ACCESS CONTROLS CCS DATA IDENTIFICATION/CLASSIFICATION VONTU PROTECT CARDHOLDER DATA IT OPERATIONS & SECURITY COMPLIANCE RISK ANALYSIS CONFIGURATION MANAGEMENT ALTIRIS / CCS VULNERABILITY MANAGEMENT CCS MAINTAIN A VULNERABILITY MANAGEMENT PROGRAM ENDPOINT PROTECTION SNAC / SEP / SCSP CCS - Entitlement IMPLEMENT STRONG ACCESS CONTROL MEASURES CONFIGURATION MANAGEMENT CCS ALTIRIS / CCS VULNERABILITY SCANNING CCS / PCI ASV Service LOGGING AND INCIDENT RESPONSE SSIM / Log Mgmt Service REGULARLY TEST AND MONITOR NETWORKS DISSEMINATING POLICIES MAINTAIN AN INFORMATION SECURITY POLICY CCS POLICY MANAGER ENSURING COMPLIANCE WITH POLICIES Symantec Data Loss Prevention 29 29 Fix Broken Business Processes 500k Personal Records on Open Share Find it. Fix it. Remove from open share and leave a file marker. 3030 Protect Competitive Advantage Unencrypted product design documents sent to a partner 31 31 Protect Competitive Advantage Unencrypted product design documents sent to a partner Educate users with automated email. Protect intellectual property. 32 32 Fix Exposed Data on a Desktop Call center records improperly stored on an Endpoint 33 33 Clean Up Exposed Data on a Desktop Call center records improperly stored on an Endpoint Notify user via automated email. Empower users to self remediate. 34 34 Protect Competitive Advantage Pricing copied to USB 35 Protect Competitive Advantage Pricing copied to USB Stop it from being copied to USB. Notify User. Launch investigation. 3636 Prevent Breach of Customer Data Sensitive data sent via personal webmail Block the email. On or off the corporate network. 37 Cobertura completa: Discover • Ache os dados armazenados – – – – – File servers Máquinas distribuídas pela rede Repositórios de documentos e e-mail Aplicações e Conteúdo web Bases de dados • Crie um inventário dos dados sensíveis – Scans agendados – Scans incrementais – Scan “Out of compliance” • Efetue a limpeza dos dados vulneráveis – – – – Número de correspondências num incidente Detalhes do arquivo (data, owner) Lista detalhada de permissões Consulta de dados do owner 38 38 Cobertura completa: Monitor • Entenda como está sendo usado – – – – Cobertura de vários protocolols Cobertura de eventos no Endpoint Deteção por conteúdo e contexto Notificações automatizadas • Monitore na rede – Não requer hardwares especiais – Reconhecimento de protocolos – Monitoramento Gigabit sem perda de pacotes – Priorização de incidentes • Monitore no endpoint – – – – Online e offline Dispositivos não autorizados Notificação na tela via pop-up Coleta de resposta do usuário Symantec Data Loss Prevention 39 Cobertura completa: Protect • Proteger o dado armazenado – Mover os dados para local critografado – Automaticamente quarentenar, copiar ou remover – A maior abrangência de alvos para scan • Prevenir a perda de dados confidenciais – Bloqueio em tempo-real na rede e no endpoint – Quarentenar ou rotear mensagens para criptografia – Remover conteúdo sendo postado via web – Integração com os melhores proxies via ICAP – Integração com qualquer servidor SMTP • Reforçar as políticas sobre dados confidenciais – Notificações em tempo-real via email – Notificações via pop-up no endpoint, com opção de resposta do usuário – Integração com sites Web 2.0 – Nota informativa colocada no lugar do dado que foi removido Symantec Data Loss Prevention 40 Cobertura completa: Manage • Política universal de DLP – Só é preciso definir uma vez – Mais de 60 políticas de exemplo – Regras customizáveis para detecção/resposta • Detecção TrueMatch precisa – Conteúdo e contexto, nível corporativo – Conteúdo via DCM, EDM e IDM • Remediação e Workflow automatizados – Ações e respostas automatizadas – Visão de 5 segundos, para o incidente – Resposta em um click • Relatórios completos – Mais de 40 relatórios de exemplo – Avaliação do risco por departamento • Gerenciamento escalável e seguro – Arquitetura distribuída e com alta-disponibilidade – Desenvolvido com segurança avançada Symantec Data Loss Prevention 41 Security & End-to-End Encryption Data Insight Network Discover Network Monitor Network Protect Enforce Platform Network Prevent for Email Endpoint Discover Endpoint Prevent Network Prevent for Web Secure keystore in the Oracle DB Secured Corporate LAN = Encryption Key Symantec DLP 11 – Technical Presentation DMZ = Certificate = Encrypted Channel 42 Network DLP DLP Network Storage Data Insight Network Discover Policies/Mgmt Network Monitor Network Protect Enforce Platform SPAN Port or Tap Endpoint Network Prevent for Email Endpoint Discover Network Prevent for Web Endpoint Prevent MTA Disconnected Secured Corporate LAN Symantec DLP 11 – Technical Presentation Web Proxy DMZ 43 How Network Monitor Works 3 1 Transmission inspected for policy violations Network Monitor End user sends network transmission Internet SPAN port or tap End Users 2 Corporate LAN Symantec DLP 11 – Technical Presentation SPAN port or tap sends copy of transmission to Network Monitor for analysis. Original traffic continues to destination. DMZ 44 How Network Prevent for Email Works 4 Email inspected and modified if in violation of a policy 3 1 End user sends email 2 Email forwarded to MTA Network Prevent for Email MTA routes email to Prevent 5 Prevent sends email back to MTA Internet End Users MTA Email Server 6 Corporate LAN If email is unmodified, MTA will send it downstream. If header is modified, MTA will take appropriate action: quarantine, reroute, alter, drop. DMZ The above diagram is for the reflection mode Symantec DLP 11 – Technical Presentation 45 How Network Prevent for Web Works 4 3 1 End user sends data transmission 2 Data inspected for policy violations Network Prevent for Web Proxy sends transmission to Prevent 5 Data sent to web proxy If data is in violation, Prevent can tell proxy to terminate or modify transmission and optionally send new page to end user Internet End Users Corporate LAN Symantec DLP 11 – Technical Presentation Web Proxy 6 If data transmission does not violate a policy, the proxy sends it downstream. DMZ 46 Endpoint DLP Network Storage Data Insight Network Discover Policies/Mgmt Network Monitor Network Protect Enforce Platform SPAN Port or Tap Endpoint Network Prevent for Email Endpoint Discover Network Prevent for Web Endpoint Prevent MTA Disconnected Secured Corporate LAN Symantec DLP 11 – Technical Presentation Web Proxy DMZ 47 How Endpoint Prevent Works Endpoint Prevent 1 2 Agent inspects files/data to internal drives, USB, CD/DVD, email/IM client, browser, FTP, print/fax driver, Windows clipboard, etc. for policy violations If a violation, blocking , FlexResponse, and/or pop-up response rules are initiated locally 3 Agent sends incident data to Enforce End Users Agent functions when disconnected and stores incident data Disconnected Corporate LAN The above diagram assumes DCM-only detection. Otherwise, inspection occurs at the server. Symantec DLP 11 – Technical Presentation 48 How Endpoint Discover Works Endpoint Discover Quarantine Location Agent can execute a FlexResponse, 2 or copy or relocate files that violate policies 3 Agent sends incident data to Enforce 1 Agent functions when disconnected and stores incident data Agent inspects files on internal drives for policy violations End Users Disconnected Corporate LAN The above diagram assumes DCM-only detection. Otherwise, inspection occurs at the server. Symantec DLP 11 – Technical Presentation 49 Storage DLP Network Storage Data Insight Network Discover Policies/Mgmt Network Monitor Network Protect Enforce Platform SPAN Port or Tap Endpoint Network Prevent for Email Endpoint Discover Network Prevent for Web Endpoint Prevent MTA Disconnected Secured Corporate LAN Symantec DLP 11 – Technical Presentation Web Proxy DMZ 50 How Network Discover/Protect Works for “Typical” File Shares * 3 Files inspected for policy violations Network Discover Network Protect 4 1 Discover mounts to remote file system 2 Discover reads the files Target File Systems Protect can copy or relocate files that violate policies Quarantine Location Corporate LAN * For file servers that support CIFS protocol Symantec DLP 11 – Technical Presentation 51 How DLP + Data Insight Works 6 Network Data Discover Insight Network Protect 2 1 Data Insight sends back to Enforce the file owner/user data Enforce Platform 5 Data Insight retrieves file information and usage history Enforce does Data Insight lookup for the incident-generating file 4 Incidents are sent to Enforce Users access files on NAS 3 Network Discover reads the files Network Discover NAS Filer Corporate LAN 52 Symantec DLP 11 – Technical Presentation Symantec Confidential 52 52 Workflow/RBAC and Reporting Network Storage Data Insight Network Discover Policies/Mgmt Network Monitor Network Protect Enforce Platform SPAN Port or Tap Endpoint Network Prevent for Email Endpoint Discover Network Prevent for Web Endpoint Prevent MTA Disconnected Secured Corporate LAN Symantec DLP 11 – Technical Presentation Web Proxy DMZ 53