Gabriel Mira – Product Specialist Symantec Symantec Data Loss Prevention Agenda Conceito DLP Symantec Data Loss Prevention Overview Infraestrutura Mercado Risk Assessment Symantec Data Loss Prevention.
Download
Report
Transcript Gabriel Mira – Product Specialist Symantec Symantec Data Loss Prevention Agenda Conceito DLP Symantec Data Loss Prevention Overview Infraestrutura Mercado Risk Assessment Symantec Data Loss Prevention.
Gabriel Mira – Product Specialist Symantec
Symantec Data Loss Prevention
1
Agenda
1
Conceito DLP
2
Symantec Data Loss Prevention
3
Overview Infraestrutura
4
Mercado
5
Risk Assessment
Symantec Data Loss Prevention
2
O que é DLP?
• Data Loss Prevention
• Prevenir perda/vazamento de dados confidenciais
– Dados de clientes
– Dados corporativos
– Propriedade intelectual
• Principal objetivo é educação dos usuários
• Ocorrem violações de políticas diariamente
– Muitos usuários não lêem as políticas
– Usuários ingênuos armazenam ou usam dados de forma insegura
– Tarefas de negócio que expõem dados precisam ser revisadas
• Ladrões eventualmente terão sucesso
– Mas muitas evidências serão geradas
Symantec Data Loss Prevention
3
Visão de perda em vazamentos
- Deloitte Global Security Survey
- PrivacyRights.org
O faturamento do Cyber-Crime ultrapassou o do
narcotráfico em 2009.
Funcionários
Pessoas saem, também saem informações:
59% de ex-empregados levaram dados, incluíndo:
• lista de clientes
• dados de funcionários
• informações financeiras
68% usou ou planeja usar o dado roubado num futuro emprego
Métodos mais comuns usados para levar dados:
Cópia para
CD/DVD
53%
Cópia para
Drives USB
42%
Envio para
Email Pessoal
38%
Symantec Data Loss Prevention
Fonte: “Data Loss Risks During Downsizing: As Employees Exit, So Does Corporate Data,” Ponemon Institute, Fev 2009
5
CASOS REAIS
Informações confidenciais
Onde estão
localizadas?
Como estão
sendo usadas?
Como evitar
sua perda?
Reduzir mais de 90% do risco em 1 ano
Symantec Data Loss Prevention
7
8
8
Como Funciona?
MONITORA
DESCOBERTA
2
3
• Scan para encontrar dados
sensitivos na rede ou nas
estações.
• Identificar as informações
PROTEGE
4
• Analisar as informações
enviadas
• Monitrando rede e
estações
• Bloquear, remover ou
Criptografar
• Copiar ou quarentenar arquivos
• Notificar usuário.
MANAGE
1
• Ativar e Gerenciar
Políticas
Symantec Data Loss Prevention
GERENCIA 5
• Remediar e Gerar
Relatórios
9
Identificação da informação
DCM
EDM
IDM
Described Content
Exact Data Matching
Indexed Document
Matching
Descrito
Estruturado
Documentos
• Máscaras, fórmulas, …
• Indexa bases de dados
• Indexa arquivos
• Palavras, termos, …
• Dados de clientes, …
• Projetos, Código Fonte,
• Data identifiers
• Alta precisão
Designs, Contratos, …
Vários exemplos prontos
(inclusive PCI)
Symantec Data Loss Prevention
Mais de 300 milhões de
registros por servidor
Mais de 5 milhões de
arquivos por servidor
10
Conteúdo, Contexto e Escala
Conteúdo
Escala
Contexto
Estruturado
Pessoas
Volume
• PHI
• Departamentos
• Bilhões de registros
• PII
• Parceiros
• Milhões de documentos
• Prestadores de serviços
• Inventário
Locais
Não estruturado
• Documentos de projeto
• Código-fonte
• País
+
• Departamento
• Filial
• Arquivos de mídia
• Resultados financeiros
Descrito
Rede
• CPFs
• Dicionários
• Palavras-chave
• Latência <100ms
• Taxa de transferência: Gb+
Idiomas
• Europeu
• Cartões de crédito
+
• Asiático
Armazenamento
• TBs verificados por dia
• Milhares de endpoints
Contêiner
• Tipo de documento
• Protocolo de rede
• Criptografado
Symantec Data Loss Prevention
11
24
Symantec DLP Architecture
Network
Storage
Data
Insight
Network
Discover
Policies/Mgmt
Network
Monitor
Network
Protect
Enforce
Platform
SPAN Port or Tap
Endpoint
Network
Prevent
for Email
Endpoint
Discover
Network
Prevent
for Web
Endpoint
Prevent
MTA
Disconnected
Secured Corporate LAN
Symantec DLP 11 – Technical Presentation
Web Proxy
DMZ
12
Symantec DLP Architecture
Network
Storage
Network
Discover
Data
Insight
Policies/Mgmt
Network
Monitor
Network
Protect
•
NAS devices
•
•
File servers
Databases
•
•
•
Collaboration platforms
Web sites
Laptops/desktops
Endpoint
Endpoint
Discover
Endpoint
Prevent
•
•
•
•
Discover/relocate data •
USB/CD/DVD
•
Email, web, FTP, IM
•
Print/fax
Enforce
Platform
•
•
•
•
Policies
Workflow
Reporting
Administration
SMTP
HTTP
•
•
•
IM
FTP
Any TCP-based
Network
Prevent
for Email
•
Network shares
App file access
•
•
SMTP
Network
Prevent
for Web
•
•
HTTP and
HTTPS
FTP
Copy/paste
Secured Corporate LAN
Symantec DLP 11 – Technical Presentation
DMZ
13
Sample System Requirements
For Large/Very Large Enterprise
Enforce
Network
Interface
Disk Space
To communicate with
detection servers:
1 Copper or Fiber
1Gb/100Mb Ethernet
Recommended:
1 TB, RAID 0+1
configuration with four
main drives, one
redundant
Network Monitor,
Network Prevent
Discover, Protect, &
Endpoint
To communicate with
Enforce Platform*:
1 Copper or Fiber
1Gb/100Mb Ethernet
To communicate with
Enforce Platform:
1 Copper or Fiber
1Gb/100Mb Ethernet
Recommended:
140 GB
Ultra-fast SCSI
Recommended:
140 GB
Ultra-fast SCSI
Endpoint Agent
To communicate with Endpoint
Server:
10/100Mb
See requirements of the OS.
New agent install typically takes up
~70 MB.
Operating
System
• Windows 2003 Enterprise Edition (32-bit)
• Windows Server 2008 Enterprise Edition R2 (64-bit)
• Red Hat Enterprise Linux 5 Update 2 or higher (32-bit and 64-bit)
• Windows XP Pro SP2 or SP3 (32bit)
• Windows Vista Enterprise or
Business SP 1 or SP2 (32-bit)
• Windows 7 Enterprise, Pro, or
Ultimate (32 and 64-bit)
• Windows Server 2003 SP2 or R2
(32-bit)
Processor
Recommended: 2 x 3.0 GHz Dual Core CPU
(Consider increasing CPU for faster Discover scan processing.)
See requirements of the OS
Memory
Recommended: 8-16 GB RAM. (fingerprint size can increase memory requirements)
See requirements of the OS.
Agent RAM usage typically is ~40
MB.
*For Network Monitor packet capture on Windows, use a NIC for traffic up to 350 Mbps, or an Endace card for > 350 Mbps.
Symantec DLP 11 – Technical Presentation
14
14
Efficient Incident Workflow
Fan-out Response Structure
Fan-in Response Structure
Escalation Team
Extended Team
Escalation Team
Core IRT
Human Resources
Legal
Business Unit A
Suspected
Theft
HR Policy
Violation
Broken
Business
Process
First Responders
Core IRT
Incident
Response
Procedures
Data
Flow
Direction
Critical Incidents
First Responder Team
Extended Team
Business Unit A
Business Unit B
Incident
Response
Procedures
Business Unit C
• Right information, to the right person, in the right order
Symantec DLP 11 – Technical Presentation
15
Fases de redução de risco
1000
Refine Policies
Incidents per Week
800
Refine Policies
600
400
Refine Policies
200
0
0
Baseline
1 to 3
Remediation
3 to 6
Months
Symantec DLP 11 – Technical Presentation
Notification
7 to 9
Prevention &
Protection 10 to
12
16
17
17
Symantec Named as a Leader in 2013 Gartner Magic
Quadrant for Content-Aware Data Loss Prevention
Source: Gartner, Inc., Magic Quadrant for ContentAware Data Loss Prevention,, Eric Ouellet, Rob
McMillan
The Magic Quadrant is copyrighted 2011 by Gartner, Inc. and is reused with
permission. The Magic Quadrant is a graphical representation of a marketplace
at and for a specific time period. It depicts Gartner's analysis of how certain
vendors measure against criteria for that marketplace, as defined by Gartner.
Gartner does not endorse any vendor, product or service depicted in the Magic
Quadrant, and does not advise technology users to select only those vendors
placed in the "Leaders" quadrant. The Magic Quadrant is intended solely as a
research tool, and is not meant to be a specific guide to action. Gartner disclaims
all warranties, express or implied, with respect to this research, including any
warranties of merchantability or fitness for a particular purpose.
This Magic Quadrant graphic was published by Gartner, Inc. as part of a larger
research note and should be evaluated in the context of the entire report. The
Gartner report is available upon request from Symantec.
Symantec Worldwide Industry Analyst Relations
18
Symantec DLP is the Choice of
Federal Market Leaders
Symantec Data Loss Prevention
19
19
20
DLP Risk Assessment
• Quatro etapas
• Seus recursos
– Levantamento
– Acesso a decisores
– Definição de políticas
– Acesso a rede no período
– Monitoração e Discovery
– Sua participação nas fases
– Apresentação executiva
– 2 semanas*
• Entregáveis
• Recursos Symantec
– Sumário do Risk Assessment
– Especialistas
– Comparação com mercado
– Hardware e software
– Scorecard de conformidade
– Análise de riscos
– Solução proposta para DLP
– Atividade sem custo
Symantec Data Loss Prevention
21
Exposição medida ao vivo durante o RA e com severidade
22
Tarefas e
duração
Agenda sugerida e recursos
Habilitar
Avaliar/Rever
Conclusão
Dias 1 e 2
2 semanas
Últimos 2 dias
• Reunião de abertura
do projeto
• 1-2 hours
• Refinamento de
políticas
• 1-2 hours
• Revisão de políticas
• 1-4 hours
• Análise de incidentes
• 1-2 hours
• 3-4 hours
• Analisar impacto nas
áreas-fim
• Instalação da infra
• Transferência de
conhecimento básico
• 1-3 hours
• 1-2 hours
• Análise final dos
resultados
• 1-3 hours
• Finalização dos
relatórios
• 1 hour
• Métricas de TCO
• Destruição dos
dados coletados
• Análise de risco
• Remoção da infra
• 1-2 hours
• Próximos passos
Recursos do
seu ambiente
• Handoff
• Não-integral
•Não-integral
• Não-integral
• Patrocinador do projeto
•Gerente do projeto e analista de
segurança
• Patrocinador do projeto
• Gerente do projeto e analista de
segurança
• Analista do datacenter
• Gerente do projeto e analista de
segurança
• Analista do datacenter
* Todas as tarefas e durações em azul são aquelas compartilhadas pela Symantec e o cliente
Symantec Data Loss Prevention
23
Cenários sugeridos para teste durante o Risk
Assessment
• Além de detectar incidentes reais, é possível testar:
• Formas de detecção
– Data Identifiers (ex: cartões, cpf, …)
– Dados estruturados (ex: dados de clientes)
– Não estruturados (código fonte, documentos)
• Dados em arquivos de vários formatos
• Envio por vários protocolos
• Exemplos de remediação para simular processo de escalação e
workflow
• Criar filtros e sumários de incidentes e gerar relatórios
• Diferentes níveis de acesso
Symantec Data Loss Prevention
24
INGRAM MICRO
Primeiro contato com a Ingram?
Entre em contato e agente uma visita!
Roberto Pontes
[email protected]
(11) 9771-0844
SP
Renata Lima
[email protected]
(11) 7170-7867
SP - Interior
Emerson Klettner
[email protected]
(51) 9592-0709
Região Sul
Rangel Soares
[email protected]
(31) 9708-8876
CO, MG e ES
Elieser elias
[email protected]
(21) 9663-2803
RJ
André cavalcanti
[email protected]
(81) 8232-4150
N e NE
Raquel Maia
[email protected]
(31) 9784-5767
MG
NETBACKUP, NETBACKUP APPLIANCE E MBS
25
OBRIGADO!
Entre em contato com nossa equipe!
[email protected]
Gabriel Mira
Product Specialist Symantec
[email protected]
11 - 9 - 9773 6160
11 – 2078-4359
NETBACKUP, NETBACKUP APPLIANCE E MBS
Saiba mais...
www.ingramsym.com.br
26
Cont.
Adicional
Symantec Data Loss Prevention - Gerdau
27
Data Loss Prevention Threat Coverage
Email
USB/CD/DVD
Webmail
Print/Fax
Untrusted
networks
Stored data
DLP Policy
Monitoring & Prevention
Discovery & Protection
File Servers
FTP
Web servers
SharePoint
/ Lotus
Notes /
Exchange
Symantec DLP 11 – Technical Presentation
Instant
Message
Databases
28
PCI DSS Mapping
RISK ANALYSIS
IT PROJECT
BUILD AND MAINTAIN A SECURE NETWORK
SOLUTION
SYMANTEC
PRODUCTS
ENDPOINT PROTECTION
SNAC / SEP / SCSP
ENTITLEMENTS
CCS
DATA LOSS PREVENTION
VONTU DLP, Brightmail
ACCESS CONTROLS
CCS
DATA IDENTIFICATION/CLASSIFICATION
VONTU
PROTECT CARDHOLDER DATA
IT OPERATIONS &
SECURITY
COMPLIANCE RISK
ANALYSIS
CONFIGURATION MANAGEMENT
ALTIRIS / CCS
VULNERABILITY MANAGEMENT
CCS
MAINTAIN A VULNERABILITY MANAGEMENT
PROGRAM
ENDPOINT PROTECTION
SNAC / SEP / SCSP
CCS - Entitlement
IMPLEMENT STRONG ACCESS CONTROL MEASURES
CONFIGURATION MANAGEMENT
CCS
ALTIRIS / CCS
VULNERABILITY SCANNING
CCS / PCI ASV Service
LOGGING AND INCIDENT RESPONSE
SSIM / Log Mgmt Service
REGULARLY TEST AND MONITOR NETWORKS
DISSEMINATING POLICIES
MAINTAIN AN INFORMATION SECURITY POLICY
CCS POLICY MANAGER
ENSURING COMPLIANCE WITH POLICIES
Symantec Data Loss Prevention
29
29
Fix Broken Business Processes
500k Personal Records on Open Share
Find it. Fix it.
Remove from open share and leave a file marker.
3030
Protect Competitive Advantage
Unencrypted product design documents sent to a partner
31
31
Protect Competitive Advantage
Unencrypted product design documents sent to a partner
Educate users with automated email.
Protect intellectual property.
32
32
Fix Exposed Data on a Desktop
Call center records improperly stored on an Endpoint
33
33
Clean Up Exposed Data on a Desktop
Call center records improperly stored on an Endpoint
Notify user via automated email.
Empower users to self remediate.
34
34
Protect Competitive Advantage
Pricing copied to USB
35
Protect Competitive Advantage
Pricing copied to USB
Stop it from being copied to USB.
Notify User. Launch investigation.
3636
Prevent Breach of Customer Data
Sensitive data sent via personal webmail
Block the email.
On or off the corporate network.
37
Cobertura completa: Discover
• Ache os dados armazenados
–
–
–
–
–
File servers
Máquinas distribuídas pela rede
Repositórios de documentos e e-mail
Aplicações e Conteúdo web
Bases de dados
• Crie um inventário dos dados sensíveis
– Scans agendados
– Scans incrementais
– Scan “Out of compliance”
• Efetue a limpeza dos dados vulneráveis
–
–
–
–
Número de correspondências num incidente
Detalhes do arquivo (data, owner)
Lista detalhada de permissões
Consulta de dados do owner
38
38
Cobertura completa: Monitor
• Entenda como está sendo usado
–
–
–
–
Cobertura de vários protocolols
Cobertura de eventos no Endpoint
Deteção por conteúdo e contexto
Notificações automatizadas
• Monitore na rede
– Não requer hardwares especiais
– Reconhecimento de protocolos
– Monitoramento Gigabit sem perda de
pacotes
– Priorização de incidentes
• Monitore no endpoint
–
–
–
–
Online e offline
Dispositivos não autorizados
Notificação na tela via pop-up
Coleta de resposta do usuário
Symantec Data Loss Prevention
39
Cobertura completa: Protect
• Proteger o dado armazenado
– Mover os dados para local critografado
– Automaticamente quarentenar, copiar ou remover
– A maior abrangência de alvos para scan
• Prevenir a perda de dados confidenciais
– Bloqueio em tempo-real na rede e no endpoint
– Quarentenar ou rotear mensagens para criptografia
– Remover conteúdo sendo postado via web
– Integração com os melhores proxies via ICAP
– Integração com qualquer servidor SMTP
• Reforçar as políticas sobre dados confidenciais
– Notificações em tempo-real via email
– Notificações via pop-up no endpoint, com opção de resposta do usuário
– Integração com sites Web 2.0
– Nota informativa colocada no lugar do dado que foi removido
Symantec Data Loss Prevention
40
Cobertura completa: Manage
• Política universal de DLP
– Só é preciso definir uma vez
– Mais de 60 políticas de exemplo
– Regras customizáveis para detecção/resposta
• Detecção TrueMatch precisa
– Conteúdo e contexto, nível corporativo
– Conteúdo via DCM, EDM e IDM
• Remediação e Workflow automatizados
– Ações e respostas automatizadas
– Visão de 5 segundos, para o incidente
– Resposta em um click
• Relatórios completos
– Mais de 40 relatórios de exemplo
– Avaliação do risco por departamento
• Gerenciamento escalável e seguro
– Arquitetura distribuída e com alta-disponibilidade
– Desenvolvido com segurança avançada
Symantec Data Loss Prevention
41
Security & End-to-End Encryption
Data
Insight
Network
Discover
Network
Monitor
Network
Protect
Enforce
Platform
Network
Prevent
for Email
Endpoint
Discover
Endpoint
Prevent
Network
Prevent
for Web
Secure keystore in
the Oracle DB
Secured Corporate LAN
= Encryption Key
Symantec DLP 11 – Technical Presentation
DMZ
= Certificate
= Encrypted Channel
42
Network DLP DLP
Network
Storage
Data
Insight
Network
Discover
Policies/Mgmt
Network
Monitor
Network
Protect
Enforce
Platform
SPAN Port or Tap
Endpoint
Network
Prevent
for Email
Endpoint
Discover
Network
Prevent
for Web
Endpoint
Prevent
MTA
Disconnected
Secured Corporate LAN
Symantec DLP 11 – Technical Presentation
Web Proxy
DMZ
43
How Network Monitor Works
3
1
Transmission
inspected for policy
violations
Network
Monitor
End user sends
network
transmission
Internet
SPAN port or tap
End Users
2
Corporate LAN
Symantec DLP 11 – Technical Presentation
SPAN port or tap sends copy of
transmission to Network Monitor for
analysis. Original traffic continues to
destination.
DMZ
44
How Network Prevent for Email Works
4
Email inspected and
modified if in
violation of a policy
3
1
End user sends
email
2 Email forwarded
to MTA
Network
Prevent
for Email
MTA
routes
email to
Prevent
5
Prevent sends
email back to
MTA
Internet
End Users
MTA
Email Server
6
Corporate LAN
If email is unmodified, MTA will send it
downstream. If header is modified, MTA
will take appropriate action: quarantine,
reroute, alter, drop.
DMZ
The above diagram is for the reflection mode
Symantec DLP 11 – Technical Presentation
45
How Network Prevent for Web Works
4
3
1
End user sends
data
transmission
2
Data inspected
for policy
violations
Network
Prevent
for Web
Proxy sends
transmission
to Prevent
5
Data sent
to web
proxy
If data is in violation,
Prevent can tell proxy
to terminate or
modify transmission
and optionally send
new page to end user
Internet
End Users
Corporate LAN
Symantec DLP 11 – Technical Presentation
Web Proxy
6
If data transmission
does not violate a
policy, the proxy
sends it
downstream.
DMZ
46
Endpoint DLP
Network
Storage
Data
Insight
Network
Discover
Policies/Mgmt
Network
Monitor
Network
Protect
Enforce
Platform
SPAN Port or Tap
Endpoint
Network
Prevent
for Email
Endpoint
Discover
Network
Prevent
for Web
Endpoint
Prevent
MTA
Disconnected
Secured Corporate LAN
Symantec DLP 11 – Technical Presentation
Web Proxy
DMZ
47
How Endpoint Prevent Works
Endpoint
Prevent
1
2
Agent inspects files/data to
internal drives, USB,
CD/DVD, email/IM client,
browser, FTP, print/fax
driver, Windows clipboard,
etc. for policy violations
If a violation, blocking ,
FlexResponse, and/or pop-up
response rules are initiated
locally
3
Agent sends incident
data to Enforce
End Users
Agent functions when
disconnected and
stores incident data
Disconnected
Corporate LAN
The above diagram assumes DCM-only detection. Otherwise, inspection occurs at the server.
Symantec DLP 11 – Technical Presentation
48
How Endpoint Discover Works
Endpoint
Discover
Quarantine Location
Agent can execute
a FlexResponse,
2
or copy or
relocate files that
violate policies
3
Agent sends incident
data to Enforce
1
Agent functions when
disconnected and
stores incident data
Agent inspects files on
internal drives for policy
violations
End Users
Disconnected
Corporate LAN
The above diagram assumes DCM-only detection. Otherwise, inspection occurs at the server.
Symantec DLP 11 – Technical Presentation
49
Storage DLP
Network
Storage
Data
Insight
Network
Discover
Policies/Mgmt
Network
Monitor
Network
Protect
Enforce
Platform
SPAN Port or Tap
Endpoint
Network
Prevent
for Email
Endpoint
Discover
Network
Prevent
for Web
Endpoint
Prevent
MTA
Disconnected
Secured Corporate LAN
Symantec DLP 11 – Technical Presentation
Web Proxy
DMZ
50
How Network Discover/Protect Works for “Typical”
File Shares *
3
Files inspected for policy
violations
Network
Discover
Network
Protect
4
1
Discover mounts to
remote file system
2
Discover reads
the files
Target File Systems
Protect can
copy or relocate
files that violate
policies
Quarantine Location
Corporate LAN
* For file servers that support CIFS protocol
Symantec DLP 11 – Technical Presentation
51
How DLP + Data Insight Works
6
Network
Data
Discover
Insight
Network
Protect
2
1
Data Insight sends
back to Enforce the
file owner/user data
Enforce
Platform
5
Data Insight
retrieves file
information and
usage history
Enforce does Data
Insight lookup for the
incident-generating
file
4
Incidents are sent
to Enforce
Users access
files on NAS
3
Network Discover
reads the files
Network
Discover
NAS Filer
Corporate LAN
52
Symantec DLP 11 – Technical Presentation
Symantec Confidential
52
52
Workflow/RBAC and Reporting
Network
Storage
Data
Insight
Network
Discover
Policies/Mgmt
Network
Monitor
Network
Protect
Enforce
Platform
SPAN Port or Tap
Endpoint
Network
Prevent
for Email
Endpoint
Discover
Network
Prevent
for Web
Endpoint
Prevent
MTA
Disconnected
Secured Corporate LAN
Symantec DLP 11 – Technical Presentation
Web Proxy
DMZ
53