Protect what you value
Tartalomjegyzék I. Adatszivárgás elleni védelem McAfee Data Loss Prevention megoldással... 3 Áttekintés... 3 Termékek részmegoldásokkal... 3 A teljeskörű megoldás... 3 A védelem szintjei... 4 II. DLP metodika... 5 III. McAfee DLP megoldás ismertetése... 5 McAfee DLP Management Console... 5 McAfee DLP agent... 7 McAfee Event Collector... 8 McAfee DLP Reporting server... 8 McAfee DLP Monitor... 8 IV. Házirendek... 9 V. A McAfee DLP rendszer működési módjai... 10 VI. A McAfee DLP rendszer működése... 10 VIII. Példa egy szabály létrehozására... 11 IX. A DLP megoldáshoz szükséges erőforrások... 12 Központi követelmények... 12 Szerveroldali követelmények... 12 Munkaállomás oldali követelmények... 13 Menedzsment állomás oldali követelmények... 13 X. Elérhető McAfee DLP verziók... 13 Hoszt alapú védelem... 13 Appliance alapú védelem... 13 2. oldal, összesen: 14
I. Adatszivárgás elleni védelem McAfee Data Loss Prevention megoldással Áttekintés Minden cégnél fennáll annak a kockázata, hogy érzékeny, üzleti, saját tulajdont képező információk ellenőrizhetetlen csatornákon elhagyják a cég informatikai rendszerét. Ezen adatmozgás által keletkezett veszteség dollár milliárdokra tehető évente, hiszen nemcsak az adat kerül illetéktelen kezekbe, de a cég hírneve csorbul, illetve a kikerült adatok nyilvánosságra kerülése is mind dollárban kifejezhető kárt okoz. E veszteségek elkerülése a cégeknek egyre nagyobb erőfeszítését igényli, hiszen egyik oldalról az adatvesztési csatornák száma folyamatosan nő, másik oldalról a törvények, előírások egyre szigorúbban szabályozzák az adatvédelmet. Ezek az előírások vonatkozhatnak egészségügyi intézményekre, tözsdei vállalatokra, bankokra, pénzügyi vállalatokra,nemzetvédelmi szervekre: Health Insurance Portability and Accountability Act (HIPAA) Sarbanes -Oxley Act (SOX ) Gramm-Leach-Bliley Act ( GLBA) International Traffic in Arms Regulations (ITAR) Payment Card Industry Data Security Standard (PC I DSS ) SB1386 A megoldás nem e veszteségek elkerülésére az érintett cégeknek egy jól menedzselt, minden adatforgalmat ellenőrizni képes, kimutatásokkal rendelkező megoldásra van szüksége. Termékek részmegoldásokkal A tipikus adatvédelmi megoldások megfelelő védelmet nyújtanak külső támadások ellen. (Amennyiben egy zónákra bontott tűzfal rendszert és egy IPS megoldást használunk, úgy a rendszerük külső támadások ellen védett.) De ezek a megoldások sem képesek meggátolni a belső támadásokat, adatlopási kísérleteket. Más megoldások képesek a belső adatok ellenőrzésére, de nem képesek az adatmásolást kontrollálni, vagy megakadályozni. Látható, hogy a hagyományos megoldásokkal nem tudjuk teljesíteni minden esetben a törvényi kötelezettséget. A teljeskörű megoldás A McAfee DLP megoldása ezt a hiányosságot szünteti meg. Azaz a már létező védelmi megoldások mellett (hangsúlyozni kell, hogy nem helyettük, hiszen a DLP nem egy tűzfal, vagy IPS termék) a cég számára értékes adatokat védi, kontrollálja a hozzáférést. A McAfee Data Loss Prevention (DLP) a legátfogóbb iparági megoldás rosszindulatú, vagy akár véletlenszerű támadások következtében történő adatveszteségek megelőzésére. A hálózati és felhasználói szinten is alkalmazható McAfee DLP-t a McAfee a piacon egyedülállóként egy teljes kockázatkezelési portfolió részeként kínálja. 3. oldal, összesen: 14
A védelem szintjei Ha teljeskörű védelemre van szükségünk, akkor az adatainkat a következő csatornákon ellenőrizni kell: Fizikai védelem o USB eszköz o Memóriakártya o Nyomtató o Scanner o CD, DVD o floppy Hálózati védelem o File szerver o Webmail o HTTP, FTP o Wi-Fi o Infravörös o Bluetooth Alkalmazásszintű védelem o Email küldés o Webes feltöltés, webes levelezés o Képernyőlopók o peer-to-peer hálózatok o Instant Messaging alkalmazások 1. ábra: Adatvédemi csatornák 4. oldal, összesen: 14
II. DLP metodika A McAfee az alább látható metodika mentén dolgozta ki és valósította meg az adatvédelmi megoldását. Stratégia készítés Az igények felmérése, az erőforrások definiálása, az időzítések kidolgozása, a scope definiálása Tervezés Az igények DLP specifikus követelményekké váltása a biztonsági osztály segítségével, az adattípusok, adatforrások, adatcsatornák definiálása, megfelelő DLP megoldás kiválasztása Rendszerterv megfelleő megoldás megvásárlása, a kockázatok elemzése Implementálás - Pilot rendszer telepítése, konfigurálása, majd az éles környezetre a kiterjesztése Üzemeltetés a megfelelő jogosultságok definiálása, elvárt riportok elkészítése, riasztások Optimalizálás a házirendek auditálása, a false-positive találatokkiszűrése 2. ábra: McAfee DLP metodika III. McAfee DLP megoldás ismertetése A McAfee megoldása a következő komponensekből áll: McAfee DLP Management Console McAfee DLP Agent McAfee DLP Reporting server DLP Event Collector McAfee DLP Monitor Házirendek McAfee DLP Management Console A DLP Management konzol a biztonsági szakemberek számára lehetőséget nyújt a vállalati adatvédelmi szabályzat megtervezésére, implementálására. A konzol teljes hozzáférést biztosít a tagging szabályok (ujjlenyomattal ellátott dokumentumok), és a reaction szabályok mendzselésére is. A konzol segítséget nyújt a házirendek kialakításában, a csoportok létrehozásában, a riportok definiálsában, a logok elemzésében. A konzol teljesen Active Directory integrált,azaz nem szükséges külön címtár, csoportstruktúra kialakítása, karbantartása. 5. oldal, összesen: 14
3. ábra: McAfee DLP Management konzol Tagging rules A tag-ek segítségével az adatok osztályozhatóak, szabályok definiálható egyes file-okra. A tag a file életútja során végig a file-hoz rendelve marad, onnan eltávolítani nem lehetséges (a header-be kerül egy bejegyzés). Kétfajta tag-elés lehetséges: Szerverszintű (a file helye alapján) Tartalomszintű tag-elés ( a file-ban lévő tartalom alapján) Reaction rules - A reaction rule-ok megakadályozzák a védett adatok idegen kezekbe kerülését.. Amennyiben még tag-elés is van az adott file-on akkor még az is szabályozható, hogy a file másolható, monitorozható, blokkolható, vagy másolható legyen az alábbi módszerekkel: Microsoft Outlook Internet Explorer Hálózati kapcsolatok Nyomtatás Képernyőlopás Vágólap Fizikai eszköz Enterprise Applications List a kliens oldalon futó alkalmazások (ezek feltérképezése, frissítése új programok telepítése, illetve újabb verziók megjelenése után szükséges 6. oldal, összesen: 14
Definitions a következő definíciók konfigurálhatók: Email destination Email tartományok és egyedi mail címek File Extensions Ismert kiterjesztések használata, vagy akár újak definiálása File Servers Szerverek csooportosítása, akár LDAP, akár egyedi lekérdezés alapján Network Akár IP range, akár port range is létrehozható Printers Hálózati nyomtatók (akár AD-ban publikáltak is) Secured Text Patterns Egyedi karaktersorozat létrehozása (pl.: cégspecifikus kifejezések, bankszámlaszám formátumok, konkurens email címek) melyekre szabályok definiálhatók Tags Tag (egyedi ujjlenyomat a dokumentumokon) létrehozása Web Destinations Web szerverek Device Management a beépített definíciók mellett további finomítás lehetséges a fizikai eszközökön. Testreszabhatóak a szabályok gyártó, típus, VID és PID alapján is akár. Assignment groups - Assigment groups segítségével rendelhetőek egymáshoz a beállított házirendek és azok a munkaállomások, felhasználók, akikre érvényre jusson. Policies - A házirendek, tagging rule-ok, reaction rule-ok, definiíciók, és csoportok egymáshoz rendelése. A DLP 2.0-s verziótól (ez már McAfee epolicy Orchestrator integrált) a házirendek aktiválása már az epo-val is megoldható. Monitoring két fajta monitorozási mód is lehetséges: Event monitoring A DLP megoldás az adminisztrátorok számára engedélyezi a logok megtekintését Evidence collection Amennyiben a reaction rule úgy van beállítva, akkor lehetőség nyílik bizonyítékgyűjtésre, azaz a logokban látszik nem csak a hozzáférés, de a file másolata is. McAfee DLP agent A DLP Agent a vállalati munkaállomásokra, laptopokra telepített kliens oldali alkalmazás. A megoldás kizárólag a megfelelő jogosultsággal rendelkező szakemberek (a jogosultsági rendszer lehet független az Active Directory struktúrától, azaz egy Domain Administrator sem biztos, hogy jogosult a menedzselésre) által menedzselhető, telepíthető, konfigurálható. Az Agent monitoroz minden felhasználói tevékenységet, logolja a szükséges lépéseket., illetve továbbítja ezeket a szerverre. Tag esetén az Agent ellenőrzi a tag-elt dokumentumot. Házirend változás, rendszerszintű módosítás esetén a Reporting szerverre azonnal továbbítja az eseménylogokat. Ha szükséges, akkor munkaállomás oldalon kontrollálja az adatok mozgását. 7. oldal, összesen: 14
4. ábra: McAfee DLP Agent McAfee Event Collector Az eseményekkel kapcsolatos logokat a DLP Agent közvetlenül az Event Collector-nak továbbítja, majd ez a komponens küldi tovább az adatbázisba, illetve bizonyos esetkben a Reporting Server-nek is. McAfee DLP Reporting server A McAfee DLP Reporting Server a központi adatgyűjtő modul. Minden riportokkal is alátámasztott Agent log, minden Agent státusz, rendszerszintű változás a Reporting szerverre is megérkezik. Itt a szerver rendszerezi, konvertálja, majd a központi adatbázisban tárolásra kerül (további analízis végett). 5. ábra: McAfee DLP Reporting Server McAfee DLP Monitor A DLPmegoldás lehetőséget nyújt minden egyedi, érzékeny adat védelmére, valamint ezekkel kapcsolatosan részeletes riportok és kimutatások készíthetők. A riportok testreszabhatóak, szűrhetőek, így egyedi riportok előállítása is lehetséges. 8. oldal, összesen: 14
6. ábra: McAfee DLP riport IV. Házirendek A házirend alapja bizonyos típusú szabályok együttese, ennek részei: Definíció biztonsági objektumok, melyek a házirendek alapját jelenti Tagging szabályok adatosztályozási lehetőség Reaction rule a definíciókon és tag-elésen alapuló válaszlépés Monitoring Az information flow mentén ellenőrzi az adatokat és azok mozgását. Az ellenőrzés lehetséges többek között név, datum, felhasználó, adott file név alapján is. System maintenance- az adatbázist, annak mentését, a szabályok exportálását foglalja magában. 9. oldal, összesen: 14
7. ábra: McAfee DLP működési diagramm V. A McAfee DLP rendszer működési módjai A megoldás két működési módban képes működni: Policy Injection mode A Policy Injection módban a McAfee DLP csak read-only módban integrálódik az Active Directory-val. Az AD feloldja a user, computer account-okat, azonban semmilyen módosítás nem történik a SYSVOL-ban, LDAPban, vagy Group policy-ban. Active Directory mode Ebben a működési módban a a házirendek a z AD Group Policy struktúrájában aktiválódnak. Ennek köszönhetően ez a működési mód nagyobb szabadságot, rugalmasságot ad a rendszer menedzselésére. VI. A McAfee DLP rendszer működése Az alábbi ábra mutatja hogyan is működik a DLP rendszer. 10. oldal, összesen: 14
8. ábra: McAfee DLP működése 1. A tag-ekkel ellátott dokumentumok jelentik az érzékeny adatokat 2. A védett dokumentumokra vonatkozó szabályokat minden file hozzáféréskor ellenőrizzük. 3. A nagyon részletes házirend hierarchiával finomíthatóak a szabályok. 4. Amennyiben konfigurált, evidence report is készül a file hozzáférésről VIII. Példa egy szabály létrehozására Amennyiben azt szeretnénk elérni, hogy az Agent-el rendelkező munkaállomásokon ne legyenek használhatóak az USB eszközök, úgy a következő lépéseket kell tenni. Lépjünk be a DLP Policy Manager konzolba. Válasszuk a Device Management / Device Rules opciót. Itt válasszuk a RemovableStorage Device rule-t. A Device Definition ablakban testreszabhatjuk, hogy mely típusú eszközökre legyen érvényes a szabály. A következő ablakban válasszuk a Block menüt. 11. oldal, összesen: 14
10. ábra: Removable Storage device opciók Válasszuk ki, hogy mely általunk telepített Assigment Group-okra legyen érvényes ez a szabály. Engedélyezzük a szabályt. Ezek után, azokon a gépeken ahol telepítve van a DLP Agent, ott a házirend frissítés után már nem elérhető semmilyen USB storage eszköz. IX. A DLP megoldáshoz szükséges erőforrások Központi követelmények Követelményrendszer: Minden érintett szervernek, munkaállomásnak Active Directory tagnak kell lennie Active Directory Schema Windows 2003 verziójú legyen A telepítéshez lokális adminisztrátor jogosultság kell 100 Mbit LAN kapcsolat TCP port 42888 a szerver és a kliens oldal között TCP port 80 a menedzsment állomás és a szerver között Szerveroldali követelmények Követelményrendszer: Windows 2003 Server (minimum SP1-el) CPU: Intel Pentium-2.8GHz 1GB RAM 80GB HDD Microsoft.NET Framework 1.1 (GPMC telepítéshez) Microsoft.NET Framework 2.0 (Management konzol telepítéshez) Microsoft GPMC. 12. oldal, összesen: 14
Microsoft IIS. Lokális adminisztrátor jogosultság Minimum Microsoft SQL Server Express Edition Default Instance SQL Server Mixed Authentication Munkaállomás oldali követelmények Követelményrendszer: Windows XP CPU: 1GHz Pentium III 512MB RAM 200 MB HDD Lokális adminisztrátor jogosultság a telepítéshez Internet Explorer 6.0 Menedzsment állomás oldali követelmények Követelményrendszer: Windows XP Microsoft.NET Framework 1.1 (GPMC telepítéshez) Microsoft.NET Framework 2.0 (Management konzol telepítéshez) TCP port 80 a menedzsment állomás és a szerver között X. Elérhető McAfee DLP verziók Hoszt alapú védelem A fent ismertett megoldás a hoszt alapú védelmet ismertette. Ennek license-lése node alapú, azaz annak ismeretében, hogy mennyi node-ra kívánjuk megvásárolni, már képesek is vagyunk elindítani a rendelést. Appliance alapú védelem A McAfee DLP megoldása elérhető szoftveres verzióban, de 2007 szeptemberétől a megoldás appliance formájában is rendelhető lesz. Így nem csak host, de gateway szintűvédelem is megvalósítható. A McAfee Data Loss Prevention Gateway kiadása kiegészíti a februárban piacra került McAfee Data Loss Prevention Host-ot. Az új alkalmazás többszintes védelmet biztosít, amely megakadályozza az adatveszteséget a számítógépen és az átjáróknál. A McAfee DLP Gateway megakadályozza a vendég laptopok, a nem-windows (például Mac és Linux) rendszerek, a szerverek, a mobilkészülékek és minden egyéb eszköz adatveszteségét azáltal, hogy blokkolja a bizalmas információ átvitelét az átjárónál. Ezen eszközök védelme egyre fontosabb lesz, mivel a vállalatok és a kormányzati szervek egyre inkább laptopokat és mobileszközöket használnak a vállalati hálózatokon található érzékeny információk eléréséhez. 13. oldal, összesen: 14
11. ábra: McAfee DLP gateway felépítése 1: DLP Management konzol a teljes rendszer menedzselése innen oldható meg, valamint a riportok is itt generálhatóak 2: Sytem Agent minden vállalati és tartományban lévő munkaállomáson telepített Agent, mely az előzetesen definiált házirendek alapján végzi az adatok ellenőrzését 3: Roaming felhasználók még ezen felhasználók adatai, munkaállomásai is teljesen védettek 4: DLP Reporting Server - az Agent-ekről érkező logok, riasztások gyűjtését végzi 5: Data FingerPrint Server az érzékeny adatokat osztályozzuk azonosítóval látjuk el, ezen azonosítók publikációját, tárolását végzi ez a modul 6: DLP Gateway A megoldás motorja, a ki és bejövő forgalom ellenőrzése, blokkolása, titkosítása zajlik ezen az átjárón A megoldás két hardverplatformon elérhető (ezeken előre van telepítve az operációs rendszer és az alkalmazás is). A két modell: McAfee 3300 gateway McAfee 3400 gateway Mindkét modell a Dell PowerEdge sorozat egy tagja, azaz teljesen szabványos x86 architektúrájú szerverről van szó. Az eszközök Fail-Over kivitelben is elérhetőek. A McAfee Data Loss Prevention megoldással kapcsolatos további információért látogassa meg a következő weboldalt: http://www.mcafee.com/us/enterprise/products/data_loss_prevention/index.html 14. oldal, összesen: 14