Защита данных безнеса с помощью шифрования

Information about Защита данных безнеса с помощью шифрования

Published on December 24, 2015

Author: Glok17

Source: slideshare.net

Content

1. . McAfee Confidential 1 Обеспечение безопасности бизнеса с помощью криптографии Владислав Радецкий radetskiy.wordpress.com [email protected]

2. Пару слов о себе Владислав Радецкий radetskiy.wordpress.com [email protected] С 2011 года работаю в Группе компаний БАКОТЕК. Занимаюсь технической поддержкой проектов ИБ. Отвечаю за такие направления McAfee: • Data Protection • Email Security • Endpoint Security • Mobile Security • ATD + TIE + MAR • Security-as-a-Service • Security Management

3. . McAfee Confidential 3 Intel Security – решения ИБ Управление ИБ Аналитика Защита Web Защита сети DLP Шифрование Защита серверов Контроль приложений Микросхемы Intel® on-premises | private cloud | public cloud | hybrid Лидер в производстве микросхем Компания основана в 1968 Цель: Обеспечить потребность людей в быстрых и надежных вычислительных устройствах. Лидер на рынке ИБ решений Компания основана в 1987 Приобретена Intel в 2010 Цель: Обеспечить защиту ИТ активов заказчиков Объединение разработок McAfee с продукцией Intel.

4. McAfee = ~ 70 решений, единая консоль управления DLP Encryption Web Gateway Endpoint Protection DB Protection MAR IPS MOVE SIEM TIE + ATD

5. ePO – основы: агент McAfee ePO McAfee Agent Endpoint Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса. Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.

6. ePO – основы: агент McAfee ePO McAfee Agent DLP Endpoint Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса. Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.

7. ePO – основы: агент McAfee ePO McAfee Agent DLP Drive Encryption FRP MNE Endpoint Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса. Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.

8. Тезисы доклада  Зачем нам шифрование?  Инструменты шифрования Intel Security  [Практика] DLP + шифрование файлов  [Практика] Шифрование жестких дисков  Ответы на вопросы

9. Зачем нам шифрование? “There are two kinds of cryptography in this world: cryptography that will stop your kid sister from reading your files, and cryptography that will stop major governments from reading your files.” ~ (Криптография бывает двух типов: криптография, которая помешает читать ваши файлы вашей младшей сестре, и криптография, которая помешает читать ваши файлы людям из правительства) ~ Криптография (шифрование) – средство защиты приватности каждого человека, данных бизнеса. Брюс Шнайер Писатель, криптограф, ИБ эксперт https://www.schneier.com/books/

10. Зачем нам шифрование? Брюс Шнайер Писатель, криптограф, ИБ эксперт https://www.schneier.com/books/ 1. Прикладная криптография, 2-е издание. 2. Секреты и ложь. Безопасность данных в цифровом мире

11. Зачем нам шифрование? Нил Стивенсон Писатель (киберпанк) http://www.nealstephenson.com/books/ 1. Криптономикон (криптография на практике) 2. Лавина (просто шикарный киберпанк)

12. Зачем нам шифрование? Dan Boneh Professor Stanford University Cryptography (Coursera) https://www.coursera.org/course/crypto Практический бесплатный онлайн курс по шифрованию

13. Зачем нам шифрование?  Защита от несанкционированного доступа к данным (НСД) в случае  Кражи/утери устройства (в т.ч. и носителей)    * Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое. E : M -> C D : C -> M

14. Зачем нам шифрование?  Защита от несанкционированного доступа к данным (НСД) в случае  Кражи/утери устройства (в т.ч. и носителей)  Изъятия систем   * Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое. E : M -> C D : C -> M

15. Зачем нам шифрование?  Защита от несанкционированного доступа к данным (НСД) в случае  Кражи/утери устройства (в т.ч. и носителей)  Изъятия систем  Передачи техники в ремонт  * Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое. E : M -> C D : C -> M

16. Зачем нам шифрование?  Защита от несанкционированного доступа к данным (НСД) в случае  Кражи/утери устройства (в т.ч. и носителей)  Изъятия систем  Передачи техники в ремонт  Защиты от LiveCD/USB (DLP + инсайдер / обиженный сотрудник / ATP) * Шифрование – обратимый процесс преобразования информации с целью скрыть содержимое. E : M -> C D : C -> M

17. Тезисы доклада  Зачем нужно шифровать данные?  Инструменты шифрования Intel Security  [Практика] DLP + шифрование файлов  [Практика] Шифрование жестких дисков  Ответы на вопросы

18. Инструменты шифрования Intel Security  File & Removable Media Protection 5.0 - шифрование файлов/каталогов

19. Инструменты шифрования Intel Security  File & Removable Media Protection 5.0 - шифрование файлов/каталогов  Drive Encryption 7.1.3 - шифрование дисков (Windows)

20. Инструменты шифрования Intel Security  File & Removable Media Protection 5.0 - шифрование файлов/каталогов  Drive Encryption 7.1.3 - шифрование дисков (Windows)  Management of Native Encryption 4.0 - управление BitLocker & FileVault

21. Инструменты шифрования Intel Security  File & Removable Media Protection 5.0 - шифрование файлов/каталогов  Drive Encryption 7.1.3 - шифрование дисков (Windows)  Management of Native Encryption 4.0 - управление BitLocker & FileVault  McAfee ePolicy Orchestrator 5.1.3 - единая консоль управления * не забываем про KB51109 – “Supported platforms & operating systems for McAfee products ” https://kc.mcafee.com/corporate/index?page=content&id=kb51109

22. Инструменты шифрования Intel Security McAfee ePO McAfee MNE (BitLocker) McAfee MNE (FileVault) McAfee Drive Encryption McAfee FRP McAfee DLP Endpoint

23. Инструменты шифрования Intel Security McAfee ePO McAfee MNE (BitLocker) McAfee MNE (FileVault) McAfee Drive Encryption McAfee FRP McAfee DLP Endpoint Conduit / Endpoint Assistant iOS And

24. Сценарий №1: “Нужно шифровать данные на носителях” Возможности выборочного шифрования: • Разделение доступа к зашифрованной информации • Защита от случайного/умышленного копирования • Шифрование файлов при передаче в облачные хранилища • Управление ключами = управление доступом к информации • Интеграция с агентом DLP Endpoint Модули защиты File & Removable Media Protection Management of Native Encryption Drive Encryption DLP Endpoint & Device Control Windows ATD + TIE MAR

25. Возможности полнодискового шифрования • Надежное шифрование Windows систем алгоритмом AES-256 • 6 вариантов восстановления доступа к данным • Поддержка XP, Vista, 7, 8.x, 10; 2003 – 2012 • Аутентификация по паролю, токену, смарткарте, отпечаткам • Поддержка SSO, AES-NI, GPT, UEFI … Модули защиты File & Removable Media Protection Management of Native Encryption Drive Encryption DLP Endpoint & Device Control Windows Сценарий №2: “Опасаюсь НСД к ноутбукам/серверам” ATD + TIE MAR

26. Сценарий №3: “Нужно контролировать данные на лету” Возможности агента DLP Endpoint: • Отслеживание и блокировка каналов: • Почта, печать, Web; • Skype, Viber, ICQ; • Облачные хранилища; • Внешние накопители; • Снимки экрана; • Буфер обмена • Может интегрироваться с выборочным шифрованием • Возможность обновить DeviceControl до DLP Endpoint • Поддерживает рабочие станции и сервера терминалов Модули защиты MAR ATD + TIE File & Removable Media Protection Management of Native Encryption Drive Encryption DLP Endpoint & Device Control Windows Macs

27. Короткая характеристика решения File and Removable Media Protection (FRP) • Симметричное шифрование локальных/сетевых файлов/каталогов (AES 256) • Шифрование внешних USB накопителей, CD/DVD, вложений электронной почты • Гибкое делегирование ключей (User based / System based)

28. Работа с CD/DVD и USB накопителями File and Removable Media Protection • Без шифрования/вручную/принудительно либо Read Only • (USB) возможность привязки накопителя к конкретной системе • (USB) возможность доступа на внешней системе (Windows & Mac) • Доступ к зашифрованному без необходимости доп. ПО

29. Делегирование доступа к документам на основе ключей File and Removable Media Protection

30. Делегирование доступа к документам на основе ключей File and Removable Media Protection

31. Делегирование доступа к документам на основе ключей File and Removable Media Protection К1 К2 К3 К4

32. Делегирование доступа к документам на основе ключей File and Removable Media Protection К1 К2 К3 К4

33. Доступ к файлам с мобильных устройств File and Removable Media Protection McAfee Drive Encryption McAfee FRP Android – уже есть (!) iOS – после НГ* само приложение в маркете есть, добавят поддержку FRP ключей • allows users to securely access encrypted files (FRP encrypted files) on their mobile device; • simplifies the process of recovering a forgotten credential for a PC encrypted with MDE.

34. Особенности использования или о чем следует помнить File and Removable Media Protection • Развертывается только на клиентские ОС Windows, тем не менее может шифровать документы на сетевых хранилищах • Может интегрироваться с McAfee Device Control / DLP Endpoint • Позволяет осуществлять доступ к зашифрованным файлам с мобильных устройств • Рекомендуется использовать для усиления с Drive Encryption • При шифровании CD/DVD методом Onsite Access Only нужно использовать Windows Burner, Nero либо Roxio • Отдельные накопители можно исключить из действия политики (KB75531) • Процессы и каталоги ОС и ПО не шифровать

35. Короткая характеристика решения Drive Encryption • Система FDE с поддержкой HDD, Opal, SED и SSD дисков • Широкий перечень поддерживаемых редакций Windows XP – 8.1 (KB79422) • Поддержка технологий: AES-NI, SSO, TPM, AMT, UEFI, GPT, Secure/Hybrid Boot… • Возможность добавить в pre-boot как доменных, так и недоменных пользователей • Поддержка различных токенов (KB79787) и кард-ридеров (KB79788) • Возможность сброса забытого пароля 6 разными способами • Симметричное шифрование секторов жесткого диска алгоритмом AES‐256-CBC • Для генерации случайных чисел DRBG использует HMAC SHA256 • Для аутентификации используется асимметричное шифрование RSA 2048 bit

36. Методы сброса пароля/восстановления доступа к зашифрованной системе Drive Encryption  Self-recovery - автономно  Admin recovery (challenge-response) - email, phone  EETech boot USB/CD - локально  DeepCommand on intel AMT systems - через Internet (IPsec)  Endpoint Assistant (Android & iOS devices) - автономно / 7.1  Self Service Portal (DPSSP) - через Internet / 7.2 Итого: 6 различных сценариев восстановления доступа

37. Короткая характеристика решения Management of Native Encryption • Контроль Apple FileVault и MS BitLocker средствами еРО • Два режима работы (report only & control) • При использовании MNE нет необходимости в MBAM сервере • Self Service Portal (DPSSP) • Поддержка DEGO для Mac • Периодическая ротация ключей восстановления • Поддержка устройств Windows To Go, Microsoft Surface Tablets

38. Три основных порта, необходимых для коммуникации Агент-Сервер ePO – основы: агент McAfee ePO McAfee Agent Encryption Endpoint 443 TCP 80 TCP 8081 TCP

39. Перечень систем ePO – основы: дерево систем Формируется • Вручную • Синхронизация с MS AD Возможна сортировка систем по • Тегам (меткам) • IP адресам/подсетям

40. Разделяем системы между группами ePO – основы: метки (теги) Могут назначаться • По критериям • Вручную (без критериев) Используются для • Сортировки систем • Выборочного запуска задач • Выбор. применения политик

41. Каждый модуль имеет свой набор политик ePO – основы: политики Политика My Default применяется сразу! Принцип управления: Создаем наборы политик и переключаем - наследование - по системам - по группам

42. Делегируем наборы разрешений ePO – основы: ролевая модель доступа Операции могут быть распределены между: • Администраторами (политики); • Help-Desk`ом (сброс паролей); • Инженерами (восстановление доступа); • Аудиторами/руководством (отчетность)…

43. Тезисы доклада  Зачем нам шифрование?  Инструменты шифрования Intel Security  [Практика] DLP + шифрование файлов  [Практика] Шифрование жестких дисков  Ответы на вопросы

44. Использование шифрования в правилах DLP 1. Принудительное шифрование файлов при записи на носитель

45. Использование шифрования в правилах DLP 1. Принудительное шифрование файлов при записи на носитель 2. Принудительное шифрование файлов при записи на сетевой каталог

46. Использование шифрования в правилах DLP 1. Принудительное шифрование файлов при записи на носитель 2. Принудительное шифрование файлов при записи на сетевой каталог 3. Принудительное шифрование файлов при передаче в облако

47. Использование шифрования в правилах DLP 1. Принудительное шифрование файлов при записи на носитель 2. Принудительное шифрование файлов при записи на сетевой каталог 3. Принудительное шифрование файлов при передаче в облако 4. Принудительное шифрование файлов при выполнении File System Discovery* * FS Discovery – задача проверки рабочих систем на наличие конфиденциальных документов

48. Тезисы доклада  Зачем нам шифрование?  Инструменты шифрования Intel Security  [Практика] DLP + шифрование файлов  [Практика] Шифрование жестких дисков  Ответы на вопросы

49. Правильная последовательность внедрения Drive Encryption  Выполнить резервное копирование важной информации с целевых систем  Настроить задачу синхронизации учетных записей из MS AD  Определить политики по отношению к дереву систем, назначить пользователей  Установить DEGO для проверки конфликтного ПО и SMART  Установить модули шифрования при неактивной политике (Encryption_OFF)  Активировать шифрование (Encryption_ON) с включенным Pre-Boot Smart Check  По завершению процесса перезагрузить систему и пройти pre-boot * Подробнее см. заметку в блоге

50. Полезные советы от автора вебкаста Реальные внедрения шифрования • (MA) C:Program FilesMcAfeeAgentcmdAgent.exe -s • (DE) Используйте Autobooting для регламентных работ (обновление ОС, ПО) • (DE) Всегда добавляйте в pre-boot сервисную учетную запись • (DE) Pre-Boot Smart Check требует ~10 перезагрузок перед началом шифрования • (DE) Automatic Repair Windows 8 off [ bcdedit /set {current} recoveryenabled No ] • (MNE) Помните про исключения из парольной политики и DEGO для Mac • (FRP) Ключи лучше деактивировать а не удалять, избегайте Local Keys • (FRP) Если ключи не приходят по RDP – выполните logon локально • (FRP) Шифрует файлы на уровне I/O, не сокетов(!) помнить о blocking process • (FRP) При шифровании накопителя возможно три сценария

51. Комплекты в которые входит шифрование • McAfee Complete EndPoint Protection – Business (защита конечных точек) • McAfee Complete Data Protection Advanced (DLP Endpoint + шифрование) • McAfee Complete Data Protection (Ширфование) • McAfee Complete Data Protection Essential (MNE + FRP)

52. Источники полезной информации  www.mcafee.com/expertcenter - каталог инструкций  https://kc.mcafee.com - база знаний  https://radetskiy.wordpress.com - мой блог  https://www.youtube.com/user/McAfeeTechnical - канал на YouTube  ftp://ftp.bakotech.com/Evaluation/Docs/ - документация на нашем FTP ftp login: mcafee ftp pass: mcafee

53. Мои заметки по шифрованию:  https://radetskiy.wordpress.com/2013/06/27/mcafee-encryption-intro/  https://radetskiy.wordpress.com/2014/04/24/mcafee-drive-encryption/  https://radetskiy.wordpress.com/2014/08/01/encryption-vrad-man-part1/  https://radetskiy.wordpress.com/2014/08/13/encryption-vrad-man-part2/  https://radetskiy.wordpress.com/2015/03/03/mcafee-encryption-2015tech/

54. Тезисы доклада  Зачем нужно шифровать данные?  Инструменты шифрования Intel Security  [Практика] DLP + шифрование файлов  [Практика] Шифрование жестких дисков  Ответы на вопросы

55. Владислав Радецкий radetskiy.wordpress.com [email protected]

Related presentations


Other presentations created by Glok17

McAfee Data Protection 2014
10. 06. 2014
0 views

McAfee Data Protection 2014

McAfee Endpoint Protection 2014
16. 06. 2014
0 views

McAfee Endpoint Protection 2014

McAfee Encryption 2015
03. 03. 2015
0 views

McAfee Encryption 2015

McAfee Endpoint Security 10.1
29. 02. 2016
0 views

McAfee Endpoint Security 10.1