Решения Symantec для защиты информации и архивирования данных в корпоративной ИТ-инфраструктуре Алексей Дудников

1. Решения Symantec
для защиты информации и архивирования
данных в корпоративной ИТ-инфраструктуре
Алексей Дудников

2. Case study: Symantec
2

3. Традиционные методы защиты данных
Информация
Шифрование
Защита от вредоносного ПО
Защита периметра от аутсайдеров

4. Традиционные методы защиты данных
Информация
Шифрование
Защита от вредоносного ПО
Защита периметра от аутсайдеров
Традиционные
системы защиты
ориентированы
на хранилища
информации,
игнорируя сами данные

5. Решение DLP должно защищать ВАЖНЫЕ данные
5
Информация о клиентах Информация компании
Данные кредитных карт
Медицинские данные
Персональные данные
Финансовая информация
Интеллектуальная
собственность
Внутренние аудиты
Стратегия и развитие
Данные отдела кадров

6. Инсайдеры
добропорядочные
Инсайдеры
злонамеренные
Внешние угрозы
За всем стоят люди
Угрозы данным
6

7. Нужно больше чем просто технологии.
7
Где находятся
данные?
ПОИСК
Как используются?
МОНИТОРИНГ
Как предотвратить
утечку?
ЗАЩИТА
Решение DLP должно защищать ВАЖНЫЕ данные

8. Как работает Symantec Data Loss Prevention
8
ПОЛИТИКА ЗАЩИТЫ ОТ УТЕЧКИ
Содержимое
Кредитные карты
Персональные
данные
Интеллектуальная
собственность
Контекст
Кто?
Что?
Куда?
Действие
Уведомление
Запрос
объяснения
Шифрование
Предотвращение
Уведомление
Пользователь
Руководитель
Служба ИБ
Эскалация
РЕАГИРОВАНИЕОБНАРУЖЕНИЕ
Находит. Исправляет.

9. Действие
За всем стоят люди
9
Обнаружение
и реакция
Проблема
Betty пытается
отправить
конфиденциальную
информацию, не
зная что она
конфиденциальная
Реакция DLP Результат
Помощь в обучении
пользователей
Блокировка или
шифрование
передаваемых
данных
Betty G. Добропорядочный инсайдер
Asst. HR Manager | Midwestern Insurance Company
Ситуация: Отправка данных по электронной почте
Network: DLP
проверяет контент и
контекст
совершаемого
действия на границе
периметра
Endpoint: DLP
проверяет письмо
после нажатия
пользователем
«отправить»
Network: Контроль,
уведомление
пользователя,
шифрования или
блокировка
Endpoint:
Отображение окна
предупреждения,
запрос объяснения,
блокировка письма
или удаление
контента
Преимущество Symantec
Обнаружение Производительность
Широкий охват Гибкость действий

10. Sanjay V. Добропорядочный инсайдер
Assistant Controller | Manufacturing Company
Ситуация: Копирование данных на съемный носитель
Действие
10
Проблема
Sanjay копирует
важные финансовые
данные на съемный
носитель
Реакция DLP
Endpoint агент
анализирует контент
согласно
настроенным
политикам
Контроль,
фиксирование факта
или уведомление
Автоматическое
шифрование при
помощи SEE
Результат
Автоматическое
шифрование
контента
Понимание каналов
утечки информации
Изменение
поведения
пользователей
Конкурентное преимущество
Легковесный агент Доверенные устройства
Политики на базе Автоматическое
групп пользователей шифрование
За всем стоят люди
Обнаружение
и реакция

11. Действие
11
Проблема
Charles хранит
исходные коды на
открытом
внутреннем ресурсе
DLP Response
Network Discover
сканирует ресурсы и
находит исходные
коды, Data Insight
сообщает, что
владельцем
исходного кода
является Charles
Network Protect
может:
• Уведомить Charles
• Зашифровать
данные
• Переместить
данные
• Применить
политику RM
Результат
Усиление
безопасности
данных, ограничение
доступа к данным
только минимально
необходимыми
правами
Широкий охват Определение владельцев
Шифрование Реакция на базе владельца
Charles N. Добропорядочный инсайдер
Software Developer | Investment Banking Firm
Ситуация: Обследование инфраструктуры на наличие КИ
За всем стоят люди
Обнаружение
и реакция
Конкурентное преимущество

12. Действие
12
Проблема
Недовольный или
увольняющийся
сотрудник передает
данные по
электронной почте
или копирует на
съемный носитель
Реакция DLP
DLP контролирует
активность на
рабочей станции и в
сети
Уведомление
пользователя о
нарушении
Уведомление
службы ИБ,
руководителя,
сотрудника отдела
кадров
Блокировка
передачи
Результат
Информация не
покидает
организацию
Люди знают, что за
ними ведется
наблюдение
Защита данных на ПК
Настраиваемые уведомления
Эскалация инцидентов
Блокировка передачи
Mimi L. Злонамеренный инсайдер
Soon-to-be-former Account Executive | Staffing Firm
СИТУАЦИЯ: Попытка скопировать информацию о клиентах
За всем стоят люди
Обнаружение
и реакция
Конкурентное преимущество

13. Современные механизмы анализа содержимого
13
Described
Content Matching
Indexed Document
Matching
Vector Machine
Learning
Описание
Неиндексируемые
данные
Слова
Идентификаторы
Структурированные
данные
Данные заказчиков
Зарплаты,
финансы, отчеты...
Практически 100%
детектирования
Неструктурированные
данные
Интеллектуальная
собственность
Разрботки,
финансовые
документы...
Очень низкая
вероятность
ошибки
Неструктурированные
данные
Интеллектуальная
собственность
Разрботки,
финансовые
документы...
Очень низкая
вероятность
ошибки
Exact Data
Matching

14. 14
Архитектура Symantec DLP
Корпоративная ЛВС DMZ
Вне сети
(отключена)
Network
Discover
Network
Protect
Endpoint
Discover
Endpoint
Prevent
MTA
SPAN Port or Tap
Enforce
Platform
Network
Monitor
Network
Prevent
for Email
СетьХранение
Конечные точки
Политики/
Управление
Network
Prevent
for Web
Web Proxy
Data
Insight
Oracle

15. Нужно гораздо больше, чем просто технологии
90% DLP – это работа с инцидентами
15
Автоматизация: исправление, уведомление
Правильные люди: инциденты расследуют те, кто должны
Приоритеты: разбор инцидентов в порядке важности
Все данные в одном месте: 5 Second Test
Действия под рукой: выполнение за 1 щелчок мышью
Правильные метрики: для аудиторов и руководства

16. 16
Enterprise Vault
Архивирование – основа стратегии
управления информацией

17. Symantec: «Резервная копия – для восстановления
Архив – для расследования»
• Восстановление систем после
логического или физического сбоя
• Объекты – файл, БД, том, приложение
• Участники:
– IT
– Help desk
17
Восстановление Расследование
• Поиск по различным источникам – почта,
файлы, портал SharePoint, мгновенные
сообщения, социальные сети
• Судебные разбирательства, внутренние
расследования, аудит
• Участники:
– IT Security
– Law
– HR

18. Задачи управления информацией
18
• Мышление пользователя: хранить все и вечно
• Дублирование информации приводит к
увеличению объемов хранения
• Окна резервного копирования сокращаются
1
• Хранение больше необходимого увеличивает
расходы
• Вечное хранение – бесконечные расходы
2
• Хранение дешево, поиск и обработка дороги
• Неправильное использование систем РК
• Неэффективные процедуры поиска
3
Объемы информации
быстро растут
Боязнь удалить
что-нибудь нужное
Поиск всегда
проблема

19. LEGAL
Платформа архивирования Enterprise уровня
19
КЛАССИФИКАЦИЯ
Store
Миграция
Дедупликация
Сжатие
Прозрачность
Manage
Хранение
Сохранение
Удаление
Аудит
Архив
Discover
Поиск
Обработка
Расследования
Контроль
INFO
SEC
EMAIL
SERVERS
FILE
SERVERS
IM
SERVERS
SHAREPOINT
LEGACY
DATABASES
DESKTOPS
ECM
HR
END
USERS

20. Exchange+EV
• Платформа и миграция
– архивирование не только почты
– архивирование журнала почты Exchange
– архивирование старых версий Exchange
– архивные почтовые ящики малы по объему – быстрая миграция
– при миграции на 2010 не будет «раздутия» хранилищ
• Работа пользователей
– Доступ к архиву offline и из старых версий Outlook
– Быстрый и простой поиск по архиву
20

21. Electronic Discovery Reference Model
21

22. Information
Management
Identification
Preservation
Collection
Processing
Review
Analysis
Production
eDiscovery Timeline
Symantec Enterprise Vault™
Clearwell
The Electronic Discovery Reference Model (EDRM)
Решения Symantec относительно EDRM
22
Discovery Accelerator

23. BackupExec
Information Management
Интеграция решений Symantec
23
The Electronic Discovery Reference Model (EDRM)
Information Management Identification
Preservation
Collection
Processing
Review
Analysis
Production
Enterprise Vault
Clearwell
Discovery/Compliance Accelerator
Data Classification
Services
Data Loss Prevention Data Insight
NetBackup
EV Extensions (STEP)

24. Спасибо за внимание
24