Видеозапись выступления http://www.youtube.com/watch?v=vXlyuGXAZzU
--
Какой бы нам хотелось видеть защиту данных завтрашнего дня и почему. Будущее, к которому захочется устремиться.
На слайдах вариант на русском, который использовался для поддержки моего выступления на DLP Russia 2011. Смотреть презентацию лучше с анимацией, скачав pptx.
Data Luxury Protection - защита данных с удовольствием!
1. Click to edit Master title style
Click to edit Master text styles
Data Luxury Protection (DLP) – защита данных
с удовольствием!
Валерий Боронин
руководитель лаборатории защиты информации от внутренних угроз,
Лаборатория Касперского
DLP Research, R&D, Kaspersky Lab
28 октября 2011
InfoProstranstvo, Moscow
Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
2. Click to edit Master title style
Разрешите представиться!
Об авторе
Click to edit Master text styles
Валерий Боронин,
руководитель лаборатории защиты информации от
внутренних угроз, ЗАО "Лаборатория Касперского".
В индустрии 15+ лет, в «безопасности» с 1999
В ЛК отвечаю за исследования и разработку
технологий в области DLP и защиты данных
До ЛК трудился в
• Entensys (продукты семейства UserGate, CTO)
• Lumension (линейка Application & Device Control)
• TrustDigital (стартап поглощен McAfee в 2010)
• Parallels (бывший SwSoft) и других
Консультировал и работал на заказ
Page 2 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
3. Click to edit Master title style
Click to edit Master text styles
Кто это?
И как эти люди
связаны с темой?
Data
Luxury
Protection
Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
4. Защита данных. DLP. Мириады определений и терминов
Click to edit Master title style
Какой правильный? styles
Click to edit Master text Что откуда растет? Что тут синонимы?
DLP: Это… НАСЧЕТ ЭТОГО?!
А КАК
или ЭТО?!
Data
1) Data Leakage Protection (DLP) Privacy
Information Leak Protection (ILP)
2) Data Leak Prevention (DLP) Information Leak Prevention (ILP)
Data
3) Data Loss Prevention (DLP) Information Protection and Control (IPC)
Security Luxury Protection (DLP) ? ;))
Data
Information Leak Detection & Prevention (ILDP)
Information
Content Monitoring & Filtering (CMF) Privacy
Information
Extrusion Prevention System (EPS) Data
Information Security
Protection
Protection
ENCRYPTION
Page 4 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
5. Click to edit Master title style
Data Privacy: 4 Требования и 7 Принципов
Всесторонняя, хорошо продуманная программа защиты данных учитывает:
Click to edit Master text styles
Confidentiality — the need to protect against unauthorized access to information
Integrity — the ability to ensure that information is not improperly changed/deleted
Availability — the ability to provide appropriate access to stakeholders
Privacy — the assurance that personal information is used only for the specific
business purpose for which it was collected
The 7 principles governing the OECD’s recommendations for protection of personal data
Notice - data subjects should be given notice when their data is being collected;
Purpose - data should only be used for the purpose stated and not for any other purposes;
Consent - data should not be disclosed without the data subject’s consent;
Security - collected data should be kept secure from any potential abuses;
Disclosure - data subjects should be informed as to who is collecting their data;
Access - data subjects should be allowed to access their data and make corrections to any
inaccurate data;
Accountability - data subjects should have a method available to them to hold data
collectors accountable for following the above principles.[2]
Page 5 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
6. Click to начинается title style
Откуда edit Master защита данных? Privacy.
Click to edit Master text styles
Privacy (Права Человека и Закон)
Data Privacy (Люди и Процессы, ПО и Железо)
Information (данные, имеющие смысл) Privacy
Технологии защиты
Data Security = Data Protection данных включают в себя
широкий набор решений
Information Security = Information Protection предназначенных для
защиты конфиденциальных
DLP – Data Loss Prevention данных при их хранении,
передаче или
Data Leakage Protection (DLP) использовании
Information Leak Protection (ILP)
Information Leak Prevention (ILP)
Information Protection and Control (IPC)
Information Leak Detection & Prevention (ILDP)
Content Monitoring and Filtering (CMF)
Extrusion Prevention System (EPS)
Page 6 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
7. Click toPrinciples > Data Protection > Information Protection
Privacy edit Master title style
Click to edit Master text styles
Information Protection
Identify Who, What, Where and Confidentiality & Integrity
When of data access. Availability. Risks Data Loss & Theft
IAM Encryption
Deep Content Inspection + Context Rules
Content-Aware DLP
Disclosure. Audit. Restrict What should be monitored and
distribution and use of assets where. Ex: SIEM, DAM
E-DRM/RMS Monitoring
Page 7 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
8. ПЕРЕХОД ОТ DLP К DATA PROTECTION
Click to edit Master- title style
Securityedit Master text styles and Detective
Click to Controls are Preventive
Data Protection
Identify Who, What, Where and Confidentiality & Integrity
When of data access. Availability. Risks Data Loss & Theft
IAM Encryption
Deep Content Inspection + Context Rules
Content-Aware DLP
Disclosure. Audit. Restrict What should be monitored and
distribution and use of assets where. Ex: SIEM, DAM
E-DRM/RMS Monitoring
Page 8 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
9. КАКОЙ МЫ ВИДИМ ЗАЩИТУ ДАННЫХ СЕЙЧАС?
Click to edit Master title style
Click to edit Master text о DLP…
Иногда мы слышим styles
МНЕНИЯ И ОТЗЫВЫ ЭМОЦИИ И ОЩУЩЕНИЯ
СЛОЖНЫЕ БЕСПОКОЙСТВО
И НЕУВЕРЕННОСТЬ
ТЯЖЁЛЫЕ
НЕДОВЕРИЕ
НЕУДОБНЫЕ И СОМНЕНИЕ
КОРЯВЫЕ
СОЖАЛЕНИЕ
НЕНАДЁЖНЫЕ
ТЩЕТНОСТЬ И
НЕПОНЯТНЫЕ БЕССМЫСЛЕННОСТЬ
НЕПРЕДСКАЗУЕМЫЕ
РАЗОЧАРОВАНИЕ
БЕСПОЛЕЗНЫЕ
ПЕССИМИЗМ
ДОРОГИЕ НЕВЕРИЕ
СЛОЖНЫЕ НЕПРИЯТИЕ
Page 9 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
10. ClickСЕГОДНЯ – ЧТО НУЖНО УЛУЧШАТЬ?
DLP to edit Master title style
И ГДЕ НАМ ВЗЯТЬ УДОВОЛЬСТВИЕ?!
Click to edit Master text styles
DLP БУДУЩЕГО - РЕЗЕРВЫ ДЛЯ РОСТА:
1. СЛОЖНОСТЬ –> НЕНАДЕЖНОСТЬ –> НЕУДОБСТВО
–> НЕЭФФЕКТИВНОСТЬ –> ДОРОГО
2. ЧЕЛОВЕЧЕСКИЙ ФАКТОР учитывается недостаточно
РЕГЛАМЕНТЫ отсутствуют или не слишком работают
DLP на практике: доказать нарушение легко, а вот
умысел и причастность человека очень сложно, т.к.
«Логи ведут к Компьютеру, а не к Человеку»
3. АВТОМАТИЗАЦИЯ в зачаточном состоянии
4. НЕТ ОТКРЫТЫХ СТАНДАРТОВ – «привязка» к ПО
5. НЕТ ОБЪЕДИНЯЮЩЕГО ИНСТРУМЕНТАРИЯ
Page 10 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
11. Click to edit Master title style ЧЕМ СЛОЖНОСТЬ?
1. DLP СИСТЕМЫ СЕГОДНЯ - В
1000 to edit Master text styles
Click ТЕХНОЛОГИЙ!
Gartner research estimates that more than 800 technology vendors and
other providers currently have data security offerings. Numerous
nontechnical controls are also available. The difficulty of understanding all
these options, their benefits and their challenges tends to lead to enterprises
using limited subsets of the available tools and having serious gaps in controls
and risk mitigation
Typical Elements of an Enterprise Data Security Program, Gartner, Aug 2009
Page 11 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
12. 2. ЛЮДИ. ЧЕЛОВЕЧЕСКИЙ ФАКТОР учитывается слабо
Click to edit Master title style
Зачем нужна осведомлѐнность (User Awareness)
Click to edit Master text styles
Человек – самое слабое звено.
Что делать? (кликабельно)
100% ЗАЩИТИТЬ!
успешных
APT атак
90%
направлены
на человека
(Mandiant)
Зловредов
нужно участие 75% 60
пользователя
(Symantec) %
инцидентов из-за
«человеческого
Инциденты безопасности фактора» случайные ошибки
(InfoWatch)
Page 12 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
13. Click to editИНЦИДЕНТ. style ДЕЛАТЬ?
3. ВОЗНИК Master title ЧТО
Процесс управленияstyles
Click to edit Master text инцидентами (Incident Management Workflow)
Page 13 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
14. Click to edit Master title style или не слишком работают
3. РЕГЛАМЕНТЫ отсутствуют
УПРАВЛЕНИЕ ИНЦИДЕНТАМИ И РАССЛЕДОВАНИЯ
Click to edit Master text styles
ПОД ПОДПИСЬ: Сопутствующие работе по инциденту:
Объяснительная
Резюме
Служебная записка об инциденте
Приказ о расследовании
Служебная записка о привлечении
людей
Справка с деталями и
предложениями об инциденте
Служебная записка руководству о
предлагаемых мерах наказания
виновных
Приказ о наказании
И другие
Page 14 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
15. 3. Инциденту в реальной жизни сопутствует…
Click to edit Master title style
… но в DLP системах часто отсутствует
Click to edit Master text styles
ДЕЙСТВИЯ (включая схемы запросить-разрешить)
• Уточнить, классифицировать тяжесть, создать комиссию, провести расследование,
• скорректировать план мероприятий, изменить внутренний регламент..
МЕРЫ (экстренные, профилактика, наказание и т.д.)
УДОБСТВО (действия и решения – реакция «в 1 клик»)
• задать секретность, связать событие с инцидентом, принять меры и т.п.
ИНСТРУКЦИИ и ПОДСКАЗКИ (что делать, напоминалки)
ДЕЛО ПО ИНЦИДЕНТУ (что произошло и почему)
• кто, когда, что и как нарушил, какой статус, какие меры приняты, кто был в
комиссии, какие были документы, как вел себя сотрудник (признал вину полностью,
частично, опроверг, был агрессивен), какое последовало наказание и т.п..
ПРОФИЛИ (пользователя, устройства, конечного узла)
MЕТРИКИ ЭФФЕКТИВНОСТИ (принятых мер, DLP в целом)
Page 15 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
16. 4. Учесть человека, регламенты. Увязать с технологиями
Click to edit Master title style
АВТОМАТИЗАЦИЯ styles
Click to edit Master text и УПРАВЛЕНИЕ ИНЦИДЕНТАМИ
Роли (не только в UI) и Иерархии
Все настраиваемое
Политики (Копи-паст, ссылки и т.п.)
Все на шаблонах
События (расширение, накопление, Все с предустановками
переоценка по триггеру) Все на открытых стандартах
Инциденты (прицеп документов, НИЧЕГО ЖЕСТКО ВШИТОГО!
комментариев, истории действий, Дело)
Процессы (Workflow) и Триггеры
Направление (внос-вынос)
Метрики эффективности (KPI)
Полномочия (только на чтение)
ТРИАДА: Ограничения (Limits)
1. Отчеты
Сигналы тревоги (Alerts)
2. Построитель Запросов (Query Builder) Уведомления (Notifications)
3. Контрольная Панель (Dashboard)
Обоснования (Justification)
Архивы и доказательная база Осведомленность (Awareness)
Поиск и анализ Прозрачно ли для пользователя
Page 16 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
17. 5. ОБЪЕДИНЯЮЩИЙ ИНСТРУМЕНТАРИЙ
Click to edit Master title style
ИНТЕГРАЦИЯ, ПОСТОЯННОЕ СОВЕРШЕНСТОВАНИЕ, СИНЕРГИЯ
Click to edit Master text styles
Page 17 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
18. Click to МЫ ХОТИМ title style ЗАЩИТУ ДАННЫХ
КАКОЙ edit Master ВИДЕТЬ
Click to edit Master text styles
DLP ДОЛЖНА БЫТЬ: DLP ДОЛЖНА НАМ ДАТЬ:
ПРОЩЕ И ЛЕГЧЕ ПРОСТОТА.
НАДЕЖНЕЕ СПОКОЙСТВИЕ.
И БЕЗОПАСНЕЕ БЕЗОПАСНОСТЬ. НАДЁЖНОСТЬ.
УДОБНЕЕ И Protection (DLP) –УВЕРЕННОСТЬ.
Data Luxury защита данных
КОМФОРТНЕЕ удовольствием! ПРЕДСКАЗУЕМОСТЬ.
с
ПОНЯТНОСТЬ.
ПОНЯТНЕЕ И ДОВЕРИЕ.
ПРЕДСКАЗУЕМЕЕ ГАРМОНИЯ И КРАСОТА.
ПОЛЕЗНЕЕ КОМФОРТ.
ЭФФЕКТИВНЕЕ
ПОЛЬЗА.
ШИРЕ ДЕШЕВЛЕ
УДОВОЛЬСТВИЕ!
Page 18 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
19. Click to edit Master title style
Click to edit Master text styles
Data Luxury Protection (DLP) – защита данных
с удовольствием!
Ничто не поражает с такой силой как роскошь,
когда её видишь первый раз
Виктор Гюго. Человек, который смеѐтся.
Luxury ['lʌgʒ(ə)rɪ ], ['lʌkʃ(ə)rɪ] (англ.)
1.Роскошь, богатство
2.Наслаждение, большое удовольствие
Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
20. Gabrielle Bonheur "Coco" Chanel о роскоши
Click to edit Master title style
Обещанный ответ styles
Click to edit Master text
РОСКОШЬ — ЭТО КОГДА ИЗНАНКА ТАК ЖЕ КРАСИВА, КАК И ЛИЦО.
Коко Шанель
РОСКОШЬ ДОЛЖНА БЫТЬ УДОБНОЙ, ИНАЧЕ ЭТО НЕ РОСКОШЬ.
Коко Шанель
Page 20 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
21. Click to edit Master title Chanel о DLP
Gabrielle Bonheur "Coco" style
Click to edit Master text styles
DLP — ЭТО КОГДА ИЗНАНКА ТАК ЖЕ КРАСИВА, КАК И ЛИЦО.
Коко Шанель, из неопубликованного
Data Luxury Protection (DLP) – защита данных
с удовольствием!
DLP ДОЛЖНА БЫТЬ УДОБНОЙ, ИНАЧЕ ЭТО НЕ DLP.
Коко Шанель, из неопубликованного
Page 21 Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
22. Click to edit Master title style
Data Luxury Protection (DLP) – защита данных
Click to edit Master text styles
с удовольствием!
Спасибо за внимание!
Есть вопрос?
Контакт для связи:
DLP Research, R&D, Kaspersky Lab
28 октября 2011
InfoProstranstvo, Moscow
Data Luxury Protection , Валерий Боронин, ЛК 28 октября 2011
Notes de l'éditeur
Европейская конвенция по правам человека в части неотъемлемого права человека на защиту частной жизни содержит 4 базовых требования и опирается на 7 основополагающих принципов. Всесторонняя, хорошо продуманная программа защиты данных должна их учитывать.
Мы видим что DLP занимает центральное место среди технологий защиты данных, но в одиночку не может обеспечить выполнение всех требованийи принципов, которые были на предыдущем слайде. Главное отличие от других технологий – опора на глубокий анализ содержимого (файла, документа, объекта, траффика и т.п.). Нет анализасодержимого – это не DLP.
Механизмы контроля безопасности делятся на те которые позволяют предотвратить инцидент и те, которые выявляют нарушение по факту и гарантируют неотвратимость наказания нарушителя. Процесс интеграции DLP с технологиями шифрования идругими ужеидет вовсю. Но важно четко понимать – далеко не все что помогает бороться с утечками есть DLP. Мы все чаще используем шифрование и системы контроля прав (RMS).Политики у нас повязаны через Управление идентификацией и доступом (IAM), корреляция событий – мониторинг тоже уже не редкость. И поэтому мы уже фактически перешли от DLP к защите данных (DP)! Но у нас остается буква L – так давайте найдем ей применение! ;-)
Реальная жизнь.Марсиане. Отпуск. DLP система не скажет про присутствие непосредственного начальника. Откуда берутся инциденты в реальной жизни. Что есть инцидент. может ли DLP работать без регламентов? Запросто. Подсказывают ли DLP системы что их логи нелегитимны без такого то пункта в регламентах, доведенных под роспись? Нет. Сейчас все это приходится знать помнить и делать, доводить до каждого людям вручную, что непросто и чревато ошибками.
DLP система будущего могла бы помочь: писать документы, справки, приказы, корректировать регламенты, строить отчеты. подсказать нам каковы оказались итоги расследований: сколько людей было депремировано, уволено, получило выговор и т.п. Помочь с контролем эффективности наказаний и принятых мер, вычислять метрики эффективности. Помочь с напоминаниямив зависимости от статуса инцидента -например, пользователю напомнитьчто от него ждут объяснительную в такой-то срок.
1) Сейчас разрыв между реальностью и DLP призваны закрывать люди - но тут нам тоже нужна помощь, которую DLP системы могли бы дать:Должна быть кнопка Сформировать описание инцидента - человекочитаемый текст, разъясняя, что произошло, почему (причина) и что делать (рекомендации, содержащие ссылку на более подробное описание и возможные реакции). Если ОБ согласен с рекомендациями, он жмет Выполнять (применить). Для ОБ нужно предлагать только базовые реакции (запретить конкретную флешку конкретному юзеру, все флэшки). После выбора реакции должно происходить автоматическое документирование (по такому-то инциденту были предприняты такие-то меры тем-то человеком), чтобы админ, который пишет правила, мог их учесть и расширить политики. Нужен фильтр, что уже было сделано (хочу отрубить флешку, а мне этот вариант не показывают). У админа должен быть режим отладки при написании правил.2)Рейтинги репутации\\опасности (пользователя, устройства, конечного узла) по профилю пользователя. По данной информации СБ может делать анализ и прогнозировать опасность пользователя (субъективная оценка) и делать выборки по группам риска. HRможет выявлять нелояльность. IT – неэффективность использования ИТ-ресурсов.
ПК-устройство-пользователь-событие-инцидент Связь инцидента с политиками, процессами, KPI, документами, мерами и т.п. Программы обучения в кач-ве принятых мер и т.п.Отчеты. Для построения отчетов нужен Query Builder (так как отчеты могут требоваться самые разные) с возможностью сохранять queries. И выводить их потом на контрольную панель. ПРО ОТКРЫТОСТЬ И НАСТРАИВАЕМОСТЬ. ПРО ПОЛЬЗУ ДЛЯ SMB КАК РАЗ ПРИ ТАКОМ РАСКЛАДЕ.
И в этом месте я был бы готов закончить свое выступление, если бы не обещал вам раскрыть секрет …По поводу богатства - дело не в том, что жить с деньгами очень уж хорошо, а в том, что жить без них очень уж плохо. (Уинстон Черчилль)
… что делают эти люди в моем докладе? Это Дали и Шанель. Они понимали толк в роскоши! Мне очень нравится 2 цитаты Коко Шанель о роскоши… потому что…
…на самом деле она говорила о DLP завтрашнего дня! О защите данных – С УДОВОЛЬСТВИЕМ! Спасибо!