1 5.10.2016
Splnit požadavky GDPR nemusí být s DLP složité
Petr Zahálka
2 5.10.2016
DLP - Data Loss Prevention
• Cílená ochrana citlivých dat
• Cílená ochrana osobních údajů
• Nasazení bývá často oddalováno
• Nejsem schopen identifikovat citlivá data
• Nejsem schopen měnit procesy
• Nejsem schopen najít prostředky lidské i finanční
• Rizika si neuvědomuji
• Neznám reálnou hodnotu svých informačních aktiv
3 5.10.2016
GDPR mění důležitost
• Soulad s GDPR je nutností
• Jsou jasná data co musím chránit
• Jsou jasné způsoby ochrany
• Jsou definovaná technická opatření
• Jsou jasné sankce za únik dat
4 5.10.2016
Zaměstnanci jako „hrozba” pro firmy
64% ztrát dat bylo způsobeno loajálními zaměstnanci
50% zaměstnanců odchází s informacemi
Cena značky některých firem sa odhaduje v miliónech
Ztráta Důvěryhodnosti Reputace Kredibility
Přímá finanční ztráta
4
5 5.10.2016
loajální zaměstnanec Zlomyslný zaměstnanec Nespokojený zaměstnanec
Je to o lidech
Tváře „Prevence ztráty dat“
5
6 5.10.2016
Potřebujeme víc než jen technologické řešení.
Netransparentní řešení
6
Kde jsou citlivé informace?
ZJISTI
Jak jsou používané?
SLEDUJ
Jak je nejlépe chránit před zneužitím?
OCHRAŇ
7 5.10.2016
Akce
Ochrana dat je o lidech
7
Detekce a odpověď
Problém
Jana sa snaží odeslat e-mail s citlivými osobními údaji bez toho aby si to uvědomovala
DLP Odpověď
DLP kontroluje obsah a kontext na shodu a ponechá e-mail na serveru
Server: Monitoruje, notifikuje užívatele, šifruje anebo blokuje
Užívatel: Zobrazí se mu upozornění, zdůvodnění, blokuje se e-mail, odstraní se citlivé informace
Výsledek
Pomůže užívateli porozumět a zdůvodnit transparentně rizika
Blokuje anebo šifruje v určitých případech.
Jana G. Loajální zaměstnanec Asistent HR Manažera
SITUACE: Posílá citlivé údaje přes email personální agentuře.
8 5.10.2016
Igor V. Loajální zaměstnanec Asistent Compliance
SITUACE: Kopíruje citlivé údaje na USB klíč
Akce
8
Problém
Igor kopíruje neveřejnou finanční zprávu na USB klíč
DLP Odpověď
Analýza je vykonaná na jeho počítači na základě politik
Monitoruje , vytvoří záznam a upozorňuje
Automaticky šifruje soubory na USB.
Výsledek
Automaticky zabezpečí citlivé informace
Zvyšuje viditelnost kde sa citlivé informace pohybují.
Změna chování užívatelů
Ochrana dat je o lidech
Detekce a odpověď
9 5.10.2016
Co je a co není Data Loss Prevention
• DLP není standardní bezpečnostní nástroj
• Je to Enterprisová aplikace, která vám umožní
vidět konkrétní rizika, dovolí zachytit citlivá data
a tím:
• Zjistit a odstranit špatné procesy
• Vyškolit zaměstance a změnit jejich chování
• Snížit rizika a tím ochránit organizaci
• Umožní ochranu dat měřit
10 5.10.2016
Požadavky GDPR na šifrování a anonimizaci
• Mohu splnit jednoduše nasazením DLP
• Mohu šifrovat pouze určená data
• Mohu pracovat bezpečně s anonimizovanými
daty
11 5.10.2016
Defense-In-Depth: Encryption + Data Loss Prevention
11
Network DLP / Email Gateway Encryption •Automaticky šifruje emaily obsahující citlivá data •Upozorní zaměstnance v reálném čase o šifrování obsahu policies and tools Storage DLP / Shared Storage Encryption •Nalezne kde jsou citlivá data uložena a automaticky je zašifruje •Jednoduše, bez nutné účasti zaměstnance, nebo IT
Endpoint DLP / Endpoint Encryption •Zaměřeno na rizikové uživatele, kde nalezne citlivá data na jejich počítačích •Ochrání a umožní práci tím že šifruje cíleně pouze citlivá data například kopírovaná USB zařízení
12 5.10.2016
90% of DLP is Incident Response
1
2
Right Automation Resolution, Enforcement, Notification Right Person Route Incidents to Right Responder Right Order High Severity of Incidents First Right Information 5 Second Test Right Action 1 Click Response Right Metrics Prove Results to Execs and Auditors
13 5.10.2016
• 13
Universal Reporting Across All Threats
14 5.10.2016
• 14
Multi-Level Summarization Reporting
In this Report, Accounting has the most Incidents, SSN’s
related
15 5.10.2016
Měřitelnost
16 5.10.2016
Shrnutí
• Ochrana dat musí být cílená
• Potřebuji vědět kde data leží a jak se s nimi pracuje
• Potřebuji pokrýt všechna rizika, všechny vektory úniku
• Lepší je mít jedno řešení, které mi zajistí kompletní ochranu, než mít více oddělených
• Pozor na právní důsledky podrobného monitorování korespondence a činnosti uživatelů
• Pokud potřebujete pomoci s analýzou stávajícího stavu a navrhnout optimální řešení obraťte se na nás!
17 5.10.2016
Seminář na téma „Ochrana osobních údajů v
souladu s GDPR“ 8.11. Avnet
• Obecný úvod do bezpečnosti a ochrany dat • Ochrana dat
• Stávající povinnosti v ochraně osobních údajů …
• Ochrana osobních údajů a bezpečnost dat - srovnání stávající právní úpravy a GDPR • Základní principy zpracování osobních údajů
• Smlouva o zpracování osobních údajů
• Zabezpečení údajů
• Nahlašování Data breaches
• Práva subjektů údajů
• Předávání osobních údajů do zahraničí
• Postih za porušení předpisů na ochranu osobních údajů
• Sektorová regulace cloudu
• Cílená ochrana osobních ůdajů a citlivých dat • Data Loss Prevention princip
• Možnosti
• Úskalí
• Zkušenosti
18 5.10.2016
Děkuji za pozornost
S případnými dotazy se na mně neváhejte obrátit
Ing. Petr Zahálka
Avnet s.r.o.
602354836
19 5.10.2016
Technologie detekce dat a dokumentů
Described Content Matching (DCM)
• Porovnání popsaného obsahu dat, zpráv a vztahů
Exact Data Matching (EDM)
• Přesné porovnání strukturovaných a nestrukturovaných dat
Indexed Document Matching (IDM)
• Detailní porovnání nestrukturovaných dat
Vector Machine Learning (VML)
• Porovnání podobnosti nestrukturovaných dat
Directory Group Matching
• Porovnání identit uživatelů podle databáze, adresáře serveru
• Symantec Data Loss Prevention
19
20 5.10.2016
Vstupní data: Datové identifikátory
• Regulární výraz - speciální řetězec znaků, který představuje určitý vzor (masku) pro textové řetězce
• Rodná čísla, čísla jednací, …
• Čísla kreditních karet - plus jejich verifikace
• Vlastní číselné řady - plus jejich verifikace
• Klíčové slova (klíčové fráze, slovníky)
• Metadata souboru, klasifikace dokumentů
DCM Opisné Data
Opisné Data
Metoda DCM je velmi často používána v
kombinaci s jinými metodami odhalování
citlivých dat, čímž se dosáhne minimalizace
false positive.
21 5.10.2016
Vstupní data: Strukturované data
21
• Strukturovaný seznam
• Jako vstupní formát
• Excel *.xls,
• Textový soubor *.txt,
• Datový soubor *.dat,
• …
• 200 000 řádků, 2GB pro jeden import
• 300 mil záznamu/protect server
EDM Strukturované Data
• Excel *.xls
• Strukturovaný seznam *.txt, *.dat, …
Strukturované Data
Symantec Data Loss Prevention
22 5.10.2016
Vstupní data: Nestrukturované data
22
• Word *.doc
• Adobe *.pdf
• Visio *.vsd
• Power Point *.pst
• AutoCad
• Zdrojový kód
• Finanční reporty, Obchodní smlouvy,…
IDM Nestrukturované Data
Nestrukturované Data
• Word *.doc, Adobe *.pdf
• Visio *.vsd, Power Point *.pst
• AutoCad, Zdrojový kód
• Finanční reporty, Obchodní smlouvy
23 5.10.2016
Detekce obrázku s OCR rozšířením
Email with an invoice
attached as a scan (TIFF file format)
Symantec DLP
OCR plug-in
MODI (Microsoft
Office Document Imaging)
Text extracted from the image
23
• Používá MS Office 2007 OCR
• Screenshots
• Obrázky s citlivými daty
• Skenované dokumenty
24 5.10.2016
Příklad detekce s OCR
24
[Tax ID#] 9512345994
[Keyword] Symantec Poland
[Bank Account#] 90 1440
1390 0000 0000 1361 4229
[Tax ID#] 1080000094
invoice.tiff extracted text
that can trigger incident
25 5.10.2016
Příklad detekce s OCR
25
26 5.10.2016
Kombinace AND/OR a dalších technologií pro
minimalizaci false positive incidentů
• Ke snížení počtu false positive incidentů se doporučuje kombinace pravidel pomocí logických operátorů AND/OR a kombinace různých detekčních technologií.
• Příklad: kombinace technologií EDM a DCM. • EDM - Jména, Příjmení, Seznam obcí a měst
• DCM –Datové identifikátory (RČ)
26
27 5.10.2016
Řešení: DLP + Vector Machine Learning
Symantec Proprietary & Confidential - This information is not a commitment, promise or legal obligation to deliver any material, code or functionality
27
Automatizace hledání klíčových slov, snazší ladění pravidel
Vyšší přesnost detekce, méně falešných poplachů
Nalezení nových dat bez nutnosti předchozí tvorby otisků
Funguje všude: koncový bod, síť i úložiště
• Symantec Data Loss Prevention
Popis Otisky dat Popis Otisky dat
Učení
28 5.10.2016
Jak to funguje: Vector Machine Learning
Přínosy
Jednodušší tvorba přesných pravidel – nic se nemusí popisovat
Vystačí s menším množstvím vzorků než datové otisky
Nižší náklady na správu a vylepšená přesnost
28
• Symantec Data Loss Prevention
29 5.10.2016
Directory Group Matching (DGM)
• Pomocí této metody jsme schopni odhalit přesnou identitu uživatelů dat, odesílatelů a
příjemců emailů a tím dále zpřesnit pravidla pro vyhledávání citlivých dat nebo pro
udělení výjimky.
• Skupiny uživatelů, odesílatelů a příjemců mohou být porovnávány se seznamy
emailových adres, IP adres, IM jmen nebo s LDAP skupinami.
• Příklad: Výjimky - Nebudou se monitorovat zaměstnanci pracující ve společnosti
Deloitte jako příjemci citlivých dat podle určité politiky.
29