valery boronin on dlp russia 2010
DESCRIPTION
Презентация поддерживающая мое выступление на DLP Russia 2010 с темой «Вечная битва за безопасность: угроза велика, а отступать некуда – позади мои данные». Главная мысль: Endpoints – арена грядущих сражений. Курс - на endpoints! - слайд 22. Итоговые выводы полностью - слайд 24. Впервые публично представлена волшебная формула (так зовем ее внутри) защиты endpoints - слайд 25. В контексте внутренних угроз был сделан акцент на важности user awareness (обучение, учет психологии и т.п.) и обязательности забот по минимизации ущерба инсайдерами - слайд 19. PDF в материалах конференции DLP-Russia 2010: http://dlp-expert.ru/sites/default/files/archives/2010/dlp-russia2010-valery_boronin_kl.pdfTRANSCRIPT
Валерий Боронин,
руководитель лаборатории защиты информации от внутренних угроз, Kaspersky Lab
14 октября 2010 года / DLP Russia 2010, Президент-Отель, Москва
Валерий Боронин,
руководитель лаборатории защиты информации от внутренних угроз, Kaspersky Lab
14 октября 2010 года / DLP Russia 2010, Президент-Отель, Москва
Вечная битва за безопасность:Вечная битва за безопасность:угроза велика, а отступать некуда – позади мои данные.угроза велика, а отступать некуда – позади мои данные.
Валерий Боронин, руководитель лаборатории защиты информации от внутренних угроз,ЗАО "Лаборатория Касперского".
15+ лет в IT
В индустрии (ИБ) с 1999 года
До ЛК трудился в компаниях
• Parallels (SwSoft)
• TrustDigital (недавно поглощена McAfee)
• Lumension (SecureWave)
Разрешите представитьсяОб авторе доклада
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 2 |
Угроза велика, а отступать некуда – позади мои данные.Ни шагу назад!
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 3 |
Часть 1 / Вечная битва за безопасностьЧасть 1 / Вечная битва за безопасностьЧто надо оберегать в первую очередь?
Что для этого понадобится?
Что надо оберегать в первую очередь?
Что для этого понадобится?
Часть 2 / Внешние угрозы
Часть 3 / Внутренние угрозы
Часть 4 / Тенденция, которае изменит мир
Часть 5 / Подведение итогов и ответы на поставленные вопросы
Вопросы и ответы
Часть 2 / Внешние угрозы
Часть 3 / Внутренние угрозы
Часть 4 / Тенденция, которае изменит мир
Часть 5 / Подведение итогов и ответы на поставленные вопросы
Вопросы и ответы
Часть 1 / Что надо охранять в первую очередь?3 уровня защиты информации
Защита информации в DLP-системе осуществляется на трех уровнях
Когда данные
• в покое (at rest), т.е. постоянно хранящяяся информация. Хранилища.• в движении, (in motion), сетевой канал перемещения информации. Сети.• в использовании (in use), обрабатываемые в данный момент. Endpoints.
Часть 1 / Вечная битва за безопасностьОни сошлись. Волна и камень, стихи и проза, лед и пламень…
Компьютерная и сетевая безопасность, защита ПО:
Как правило, у атакующего есть врожденное преймущество
Атакующему нужно найти лишь одну брешь, один дефект
Тогда как защищаемуся нужно найти и устранить ВСЕ!
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 6 |
Часть 1 / Криптография - исключениеНаш ответ Чемберлену
в криптографии у защищающегося математическое преймущество
увеличение размера ключа увеличивает количество работы для защищающегося линейно, тогда как для атакующего экспоненциально.
Но криптография – не панацея!
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 7 |
Часть 1 / Для чего нужна криптография?Пример утечки при потере носителя
Проблема, которую призвана решить криптография – это безопасность передачи данных (data in motion).
Безопасность хранения данных (data at rest) – сводится к случаю передачи данных самому себе во времени.
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 8 |
В Национальном управлении архивов и документации National Archives and Records Administration (NARA) произошла крупная утечка информации, в результате которой скомпрометированы персональные данные более 70 млн человек.
Когда один из дисков RAID-массива с БД ветеранов вышел из строя, его отправили поставщику оборудования на диагностику. Анализ выявил непригодность винчестера к ремонту, и диск был передан третьей компании для утилизации. Конфиденциальные сведения с дисков при этом уничтожены не были
Часть 1 / Проблема криптографии в современных СетяхШИФРОВАНИЕ РАНЬШЕ
Время жизни ключа шифрования >= время жизни закрытых им данных
БЕЗОПАСНОСТЬ КЛЮЧЕЙ = БЕЗОПАСНОСТЬ ОТКРЫТЫХ ДАННЫХ.
Управление ключами исторически работало для данных в покое потому что ключ хранился в безопасном месте:
что это за место
?
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 9 |
РАНЬШЕ:
Ключи хранились в "компьютере", который не был привязан ни к какой Сети.
СЕЙЧАС:
Большая часть данных, хранящихся в Сети - в первую очередь для машин.
ПРОБЛЕМА. Ключи не могут быть сохранены в мозгах людей.
Они должны быть в том же компьютере или в той же Сети, что и данные – чтобы ПО могло их найти.
А ЭТО ГОРАЗДО РИСКОВАННЕЙ!
Часть 1 / Проблема криптографии в современных СетяхШИФРОВАНИЕ РАНЬШЕ И СЕЙЧАС. ГДЕ КЛЮЧИ ОТ КВАРТИРЫ?
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 10 |
Часть 1 / Вечная битва за безопасностьВЫВОДЫ
В Сети (особенно Интернет), безопасность линий связи гораздо менее важна, чем безопасность конечных точек (endpoints).
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 11 |
Часть 2 / Внешние угрозыЧасть 2 / Внешние угрозыПлюсы и минусы антивирусов.
Белое окружение.
Плюсы и минусы антивирусов.
Белое окружение.
Часть 2 / Внешние угрозыПлюсы и минусы антивирусов.
Реактивный подход. Теория.
Минус только один – слишком поздно пить боржоми.
• Существует временное окно, когда защиты нет.
Реактивный подход. Практика.
• Эффективность. Защита от известных угроз.• Автоматический режим, Штатная работа в фоне.• Производительность. Снижение практически незаметно.• Низкая цена. Радует!
ВЫВОДЫ:
Защита в компьютерной безопасности по своей сути очень хрупкая.
AV и antimalware защита по-прежнему нужна и экономически более чем оправдана. Разумный выбор!
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 13 |
Часть 2 / Внешние угрозыПлюсы и минусы антивирусов. Белое окружение.
Проактивный подход.
Белое окружение. Доверенные программы. Application Control (AC).
Список доверенного ПО на большом Предприятии – это не миф.
AC защищает от внутренних угроз также хорошо как и от внешних!
Device Control – аналогичная AC модель применима и здесь.
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 14 |
Часть 3 / Внутренние угрозыЧасть 3 / Внутренние угрозыИнсайдеры и вопрос доверия людям.
Могут ли компьютеры решить проблему?
Минимизируем ущерб.
Инсайдеры и вопрос доверия людям.
Могут ли компьютеры решить проблему?
Минимизируем ущерб.
Инсайдеры - извечная проблема.
Инсайдеры - самые опасные из нападающих, потому что
Им доверяют.
Они знают, как работает система.
Они знают, как обеспечивается ее безопасность, ее слабые места.
У них есть доступ.
У них есть возможность.
У них могут быть скрытые мотивы.
Они уже внутри системы безопасности
http://baltimore.fbi.gov/dojpressrel/pressrel10/ba100410a.htm
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 16 |
Часть 3 / Внутренние угрозыИнсайдеры. История Раджендрасинха Макваны.
Часть 3 / Внутренние угрозыИнсайдеры. Минимизируем возможный ущерб.
ТЕХНИКА БЕЗОПАСНОСТИ. Меры по снижению возможного ущерба.
1.Ограничьте число пользующихся доверием лиц
2.Проверяйте что они все еще заслуживают доверия
3.Ограничьте степень доверия для каждого. Компартментализация.
• Выдавать лишь то, что необходимо для выполнения работы. • На время работы, если возможно.
4.Defense in depth: Создавайте перекрывающиеся области доверия.
• В одиночку становится на порядок сложнее обойти систему.
5.Обнаружение нарушений по факту, публичное наказание виновных
• чтобы обеспечить сдерживающий эффект • повысить общий уровень безопасности в обществе / компании / среде. • Вот почему аудит столь важен!
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 17 |
Часть 3 / Внутренние угрозыВыводы.
Меры по минимизации ущерба и обеспечению безопасности - не только для защиты от мошенничества или саботажа, они защищают от более общей проблемы: ОШИБКИ (допущенные по любой причине).
Хорошие системы безопасности используют несколько мер защиты, причем все они работают сообща.
Безопасность предназначена для защиты от нечестных меньшинств.
Защита от внутренних угроз – это в том числе учет психологии делегирования полномочий и доверия.
Это обязательная реализация основных мер по минимизации нанесения ущерба инсайдерами при проектировании систем безопасности, их внедрении и эксплуатации. В том числе и в соответствующем программном обеспечении.
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 18 |
Часть 4 / Тенденция, которая изменит мирЧасть 4 / Тенденция, которая изменит мир
как сегодня меняется наше информационно-технологичное завтра?как сегодня меняется наше информационно-технологичное завтра?
Часть 4 / Тенденции: Консьюмеризация. Мечты сбываются?
Консьюмеризация – когда новые технологии становятся доступными для потребительского рынка, прежде чем они станут доступными для Бизнеса, прежде чем он сможет к ним адаптироваться.
Для Бизнеса это означает, что у людей - сотрудников, клиентов, партнеров - будет доступ к Сети предприятия
• практически отовсюду• с любого устройства• с помощью любого ПО.
Это будет очень-очень УДОБНО!!!
Часть 4 / Тенденции: Консьюмеризация.Жесткая реальность: удобство за счет безопасности.
Консьюмеризация – не будет никакой возможности понять, что люди там у себя используют, и - что еще более важно – тут нет никакого контроля.
Консьюмеризация – просто кошмар для IT и СБ отделов.
Процесс будет только набирать ход.
Часть 4 / Тенденции, которые изменят мир. Консьюмеризация / 3. Выводы.
В консьюмиризированной среде связь между узлами (endpoints) происходит без создания отношений доверия между ними.
• Ненадежные компьютеры подключаются к ненадежным сетям.• Ненадежные компьютеры подключаются к надежным сетям.• Проверенные компьютеры подключаются к ненадежным сетям.
Сама идея "безопасных вычислений" (safe computing) содержит совершенно новый смысл – теперь каждый сам за себя.
Микрософт уже предложил отключать «от аппарата» зараженные машины.
Вывод 1. Корпоративной Cети будет нужен антивирус на шлюзе и серверах. И каждому пользователю тоже понадобится аналогичная программа для защиты своего компьютера, включая новые устройства.
Вывод 2. Ровно те же соображения касаются и DLP-решений.
Endpoints – арена грядущих сражений. Курс - на endpoints!
Часть 5 / Подводим итогиЧасть 5 / Подводим итогиВыстраиваем звенья защиты для endpoints.
Лаборатория Касперского – новый игрок на DLP рынке.
Выстраиваем звенья защиты для endpoints.
Лаборатория Касперского – новый игрок на DLP рынке.
Часть 5 / Подводим итоги Все выводы на одном слайде.
Курс на endpoints!
Обязательное шифрование данных в покое.
Применяем техники минимизации ущерба.
Белое окружение и контроль устройств.
Консумеризация. Мобильные устройства.
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 24 |
Часть 5 / Выстраиваем звенья защитыЧасть 5 / Выстраиваем звенья защитыProtection Suite for EndpointsProtection Suite for Endpoints
Application control
(AC)
DeviceControl
(DC)
Full Disk /Removable
MediaEncryption
(FDE / RME)
File LevelEncryptio
n +
Shadow Copies(FLE)
MobileDevice
s
Android
iPhoneWM
Content-AwareDLP
Capabilities
(DLP)
Universal Policy Management
Universal Key Management
Security Center
Breadth of Functionality
Org
an
izati
on
al
Scale
/Siz
e Mail & Web
Filtering
Новое R&D подразделение DLP Research (DLPR).Новости от Лаборатории Касперского: в ногу со временем
В 2010 году ЛК ввела в действие специализированный центр исследований и разработки в области DLP.
14 октября 2010Доклад Валерия Боронина, R&D, ЛКPAGE 26 |
г. Новосибирск, 630099, Димитрова проспект, 2,
БЦ РосЕвроПлаза, офис 708
Спасибо! Вопросы?Спасибо! Вопросы?
Валерий Боронин,
руководитель лаборатории защиты информации от внутренних угроз, Kaspersky Lab
14 октября 2010 года / DLP Russia 2010, Президент-Отель, Москва
Валерий Боронин,
руководитель лаборатории защиты информации от внутренних угроз, Kaspersky Lab
14 октября 2010 года / DLP Russia 2010, Президент-Отель, Москва
Вечная битва за безопасность:Вечная битва за безопасность:угроза велика, а отступать некуда – позади мои данные.угроза велика, а отступать некуда – позади мои данные.