Ochrona danych w urządzeniach mobilnych i nie tylko

Ochrona danych w urządzeniach
mobilnych i nie tylko ...
Witold Mazanek
[email protected]
niezawodna komunikacja
poufność danych
bezpieczeństwo infrastruktury
mobilność rozwiązań
Plan prezentacji
•
•
•
•
•
•
© SOLIDEX
Analiza rynku urządzeń przenośnych
Oferta SOLIDEX w zakresie MDP
McAfee EEPC
McAfee EEFF
Podsumowanie
Pytania i odpowiedzi
2
Sytuacja na rynku urządzeń mobilnych
Firma ubezpieczeniowa z listy Fortune 500
Posiadane urządzenia
Zarejestrowane utraty
W latach 2006-2009
w 2006
+49%
3127
39,000
2008 21,000
8,000
b.d.
14.9%
+31%
2914
55,000
2008 38,000
7.7%
25,000
19,000
1219
59,000
2008 54,000
52,000
48,000
2.2%
+5%
© SOLIDEX
3
Główne zagrożenia dla danych
1
Zguba lub kradzież
urządzeń mobilnych
i laptopów
2
Nieautoryzowany
transfer danych na
urządzenia USB
3
7 Dostęp do poufnych
danych przez
nieautoryzowanych
użytkowników
6
© SOLIDEX
4
Brak świadomości
treści oraz
adekwatnej akcji na
pojawiające się ataki
5
Drukowanie i
kopiowanie danych
klientów
Trudności w
określeniu,
zlokalizowaniu oraz
ochronie poufnych
danych
Kradzież tajemnicy
firmowej przez
pracowników
4
Ochrona danych wymaga zmiany podejścia
Zarządzana infrastruktura bezpieczeństwa
AV
Utrata informacji
Włamania
Phishing
NAC
© SOLIDEX
Spam
Spyware
Kradzież informacji
Zewnętrzne ataki
HIPS
5
Ochrona danych wymaga zmiany podejścia
Łatwe do zgubienia
Łatwe do wysłania
Atrakcyjne dla złodzieja
®
$490
$147
$147
$98
Wartość na rynku “Black Market”
Dane muszą być chronione niezależnie od:
Użycia
© SOLIDEX
Miejsca
Urządzenia
Sposobu dostępu
6
Jeżeli nie zmienimy podejścia to ...
© SOLIDEX
7
Kilka statystyk
• Według Gartnera, 47%
danych należących do
przedsiębiorstw jest
przechowywanych na
urządzeniach mobilnych
• 350 000 urządzeń
mobilnych zostało
skradzionych w ubiegłym
roku
• 208 000 Smartfonów
31 469 PDA
11 303 Laptopów
zostało pozostawionych
w taksówkach
największych miast
świata w przeciągu 6
miesięcy!
© SOLIDEX
8
Zrozumieć ryzyko
Dane mają swoją wartość
$980-$4,900
Trojan do kradzieży
danych finansowych
$490
Nr karty
kredytowej z PIN
$78-$294
Dane bilingowe
$147
Prawo jazdy
© SOLIDEX
$147
Świadectwo
urodzenia
$98
Nr polisy
ubezpieczeniowej
$6-$24
Nr karty kredytowej
$6
Logon i hasło do
PayPal
9
Kilka przykładów z ostatniej chwili
Przykład z życia firmy...
© SOLIDEX
10
Jak się chronić ??
• Dwa główne
zestawy
narzędzi:
– Mobile Data
Protection
(szyfrowanie)
– Data
Loss/Leakage
Protection
(ochrona przed
wyciekiem)
© SOLIDEX
11
Oferta SOLIDEX w zakresie MDP
• McAfee
–
–
–
–
–
Endpoint Encryption for PC
Endpoint Encryption for Files and Folders
Endpoint Encryprion for Mobile
Encrypted USB
Total Protection for Data
Data Loss
Prevention
Device
Control
Endpoint
Encryption
Encrypted
USB
• Check Point Endpoint Security
– Full Disk Encryption
– Media Encryption
– Total Security
© SOLIDEX
12
Rodzina McAfee Endpoint Encryption
Endpoint Encryption for PC’s (EEPC)
•
•
•
•
•
Szybki czas szyfrowania
Wydajne działanie, przeźroczyste dla użytkownika
Mały wpływ na wydajność całego systemu
Zintegrowane z konsolą ePO mechanizmy wdrażania i raportowania
Wsparcie dla kart inteligentnych, czytników biometrycznych i innych
metod uwierzytelnienia
Endpoint Encryption for Files & Folders (EEFF)
•
•
•
•
Bez konieczności interakcji użytkownika – pełna przeźroczystość
Zintegrowane z konsolą ePO mechanizmy wdrażania i raportowania
Szyfrowanie zapisu na CD/DVD's
Pełne szyfrowanie mediów przenośnych (removable media, USB stick)
Encrypted USB
•
•
•
Pełne centralne zarządzanie przez konsolę ePO
Odzyskiwanie hasła i danych
Bez pozostawianiu śladu, brak problemów z kompatybilnością
Endpoint Encryption for Mobile (EEM)
•
•
© SOLIDEX
Szyfrowanie urzadzeń Windows mobile,
Wkrótce integracja z ePO
13
14
Architektura Endpoint Encryption
Podstawowe cechy
1 Pełne, centralne zarządzanie politykami szyfrowania w
środowisku heterogenicznym
Administrator
zabezpieczeń
Serwer katalogowy firmy
2 Pojedynczy punkt zarządzania uprawnieniami użytkowników
3 Synchronizacja kont na różnych urządzeniach i
oprogramowaniu
Zalety architektury
1 Centralny punkt raportowania i ustalania polityki
zabezpieczeń
2 Integracja z zewnętrznymi bazami użytkowników
Serwer plików
Terminal server
3 Możliwa zdalne implementacja patchy i rozszerzeń
© SOLIDEX
14
McAfee Endpoint Encryption for
PC
Sectory 0-62
•
Po włączeniu komputera, pierwsze startuje
specjalny system operacyjny (RTOS).
Wykonuje uwierzytelnienie w fazie pre-boot
(PBA) za pomocą danych użytkownika
hasło/token/karta inteligentna (np. certyfikat)
•
Niepoprawne uwierzytelnienie w fazie preboot powoduje, że właściwy system
operacyjny (Windows) nie jest uruchamiany i
dane pozostają zaszyfrowane
© SOLIDEX
Po EEPC
Przed
FFPC
SafeBoot
Boot
Master Boot
Record
Record
Akjdf;auerpoaud;ajdsf;akj
sdf;ajsdf;aslkjdf;ajkdf;ajks
df;akjldsf;oiquewrpquwerf
a;jkdf;quiipuqwerrpuqewrp
quwerpqwuerpuqweef;asj
dkfposdiufqpueq;kldnffasd
ifjqpuqphidpaihgqpeiytpqo
iadufpquerqpiuerequepwe
uirqpuerasjdurpauqpuadfa
nvkqerupqueerpajdf;aknq
whrpquieasjdff;akljdpqyer
aydhzcvna;knqw;lkntqera
oidychva;knsdg;qehtjqpou
erqpfdhja;vjna;vnaq;wehtq
poeruqpwdfja;kvdna;cnva;
hipoqiertqpwuefadjf;acvn:
vcnkapijhpqoweurqwpeur
a;dnkfa;lkdfnja;djpqouerq
pweura;wdjfna;fkdvmnz;v
ckma;jeqpoiuerpquer;adjf
EEPC.fs
a;dmva;zcvmkz;klcnvgae;i
hrqopweytoyghsjgnvds;lfkj
s’rjtqiopaherapohdf;sjkv;sl
kjdfmgwjrtpoiasiujgpzcjvm
;ajettwpouetpaoujfzkcvma
;jetpoawuertq;jaef;klamdv
a;ehjitpwoeurahsasjn’l’as
mfaqieurpqouera;sdjfjz;d
mga;wehtpqoweaurS:Djvf;
asmsdt;peutpoawiuef;adjf
m;amdva;shjtpoawuetaw;j
ta;dmf;asdmfpaouerpquer
;admf/;azmdfa;jetpoawuer
pqauerja;dfmna/szmvz;dsj
fapouera;djf;z/mv/zmga;h
pwaoieutpsjdg;zsmva;pih
erpqoueras;jdkf;jadfpioay
hrp890ayhraq;jfd;alkjm
Sector 63
Początek OS
Sector
xxxxxxxxx
15
Uwierzytelnienie w Endpoint Encryption
© SOLIDEX
16
McAfee Endpoint Encryption for PCs
.DOC
.XLS
.APPS
Pliki/Aplik.
Lorem ipsum dolor sit amet
2
Lorem ipsum dolor sit amet
1
© SOLIDEX
#$$%%#%%&&
4
#$$%%#%%&&
3
System
Operacyjny
Sterownik
Szyfrujący
Dysk
twardy
1 Pliki są w pełni dostępne i widoczne
dla autoryzowanych użytkowników i
aplikacji
2
Pliki są
konwertowane
na sektory
Sektory są
składane w
pliki
3
Sektory są
szyfrowane
w pamięci
Zaszyfrowane
sektory są
odszyfrowane
w pamięci
4
Zaszyfrowane
sektory są
zapisywane
na dysk
Sektory są
odczytywane
z dysku
17
Można szyfrować całe dyski, ale pojawiają się
również inne problemy ...
– Klasyfikacja dokumentów
pod względem
bezpieczeństwa
– Regulacje prawne
– Za duże zaangażowanie
użytkownika
– Poufne informacje w
różnych miejscach
– Wymuszenie polityki
bezpieczeństwa
dokumentów
– Współdzielenie
zaszyfrowanych danych
– Rosnące użycie urządzeń
przenośnych
Endpoint Encryption for Files and Folders jest żeby pomóc
© SOLIDEX
18
McAfee Endpoint Encryption File and Folder
Encryption
1
• Umożliwia ochronę w sposób
bardziej granularny niż full-disk
encryption
2
Serwer
katalogowy
Administrator
3
• Pełna integracja z Windows
Explorer
4
• Automatyczna szyfracja i
deszyfracja bez wpływu na
wydajność pracy użytkownika i
aplikacji
• Chroni pliki i foldery na stacjach
desktop, laptopach i serwerach
© SOLIDEX
Komputer klient
Komputer klient
Komputer klient
5
Serwer
plików
19
McAfee Endpoint Encryption for Files and
Folders
•
Persistent Encryption Technology™
•
Skalowalny i łatwy w użyciu, bazujący na
filtrze plików – nie tworzy wirtualnych
dysków
•
Zapewnia szyfrowanie
zapewnia szyfrowanie pliku niezależnie
od tego gdzie jest składowany




•
•
Lokalnych plików i folderów
Plików i folderów na serwerach
Plików i folderów na urządzeniach przenośnych
Szyfrowanie załączników poczty
Zaszyfrowane pliki i foldery zawsze
widoczne – brak własnych formatów
plików
Wsparcie dla szyfrowania w
środowiskach (Terminal Server, ,NTFS,
Novell® i innych)
© SOLIDEX
20
McAfee Endpoint Encryption for Files and
Folders
Jak działa Endpoint Encryption Files and Folders
1
1 Administrator tworzy grupy użytkowników lub
importuje je z usług katalogowych takich jak Active
Directory, Novell NDS lub PKI.
2
Serwer
katalogowy
Administrator
3
2 Klucze szyfrujące, polityki szyfrowania są tworzone
Endpoint Encryption Management Center i są
przypisane do użytkowników lub grup. Opcjonalnie
można skonfigurować tokeny użytkowników
3 Klucze szyfrujące oraz polityki szyfrowania są
4
Komputer klient
Komputer klient
5
Serwer
plików
© SOLIDEX
Komputer klient
dystrybuowane do komputerów podłączonych przez
sieć. Klucze mogą być przechowywane lokalnie w celu
umożliwienia pracy offline.
4 Pliki i foldery są automatycznie szyfrowane na
lokalnym komputerze, oraz mediach przenośnych
takich jak pamięci USB. Szyfrowanie jest w pełni
transparentne dla użytkowników.
5 Pliki i foldery są automatycznie szyfrowane w
zasobach sieciowych zgodnie ze zdefiniowaną
polityką szyfrowania. Pliki i foldery mogą być również
szyfrowane w środowisku usług terminalowych
(Terminal Server).
21
McAfee Endpoint Encryption
Szyfrowanie urządzeń mobilnych
• Ochrona danych wynoszonych
na urządzeniach mobilnych poza
firmę
• Tworzy zaszyfrowane,
bezpiecznie miejsce składowania
wrażliwych danych na
urządzeniu mobilnym
• Obsługa silnej autentykacji
użytkownika
• Zabezpiecza dane na urządzeniu
mobilnym na wypadek
zagubienia lub kradzieży
• Polityka szyfrownia urządzeń
mobilnych jest określana
centralnie
© SOLIDEX
22
McAfee Encrypted USB
• Łatwe zarządzanie szyfrowaniem i wdrożenie poprzez centralną
konsolę zarządzania - możliwe wdrożenia na dużą skalę
• Możliwość wykorzystania Active Directory dla określenia
użytkowników i urządzeń
• Szyfracja i deszyfracja danych w sposób transparentny dla
użytkownika
• Zapewnia bezpieczeństwo danych przez cały czas ich
składowaniu na urządzeniu
• Silne szyfrowanie (AES 256-bit) testowane i przyjęte przez wiele
organizacji rządowych
–
Szyfrowanie jest wykonyane w sprzęcie, co oznacza, że klucz
szyfrujący nigdy nie opuszcza urządzenia
• Certyfikacja FIPS 140-2
• Do trzech możliwych parametrów autentykacji: hasło, biometryka
i właściwe urządzenie
• "Zero-Footprint„ – urządzenie nie zostawia żadanych śladów
(klucze, oprogramowanie) na PC do którego było podłączone
© SOLIDEX
23
Komponenty systemu i ich wymagania
•
Management Center zawiera 2 podstawowe komponenty:
– baza obiektów (Object Database) - repozytorium dla przechowywania są
kluczy, polityk szyfrowania, itp.
– aplikacja do zarządzania środowiskiem szyfrowania (Administration
Application)
•
Minimalne wymagania sprzętowe dla serwera zarządzającego
(Management Center):
–
–
–
–
•
Procesor: kompatybilny z Intel Pentium
RAM: 128 MB (rekomendowane 512MB)
Ilość miejsca na dysku: 200 MB
Połączenie sieciowe: TCP/IP, statyczny adres IP
Wymagania dla systemu operacyjnego dla serwera zarządzającego
(Management Center)
– Microsoft Windows 2000
– Microsoft Windows XP
– Microsoft Windows Server 2003
© SOLIDEX
24
Komponenty systemu i ich wymagania
•
•
Pakiety instalacyjne oprogramowania agentów szyfrowania przygotowywane
są na Mangement Center
Wymagania produktu Endpoint Encryption for Devices:
– Wspierane platformy systemowe stacji użytkowników:
• Microsoft Windows 2000 through SP4
• Microsoft Windows XP through SP2
• Microsoft Windows 2003
• Microsoft Vista 32bit and 64bit (wszystkie wersje)
• Microsoft Pocket Windows 2002 and 2003
• Microsoft Windows Mobile 5.0/6.0
– Minimalne wymagania sprzętowe dla stacji użytkowników
• Procesor: kompatybilny z Intel Pentium
• RAM: minimum 128 MB
• Ilość miejsca na dysku: 5–35 MB
• Połączenia sieciowe: TCP/IP dla zdalnej administracji
– Minimalne wymagania sprzętowe dla urządzeń mobilnych
• Procesor: minimum 195 MHz
• RAM: minimum 64 MB
• Połączenie sieciowe: TCP/IP dla zdalnej administracji
• Activesync 4.5 lub nowszy dla instalacji oprogramowania i update’ów
© SOLIDEX
25
Komponenty systemu i ich wymagania
•
Wymagania systemowe produktu Endpoint Encryption for PC:
– Wspierane tokeny:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
© SOLIDEX
ActivIdentity Smart Card
ActivIdentity USB
Aladdin eToken USB
Charismathics USB
DataKey Smart Card
DOD CAC Smart Card
Datev PKI Smartcard
Embedded Infineon TPM Chip
Estonian National ID Smart Card
HP ProtectTools Smart Card
IZN Certificate Smart Card
Passfaces
Password Only
RSA SecurID RSA5100 Smart Card
RSA SecurID SID800
PToken Identity Card
SafeBoot Black Smart Card
SafeBoot Red Smart Card
SafeBoot Phantom Biometric USB Stick
SafeNet IKEY 2032 USB Key
Siemens CardOS 4.3b and 4.01a Smart Card
Setec Identity Card
Sony Puppy
TEID Identity Card
Telesec Identity Card
Vasco Digipass 860 USB Key
26
Komponenty systemu i ich wymagania
• Wymagania systemowe produktu Endpoint Encryption for Files and
Folders:
– System operacyjny: Windows NT4 (SP6 + IE5.5+), 2000 (wszystkie SP),
XP SP1 i wyższe, Vista (32 i 64 bit)
– RAM: minimum 256MB
– Ilość miejsca na dysku: minimum 5MB
– Procesor: kompatybilny z Intel Pentium
– Łączność sieciowa: TCP/IP dla zdalnej administracji
– Obsługiwane systemy plików (lokalnie na komputerze użytkownika):
NTFS, FAT32, FAT16, CDFS, UDFS
– Sieciowe udziały dyskowe: NTFS, FAT32, FAT16, NWFS (Novell 4)
• Wspierane tokeny:
–
–
–
–
© SOLIDEX
Aladdin eToken 32 MB and 64 MB
SafeNet iKey
RSA SID800
Generic PKI token module
27
Podsumowanie
• Problem ochrony danych na urządzeniach
przenośnych istnieje
• Jest kilka metod ochrony, które wymagają
zmiany podejścia:
– Albo zabronić przechowywania danych na
urządzeniach mobilnych (obecnie nie możliwe)
– Albo stosować mechanizmy ochrony na skutek utraty
urządzeń mobilnych
– Zastosować mechanizmy przed wyciekiem danych
m.in. z urządzeń mobilnych
© SOLIDEX
28
Pytania ?
© SOLIDEX
29
DZIĘKUJĘ ZA UWAGĘ!
[email protected]
niezawodna komunikacja
poufność danych
bezpieczeństwo infrastruktury
mobilność rozwiązań