Polityka bezpieczeństwa 2.0
Transkrypt
Polityka bezpieczeństwa 2.0
Polityka bezpieczeństwa 2.0 Nowe typy reguł w polityce bezpieczeństwa informatycznego (Skrót prezentacji z Check Point Security Day, Warszawa, 20-X-2010) Jarosław Prokop Check Point ©2010 Check Point Klasyczna polityka bezpieczeństwa Z jakiej sieci (source) Do jakiej sieci (destination) Usługa (service) Sieć_A Sieć_B http, SQL Sieć_C Sieć_B *wszystkie* Sieć_D Sieć_B FTP ©2010 Check Point | 2 Klasyczna polityka bezpieczeństwa Ewolucja pojęcia usługi: Usługi proste: np. ssh (tcp/22) Złożone: SIP, SCCP (udp/*) - Rozbudowane: http->AV, http->URLF (¹) Z jakiej sieci (source) Do jakiej sieci (destination) Usługa (service) Sieć_A Sieć_B http, SQL Sieć_C Sieć_B *wszystkie* Sieć_D Sieć_B FTP ©2010 Check Point | (¹) Wydajność AV/URLF: x15 3 Nowe formy polityki bezpieczeństwa Wirtualizacja, mobilność użytkowników, inne czynniki Polityka oparta o nowe komponenty: Użytkowników Aplikacje Dane ©2010 Check Point | 4 Wpływ wirtualizacji na formę polityki bezpieczeństwa ©2010 Check Point | 5 Zastosowanie klasycznych reguł w środowisku VM-Safe Z jakiej sieci (source) Do jakiej sieci (destination) Usługa (service) Sieć_A Sieć_B http, SQL Sieć_C Sieć_B *wszystkie* Sieć_D Sieć_B FTP ©2010 Check Point | 6 Wpływ mobilności na politykę bezp. Sieć_A Sieć_B Sieć_C Sieć_D ©2010 Check Point | 7 Wpływ mobilności na politykę bezp. Z jakiej sieci (source) Do jakiej sieci (destination) Usługa (service) Sieć_A Sieć_B http, SQL Sieć_C Sieć_B *wszystkie* Sieć_D Sieć_B FTP ©2010 Check Point | 8 Wiedza o użytkownikach (User Awareness) Wiedza o użytkownikach wprowadzona do systemu bezpieczeństwa ©2010 Check Point | 9 Trz kroki konfiguracji... (1) Nazwa naszej domeny (2) Adres kontrolera AD (3) Możliwość odczytu danych ©2010 Check Point | 10 SmartView Tracker przykład związany z prewencją IPS ©2010 Check Point | 11 Nowe możliwości dzięki User Awareness Polityka nie została zmieniona, ale logi zawierają więcej wartościowych informacji (¹) Nazwy komputerów Nazwy użytkowników ©2010 Check Point | (¹) R70.20 12 Tożsamość użytkowników (User Identity) Ograniczanie dostępu za pomocą reguł odnoszących się do tożsamości użytkowników ©2010 Check Point | 13 Granularny dostęp do zasobów Dostęp do serwera transakcyjnego: Tylko użytkownicy z grupy Finance Tylko z sieci Finance Network Tylko z komputerów zarządzanych (w domenie) Tylko z komputerów z XP SP3 Tylko z komputerów z pełnym szyfrowaniem dysków (FDE: Full Disk Encryption) ©2010 Check Point | 14 Przykład polityki z użyciem wiedzy o tożsamości Użytkownicy z firm partnerskich są w AD (ale mają własne komputery). ©2010 Check Point | 15 Przykład polityki z użyciem wiedzy o tożsamości Goście (WiFi) ©2010 Check Point | 16 Przykład polityki z użyciem wiedzy o tożsamości Dostęp tylko do serwera z grupy serwerów o znanej toższamości (konkretna grupa serwerów w AD) ©2010 Check Point | 17 Nowe możliwości dzięki User Identity Zmiana w sposobu budowania reguł (¹) (²) Źródło (Source) Cel (Destination) Usługa (Service) Sieć_A Sieć_B http Źródło (Source) Cel (Destination) Usługa (Service) Użytk_A @ Sieć_A @ Laptop_A Sieć_B @ Grupa_Serwerów_B http ©2010 Check Point | 18 Wiedza o aplikacjach (Application Awareness: Application Control Blade) Klasyfikacja i zdolność rozpoznawania aplikacji wprowadzona do systemu bezpieczeństwa ©2010 Check Point | 19 Zdobywanie wiedzy o aplikacjach (Application Control Blade) ©2010 Check Point | 20 Event Management do analizy aplikacji ©2010 Check Point | 21 Przykłady Najprostsza polityka: blokada wątpliwych aplikacji ©2010 Check Point | 22 Przykłady Niektóre z wątpliwych aplikacji są wykorzystywane w celach biznesowych Aplikacje tunelujące Możemy zapytać użytkowników! dostępne dla Niebezpieczne palikacje będą blokowane Weryfikacja celu biznesowego... ©2010 Check Point | niektórych (kod!) Zapytaj o cel użycia aplikacji 23 UserCheck – Pytanie o cel użycia Użytkownik jest pytany o cel użycia YouTube Application Usage Alert You are trying to access YouTube Corporate proper use policy limits YouTube access to business use in order to save bandwidth. Please select use: ©2010 Check Point | 24 UserCheck – Pytanie o kod dostępu Użytkownik jest pytany o kod dostępu Po wprowadzeniu prawidłowego kodu firewall umożliwia korzystanie z aplikacji Application Usage Application: Tor This application is only allowed for designated personal In order to allow application usage enter code below: Code: ________ ©2010 Check Point | 25 UserCheck dostarcza wartościowych statystyk Administrator może generować raporty o powodach używania aplikacji Anonymizer Code Auth Private 100% Business 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% A4Proxy ©2010 Check Point | Circumventor Hopster Tor 26 Nowe możliwości dzięki Application Awareness Zmiana w sposobu budowania reguł (¹) Źródło (Source) Cel (Destination) Usługa (Service) Sieć_A Sieć_B http Źródło (Source) Cel (Destination) Usługa Aplikacja (Service) (Application) Akcja (Action) Sieć_A Sieć_B http Ask_User ©2010 Check Point | Social_Networking 27 Nowe możliwości dzięki Application Awareness • • • 4500 rozpoznawanych aplikacji internetowych (AppWiki / App Research) 50 000 widget’ów Sklasyfikowane w 150 kategoriach pod względem zachowania, zawartości, ryzyka • Do aplikacji dostępnych przez przeglądarkę instalacja agenta nie jest wymagana. Źródło (Source) Cel (Destination) Usługa Aplikacja (Service) (Application) Akcja (Action) Sieć_A Sieć_B http Ask_User ©2010 Check Point | Social_Networking 28 Wiedza o strukturach danych (DLP Blade) Klasyfikacja i zdolność rozpoznawania aplikacji wprowadzona do systemu bezpieczeństwa ©2010 Check Point | 29 Możliwości DLP: przykładowa polityka Jakie dane? Skąd? Kto wysyła? Dokąd? Kto jest odbiorcą? Jak reagować? Kogo zawiadamiać? Jakie logi zbierać? ©2010 Check Point | 30 UserCheck w działaniu Ten użytkownik nie powinien dostać... ... tego załącznika ©2010 Check Point | 31 UserCheck w działaniu (2) System DLP wykrył problematyczną wiadomość i umieścił ją w kwarantannie. Za pomocą okienka Pop-Up (lub za pomocą e-maila) prosi użytkownika o decyzję: • Wysłać • Skasować • Zbadać oryg. wiadomość ©2010 Check Point | 32 UserCheck w działaniu Prywatny adres e-mail (dopisany przez system w wyniku pomyłki) Wiadomość trzeba skasować ©2010 Check Point | 33 Data Owner powiadamianie właściciela danych o incydentach Jeżeli zbiór danych ma zdefiniowanego „właściciela”... ... to będzie on zawiadamiany o wykryciu tego zbioru przez DLP ©2010 Check Point | 34 Typy danych W tej chwili można wykorzystać ponad 200 predefiniowanych typów danych. Własne definicje typów: Słowa kluczowe: wyszukiwanie słów kluczowych związków słownych nagromadzenia określonych struktur słownych Wzory dokumentów i wzory formularzy wyszukiwanie wypełnionych formularzy, umów, prezentacji zbudowanych na podstawie korporacyjnego wzorca Skrypty: skomplikowane zależności w danych możliwe do wyszukania algorytmicznego) Typy plików (system rozpoznaje setki typów plików, bez względu na rozszerzenie nazwy) ©2010 Check Point | 35 Własne definicje typów danych Wzory dokumentów/formularze ©2010 Check Point | 36 Własne definicje typów danych (3) Klasyfikowanie plików ©2010 Check Point | 37 Własne definicje struktur danych Struktury złożone (Advanced) ©2010 Check Point | 38 Jakie „polskie” typy danych są dostępne? • PESEL • eksport typu danych: czy można zobaczyć CPcode? • NIP • formatowanie w Excelu? • REGON • Nr konta bankowego (NRB) • Popularne imię polskie • Popularne nazwisko polskie ©2010 Check Point | 39 Jakie nowe, polskie typy danych można zaprogramować? • np. druki PIT • Pracodawcy • Obsługa księgowa firm • Biura maklerskie ©2010 Check Point | 40 Nowe możliwości dzięki DLP Zmiana w sposobu budowania reguł (¹) Źródło (Source) Cel (Destination) Usługa (Service) Sieć_A Sieć_B http Dane (Data) Źródło danych (Source) Cel danych (Destination) Akcja (Action) Zawiadamianie właściciela (Track) Baza Danych Moje przedsiębiorstwo Detect AB@org_a.pl Na zwenątrz (1) ©2010 Check Point | DLP blade jest dostępny 41 Posumowanie Nowe produkty: User Awarness / Identity Awareness Application Control blade DLP blade pozwalają przejść od prostych reguł związanych z geografią sieci do reguł wysokiego poziomu: aplikacyjnych opartych o tożsamość użytkowników opartych o rozpoznawanie struktur danych ©2010 Check Point | 42 Podsumowanie VE (Firewall - edycja wirtualna) User Awarness DLP blade są wprowadzone do sprzedaży i dostępne powszechnie. Application Control blade i Identity Awareness są dostępne do testów i ewaluacji w środowisku klienta. Zapraszam do organizacji prezentacji, testów i warsztatów poświęconych tym produktom. ©2010 Check Point | 43 Dziękuję za uwagę. ul. Emilii Plater 53 00-113 Warszawa Tel. : +48 507 010447 Email : [email protected] Web : www.checkpoint.com ©2010 Check Point Jarosław PROKOP