Polityka bezpieczeństwa 2.0

Transkrypt

Polityka bezpieczeństwa 2.0
Polityka bezpieczeństwa 2.0
Nowe typy reguł w polityce
bezpieczeństwa informatycznego
(Skrót prezentacji z Check Point Security Day,
Warszawa, 20-X-2010)
Jarosław Prokop
Check Point
©2010 Check Point
Klasyczna polityka bezpieczeństwa
Z jakiej sieci
(source)
Do jakiej sieci
(destination)
Usługa
(service)
Sieć_A
Sieć_B
http, SQL
Sieć_C
Sieć_B
*wszystkie*
Sieć_D
Sieć_B
FTP
©2010 Check Point |
2
Klasyczna polityka bezpieczeństwa
Ewolucja pojęcia usługi:
Usługi proste: np. ssh (tcp/22)
Złożone: SIP, SCCP (udp/*)
-
Rozbudowane: http->AV, http->URLF (¹)
Z jakiej sieci
(source)
Do jakiej sieci
(destination)
Usługa
(service)
Sieć_A
Sieć_B
http, SQL
Sieć_C
Sieć_B
*wszystkie*
Sieć_D
Sieć_B
FTP
©2010 Check Point |
(¹) Wydajność AV/URLF: x15
3
Nowe formy polityki bezpieczeństwa
Wirtualizacja, mobilność użytkowników, inne
czynniki
Polityka oparta o nowe komponenty:
 Użytkowników
 Aplikacje
 Dane
©2010 Check Point |
4
Wpływ wirtualizacji na formę polityki
bezpieczeństwa
©2010 Check Point |
5
Zastosowanie klasycznych reguł
w środowisku VM-Safe
Z jakiej sieci
(source)
Do jakiej sieci
(destination)
Usługa
(service)
Sieć_A
Sieć_B
http, SQL
Sieć_C
Sieć_B
*wszystkie*
Sieć_D
Sieć_B
FTP
©2010 Check Point |
6
Wpływ mobilności na politykę bezp.
Sieć_A
Sieć_B
Sieć_C
Sieć_D
©2010 Check Point |
7
Wpływ mobilności na politykę bezp.
Z jakiej sieci
(source)
Do jakiej sieci
(destination)
Usługa
(service)
Sieć_A
Sieć_B
http, SQL
Sieć_C
Sieć_B
*wszystkie*
Sieć_D
Sieć_B
FTP
©2010 Check Point |
8
Wiedza o użytkownikach
(User Awareness)
Wiedza o użytkownikach
wprowadzona do systemu bezpieczeństwa
©2010 Check Point |
9
Trz kroki konfiguracji...
(1) Nazwa naszej domeny
(2) Adres kontrolera AD
(3) Możliwość odczytu danych
©2010 Check Point |
10
SmartView Tracker
przykład związany z prewencją IPS
©2010 Check Point |
11
Nowe możliwości dzięki User Awareness
Polityka nie została zmieniona, ale logi zawierają
więcej wartościowych informacji (¹)
 Nazwy komputerów
 Nazwy użytkowników
©2010 Check Point |
(¹) R70.20
12
Tożsamość użytkowników
(User Identity)
Ograniczanie dostępu za pomocą reguł
odnoszących się do tożsamości użytkowników
©2010 Check Point |
13
Granularny dostęp do zasobów
Dostęp do serwera transakcyjnego:
 Tylko użytkownicy z grupy Finance
 Tylko z sieci Finance Network
 Tylko z komputerów zarządzanych
(w domenie)
 Tylko z komputerów z XP SP3
 Tylko z komputerów z pełnym
szyfrowaniem dysków (FDE: Full
Disk Encryption)
©2010 Check Point |
14
Przykład polityki z użyciem wiedzy o
tożsamości
Użytkownicy z firm partnerskich
są w AD (ale mają własne
komputery).
©2010 Check Point |
15
Przykład polityki z użyciem wiedzy o
tożsamości
Goście (WiFi)
©2010 Check Point |
16
Przykład polityki z użyciem wiedzy o
tożsamości
Dostęp tylko do serwera z grupy
serwerów o znanej toższamości
(konkretna grupa serwerów w AD)
©2010 Check Point |
17
Nowe możliwości dzięki User Identity
Zmiana w sposobu budowania reguł (¹) (²)
Źródło
(Source)
Cel
(Destination)
Usługa
(Service)
Sieć_A
Sieć_B
http
Źródło
(Source)
Cel
(Destination)
Usługa
(Service)
Użytk_A @ Sieć_A @ Laptop_A
Sieć_B @ Grupa_Serwerów_B
http
©2010 Check Point |
18
Wiedza o aplikacjach
(Application Awareness: Application Control Blade)
Klasyfikacja i zdolność rozpoznawania aplikacji
wprowadzona do systemu bezpieczeństwa
©2010 Check Point |
19
Zdobywanie wiedzy o aplikacjach
(Application Control Blade)
©2010 Check Point |
20
Event Management do analizy aplikacji
©2010 Check Point |
21
Przykłady

Najprostsza polityka: blokada wątpliwych
aplikacji
©2010 Check Point |
22
Przykłady


Niektóre z wątpliwych aplikacji są wykorzystywane
w celach biznesowych
Aplikacje tunelujące
Możemy zapytać użytkowników!
dostępne dla
Niebezpieczne palikacje
będą blokowane
Weryfikacja celu
biznesowego...
©2010 Check Point |
niektórych (kod!)
Zapytaj o cel użycia
aplikacji
23
UserCheck – Pytanie o cel użycia
Użytkownik jest pytany o cel użycia
YouTube
Application Usage Alert
You are trying to access
YouTube
Corporate proper use policy
limits YouTube access to
business use in order to
save bandwidth.
Please select use:
©2010 Check Point |
24
UserCheck – Pytanie o kod dostępu
 Użytkownik jest pytany o
kod dostępu
 Po wprowadzeniu
prawidłowego kodu firewall
umożliwia korzystanie z
aplikacji
Application Usage
Application: Tor
This application is only
allowed for designated
personal
In order to allow application
usage enter code below:
Code: ________
©2010 Check Point |
25
UserCheck dostarcza wartościowych
statystyk

Administrator może generować raporty o
powodach używania aplikacji
Anonymizer
Code Auth
Private
100%
Business
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
A4Proxy
©2010 Check Point |
Circumventor
Hopster
Tor
26
Nowe możliwości dzięki Application Awareness
Zmiana w sposobu budowania reguł (¹)
Źródło
(Source)
Cel
(Destination)
Usługa
(Service)
Sieć_A
Sieć_B
http
Źródło
(Source)
Cel
(Destination)
Usługa
Aplikacja
(Service) (Application)
Akcja
(Action)
Sieć_A
Sieć_B
http
Ask_User
©2010 Check Point |
Social_Networking
27
Nowe możliwości dzięki Application Awareness
•
•
•
4500 rozpoznawanych aplikacji
internetowych (AppWiki / App
Research)
50 000 widget’ów
Sklasyfikowane w 150 kategoriach
pod względem zachowania,
zawartości, ryzyka
•
Do aplikacji dostępnych
przez przeglądarkę
instalacja agenta nie jest
wymagana.
Źródło
(Source)
Cel
(Destination)
Usługa
Aplikacja
(Service) (Application)
Akcja
(Action)
Sieć_A
Sieć_B
http
Ask_User
©2010 Check Point |
Social_Networking
28
Wiedza o strukturach danych
(DLP Blade)
Klasyfikacja i zdolność rozpoznawania aplikacji
wprowadzona do systemu bezpieczeństwa
©2010 Check Point |
29
Możliwości DLP: przykładowa polityka
Jakie dane?
Skąd?
Kto wysyła?
Dokąd?
Kto jest odbiorcą?
Jak reagować?
Kogo zawiadamiać?
Jakie logi zbierać?
©2010 Check Point |
30
UserCheck w działaniu
Ten użytkownik nie
powinien dostać...
... tego załącznika
©2010 Check Point |
31
UserCheck w działaniu (2)
System DLP wykrył
problematyczną wiadomość i
umieścił ją w kwarantannie.
Za pomocą okienka Pop-Up
(lub za pomocą e-maila) prosi
użytkownika o decyzję:
• Wysłać
• Skasować
• Zbadać oryg. wiadomość
©2010 Check Point |
32
UserCheck w działaniu
Prywatny adres e-mail (dopisany
przez system w wyniku pomyłki)
Wiadomość
trzeba
skasować
©2010 Check Point |
33
Data Owner
powiadamianie właściciela danych o incydentach
Jeżeli zbiór danych ma zdefiniowanego „właściciela”...
... to będzie on
zawiadamiany o
wykryciu tego
zbioru przez DLP
©2010 Check Point |
34
Typy danych
W tej chwili można wykorzystać ponad 200 predefiniowanych typów danych.
Własne definicje typów:

Słowa kluczowe:
 wyszukiwanie słów kluczowych
 związków słownych
 nagromadzenia określonych struktur słownych

Wzory dokumentów i wzory formularzy
 wyszukiwanie wypełnionych formularzy, umów, prezentacji zbudowanych
na podstawie korporacyjnego wzorca

Skrypty:
 skomplikowane zależności w danych możliwe do wyszukania
algorytmicznego)

Typy plików (system rozpoznaje setki typów plików, bez względu na
rozszerzenie nazwy)
©2010 Check Point |
35
Własne definicje typów danych
Wzory dokumentów/formularze
©2010 Check Point |
36
Własne definicje typów danych (3)
Klasyfikowanie plików
©2010 Check Point |
37
Własne definicje struktur danych
Struktury złożone (Advanced)
©2010 Check Point |
38
Jakie „polskie” typy danych są dostępne?
• PESEL
• eksport typu danych: czy można zobaczyć CPcode?
• NIP
• formatowanie w Excelu?
• REGON
• Nr konta bankowego (NRB)
• Popularne imię polskie
• Popularne nazwisko polskie
©2010 Check Point |
39
Jakie nowe, polskie typy danych
można zaprogramować?
• np. druki PIT
• Pracodawcy
• Obsługa księgowa firm
• Biura maklerskie
©2010 Check Point |
40
Nowe możliwości dzięki DLP
Zmiana w sposobu budowania reguł (¹)
Źródło
(Source)
Cel
(Destination)
Usługa
(Service)
Sieć_A
Sieć_B
http
Dane
(Data)
Źródło danych
(Source)
Cel danych
(Destination)
Akcja
(Action)
Zawiadamianie
właściciela
(Track)
Baza
Danych
Moje
przedsiębiorstwo
Detect
[email protected]_a.pl
Na
zwenątrz
(1)
©2010 Check Point |
DLP blade jest dostępny
41
Posumowanie
Nowe produkty:
User Awarness / Identity Awareness
Application Control blade
DLP blade
pozwalają przejść od prostych reguł związanych z geografią sieci do
reguł wysokiego poziomu:
aplikacyjnych
opartych o tożsamość użytkowników
opartych o rozpoznawanie struktur danych
©2010 Check Point |
42
Podsumowanie
VE (Firewall - edycja wirtualna)
 User Awarness
 DLP blade
są wprowadzone do sprzedaży i dostępne powszechnie.

Application Control blade i Identity Awareness są dostępne
do testów i ewaluacji w środowisku klienta.
Zapraszam do organizacji prezentacji, testów i warsztatów
poświęconych tym produktom.
©2010 Check Point |
43
Dziękuję za uwagę.
ul. Emilii Plater 53
00-113 Warszawa
Tel. : +48 507 010447
Email : [email protected]
Web : www.checkpoint.com
©2010 Check Point
Jarosław PROKOP

Podobne dokumenty