Tag Archive | DLP

11 гріхів при запуску DLP

Я зібрав до купи свої думки стосовно впровадження DLP систем.

І у мене вийшов ТОП із 11-ти помилок, яких частіше за все припускаються замовники. При чому, частина з цих помилок властива не лише DLP проектам, а й ІБ проектам взагалі.

 

Кому slideshare не зручно – ось вам PDF (~1 Mb)

Погортайте слайди, подумайте чи не робили ви так?

Чи не збираєтеся ви зробити одну із 11 описаних помилок?

Будьте уважні та обережні.

VR

Advertisements

McAfee DLP vs Chrome 68

Увага. Важлива інформація для користувачів McAfee DLP Endpoint.

 

Google внесе зміни в роботу розширень Chrome починаючи з версії 68 (поточна – 67).

Таким чином починаючи з Chrome 68 правила Web Protection втрачають можливість блокувати публікацію даних.

Це пов’язано з тим, що Google змінює механізм роботи розширень (через які працює перехоплення DLP).

Фактично, з 68ї версії розширення будуть отримувати дані від браузера уже після здійснення upload.

Це значить, що у випадку публікації конфіденційної інформації через Google Chrome DLP Endpoint буде лише сповіщати, але не блокувати.

 

Що робити?

 

У вас є кілька сценаріїв як адаптуватися до цих змін:

  • обмежити Chrome парою правил Application File Access Protection та Clipboard Protection
  • на рівні proxy по User Agent обмежити доступ для Chrome, а трафік хмарних агентів перехоплювати через правила Cloud Protection
  • контролювати web на рівні Network DLP Prevent
  • скористатися функціоналом DLP на Web Gateway
  • посилити контроль через McAfee Skyhigh Security Cloud
  • заборонити використання Google Chrome

Детальніше про ситуацію з Chrome дивіться нижче:

Також допис на блозі McAfee: Google Chrome 68 Changes and Their Impact on Data Protection

Будьте уважні та обережні.

VR

Вышел McAfee DLP 10.0

dlp10

– Слишком много? – переспросил Румата.
– Мне не знакомо это  слово  – “слишком”.

6-го июля состоялся релиз 10-й версии модуля DLP Endpoint. На первый взгляд может показаться, что новая версия практически не отличается от 9.4, однако как известно “дьявол кроется в мелочах“. Само-собой таких глобальных изменений как в прошлом году (переход 9.3 -> 9.4) не ожидалось, однако разработчики нашли способ удивить, а местами порадовать заказчиков. Давайте обо всем по порядку:

1. Классификация

manual classification

Функционал меток (tag) был расширен за счет предоставления возможности классификации содержимого документа самим сотрудникам компании т.н. Manual Classification. Т.е. кроме автоматических правил назначения меток по определенным условиям (см. слайды 32-33 моей презентации), теперь можно дать право отдельной группе сотрудников классифицировать содержимое документов в ручном режиме. Раньше такая задача решалась с помощью привлечения модуля классификации TITUS, а теперь это можно реализовать встроенными средствами. Для приложений MS Office данная функция реализована через подключаемый модуль (пример на снимке экрана выше), для других поддерживаемых файлов классификация в ручном режиме осуществляется через контекстное меню.

ePO_classification

Между автоматической классификацией и классификацией вручную есть разница. Если файл получает свою метку по автоматическому правилу (Appplication/Location/Web), то DLP агент проверят сопоставление метки каждый раз, когда регистрирует обращение к файлу. Когда сотрудник осуществляет классификацию документа/письма DLP агент встраивает маркер в сам файл, а к электронному письму добавляется x-header. Встраиваемые маркеры, которые добавляются к файлам при ручной классификации позволяют подключать сторонние решения для отслеживания документов помеченных с помощью McAfee DLP Endpoint.

От себя добавлю, что функция реально полезная и удобная, т.к. теперь заказчикам не нужно идти на компромисс и “светить” пользователям метки через диалог назначения. Метки по прежнему остаются удобным методом автоматической классификации информации в тех случаях, когда есть возможность описать источник генерации файла. А для тех документов, которые создают сами пользователи можно применять Manual Classification. Более того, можно активировать режим принудительной классификации, т.е. при сохранение документа пользователь должен будет обязательно указать к какой категории он относиться:

force_classificationforce_classification2

2. Функционал

Первое на что обратят внимание опытные заказчики/пользователи McAfee DLP – установка либо обновление до 10-й версии теперь не требуют перезагрузки операционной системы. Да, это действительно работает и правила защиты активируются сразу. Однако стоит помнить, что изменение конфигурации уже развернутых клиентов по части активации/деактивации определенных модулей-перехватчиков может потребовать перезагрузки.

Изменения коснулись операций поиска конфиденциальной информации (т.н. Endpoint Discovery) – теперь пользователю можно дать право запускать сканирование и выполнять действия согласно политикам:

DLP_discovery_user

Из прочих изменений стоит выделить поддержку 64-х битных версий Firefox, поддержку Device Guard для Windows 10, интеграцию с AD RMS Client 2.1 и расширенную настройку Web Protection по инспекции запросов браузера:

Web Protection

Так же был существенно расширен функционал DLP Endpoint для Mac OS. Как могут помнить опытные пользователи, долгое время версия для фанатов творчества уважаемого мной Стива Джобса, ограничивалась только возможностью мониторинга/блокировки внешних накопителей. Наконец-то разработчики обратили свое внимание на владельцев MacBook и добавили следующие правила:

  • Removable Storage Protection;
  • Network Share Protection;
  • Application File Access Protection.

Фактически, операторы DLP Endpoint получили возможность отслеживать/блокировать документы, которые пользователь копирует с Mac OS на USB носители; возможность отслеживать/запрашивать обоснование при операциях на сетевых ресурсах и последнее по списку, но не по значению – возможность блокировать доступ запущенных приложений Apple к документам, которые помечены как конфиденциальные. А если учесть, что версия DLP Endpoint для Mac понимает классификацию, которая была определена в ручном режиме на Windows системах получается очень не плохо. Это не большой шаг, но по сравнению с 9.4 заказчики получают больше возможностей контролировать как их сотрудники распоряжаются информацией на Mac OS устройствах.

Также для правил защиты на Mac OS появилась возможность использовать исключения для устройств/пользователей, а также выбирать разный тип реакции на инцидент в зависимости от сетевого подключения (Online/Offline/VPN).

3. Интерфейс

Был внесен ряд изменений как в работу с политиками так и по части обработки инцидентов. Из основных стоит отметить такие:

  • настройки клиента для Windows и Mac OS были разнесены;
  • правила, которые поддерживаются и для Win и Mac получили выборочную активацию;
  • набор разрешений теперь позволяет контролировать к настройкам какой группы правил будет иметь тот или иной пользователь еРО;
  • возможность экспорта списка инцидентов вместе с теневыми копиями..

permission_setspoliciesrule_usb1# # #

Предварительные впечатления от новой версии весьма положительные. Улучшения механизмов классификации, расширение функционала на Mac OS и упрощение рутинных операций явно не оставят заказчиков безразличными. В следующей публикации я постараюсь рассмотреть особенности использования DLP Endpoint совместно с FRP и DLP Discover.

Более детально нововведения описаны в заметках к релизу (PD26582).

Будьте осторожны при использовании высоких технологий. Обращайтесь к нам чтобы защитить свои цифровые активы.

Vladislav Radetskiy | Technical Lead | BAKOTECH GROUP

Запись моего вебинара по DLP

Обзор возможностей DLP Endpoint, презентацию публиковал еще в прошлом году.

Теперь у вас есть возможность посмотреть видео.

Для тех, кому теория покажется скучной – экшн начинается с 58-й минуты.

Приятного просмотра.

– – – – –

VR

Защита от утечек в условиях современных тенденций ИТ

Копия презентации вебинара по комплексу DLP.

Кратко рассмотрены особенности модулей DLP.

Основное внимание уделено новым функциям DLP Endpoint 9.4

Рекомендую изучать совместно с презентацией по шифрованию:

Контент рассчитан на сотрудников ИТ/ИБ отделов и их руководителей.

VR

Вышел McAfee DLP Endpoint 9.4

«Первое правило бизнеса — защищайте свои инвестиции», — этикет банкира, 1775 г.

29-го июля состоялся релиз новой версии решения Intel Security (McAfee) для защиты от утечек на уровне серверов и рабочих станций. Следует сразу отметить, что новая версия DLP Endpoint 9.4 несет в себе глобальные изменения функционала, которые были реализованы вендором в ответ на пожелания заказчиков.

Из-за цейтнота обзор будет разбит на две части. Эта заметка несет описательный характер. Аспекты практического применения будут рассмотрены в следующей части.

Важно!

Заказчики, которые уже используют предыдущие версии DLP Endpoint должны учитывать следующие моменты (согласно KB85283)

a) в рамках одной консоли еРО допускается сосуществование новой версии (9.4) и предыдущих (9.3.х), однако для стабильной работы обоих модулей строго рекомендуется перед установкой 9.4 обновить существующую версию до 9.3.500 (patch 5);

б) на текущий момент версия 9.4 не предполагает конвертацию существующих политик и произошедших инцидентов. Возможность миграции текущих инцидентов и политик со старых версий будет добавлена в 9.4 с выходом patch 1, появление которого ожидается в сентябре текущего года.

Таким образом, заказчики могут уже сейчас добавить в свои консоли еРО новую версию DLP Endpoint и она будет функционировать отдельно от существующих (9.3.х), а конвертация данных собранных ранними версиями будет доступна с выходом первого патча.

# # #

И так, что же изменилось с выходом DLP Endpoint 9.4?

1. ИНТЕРФЕЙС

  • Менеджер политик DLP избавился от Acvtive-X зависимостей и был интегрирован в HTML оболочку еРО. Это означает, что больше нет необходимости в установке DLP Management Tools, а сами политики теперь можно редактировать в любом браузере (а не только в IE). Выскажу свое личное мнение: это большой шаг навстречу упрощению администрирования и унификации управления. Фактически, изменение в работе с политиками позволят операторам еРО эффективнее организовывать работу с политиками/инцидентами.

dlp_old dlp94_24Сравнение работы с правилами DLP 9.3 vs 9.4

  • Правила DLP теперь разбиты на три категории: Data Protection, Device Control, Discovery. Такое разделение позволяет избежать необходимость прокрутки длинного списка и упрощает работу с большим количеством правил.

dlp94_tab1 dlp94_tab2 dlp94_tab3 Разбивка правил по категориям

  • Сами правила объединяются в т.н. Rule Set, из которых уже набирается текущая версия политики. За счет изменения механизма работы с политиками появилась возможность развертывания разных политик на отдельные системы или группы систем в еРО.
  • Появились заготовки предустановленных правил (~20), которые могут служить отличными примерами для начинающих пользователей.

dlp94_rule_setsПредустановленные заготовки правил

  • Уведомления и запрос обоснования стали полностью кастомизируемыми – можно редактировать кнопки, текст и реакцию на их нажатие.

2. ПРАВИЛА ЗАЩИТЫ

  • Правило защиты публикации в Internet кроме IE и FF теперь поддерживает отслеживание Google Chrome (версии 37 – 44, по мере обновления ПО для DLP будут выходить сигнатуры). Это еще один ключевой момент, на котором настаивали заказчики. Теперь, при использовании DLP Endpoint 9.4 контроль браузеров Chrome осуществляется через плагин, что не требует костыля из пары (Контроль буфера обмена + Контроль сетевых соединений). Это повышает защиту, т.к. “родное” (native) правило Web Post Protection позволяет отслеживать не только файлы с метками, но и текстовые шаблоны и совпадения по цифровым отпечаткам.

dlp94_18Появился перехватчик Google Chrome

  • Правило отслеживания доступа к конфиденциальным данным со стороны указанных приложений обзавелось функцией блокировки. Теперь можно легко заблокировать доступ того-же Skype либо TeamViewer к важным документам за счет одного правила.

dlp94_app1 dlp94_app2Процесс настройки правила

  • Правило контроля облачных сервисов (DropBox, OneDrive, GoogleDrive, Syncplicity, Box) которое появилось еще год назад, теперь может не только отслеживать но и блокировать передачу важных данных в облако.

dlp94_cloud1 dlp94_cloud2Правило отслеживания облачных хранилищ

  • Реакция правил может быть разной в зависимости от online/offline состояния конечной точки – это было и раньше. 9.4 добавляет третий вариант – кастомизацию реакции при подключении по VPN (пока доступно для правил отслеживания печати, сетевых соединений и PnP устройств).

dlp94_vpn1 dlp94_vpn2Реакция правила может быть другой при подключении по VPN

  • В новой версии был улучшен механизм обработки службы печати с целью поддержки V4 Printer Driver. Контроль XPS/PDF теперь являются частью правила отслеживания печати.
  • Для мобильных устройств Apple (iPhone 4 и выше) при блокировке правилом отслеживания PnP разрешается зарядка устройства.
  • Правило отслеживания внешних накопителей обзавелось возможностью исключать отдельные приложения по имени процесса.

3. КЛАССИФИКАЦИЯ

  • Были внесены изменения в механизмы классификации. Прежде всего они коснулись словосочетаний, паттернов и расстоянию между слов из словарей.

dlp94_classificationПараметры классификации

# # #

Как можно судить по списку, команда разработчиков Intel Security проделала отличную работу чтобы решение шло в ногу со временем и обеспечивало достойный уровень контроля действий сотрудников. В следующей части я рассмотрю практические аспекты использования DLP Endpoint 9.4 в сравнении с 9.3.х

ВИДЕО

Гайд из цикла “взлет-посадка”. Рассмотрена установка и начальная работа с политиками DLP Endpoint 9.4.

Как говориться, оцените user experience:

ps

Более детально с перечнем изменений можно ознакомиться из Release Notes.

Будьте осторожны при использовании высоких технологий. Защищайте свои инвестиции с помощью решений Intel Security.

Vladislav Radetskiy | Technical Lead | BAKOTECH GROUP

Дайджест новостей McAfee #

mcafee_news

С момента публикации крайней порции новостей накопилось много релизов, давайте попробуем разобраться чего ждать от новых версии продуктов и на что следует обратить внимание. Информация будет полезной для технических специалистов ИТ/ТБ департаментов.

 (ссылки на Release Notes ищите в названиях решений)

 [30/09/14]

Вышел Web Gateway 7.5.0. Основные нововведения:

+ фильтрация VLAN трафика;

+ возможность указания, выбранного IP адреса для исходящих пакетов;

+ поддержка VMware 5.5;

+ использование Hardware security module на аппаратных устройствах;

+ теперь можно фильтровать FTP соединения через WCCP;

+ изменена поддержка RAR, добавлено распознавание формата RAR5;

+ новый антивирусный движок, 64-х битный;

+ возможность настроить предельный размер архивов для сканирования;

+ команды FTP теперь можно передавать на next-hop proxу;

+ улучшенное отслеживание ICAP соединений.

McAfee Web Gateway может быть развернут в виде Virtual Appliance под VMware либо в виде аппаратных модулей WBG-5000-C, WBG-55000-C и WBG-4500-C.

~ ~ ~

Вышло обновление безопасности Web Gateway 7.4.2.3, призванное устранить уязвимость Shellshock.

Релиз сервисный, нового функционала не предусматривает, предназначен для исправления ранее обнаруженных ошибок.

Строго рекомендуется к установке.

~ ~ ~

[23/09/14]

Стали доступны Device Catalogs, которые обеспечивают поддержку iPhone6 и iPhone6 Plus для McAfee EMM. Теперь MDM система сможет корректно обеспечивать защиту корпоративных данных на устройствах Apple нового поколения.

~ ~ ~

 [17/09/14]

Состоялся релиз полезного инструмента, который позволяет оценить производительность консоли еРО и выявить потенциальные источники проблем. Модуль получил название Performance Optimizer и доступен бесплатно для всех подписчиков решений McAfee. Данный модуль собирает данные об активах еРО и на основе анализа собранной информации выдает рекомендации по устранению т.н. «узких мест».

~ ~ ~

Rogue System Detection (RSD) 4.7.2 теперь полноценно поддерживает Server 2012 и Windows 8. Решение применяется для отслеживания новых систем в сети предприятия и передачи информации о них в консоль еРО.

~ ~ ~

[15/09/14]

Вышел Data Loss Prevention for Endpoint 9.3 Patch 3, который исправляет ранее найденные ошибки. В новой версии разработчики оптимизировали механизм извлечения текста, что позволило добиться лучшей производительности при работе с большими документами по сети. Также изменения были внесены в отображение инцидентов, чтобы позволить контролировать доступ к событиям с машин, которые могли быть переименованы или исключены из сети предприятия.

~ ~ ~

Стал доступен новый антивирусный движок, Anti-Malware Engine version 5700 , соответственно в месте с ним обновились и сканеры командной строки: Command Line Scanner 6.05.

Нововведения, из-за которых стоит перейти на новый движок:

+ повышена производительность, в том числе за счет оптимизации объема сигнатур;

+ оптимизирована обработка java скриптов, что обеспечивает лучший уровень защиты от эксплойтов;

+ улучшенное сканирование памяти в ОС Windows позволяет обнаруживать и обезвреживать резидентное вредоносное ПО;

+ native-поддержка упаковщиков ASPack, Autoit и MSI;

+ поддержка AIX 7.1, Linux Kernel 3.12, FreeBSD 9.x и Solaris 11

Внимание!

End Of Life (EOL) движка 5600 назначен на 31 марта 2015 года

~ ~ ~

 [05/09/14]

Для поддержки платформы iOS8 разработчики выпустили набор патчей для актуальных веток McAfee EMM.

Внимание! Патчи должны быть установлены перед тем, как будут подключены новые устройства или будет обновлена прошивка на уже зарегистрированных.

           ~ ~ ~

[11/08/14]

Состоялся релиз новой версии MOVE 3.5, оптимизированного антивируса для виртуализированных ОС Windows.

Нововведениям будет посвящена отдельная заметка.

Основные изменения ниже:

MOVE Agentless 3.5

+ развертывание SVA по средством VMware NSX Manager;

+ оптимизированная диагностика для управления исключениями;

+ Data Center Connector позволяет управлять защитой ВМ на VMware vSphere, Amazon Web Services (AWS), OpenStack

 MOVE Multiplatform 3.5

+ возможность балансировки нагрузки серверов сканирования (SVA);

+ централизованное восстановление файлов из карантина;

+ запуск сканирования по запросу администратора еРО;

+ парольная защита CLI интерфейса;

+ возможность использования RAM диска для SVA (оптимизация)

Дайджест подошел к концу. Разработчики не расслабляются и продолжают работать над развитием защитного комплекса решений McAfee.

Следите за обновлениями и будьте осторожны при использовании высоких технологий.