123 Prevención de Fuga de Información - DLP -

Transcripción

1 123 Prevención de Fuga de Información - DLP - Daniel Bustos, CISA, CRISC Consultor Especialista en GRC, Softtek Conferencista - Biografía Daniel Bustos Instructor y Conferencista de ISACA capítulo Buenos Aires en áreas de Seguridad de la Información, Riesgos de TI, Auditoría y Gobierno de Información, dictado de taller de uso de metodología, mejores prácticas y herramientas para Protección de la Información. Manager y Consultor en el mercado financiero argentino en gobierno corporativo, dirección de proyectos, control interno, análisis de riesgos y planes de mitigación regulatorios. Desarrollo de Planes de Contingencia, políticas de seguridad, administración de DLP, cumplimiento de marcos normativos ISO27K, Comunicaciones BCRA, ITIL y COBIT. Actualmente como Consultor en mercado mexicano en proyectos GRC, liderando equipos de trabajo focalizados en alinear marcos y metodologías de gestión a requerimientos del Negocio, diseñando, configurando e implementando soluciones egrc centralizadoras. 1

2 Objetivos Comprender las diferentes arquitecturas tecnológicas utilizadas para identificar, monitorear y proteger datos críticos Percibir cómo una solución DLP alineada a los objetivos del negocio redunda en beneficios de protección de datos sensibles y de propiedad intelectual Establecer una correcta articulación con otros objetivos: seguridad de la información, clasificación de datos, análisis de riesgos y cumplimiento Conocer los lineamientos de diseño estratégico, metodología de administración, implementación y configuración de soluciones de prevención de fuga de información FACTORES DE FUGA DE INFORMACION 32% 10% 58% Factor Interno Factor Externo Tercera Parte Fuente: Symantec America Latina Reporte: Tendencias de Seguridad 2

3 Efectos no deseados Daño de imagen o reputacional Pérdida de clientes y competitividad Impacto al negocio Pérdida de mercado Beneficio de la novedad y exclusividad Pérdida de la inversión en desarrollo y productividad Penalidades y multas Incumplimiento regulatorio Alto costo de recuperación y corrección de fallas Desarrollos tecnológicos de impacto Gran disponibilidad de acceso de datos Almacenamiento barato Variedad de puntos de fuga Políticas de empleo más versátiles y teletrabajo Mayor competitividad en mercados globales Medios de transporte de datos más veloces Marcada regulación para datos sensibles 3

4 Canales comunes de fuga Webmail Protocolos de file transfer Blogs Social media Páginas web Mensajería instantánea Medios removibles Cámaras Hard copy Canales comunes de fuga 4

5 Canales comunes de fuga Data Loss Prevention DLP Productos que basados en políticas centralizadas, identifican, monitorean y protegen datos en movimiento, almacenados y en uso a través de un análisis de contenido profundo. 5

6 Prevención de fuga de Información Datos Confidenciales Datos Personales Datos Sensitivos Tendencias en Seguridad Fuente: ACIS Jornada Internacional de Seguridad Informática Colombia

7 Tendencias en Fuga de Información Fuente: ESET latinoamérica Informe Tendencias 2015 Mundo Corporativo Evolución DLP Revisión de contenido USB - Fuga por copia Puestos de trabajo - Conexión por fuera de la empresa Disp. móviles 7

8 Tipos de Soluciones Solución completa Cobertura de datos utilizados en red, repositorios de almacenamiento y puestos de trabajo Administración centralizada Workflow de incidentes Flexibilidad de búsqueda y detección Compatibilidad para múltiples plataformas Reportes 8

9 Análisis de contenido Tipos de datos Estructurados No - estructurados Legibles por computadoras Abiertos y compartidos Fácilmente combinables Legibles por personas No pueden ser combinados Cerrados y apropiados Análisis de contenido Contenido: palabra, cifra, estructura de dato Formatos: fuente, destino, medida, adjuntos, destinatarios, metadata, tiempo, cabecera, etc 9

10 Análisis de contexto Propietario de archivos y permisos Políticas de seguridad y de clasificación de información Cifrado y protocolos de red Rol del usuario e identificación de unidad de negocio Web service, web mail y social networking Direcciones web Información en USB (fabricante y Nro. de serie) Clipboard (dato en uso) Arquitectura técnica Datos Almacenados -Data at Rest- Control de medios físicos Cifrado y exposición Protección dispositivos móviles Almacenamiento y descubrimiento Borrado y destrucción Datos en Movimiento -Data In Motion- Monitoreo del perímetro Monitoreo de red Control acceso Internet Mensajería ( , webmail, IM) Accesos remotos Datos en Uso -Data in Use- Monitoreo de puestos de trabajo Monitoreo de acceso y uso Copiado y pegado Redacción y armado de archivos Exportación y compartimiento de archivos 10

11 Técnicas de análisis de contenido Expresiones regulares -Número de tarjetas de crédito -Dirección de correo electrónico Ventaja: Fácilmente configurable y poca capacidad de interpretación Contra: Alta cantidad de falsos positivos, poca fortaleza para detectar datos en formato variable Técnicas de análisis de contenido Fingerprinting -Hash de archivo en cualquier formato -Patrón de comparación -Análisis contextual, desestima el contenido Ventaja: Pocos falsos positivos, trabaja con variedad de tipos de archivos Contra: Fácilmente evadible por edición Limitación de espacio y volumen 11

12 Técnicas de análisis de contenido Atributos -Tipo y tamaño del archivo -Ejecutables, gráficos, multimedia, planillas, etc Ventaja: Fácilmente configurables, alta cobertura de expectativa de fuga y detección Contra: Debe ajustarse para evitar la gran cantidad de falsos positivos Técnicas de análisis de contenido Palabras clave -Asociación de palabras por contenido -Categorización de búsqueda de datos noestructurados -Tema: Contenido racial, sexual, de negocio. propiedad intelectual Ventaja: Permite análisis de contenido de una idea no definida como política explícita Contra: Tiempo de prueba y configuración de ajuste para cubrir necesidad de búsqueda 12

13 Monitoreo de red Almacenamiento Mass storage: Servidores, SAN (Storage Area network) y NAS (Network Attached Storage) Applications: Repositorios de correos, bases de datos y manejo de documentos Endpoints: Puestos de trabajo, laptops, tablets 13

14 Técnicas de descubrimiento de contenido Remote scanning: Desde servidor central y dedicado Agent based scanning: Agente instalado en servidor Memory resident agent scanning: Se carga al momento de ejecución Application integration: Integración a herramienta de administración de documentos Despliegue de agentes Donde la información es utilizada Puestos de trabajo Despliegue y mantenimiento Actividad conectado en la red o fuera de ella Inventarios con información actualizada y con control de cambios Roles y clasificación de información 14

15 Técnicas de cobertura Content Discovery: Escaneo de contenido Control de dispositivo: USB, CD/DVD, puertos COM o LPT, modems, adaptadores, etc Network Protection: Carpetas compartidas, dispositivos conectados como impresoras y faxes GUI / Kernel Protection: Copy&Paste y hardcopy Definición de políticas 15

16 Definición de políticas Ejemplo de definición de política y control PROPIEDAD INTELECTUAL CODIGO FUENTE COBOL Palabras Clave IDENTIFICATION DIVISION ENVIRONMENT DIVISION CONFIGURATION SECTION SPECIAL-NAMES DATA DIVISION WORKING-STORAGE DEPENDING ON USAGE DISPLAY COMPUTATIONAL PACKED DECIMAL Atributo Mayor a 300 K (+ de 50 páginas texto plano) 16

17 Ejemplo de definición de política y control FUENTE (350K) Plano ZKF (315K) Zipeado con Clave ZFUENTE (315K) Zipeado ZFUENTE (315K) Zipeado \ FUENTE WORD+INCRUS (20K) Plano ZWORD+INCRUS (18K) Zipeado \ WORD+INSERT ZKWORD+INCRUS (18K) Zipeado con CLAVE Ejemplo de definición de política y control Control adicional: especificar posibles canales de fuga 17

18 Planificación Determinar requerimientos del negocio Determinar requerimientos técnicos Principales Interesados Propietarios de datos Equipo de respuesta Cronograma de entrenamiento de líneas de negocio Métricas iniciales Planificación Principales Interesados Propietarios de contenido (unidades de negocio) Nivel de criticidad Protectores de contenido (RRHH, legales, QA, seguridad TI) Control 18

19 Planificación Información crítica Planificación Proceso de Análisis Seguimiento y Mejora Continua Clasificación de Activos Ejecutar Planes de Acción Análisis de Riesgos Gestionar Riesgos 19

20 Planificación Inventario de procesos Inventario tecnológico Servidores, puntos de conexión externa, repositorios. Puestos de trabajo (IP, SO, 32 ó 64 bits, usuario, línea de negocio, responsabilidades, etc). Topología de red Propietarios de datos Planificación Inventarios Criticidad de Activos Actualizar Catálogo de Amenazas Plan de Mitigación 20

21 Planificación Definiciones 21

22 Definiciones Dato Estructurado Fingerprint Imagenes y Multimedia Lista Conceptu Bases de Datos Puestos de Trabajo Puestos de Trabajo y Repositorios Puestos Trabajo Repositorios Trafico de Red Trafico de Red Trafico d Red Definiciones PUNTOS DE FUGA Network WebMail HTTP/FTP HTTPS IM-Messenger Storage File Shares Document Management Systems Databases EndPoint Local Storage Portable Storage Network Communications Copy & Paste Print/Fax ScreenShots Application Control RESPUESTA Registrar Deshabilitar USB Cifrar Bloquear Cuarentena Justificar 22

23 Buenas prácticas de monitoreo Comprensión de principios generales de monitoreo. -Los empleados no pierden su derecho a la privacidad -Monitoreo proporcional al riesgo de responsabilidad -Empleados notificados y concientizados del control -Identificar quienes pueden requerir y autorizar monitoreo -Monitoreo lo menos intrusivo posible Control de accesos Recepción Permitida Salida Controlada 23

24 Proceso de implementación Involucramiento de alta gerencia Involucramiento del negocio Equipo de respuesta entrenado Concientización al empleado Interactuar con el usuario Solución DLP es persuasiva Primer impacto No intencionado Proceso de implementación Visibilidad Definición de primeras políticas y ajustes Involucramiento del negocio y TI Tratamiento de falsos positivos Comprensión de incidentes Atención de procesos bloqueados Entrenamiento del equipo de proyecto Identificación de flujos de información 24

25 Proceso de implementación Focalización Mejora de respuestas a incidentes Enfoque por áreas de negocio Armado de métricas y alineamiento de riesgos Organización de Identificación de procesos con mayor incidencia Comunicación de resultados Proceso de implementación Expansión Extender alcances de políticas y procesos de negocio Configurar, probar y habilitar notificaciones Seguimiento de métricas y reducción de riesgos Fortalecimiento de concientización 25

26 Proceso de implementación Protección Completar entrenamiento de equipo Revisión continua de métricas y comunicación de resultados Optimización de alertas Respuesta a incidentes consolidada Revisión de cambios de TI y del negocio Proceso de madurez Riesgo deja de ser asociado a TI Impulsor pasa a ser el negocio De seguridad TI a gobierno de la Información De incidente de seguridad a resiliencia empresarial Gasto a inversión 26

27 Manejo de incidentes Manejo de incidentes por prioridad Posibilidad de asignar incidentes Fortalecimiento de políticas de RRHH Proceso formalizado y probado Eliminar falsos positivos Resolución rápida y efectiva Manejo de incidentes 27

28 Manejo de incidentes Cierre y archivado Resguardo y recuperación Análisis posteriores Tratamiento de registros históricos Manejo de incidentes Análisis y reportes Hay incremento o merma de incidentes? Política de mayor impacto Unidad de negocio más reportada Hay un tipo de incidente que depende de un proceso que puede ser evitado? Hay inactividad detectada por política, usuarios, canal, etc? 28

29 Vulnerabilidad ante esta falta de control Movimiento de datos Permisos de acceso Retención Evidencia (litigios, respaldo, evaluación) Cambio tecnológico (obsolescencia) Destrucción Vulnerabilidad ante esta falta de control -Cifrado en todo dispositivo que contenga datos sensibles -IDS / IPS para control de perímetro -Escaneo regular sobre repositorios de información, para descubrir si la información sensible está expuesta sin cifrar, en texto claro -Intercambio de información de modo autenticado y cifrado entre redes y aplicaciones -Uso herramientas de control de dispositivos USB -Monitorear que todo el tráfico que sale de la empresa esté cifrado -Control de sitios y para transferencia de datos, así como Social Media 29

30 Necesidad de información Empleados Acceso ilimitado Cualquier dispositivo Tiempo de retención infinito Negocio Criticidad Restricción Legales Límites de retención Responsabilidades de daño o pérdida Necesidad de información Acceso Libre Control Retención Expiración Visibilidad Costo 30

31 Necesidad de información Negocio Enfoques de solución Descubrimiento o monitoreo Storage DLP o network DLP? Datos en reposo o datos en movimiento? Descubrimiento o bloqueo 31

32 Limitaciones Cobertura múltiples plataformas (MainFrame, VM, Linux) Dispositivos móviles Archivos gráficos y multimedia Datos en la nube Storage Environment: Dropbox, Google Drive, Box.net, SkyDrive Hosted Providers: Office 365, Gmail Social Media: Facebook, Twitter, Myspace No hay un estándar en definición de políticas Cifrado (integración Cisco IronPort) Integración con otras aplicaciones (SIEM, DRM, RMS, etc) Limitaciones 32

33 Consultas finales 33