Karl-Heinz Holtschmit

Data Loss Prevention

• Antecedentes

- Introducción

- Ejemplo de Fuga de Información

- Nueva Ley - LFPDPPP

- Retos en prevención de Fuga de Datos

- ¿En qué nos ayudará?

• Introducción- ¿Qué es DLP?

- Las Bases

- Múltiples facetas de fuga

- Requisitos

• Identificación- Fuentes de Información

- Fingerprints

- Otros Métodos

• Monitoreo

- Modulos

- Datos en Reposo

- Datos en Movimiento

- Datos en Uso

• Proteger- Metodología con resultados

comprobados

- Evidencia

• Conclusión

Temario

Empresa Scanda

¿Cómo protegerla?¿Quién y cómo la utilizan?¿Cuál es y dónde está la información clasificada?

• 1 / 400 correos contiene información confidencial

• 1 / 50 archivos de red están erróneamente expuestos

•El instituto Vontu and Ponemon en el 2007, estadística donde 1 / 2

empresas pierden información en USB’s.

• El 66% de las victimas no sabían que esos datos estaban en sus

equipos.

Introducción Antecedentes

El caso más famoso de fuga de información del momento Antecedentes

Nueva Ley : LFPDPPP

Tiene como finalidad:

• Regular el tratamiento legitimo de datosconfidenciales.

• Controlar e Informar sobre el uso responsable dela información.

• Garantizar la privacidad del contenido de losmismos.

Los responsables deben:

• Observar los principios de licitud, consentimiento,información, calidad, finalidad, lealtad,proporcionalidad y responsabilidad.

(Ley Federal de Protección de Datos Personales en Posesión de Particulares)

Antecedentes

Retos en Prevención de Fuga de datos

• Manejo y medición de riesgos y reglas– Retrasos en generar reportes de auditoria y

requerimientos de normas.

– Dificultad en recuperar malos o rotos procesos de negocio.

• Visibilidad de datos en movimiento y almacenados en reposo

– Tipos de datos desconocidos

– Riesgos desconocidos en cada canal de comunicación.

• Asegurar los procesos de Negocio– No poder asegurar quien envía que.

– Posible daño a la reputación e imagen de la compañía

Asegurar negocio in interrumpido con el manejo de cumplimiento de

normas al menor riesgo y previniendo perdida de información

asegurando los procesos de negocio.

Lavado de dinero

Fraudes

Auditorías informáticas

Cumplimiento CNBV, PCI, etc.

Hackeo y ataques

Malwares Indetectables

Fuga de información

Mejorar procesos

Financiero

Espionaje Industrial

Venta/Fuga de Información

Fraudes

Investigaciones de RH

Auditorías

Compliance

Búsqueda de evidencias

Manufactura

Antecedentes¿En qué nos ayudara?

¿Qué es DLP?

Es un termino de seguridad referente a un sistema queidentifica, monitorea y protege datos en uso, datos enmovimiento y datos en reposo por medio de mecanismos deinspección, análisis contextual de transacciones (origen,destino, medio, etc), siendo administrado desde una consolacentral donde tiene la capacidad de detectar y prevenir usono autorizado así como transmisión de informaciónconfidencial.

Donde está su riesgo

Introducción

Las bases

• Diseño unificado de políticas

– Única ofrecida con diseño de políticas unificado

– Manejo de todas las facetas de una efectiva política de prevención de fuga.

– Poderosa capacidad de monitoreo para rastrear cualquier cambio en la información.

• Bajo costo y poca complejidad

– Solución modular adaptada para los requerimientos específicos del cliente.

Administración y reporteo centralizado

NSI

SOX

New Design

PII

HPIAA

PCI DSS

PHI PFI

IDENTIFICA

Email

Http

IM

Print

Removable Media

Custom Channel

Database

Server

MONITOREA

Block

Encrypt

Quarantine

Notify

Confirm

Application

Remediate

PROTEGE

Introducción

Multiples facetas de fuga…

Quien

Recursos Humanos

Servicios

Finance

Contabilidad

Legal

Ventas

Mercadotecnia

Soporte Técnico

Ingeniería

Que

Código fuente

Planes de Negocio

Planes de mercado

Nomina

Información de Clientes

Información Financiera

Información Proveedor

Documento Técnico

Info. Competitiva

Donde

Proveedor

Respaldo personal Web

Blog

Clientes

USB

Spyware Site

Socio de Negocios

Competidor

Analista

Como

File Transfer

Instant Messaging

Peer-to-Peer

Impresora

Email

Web

Auditar

Notificar

Remover

Cuarentena

Encriptar

Bloquear

Medio removible

Copy/Paste

Print Screen

Acción

Confirmar

Requisitos: Buen nivel de Madurez

Para tomar en cuenta:

• Clasificación de Información

• Buenas políticas de seguridad, educación y tecnología

• Diferente a otros productos de seguridad

• Creación de un Consejo (CERT).

• El proyecto de DLP económicamente se justifica solo tan solo con ponerlo en modo monitor en la red en menos de 1 mes.

• Efectivo contra malas prácticas de negocio

• Active Directory

Fuentes de Información Identificación

Fingerprint – Paso 1 Identificación

Eliminar caractéres extras, enters, controles de caractéres, etc.

Fingerprint – Paso 2 Identificación

Eliminación de palabras como artículos, etc

Fingerprint – Paso 3 Identificación

Palabras realmente importantes

Fingerprint – Paso 4 Identificación

• Hashes de 5 palabras, de 5 en 5

Hash #1Hash #2Hash #3Hash #4Hash #5

. . .Hash #1 Hash #9 Hash #17 Hash #25 Hash #33

Fingerprint Stored in PreciseID DB

Fingerprint – Paso 5 Identificación

Outbound Content

(E-mail, Web, Fax,

Print, etc.)

0x9678A

0x59A06

Detect:

Extract

Algorithmic

Conversion

010111001

101001100

00101100

100100

One-way

Mathematical

Representation

0x1678A

0x461BD

0x66A1A

0x6678A

0x4D181

0xB678A

01011100

11010011

00001011

00 100100

1000111

01110101

01101011

0110011

0111101

Database

Record or

Document

Algorithmic

Conversion

One-way

Mathematical

Representation

Fingerprint:

0xB6751

0xB61C1

0x37CB2

0x5BD41

0x190C1

0x93005

0x590A9

0xA0001 0xB6751

0xB61C1

0x37CB2

0x5BD41

0x190C1

0x93005

0x590A9

0xA0001

Extract

Fingerprint

Storage &

Indexing

0x5BD410x190C1

0x93005

Fingerprint

Creation

Real-Time

Fingerprint

Comparison

Fingerprint – Paso 6 Identificación

Análisis

Protección

Protección a los ataques

más comunes de

manipulacion de datos

Embedded

Files

Format

Manipulation

Structure

Manipulation

Copy

& Paste

Data

Flooding

Hidden

Data

Identificación

Otros métodos…

• Definición de palabras claves, ejemplo: confidencial, nips, tarjeta de crédito, curps, amex, cc, etc, etc

• Expresiones regulares (cc:16 dígitos, estructura del CURP, IFE, etc)

• Templates de normas PCI DSS, GLBA, HIPAA, SOX y muchas mas por sectores.

Identificación

Módulos

• Data Discover—Detecta y clasifica los datos distribuidos en toda la organización.

• Data Monitor—Monitorea quién está utilizandocuales datos y cómo lo hace.

• Data Protect—Protege los datos con controlesbasados en políticas que se asignan a los procesos organizacionales.

• Data Endpoint—Extiende la seguridad de datos al punto final con administración integrada y elaboración de informes.

Monitorear

File shares, Servers, Laptops

•Windows file shares

•Unix file shares

•NAS / SAN storage

•Windows 2000, 2003,

2005

•Windows XP, Vista, 7

Remediation

• Delete

• Move

• Quarantine

• Notifications

• Encrypt

• Alert / Report

Tipos de Archivos

•Microsoft Office Files

•PDFs

•PSTs

•Zip files

Rescan sources to measure and manage risk

Discover Analyze Remediate

Datos en Reposo Monitorear

Monitor Analyze Enforce

EmailWeb Traffic

•SMTP email

•Exchange, Lotus, etc.

•Webmail

•Text and attachments

•FTP

•HTTP

•HTTPS

•TCP/IP

Remediation

•Audit

•Block

•Encrypt

•Log

Instant Messages

•Yahoo IM

•MSN Messenger

•AOL Messenger

•Gtalk

Datos en Movimiento Monitorear

Datos en Uso (Endpoint)

Monitor Analyze Enforce

Print & Burn Copy and Save As

• Local printers

• Network printers

• Burn to CDs/DVDs

• Copy to Network shares

• Copy to external drives

• Save As to external drives

Actions & Controls

• Allow

• Justify

• Block

• Log

USB

• External hard drives

• Memory sticks

• Removable media

Monitorear

0

2000

4000

6000

8000

10000

12000

14000

Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec

Violaciones

Metodología con resultados comprobados

Políticas activasNotificacionesMonitoreo

Remediación extrema, rm –rf /

Proteger

Evidencia Proteger

Conclusión

• DLP nos ayuda a cubrir todos los puntos de la ley.

• DLP nos ayudara a educar a los usuarios y evitar fugas.

• DLP es una herramienta que involucra a todas las áreas y tomara su tiempo de implementación.

• DLP ayudara a las empresas a que pueden aumentar la seguridad dentro de su organización y cumplir con los requerimientos regulatorios para todas las áreas y regiones en las que la compañía hace negocio..

Certificación CISA, CISM, CISSP.

Alineación a mejores prácticas Cobit, BS7799, ITIL.

DiferenciadoresExperiencia

Algunos ClientesExperiencia

¿Preguntas?

GraciasContacto Comercial

Nélida Sanchez

nsanchez@scanda.com.mx

+52 81 81299100

Ing. de Preventa

Ing. Karl-Heinz Holtschmit

Karl.holtschmit@scanda.com.mx