1

McAfee Confidential

McAfee ochrana dat

DLP

Šifrování

Database Security

Jan Strnad, Sales Engineer, McAfee

5

DB DB

Ochrana aplikací a databází

Database Activity Monitoring

ENS, Adaptive Treat ProtectionApplication Control

ESM pro sběr logů a monitorování

Cloudové služby a aplikace

DLP Endpoint, Web Gateway, DLP Network a CASB - Skyhigh

Data Center Security Suite

ESM pro sběr logů a montorování

Sledování uživatelské aktivity - User Behavior Analytics – ESM, DLP Moniror, IPS

Fyzická ztráta zařízení

File and Removable Media Protection

Full Disk Encryption

Management of Native Encryption

ePO for Compliance Reporting

Detekce a prevence úniku dat zaměstanci

a hackery

DLP Endpoint, DAM, DLPNetwork, Web Gateway

ENS, Adaptive Treat ProtectionApplication Control

ESM pro sběr logů a montorování

Sledování uživatelské aktivity - User Behavior Analytics – ESM, DLP Monitor, IPS

Jaké nástroje nabízí McAfee na ochranu osobních údajů?

Vektory ztráty a úniku dat

6

Kudy mizí data?

Data-in-Motion

Data-at-Rest

Data-in-Use

Data Types Data Loss Vectors

Email Web Post Network Traffic IM Chat

Desktop/LaptopDatabase

Removable/Devices

CloudEmail/IM

File Share

Clipboard

7

Jak je možné data chránit? .......McAfee DLP

Data-in-Motion

Data-at-Rest

Data-in-Use

Data Types Data Loss Vectors Solution

DLP PreventDLP MonitorDLP Mobile

DLP Discover

DLP Endpoint

Email Web Post Network Traffic IM Chat

Desktop/LaptopDatabase

Removable/Devices

CloudEmail/IM

File Share

Clipboard

8

Komplexní ochrana dat s McAfee produkty

Switch

Firewall

Web Gateway

Email Gateway

File servery adatabáze

DLP

Prevent

ICAP

DLP

Prevent

SMTP

TAP or SPAN

DLP

MonitorMcAfee ePO

DLP Endpoint

Drive Encryption

File Encryption

Šifrování médií

DLP Discover

CIFS/SharePoint,MS SQL, Oracle,

MySQL

DLP Mobile

MicrosoftExchange

Active Sync

Database Activity

Monitor

9

McAfee Host DLP - komponenty

Host DLP Management

Device Control DLP Engine

Monitoring, kontrola a správa přístupu vyjímatelných zařízení

Obsažen v každé licenci pro ochranu koncových stanic

Monitoring a správa citlivých dat posílaných přes standardní komunikační kanályLicence aktivuje definici klasifikace a reakčních pravidel na ePO serveru

10

Hlavní funkce

Device Control přehled

• Je součástí DLP Endpoint, ale je dostupný jako samostatný produkt nebo je součástí dalších balíčků.

• Monitoruje, blokuje připojitelná zařízení, nebo je dělá read-only.

• Blokuje spouštění souborů z připojených zařízení.

• Možnost nastavení pravidel pro uživatele nebo uživatelské skupiny

• Možnost definovat globální pravidla, nebo konkrétní pravidla pro specifická zařízení –sběrnice, výrobce, sériové číslo, typ souborového systému.....

Serial/Parallel

CD/DVD

FireWire

USB

Bluetooth

WI/IRDA

Other

ePO Console

Policies Device and data events

Definuje různé politiky, které blokují, povolují nebo nastavují zařízení pouze pro čtení na základě typu zařízení.

11

Device Control – definice zařízení

• Systém pro správu I/O zařízeníMožnost specifikovat obecné zařízení:

• Vyjímatelná média

• Plug-and-play zařízení

• Sběrnice

• Souborový systém

Možnost specifikovat preferované zařízení:

• Sériové číslo

• Výrobce

• Model

• Device ID

• ………….

12

McAfee Data Loss Prevention

• Základní funkce DLP:

– Zabránit uživatelům, aplikacím, hackerům nebo malware zneužít nebo odnést citlivé data společnosti, ke kterým mají nebo musí mít přístup.

– Plná kontrola a audit zneužití citlivých dat.

• DLP nabízí:

– Ochrana dat proti zneužítí, jako například tisk, poslámí emailem, copy/paste, web komunikace...

– Široké spektrum ochrany a monitoringu citlivých dat jako:

• Detailní logování & fornenzní evidence

• Real-time ochrana & blokování nebo šifrování

• Notifikace uživatele a administrátora

• Karanténa citlivých dat

Copy & Paste

Monitor

UsageUSB

Copy

Print

Screen

Printer

Data Loss Prevention

DeviceControl

Encrypted USB

EndpointEncryption

13

Klasifikace dat v DLP systému

• Klasifikace dat je nejdůležitější a nejnáročnější část implementace DLP systému !!!

• Klasifikace dat musí pokrýt veškerá citlivá data a informace společnosti

ALE

• Vždy je nutné pečlivě zvážit, jaká data jsou ve společnosti citlivá a je nutné je chránit

• Data definovaná vedením společnosti

• Data, která definují normy a regulace – PCI DSS, GDPR, SOX.....

• Data důležitá pro chod společnosti.

• McAfee podporuje klasifikaci dat několika způsoby

• Fingerprint klasifikace dat

• Obsahová klasifikace dat

• Manuální klasifikace dat

• Discovery klasifikace dat

• Klasifikace dat se provádí jak na koncových zařízeních, tak na síťových sondách

14

Klasifikace dat v DLP systému

• Fingerprinting klasifikace dat

• tagování souborů, včetně udržování tagu souborů v Host DLP systému

• Location based – tagy na základě uložiště dat – lokální, sdílené úložiště

• Application based – tagy na základě dat generovaných definovanou aplikací

• Web Application based – tagy na základě dat stahovaných z webové aplikace

• Tag je uložen v Extended atributech NTFS partition nebo v data streamu, popřípadě ve skrytém ODB$ adresáři a dále je soubor rozdělen na bloky, ke kterým spočítají hashe, které se udržují v lokální cache na počítači

• Fingerprint tagování označuje celý soubor bez ohledu na jeho obsah. Je možné v rámci tagovaní použit i obsahovou klasifikaci pro detailnější rozlišení dat

například MS Office dokumenty, které obsahují rodná čísla uložená na sdíleném úložišti

• Fingerprint tagy dokáže zpracovat pouze DLP Endpoint for Windows klient. Tag není součástí souboru, při odeslání z počítače již není dostupný. DLP Prevent a DLP Discover tyto tagy nevidí a nejsou schopni reagovat.

• Seznam aplikací pro Application based tagování je přednastavený pro běžně používané aplikace a zároveň umožňuje definovat nové vlastní aplikace.

15

Fingerprint klasifikace dat – sledování dat

2 January 2018 15

Location based tag,kopírování souborů z

úložiště

Application based tag,Lokální generování

souboru aplikací

Web Application tag, data stažená z webové

aplikace

Klasifikace datPřiřazení tagu klasifikačními

pravidly

Ochrana datUplatnění reakčních pravidel

Emaily

Web pošta(Webmail, fóra

apod.)

Tisk

Vyjímatelnámédia

DLP Host udržuje tagovací informace dokonce i když je obsah modifikovám nebo změněn

• Přejmenování souboru

• Změna formátu souboru

• Kopírování části obsahu souboru do jiného

• Archivace souborů

• Šifrování souborů

Endpoint

Sledování obsahuUdržování tagů při manipulaci

16

Klasifikace dat v DLP systému

• Obsahová klasifikace dat

• Klasifikace obsahu dat – vyhledává konkrétní informace v souborech nebo datech

• RegEx výrazy – rodné čísla, čísla kreditních karet, datum, telefonní číslo.....

• Slovníky – slova, fráze včetně podpory CZ/SK diakritiky.....

• Klasifikace souborů – sleduje vlastnosti souborů

• Klasifikace vlastností souborů

• Klasifikace extenzí nebo true type souborů

• Klasifikace šifrovaných souborů

• Klasifikace třetích stran – Titus, Boldon James, DocTag

• Je možné v rámci jednoho klasifikačního pravidla využít více klasifikačních kritérií

například klasifikovat smlouvu s definovanou hlavičkou, která obsahuje rodné číslo, je v MS Office dokumentech, soubor je starý méně nežměsíc apod.

• Tag je udržován v paměti počítače na základě prohledání souboru/dat

• Klasifikační pravidla obsahu dokáží zpracovat všechny komponent McAfee DLP – Host, Prevent i Discover

17

Obsahová klasifikace dat - nastavení

• Definice obsahového klasifikačního pravidla• Definice RegEx výrzů• Definice slov a frází• Definice aplikací

18

Klasifikace dat v DLP systému

• Manuální klasifikace

• Manuální klasifikace – přiřazuje tag do souboru nebo emailu

• Microsoft Office Word, Excel, PoverPoint – tag se přidává do properties souboru

• Ostatní soubory – tag se přidává do XMP properties – metadat souboru

• Email Outlook klient – tag se přidává jako Markup text do X-header

• Fingerprint klasifikace

• Uživatel aplikuje tag k souboru přes kontextové menu v MS Exploreru

• Administrátor definuje typ manuální klasifikaci dat.

• Administrátor přiděluje uživatele, uživatelskou skupinu nebo Everyone ke každému klasifikačnímu pravidlu.

• Je možné vynutit nebo umožnit manuální klasifikaci u MS Office dokumentů při jejich ukládání a při odesílání emailu

• Je možné tagovat ostatní typy souborů přes kontextové menu v MS Exploreru

19

Manuální klasifikace dat uživatelem

Umožňuje nebo vynucuje klasifikaci MS

Office souborů –

Word, Excel, PowerPoint

nebo emailů v MS Outlook uživatelem

• Uživatel musí klasifikovat ukládaný soubor

• Pokud neklasifikuje, systém přidává klasifikátor „Not

Classified“ – DLP snadno najde takto označený

dokument

• Neklasifikovaný dokument je možné i nadále sledovat

obsahovými klasifikačními pravidly

• Nabízí flexibilitu v nasazení DLP

Odeslat

Uložit

Tisknout

Vytvořit Klasifikovat

20

Manuální klasifikace - nastavení

• Definice manuálního tagování• Typ tagování• Uživatel nebo uživatelská skupina

• Vynucení manuálního tagování v MS Office

21

Klasifikace dat v při skenování systémů

Discovery skeny pomáhají s analýzou prostředí společnosti, jsou schopny vyhledat citlivá data jak na koncových stanicích, tak i serverech a cloudových službách

Na základě skenu je následně možné ladit DLP pravidla a ostatní produkty pro ochranu před únikem dat.

McAfee DLP nabízí Lokální nebo Síťové skeny pro vyhledávání citlivých dat - využívá stejná klasifikační pravidla jako DLP politika

• Local Discovery Scan – vyhledávání citlivých dat v lokálním prostředí

• Endpoint Discovery sken – Local File system - vyhledávání osobních údajů na lokálním disku a adresářích

• Endpoint Discovery sken – Local Email – vyhledávání osobních údajů v PST a OST souborech

• Network Discovery Scan – Vyhledávání citlivých dat na síťovém prostředí

• File server protection – vyhledávání osobních údajů na File serverech ( CIFS )

• SharePoint Protection – vyhladávání osobních údajů na MS SharePoint serverech – On line, On premise

• Box Protection - vyhladávání osobních údajů v cloudové služvě Box

• Database protection – vyhledávíní osobních údajů v databázích (verze DLP 11 5/2017)

22

Jednotná politika pro Host i Network DLP

• DLP umožňuje definovat více rulesetů• DLP rulesety je možné následně uplatňovat na různé skupiny počítačů• DLP ruleset obsahuje pravidla Device Controlu, DLP a Discovery• Flexibilní uplatnění různých rulesetů na různé skupiny počítačů a DLP systémů

23

DLP rulesety – DLP politika• Seznam pravidel DLP systému v rulesetu• Definice DLP pravidla - podmínky pro Email protection pravidlo• Definice DLP pravidla – reakce pro Email protection pravidlo

24

Ochrana dat v Cloudu

• Cloud Discovery sken– Box, SharePoint

• Cloud Protection pravidla – Box, DropBox, GoogleDrive, iCloud, OneDrive - personal, business, Syncplicity

Odesílání Stahovánív Cloudu

Monitoruje/blokuje-

šifruje citlivé

data/soubory před

odesláním

Ochrana citlivých dat

šifrováním při stahování na

koncovou stanici

Náprava; změna sdílení –

anonymos na Logon, Copy,

Move, šifrování

25

Proaktivní ochrana dat s integrací TIE technologie

McAfee Threat Intelligence

Exchange Server

McAfee Data Loss Prevention Endpoint

Data Exchange

Layer

DLPE identifikuje

spuštění nového

procesu

Proces A.exe

1 DLPE odesílá

požadavek na

TIE server pro

získání reputace

ProcesA.exe

2 TIE server

vyhledá reputaci

o procesu

Proces A.exe

3 TIE server

vrací reputaci

procesu:

Proces A.exe

Most Likely

Malicious

4 5 DLPE monitoruje

Proces A.exe a

blokuje procesu

přístup k citlivým

datům

26

Zpětná vazba v reálném čase: ~75% snížení rizikového chování

Řízení a monitorování uživatelské aktivity s DLP systémem

Vzdělávání zaměstnanců, zmírnění administrativní zátěže, snížení rizikového chování

Lokální sken a kontrola

Scan DetailsScan Name: Local File SystemScan Date: 15-Jul-2016 18:04:53Files Scanned: 31Files Monitored: 31Files Quarantined: 2

Zpětná vazba v reálném čase

My manager approved this transmission

This content is not sensitive

Sorry, I didn’t know

Enter Justification

Manuální klasifikace

Public

Confidential

Partner

27

DLP Discover

DLP Discover je software agent, který slouží k vyhledávání citlivých dat na diskových úložištích.

DLP Discover využití: Pomáhá plánovat DLP strategii uvnitř organizace – analýza prostředí před nasazením DLP

Klasifikuje a detekuje citlivá firemní data.

Náprava/ochrana citlivých informací.

DLP Discover sken podporuje File servery CIFS

SharePoint

Box

Databáze MS SQL, Oracle, MySQL

Discover se instaluje na fyzický nebo virtuální W2008/W2012 server

Instalace plně řízena z ePO serveru

Konfigurace a logování na ePO serveru - unifikovaná bezpečnostní politika

28

DLP Discover - typy skenů

3 typy skenů

Inventorizace – zobrazí seznam souborů na úložišti

Klasifikace – Sken klasifikuje data na úložišti podle definovaných klasifikačních pravidel

Klasifikace a náprava – klasifikovaná data jsou posouzena podle reakčních pravidel

29

DLP Discover – Database Scan

• DLP Discover ve verzi 11 podporuje skenování databázových systémů:

• Microsoft SQL Server

• Oracle

• MySQL

• DB2 (plán v 11.0 Patch 1)

30

McAfee DLP Prevent

• DLP Prevent 10.0 image je dostupný jako ISO nebo OVA

• ISO podporuje instalaci na DLP-4400 a 5500 appliance

• OVA podporuje instalaci na vSphere 5.5+

• Initial Configuration Wizard (stejné prostředí jako pro ostatní McAfee appliance)

• Plně spravovatelné pomocí ePO

• DLP Policy Manager (common Classifications, Rule Sets, Email Protection Rules, …)

• DLP Incident Manager

• Funkcionalita DLP Prevent stejná jako předcházející verze NDLP

• SMTP nebo ICAP

• Stejné X-RCIS-Action header nebo ICAP 200 OK/204

31

DLP Prevent – definice pravidel• DLP Prevent politika se nastavuje ve stejném rulesetu jako DLP host

• DLP Prevent pravidla se definují v záložce Data Protection

• DLP Prevent aplikuje pravidla na Emailový a Webový provoz

32

DLP Incident Manager• Incident Manager zobrazuje detekované události z :

• DLP Endpoint – Data in-use/motion• DLP Local discovery – Data at rest – endpoint• DLP Network discovary – Data at rest - network

•

33

DLP Incident Manager – detail událostí• Kliknutím na událost se zobrazuje kompletní detail události

• Počítač, IP adresa, uživatel, aplikace, DLP politika.....• Datum a čas, provedená akce, typ incidentu, pravidlo.....• Další detaily – email, typ zařízení ....• Detailní pohled na detekovaná data, klasifikaci a evidenci

•

34

McAfee Confidential

McAfee Drive Encryption

35

Šifrování pevných disků zamezuje ztrátě dat

Ochrana osobních údajů při ztrátě nebo odcizení zařízení.

Data jsou šifrována a tím automaticky chráněna před zneužitím cizí osobou

Drive and Native Encryption

“FileVault” “McAfee Drive Encryption”

“BitLocker”

McAfee ePO

36

McAfee Drive Encryption

• Vlastnosti šifrovacích nístrojů:

– Šifrování laptopů, desktopů, a mobilních zařízení včetně boot sektoru, systému nebo swap souborů.

– Ochrana citlivých dat při ztrátě nebo odcizení zařízení

– Safe Harbor protection – Ztráta šifrovaných dat =nevyžaduje veřejné vysvětlování

• McAfee Drive Encryption:

– Šifrovací algoritmus AES 256

– Podpora pro laptopy, desktopy, servery

– Šifruje všechny sektory disku

– Centrální správa

– Certifikace: FIPS 140-2, Common Criteria Level 4 (highest level for software products), BITS, CSIA, etc.

Data Loss Prevention

DeviceControl

Encrypted USBEndpointEncryption

37

McAfee Drive EncryptionPlné šifrování disků

.DOC .XLS .APPS

2

3

1

4

Soubory/APP

Operační

systém

Šifrovací

ovladač

Pevný disk

Lore

m ip

sum

dolo

r sit a

me

t#

$$

%%

#%

%&

&

Lore

m ip

sum

dolo

r sit a

me

t #

$$

%%

#%

%&

&

2

3

1

4

Soubory jsou v plném textu a plně

viditelné pro autorizovaného uživatele a

aplikaci

Soubory jsou

formovány

do sektorů

Sektrory jsou

formovány

na soubory

Sektory jsou

šifrovány v

paměti

Šifrované

sektory jsou

dešifrovány v

paměti

Sektory jsou

uloženy na

disk

Sektory jsou

čteny z disku

38

McAfee Drive Encryption

Podpora instrukcí AES-NI

• Instrukce AES-NI akcelerující operace nad algoritmem AES

• Procesory Intel i3/i5/i7

• Výrazné zrychlení všech diskových operací na šifrovaných strojích

39

• Self-encrypting disky jako alternativa k softwarovému šifrování

• Centrální správa politik pro Opal disky a možnosti recovery při zapomenutí hesla

McAfee Drive Encryption

Podpora standardu Opal

40

Drive Encryption pre-boot autentizace

41

Reporty Drive Encryption v ePO

Detailní report o stavu šifrování disků/partition

Report o instalaci Endpoint Encryption: Ano/Ne?

Plně šifrováno:Ano/Ne?

42

McAfee Confidential

McAfee File and

Removable media

encryption

43

McAfee File & Removable Media ProtectionŠifrování souborů a složek

• Možnost šifrovat lokální i sdílená data

‒Pomocí jednoho klíče, který je dostupný pro jednoho

nebo více uživatelů

‒Pomocí lokálního klíče pro osobní ochranu dat

• Šifrování externích datových úložišť přes USB rozhraní

‒USB disky,

‒Flash disky

• Centrální definice politiky umožňuje detailnější nastavení i

ve velké společnosti

• Automatické šifrování a dešifrování bez ztráty výkonu a

plně transparentní pro uživatele – silná šifra AES 256

• Ochrana souborů a složek na stanicích, laptopech a

serverech

Administrator

File

Server Terminal

Server

Client Computer

2

3

5

Client Computer

Client Computer

Corporate

Directory

1

4

44

Vlastnosti šifrování souborů a složek

• Politikou kontrolované, pro uživatele transparentní šifrování:

– Lokálních dokumentů a složek

– Dokumenty a složky na souborovém serveru

• Vlastnosti zobrazené u souboru obsahují informace o šifrování včetně jména šifrovacího klíče

45

Možnosti šifrování souborů a složek

45

Možnosti šifrování souborů a složek pro uživatele

– Zašifrovat soubor

– Dešifrovat soubor

– Vytvořit Self-Extractor

– Přidat Self-Extractor soubor do emailu

– Vložit zašifrovaný soubor do emailu

– Kopírovat zašifrovaný soubor na CD/DVD

46

Vlastnosti šifrování připojitelných zařízení přes USB

Politika pro připojitelné zařízení přes USB sběrnici umožňuje:

– Ponechat zařízení v původním stavu

– Umožnit uživateli šifrovnání• Celého zařízení• Definovaná velikost šifrované části

– Vynutit šifrování• Celého zařízení

• Definovaná velikost šifrované části

– Přístup k šifrované části při onsite nebo offsite použití

– Blokovat zápis na zařízení

47

McAfee File & Removable Media ProtectionOchrana souborů a složek šifrováním

• Ochrana citlivých dat šifrováním na lokálních i sdílených úložištích

‒ Ochrana citlivých dat před zneužitím neoprávněnou osobou –

zaměstnanec, externí útočník

‒ Centrální správa a přidělování klíčů uživatelům nebo uživatelským

skupinám z AD

• Ochrana citlivých dat šifrováním, která jsou odesílána na USB zařízení

• Ochrana citlivých dat šifrováním, která jsou odesílána na Cloudové

služby

• Šifrování externích datových úložišť připojených přes USB rozhraní

‒ USB disky, flash disky

‒ Ochrana citlivých dat přímo na externím úložišti

• Centrální definice politiky umožňuje detailnější nastavení i ve velké

společnosti

• Ochrana souborů a složek na stanicích, laptopech a serverech

Administrator

File

Server Terminal

Server

Client Computer

2

3

5

Client Computer

Client Computer

Corporate

Directory

1

4

48

McAfee Confidential

McAfee Database Security

McAfee Database Security 49© Intel Corporation

Ochrana, monitorování a uplatnění shody s nařízeními pro databáze v reálném čase a bez

výpadku nebo restartů

Datacenter Security Suite for Database

Vyhledávání

Vyhledává veškeré

databáze na síti,

prohledává databáze

a detekuje citlivá data

(osobní údaje) nebo

privilegované

uživatele

Posouzení

Odhaluje

zranitelnosti a

možná rizika

databází

Monitorování

V reálném čase

monitoruje veškeré

aktivity v databázích,

jak na fyzických, tak i

virtuálních systémech

Ochrana

Ochrana před

známými hrozbami

pomocí virtual

patchingu bez

výpadku databází

Kompletní viditelnost Dynamická ochrana Efektivní správa

McAfee Database Security 50© Intel Corporation

“Kde jsou všechny moje databáze a jak jsou zabezpečeny?“

McAfee Vulnerability Manager for Databases

• Vyhledává veškeré databáze, které existují v

podnikovém prostředí

• Dává pohled na zabezpečení každé z

detekovaných databází (i těch, o kterých

správce nevěděl)

• Poskytne výsledky skenování a doporučení

odborníků na slabá místa, což šetří čas a

náklady na drahé konzultace třetí strany

• Snižuje čas a úsilí pro přípravu a reakci na

audity

• Správa řešení přímo z ePO management

konzole nebo dedikovaného managementu

serveru

51

McAfee Vulnerability Manager for Databases

Automatizované skenování DB pomocí discovery skenu

Vyhledávání zranitelností databází

Přednastavené skeny

Speciální sken pro GDPR

52

McAfee Virtual patching for Databases

• Pomáhá dosáhnout zabezpečení

databáze stejně jako se záplatami s

nulovým výpadkem nebo porušením

databáze

• Nižší cena správy bez nutnosti

testování nových záplat nebo upgrade

DB

• Jediný způsob, jak zajistit ochranu před

zranitelnostmi databází, která již nejsou

podporovány výrobcem

“Nemohu držet krok se všemi záplatami na mých databázích a tím vystavuji společnost významným rizikům a neshody s politikou”

53

McAfee Database Activity Monitoring

• Out-of-the-box ochrana proti známým

zranitelnostem a běžným hrozbám napříč všemi

vektory přístupu - vPatch

• Flexibilní pravidla, které reflektují požadavky

společnosti nebo regulací

• Vlastní monitorovací pravidla vytvářená

– Manuálně administrátorem

– Na základě detekovaných aplikací

– Na základě detekované události

• Alertování v reálném čase při porušení politiky,

dokonce i privilegovaným uživatelem

• Ukončení spojení a karanténa

uživatele/systému

“Jak mohu ochránit databázi a splňovat požadavky norem a regulací?”

54

Stored Proc.

Trigger

View

Data

Shared Memory

DBMS

Lis

ten

er

Databáze může být přístupná ze třech různých bodů:

SAP

Be

qu

ea

th

DB AdminSys Admin

programátor

Ochrana databází napříč všemi vektory

Lokální přístup

Síťový přístup

1 2 3

Ze sítě Z konzole Z databáze (Intra-DB)

intra-DB threats

55

Stored

Proc

Trigger

ViewData

Shared Memory

DBMS

Liste

ner

Bequeath

Local Conn

Network Conn

Host-Based Sensor technologie

• Veškeré databázové transakce, externí i interní, musí

procházet přes sdílenou databázovou paměť

• Host-based sensor pasivně monitoruje sdílenou

databázovou paměť

• Detekované události odesílá na management server,

popřípadě provádí ukončení session a karanténu podle

definované politiky

• Minimální vliv na výkon – obvykle 3-5% z jednoho jádra

CPU

• Neintruzivní, žádné změny jádra, uživatelského

nastavení, fail-open řešení, žádné I/O operace, žádně

zpoždění

• Žádné přerušení obchodních aktivit - restart databáze,

serveru

Host-based

Sensor

56

Jak McAfee DLP může pomoci s dodržováním shody s GDPR

• DLP je jeden ze základních nástrojů, který je schopen organizacím pomoci s dodržováním nařízení GDPR při

zpracování osobních údajů.

• McAfee DLP umožňuje:

• Omezit pohyb osobních údajů, jak náhodný, tak úmyslný

• Vyhledat osobních údaje na lokálních i sdílených úložištích

• Sledovat pohyb osobních údajů v rámci lokální sítě i na externích úložištích

• Sledovat jednotlivé uživatele, jak nakládají s osobními údaji

• Identifikovat možné incidenty úniku osobních údajů

• Auditovat uživatele při zpracování nebo možném úniku osobních údajů – detailní informace o vynesených datech – v případě

dokládání incidentu vůči GDPR

• Šifrování odchozích osobních údajů ve spolupráci s produktem File and Removable Media Encryption

• Šifrování externích médií – USB flash disky, externí disky s produktem File and Removable Media Encryption

• DLP vhodný pro větší organizace, které zpracovávají velké množství osobních údajů, nicméně je použitelný

pro jakoukoliv organizaci

• Podpora na stanicích, serverech i na síti – host a network DLP

• Jednodužší a rychlejší nasazení - unifikovaná politika pro host a network DLP s jednotnou centrální správou

57

Jak McAfee Database Security pomůže s dodržováním shody s GDPR

• McAfee Database Security je další důležitý nástroj, který je schopen organizacím pomoci s

dodržováním nařízení GDPR při zpracování osobních údajů.

• McAfee Database Security umožňuje:

• Vyhledávat databáze v síti společnosti

• Speciální Discovery scan for GDPR dokáže vyhledat osobní údaje definované GDPR

• Monitoruje osobní údaje ukládané nebo čtené z databáze, chrání před únikem osobních údajů

• Sleduje uživatele, aplikace, administrátory i DB logiku, jak pracují s osobními údaji

• Identifikuje a notifikuje možné incidenty úniku osobních údajů

• McAfee Database Security nabízí:• Pouze software řešení, které se rychle a snadno instaluje a používá (rychlý čas k ochraně databáze)

• Navržené pro použití správci, kteří nejsou DBA

• Komplexní pokrytí databází a komplexní ochrana před DB útoky

• Neintruzivní & malý agent a neustále aktualizované z McAfee Labs

• Flexibilní správa s ePO serverem nebo DB Security Management serverem

• Škálovatelné řešení a použitelné ve virtuálním nebo cloud prostředí

• Systém vhodný pro větší organizace, které zpracovávají velké množství citlivých informací,

nicméně je použitelný pro jakoukoliv organizaci

McAfee, the McAfee logo and other relevant McAfee Names are trademarks or registered trademarks of McAfee LLC or its subsidiaries in the U.S.

and/or other countries. Other names and brands may be claimed as the property of others. Copyright © 2017 McAfee LLC.