McAfee - ochrana dat, DLP, šifrování, database security
-
Upload
marketingarrowecscz -
Category
Technology
-
view
84 -
download
3
Transcript of McAfee - ochrana dat, DLP, šifrování, database security
1
McAfee Confidential
McAfee ochrana dat
DLP
Šifrování
Database Security
Jan Strnad, Sales Engineer, McAfee
5
DB DB
Ochrana aplikací a databází
Database Activity Monitoring
ENS, Adaptive Treat ProtectionApplication Control
ESM pro sběr logů a monitorování
Cloudové služby a aplikace
DLP Endpoint, Web Gateway, DLP Network a CASB - Skyhigh
Data Center Security Suite
ESM pro sběr logů a montorování
Sledování uživatelské aktivity - User Behavior Analytics – ESM, DLP Moniror, IPS
Fyzická ztráta zařízení
File and Removable Media Protection
Full Disk Encryption
Management of Native Encryption
ePO for Compliance Reporting
Detekce a prevence úniku dat zaměstanci
a hackery
DLP Endpoint, DAM, DLPNetwork, Web Gateway
ENS, Adaptive Treat ProtectionApplication Control
ESM pro sběr logů a montorování
Sledování uživatelské aktivity - User Behavior Analytics – ESM, DLP Monitor, IPS
Jaké nástroje nabízí McAfee na ochranu osobních údajů?
Vektory ztráty a úniku dat
6
Kudy mizí data?
Data-in-Motion
Data-at-Rest
Data-in-Use
Data Types Data Loss Vectors
Email Web Post Network Traffic IM Chat
Desktop/LaptopDatabase
Removable/Devices
CloudEmail/IM
File Share
Clipboard
7
Jak je možné data chránit? .......McAfee DLP
Data-in-Motion
Data-at-Rest
Data-in-Use
Data Types Data Loss Vectors Solution
DLP PreventDLP MonitorDLP Mobile
DLP Discover
DLP Endpoint
Email Web Post Network Traffic IM Chat
Desktop/LaptopDatabase
Removable/Devices
CloudEmail/IM
File Share
Clipboard
8
Komplexní ochrana dat s McAfee produkty
Switch
Firewall
Web Gateway
Email Gateway
File servery adatabáze
DLP
Prevent
ICAP
DLP
Prevent
SMTP
TAP or SPAN
DLP
MonitorMcAfee ePO
DLP Endpoint
Drive Encryption
File Encryption
Šifrování médií
DLP Discover
CIFS/SharePoint,MS SQL, Oracle,
MySQL
DLP Mobile
MicrosoftExchange
Active Sync
Database Activity
Monitor
9
McAfee Host DLP - komponenty
Host DLP Management
Device Control DLP Engine
Monitoring, kontrola a správa přístupu vyjímatelných zařízení
Obsažen v každé licenci pro ochranu koncových stanic
Monitoring a správa citlivých dat posílaných přes standardní komunikační kanályLicence aktivuje definici klasifikace a reakčních pravidel na ePO serveru
10
Hlavní funkce
Device Control přehled
• Je součástí DLP Endpoint, ale je dostupný jako samostatný produkt nebo je součástí dalších balíčků.
• Monitoruje, blokuje připojitelná zařízení, nebo je dělá read-only.
• Blokuje spouštění souborů z připojených zařízení.
• Možnost nastavení pravidel pro uživatele nebo uživatelské skupiny
• Možnost definovat globální pravidla, nebo konkrétní pravidla pro specifická zařízení –sběrnice, výrobce, sériové číslo, typ souborového systému.....
Serial/Parallel
CD/DVD
FireWire
USB
Bluetooth
WI/IRDA
Other
ePO Console
Policies Device and data events
Definuje různé politiky, které blokují, povolují nebo nastavují zařízení pouze pro čtení na základě typu zařízení.
11
Device Control – definice zařízení
• Systém pro správu I/O zařízeníMožnost specifikovat obecné zařízení:
• Vyjímatelná média
• Plug-and-play zařízení
• Sběrnice
• Souborový systém
Možnost specifikovat preferované zařízení:
• Sériové číslo
• Výrobce
• Model
• Device ID
• ………….
12
McAfee Data Loss Prevention
• Základní funkce DLP:
– Zabránit uživatelům, aplikacím, hackerům nebo malware zneužít nebo odnést citlivé data společnosti, ke kterým mají nebo musí mít přístup.
– Plná kontrola a audit zneužití citlivých dat.
• DLP nabízí:
– Ochrana dat proti zneužítí, jako například tisk, poslámí emailem, copy/paste, web komunikace...
– Široké spektrum ochrany a monitoringu citlivých dat jako:
• Detailní logování & fornenzní evidence
• Real-time ochrana & blokování nebo šifrování
• Notifikace uživatele a administrátora
• Karanténa citlivých dat
Copy & Paste
Monitor
UsageUSB
Copy
Screen
Printer
Data Loss Prevention
DeviceControl
Encrypted USB
EndpointEncryption
13
Klasifikace dat v DLP systému
• Klasifikace dat je nejdůležitější a nejnáročnější část implementace DLP systému !!!
• Klasifikace dat musí pokrýt veškerá citlivá data a informace společnosti
ALE
• Vždy je nutné pečlivě zvážit, jaká data jsou ve společnosti citlivá a je nutné je chránit
• Data definovaná vedením společnosti
• Data, která definují normy a regulace – PCI DSS, GDPR, SOX.....
• Data důležitá pro chod společnosti.
• McAfee podporuje klasifikaci dat několika způsoby
• Fingerprint klasifikace dat
• Obsahová klasifikace dat
• Manuální klasifikace dat
• Discovery klasifikace dat
• Klasifikace dat se provádí jak na koncových zařízeních, tak na síťových sondách
14
Klasifikace dat v DLP systému
• Fingerprinting klasifikace dat
• tagování souborů, včetně udržování tagu souborů v Host DLP systému
• Location based – tagy na základě uložiště dat – lokální, sdílené úložiště
• Application based – tagy na základě dat generovaných definovanou aplikací
• Web Application based – tagy na základě dat stahovaných z webové aplikace
• Tag je uložen v Extended atributech NTFS partition nebo v data streamu, popřípadě ve skrytém ODB$ adresáři a dále je soubor rozdělen na bloky, ke kterým spočítají hashe, které se udržují v lokální cache na počítači
• Fingerprint tagování označuje celý soubor bez ohledu na jeho obsah. Je možné v rámci tagovaní použit i obsahovou klasifikaci pro detailnější rozlišení dat
například MS Office dokumenty, které obsahují rodná čísla uložená na sdíleném úložišti
• Fingerprint tagy dokáže zpracovat pouze DLP Endpoint for Windows klient. Tag není součástí souboru, při odeslání z počítače již není dostupný. DLP Prevent a DLP Discover tyto tagy nevidí a nejsou schopni reagovat.
• Seznam aplikací pro Application based tagování je přednastavený pro běžně používané aplikace a zároveň umožňuje definovat nové vlastní aplikace.
15
Fingerprint klasifikace dat – sledování dat
2 January 2018 15
Location based tag,kopírování souborů z
úložiště
Application based tag,Lokální generování
souboru aplikací
Web Application tag, data stažená z webové
aplikace
Klasifikace datPřiřazení tagu klasifikačními
pravidly
Ochrana datUplatnění reakčních pravidel
Emaily
Web pošta(Webmail, fóra
apod.)
Tisk
Vyjímatelnámédia
DLP Host udržuje tagovací informace dokonce i když je obsah modifikovám nebo změněn
• Přejmenování souboru
• Změna formátu souboru
• Kopírování části obsahu souboru do jiného
• Archivace souborů
• Šifrování souborů
Endpoint
Sledování obsahuUdržování tagů při manipulaci
16
Klasifikace dat v DLP systému
• Obsahová klasifikace dat
• Klasifikace obsahu dat – vyhledává konkrétní informace v souborech nebo datech
• RegEx výrazy – rodné čísla, čísla kreditních karet, datum, telefonní číslo.....
• Slovníky – slova, fráze včetně podpory CZ/SK diakritiky.....
• Klasifikace souborů – sleduje vlastnosti souborů
• Klasifikace vlastností souborů
• Klasifikace extenzí nebo true type souborů
• Klasifikace šifrovaných souborů
• Klasifikace třetích stran – Titus, Boldon James, DocTag
• Je možné v rámci jednoho klasifikačního pravidla využít více klasifikačních kritérií
například klasifikovat smlouvu s definovanou hlavičkou, která obsahuje rodné číslo, je v MS Office dokumentech, soubor je starý méně nežměsíc apod.
• Tag je udržován v paměti počítače na základě prohledání souboru/dat
• Klasifikační pravidla obsahu dokáží zpracovat všechny komponent McAfee DLP – Host, Prevent i Discover
17
Obsahová klasifikace dat - nastavení
• Definice obsahového klasifikačního pravidla• Definice RegEx výrzů• Definice slov a frází• Definice aplikací
18
Klasifikace dat v DLP systému
• Manuální klasifikace
• Manuální klasifikace – přiřazuje tag do souboru nebo emailu
• Microsoft Office Word, Excel, PoverPoint – tag se přidává do properties souboru
• Ostatní soubory – tag se přidává do XMP properties – metadat souboru
• Email Outlook klient – tag se přidává jako Markup text do X-header
• Fingerprint klasifikace
• Uživatel aplikuje tag k souboru přes kontextové menu v MS Exploreru
• Administrátor definuje typ manuální klasifikaci dat.
• Administrátor přiděluje uživatele, uživatelskou skupinu nebo Everyone ke každému klasifikačnímu pravidlu.
• Je možné vynutit nebo umožnit manuální klasifikaci u MS Office dokumentů při jejich ukládání a při odesílání emailu
• Je možné tagovat ostatní typy souborů přes kontextové menu v MS Exploreru
19
Manuální klasifikace dat uživatelem
Umožňuje nebo vynucuje klasifikaci MS
Office souborů –
Word, Excel, PowerPoint
nebo emailů v MS Outlook uživatelem
• Uživatel musí klasifikovat ukládaný soubor
• Pokud neklasifikuje, systém přidává klasifikátor „Not
Classified“ – DLP snadno najde takto označený
dokument
• Neklasifikovaný dokument je možné i nadále sledovat
obsahovými klasifikačními pravidly
• Nabízí flexibilitu v nasazení DLP
Odeslat
Uložit
Tisknout
Vytvořit Klasifikovat
20
Manuální klasifikace - nastavení
• Definice manuálního tagování• Typ tagování• Uživatel nebo uživatelská skupina
• Vynucení manuálního tagování v MS Office
21
Klasifikace dat v při skenování systémů
Discovery skeny pomáhají s analýzou prostředí společnosti, jsou schopny vyhledat citlivá data jak na koncových stanicích, tak i serverech a cloudových službách
Na základě skenu je následně možné ladit DLP pravidla a ostatní produkty pro ochranu před únikem dat.
McAfee DLP nabízí Lokální nebo Síťové skeny pro vyhledávání citlivých dat - využívá stejná klasifikační pravidla jako DLP politika
• Local Discovery Scan – vyhledávání citlivých dat v lokálním prostředí
• Endpoint Discovery sken – Local File system - vyhledávání osobních údajů na lokálním disku a adresářích
• Endpoint Discovery sken – Local Email – vyhledávání osobních údajů v PST a OST souborech
• Network Discovery Scan – Vyhledávání citlivých dat na síťovém prostředí
• File server protection – vyhledávání osobních údajů na File serverech ( CIFS )
• SharePoint Protection – vyhladávání osobních údajů na MS SharePoint serverech – On line, On premise
• Box Protection - vyhladávání osobních údajů v cloudové služvě Box
• Database protection – vyhledávíní osobních údajů v databázích (verze DLP 11 5/2017)
22
Jednotná politika pro Host i Network DLP
• DLP umožňuje definovat více rulesetů• DLP rulesety je možné následně uplatňovat na různé skupiny počítačů• DLP ruleset obsahuje pravidla Device Controlu, DLP a Discovery• Flexibilní uplatnění různých rulesetů na různé skupiny počítačů a DLP systémů
23
DLP rulesety – DLP politika• Seznam pravidel DLP systému v rulesetu• Definice DLP pravidla - podmínky pro Email protection pravidlo• Definice DLP pravidla – reakce pro Email protection pravidlo
24
Ochrana dat v Cloudu
• Cloud Discovery sken– Box, SharePoint
• Cloud Protection pravidla – Box, DropBox, GoogleDrive, iCloud, OneDrive - personal, business, Syncplicity
Odesílání Stahovánív Cloudu
Monitoruje/blokuje-
šifruje citlivé
data/soubory před
odesláním
Ochrana citlivých dat
šifrováním při stahování na
koncovou stanici
Náprava; změna sdílení –
anonymos na Logon, Copy,
Move, šifrování
25
Proaktivní ochrana dat s integrací TIE technologie
McAfee Threat Intelligence
Exchange Server
McAfee Data Loss Prevention Endpoint
Data Exchange
Layer
DLPE identifikuje
spuštění nového
procesu
Proces A.exe
1 DLPE odesílá
požadavek na
TIE server pro
získání reputace
ProcesA.exe
2 TIE server
vyhledá reputaci
o procesu
Proces A.exe
3 TIE server
vrací reputaci
procesu:
Proces A.exe
Most Likely
Malicious
4 5 DLPE monitoruje
Proces A.exe a
blokuje procesu
přístup k citlivým
datům
26
Zpětná vazba v reálném čase: ~75% snížení rizikového chování
Řízení a monitorování uživatelské aktivity s DLP systémem
Vzdělávání zaměstnanců, zmírnění administrativní zátěže, snížení rizikového chování
Lokální sken a kontrola
Scan DetailsScan Name: Local File SystemScan Date: 15-Jul-2016 18:04:53Files Scanned: 31Files Monitored: 31Files Quarantined: 2
Zpětná vazba v reálném čase
My manager approved this transmission
This content is not sensitive
Sorry, I didn’t know
Enter Justification
Manuální klasifikace
Public
Confidential
Partner
27
DLP Discover
DLP Discover je software agent, který slouží k vyhledávání citlivých dat na diskových úložištích.
DLP Discover využití: Pomáhá plánovat DLP strategii uvnitř organizace – analýza prostředí před nasazením DLP
Klasifikuje a detekuje citlivá firemní data.
Náprava/ochrana citlivých informací.
DLP Discover sken podporuje File servery CIFS
SharePoint
Box
Databáze MS SQL, Oracle, MySQL
Discover se instaluje na fyzický nebo virtuální W2008/W2012 server
Instalace plně řízena z ePO serveru
Konfigurace a logování na ePO serveru - unifikovaná bezpečnostní politika
28
DLP Discover - typy skenů
3 typy skenů
Inventorizace – zobrazí seznam souborů na úložišti
Klasifikace – Sken klasifikuje data na úložišti podle definovaných klasifikačních pravidel
Klasifikace a náprava – klasifikovaná data jsou posouzena podle reakčních pravidel
29
DLP Discover – Database Scan
• DLP Discover ve verzi 11 podporuje skenování databázových systémů:
• Microsoft SQL Server
• Oracle
• MySQL
• DB2 (plán v 11.0 Patch 1)
30
McAfee DLP Prevent
• DLP Prevent 10.0 image je dostupný jako ISO nebo OVA
• ISO podporuje instalaci na DLP-4400 a 5500 appliance
• OVA podporuje instalaci na vSphere 5.5+
• Initial Configuration Wizard (stejné prostředí jako pro ostatní McAfee appliance)
• Plně spravovatelné pomocí ePO
• DLP Policy Manager (common Classifications, Rule Sets, Email Protection Rules, …)
• DLP Incident Manager
• Funkcionalita DLP Prevent stejná jako předcházející verze NDLP
• SMTP nebo ICAP
• Stejné X-RCIS-Action header nebo ICAP 200 OK/204
31
DLP Prevent – definice pravidel• DLP Prevent politika se nastavuje ve stejném rulesetu jako DLP host
• DLP Prevent pravidla se definují v záložce Data Protection
• DLP Prevent aplikuje pravidla na Emailový a Webový provoz
32
DLP Incident Manager• Incident Manager zobrazuje detekované události z :
• DLP Endpoint – Data in-use/motion• DLP Local discovery – Data at rest – endpoint• DLP Network discovary – Data at rest - network
•
33
DLP Incident Manager – detail událostí• Kliknutím na událost se zobrazuje kompletní detail události
• Počítač, IP adresa, uživatel, aplikace, DLP politika.....• Datum a čas, provedená akce, typ incidentu, pravidlo.....• Další detaily – email, typ zařízení ....• Detailní pohled na detekovaná data, klasifikaci a evidenci
•
34
McAfee Confidential
McAfee Drive Encryption
35
Šifrování pevných disků zamezuje ztrátě dat
Ochrana osobních údajů při ztrátě nebo odcizení zařízení.
Data jsou šifrována a tím automaticky chráněna před zneužitím cizí osobou
Drive and Native Encryption
“FileVault” “McAfee Drive Encryption”
“BitLocker”
McAfee ePO
36
McAfee Drive Encryption
• Vlastnosti šifrovacích nístrojů:
– Šifrování laptopů, desktopů, a mobilních zařízení včetně boot sektoru, systému nebo swap souborů.
– Ochrana citlivých dat při ztrátě nebo odcizení zařízení
– Safe Harbor protection – Ztráta šifrovaných dat =nevyžaduje veřejné vysvětlování
• McAfee Drive Encryption:
– Šifrovací algoritmus AES 256
– Podpora pro laptopy, desktopy, servery
– Šifruje všechny sektory disku
– Centrální správa
– Certifikace: FIPS 140-2, Common Criteria Level 4 (highest level for software products), BITS, CSIA, etc.
Data Loss Prevention
DeviceControl
Encrypted USBEndpointEncryption
37
McAfee Drive EncryptionPlné šifrování disků
.DOC .XLS .APPS
2
3
1
4
Soubory/APP
Operační
systém
Šifrovací
ovladač
Pevný disk
Lore
m ip
sum
dolo
r sit a
me
t#
$$
%%
#%
%&
&
Lore
m ip
sum
dolo
r sit a
me
t #
$$
%%
#%
%&
&
2
3
1
4
Soubory jsou v plném textu a plně
viditelné pro autorizovaného uživatele a
aplikaci
Soubory jsou
formovány
do sektorů
Sektrory jsou
formovány
na soubory
Sektory jsou
šifrovány v
paměti
Šifrované
sektory jsou
dešifrovány v
paměti
Sektory jsou
uloženy na
disk
Sektory jsou
čteny z disku
38
McAfee Drive Encryption
Podpora instrukcí AES-NI
• Instrukce AES-NI akcelerující operace nad algoritmem AES
• Procesory Intel i3/i5/i7
• Výrazné zrychlení všech diskových operací na šifrovaných strojích
39
• Self-encrypting disky jako alternativa k softwarovému šifrování
• Centrální správa politik pro Opal disky a možnosti recovery při zapomenutí hesla
McAfee Drive Encryption
Podpora standardu Opal
40
Drive Encryption pre-boot autentizace
41
Reporty Drive Encryption v ePO
Detailní report o stavu šifrování disků/partition
Report o instalaci Endpoint Encryption: Ano/Ne?
Plně šifrováno:Ano/Ne?
42
McAfee Confidential
McAfee File and
Removable media
encryption
43
McAfee File & Removable Media ProtectionŠifrování souborů a složek
• Možnost šifrovat lokální i sdílená data
‒Pomocí jednoho klíče, který je dostupný pro jednoho
nebo více uživatelů
‒Pomocí lokálního klíče pro osobní ochranu dat
• Šifrování externích datových úložišť přes USB rozhraní
‒USB disky,
‒Flash disky
• Centrální definice politiky umožňuje detailnější nastavení i
ve velké společnosti
• Automatické šifrování a dešifrování bez ztráty výkonu a
plně transparentní pro uživatele – silná šifra AES 256
• Ochrana souborů a složek na stanicích, laptopech a
serverech
Administrator
File
Server Terminal
Server
Client Computer
2
3
5
Client Computer
Client Computer
Corporate
Directory
1
4
44
Vlastnosti šifrování souborů a složek
• Politikou kontrolované, pro uživatele transparentní šifrování:
– Lokálních dokumentů a složek
– Dokumenty a složky na souborovém serveru
• Vlastnosti zobrazené u souboru obsahují informace o šifrování včetně jména šifrovacího klíče
45
Možnosti šifrování souborů a složek
45
Možnosti šifrování souborů a složek pro uživatele
– Zašifrovat soubor
– Dešifrovat soubor
– Vytvořit Self-Extractor
– Přidat Self-Extractor soubor do emailu
– Vložit zašifrovaný soubor do emailu
– Kopírovat zašifrovaný soubor na CD/DVD
46
Vlastnosti šifrování připojitelných zařízení přes USB
Politika pro připojitelné zařízení přes USB sběrnici umožňuje:
– Ponechat zařízení v původním stavu
– Umožnit uživateli šifrovnání• Celého zařízení• Definovaná velikost šifrované části
– Vynutit šifrování• Celého zařízení
• Definovaná velikost šifrované části
– Přístup k šifrované části při onsite nebo offsite použití
– Blokovat zápis na zařízení
47
McAfee File & Removable Media ProtectionOchrana souborů a složek šifrováním
• Ochrana citlivých dat šifrováním na lokálních i sdílených úložištích
‒ Ochrana citlivých dat před zneužitím neoprávněnou osobou –
zaměstnanec, externí útočník
‒ Centrální správa a přidělování klíčů uživatelům nebo uživatelským
skupinám z AD
• Ochrana citlivých dat šifrováním, která jsou odesílána na USB zařízení
• Ochrana citlivých dat šifrováním, která jsou odesílána na Cloudové
služby
• Šifrování externích datových úložišť připojených přes USB rozhraní
‒ USB disky, flash disky
‒ Ochrana citlivých dat přímo na externím úložišti
• Centrální definice politiky umožňuje detailnější nastavení i ve velké
společnosti
• Ochrana souborů a složek na stanicích, laptopech a serverech
Administrator
File
Server Terminal
Server
Client Computer
2
3
5
Client Computer
Client Computer
Corporate
Directory
1
4
48
McAfee Confidential
McAfee Database Security
McAfee Database Security 49© Intel Corporation
Ochrana, monitorování a uplatnění shody s nařízeními pro databáze v reálném čase a bez
výpadku nebo restartů
Datacenter Security Suite for Database
Vyhledávání
Vyhledává veškeré
databáze na síti,
prohledává databáze
a detekuje citlivá data
(osobní údaje) nebo
privilegované
uživatele
Posouzení
Odhaluje
zranitelnosti a
možná rizika
databází
Monitorování
V reálném čase
monitoruje veškeré
aktivity v databázích,
jak na fyzických, tak i
virtuálních systémech
Ochrana
Ochrana před
známými hrozbami
pomocí virtual
patchingu bez
výpadku databází
Kompletní viditelnost Dynamická ochrana Efektivní správa
McAfee Database Security 50© Intel Corporation
“Kde jsou všechny moje databáze a jak jsou zabezpečeny?“
McAfee Vulnerability Manager for Databases
• Vyhledává veškeré databáze, které existují v
podnikovém prostředí
• Dává pohled na zabezpečení každé z
detekovaných databází (i těch, o kterých
správce nevěděl)
• Poskytne výsledky skenování a doporučení
odborníků na slabá místa, což šetří čas a
náklady na drahé konzultace třetí strany
• Snižuje čas a úsilí pro přípravu a reakci na
audity
• Správa řešení přímo z ePO management
konzole nebo dedikovaného managementu
serveru
51
McAfee Vulnerability Manager for Databases
Automatizované skenování DB pomocí discovery skenu
Vyhledávání zranitelností databází
Přednastavené skeny
Speciální sken pro GDPR
52
McAfee Virtual patching for Databases
• Pomáhá dosáhnout zabezpečení
databáze stejně jako se záplatami s
nulovým výpadkem nebo porušením
databáze
• Nižší cena správy bez nutnosti
testování nových záplat nebo upgrade
DB
• Jediný způsob, jak zajistit ochranu před
zranitelnostmi databází, která již nejsou
podporovány výrobcem
“Nemohu držet krok se všemi záplatami na mých databázích a tím vystavuji společnost významným rizikům a neshody s politikou”
53
McAfee Database Activity Monitoring
• Out-of-the-box ochrana proti známým
zranitelnostem a běžným hrozbám napříč všemi
vektory přístupu - vPatch
• Flexibilní pravidla, které reflektují požadavky
společnosti nebo regulací
• Vlastní monitorovací pravidla vytvářená
– Manuálně administrátorem
– Na základě detekovaných aplikací
– Na základě detekované události
• Alertování v reálném čase při porušení politiky,
dokonce i privilegovaným uživatelem
• Ukončení spojení a karanténa
uživatele/systému
“Jak mohu ochránit databázi a splňovat požadavky norem a regulací?”
54
Stored Proc.
Trigger
View
Data
Shared Memory
DBMS
Lis
ten
er
Databáze může být přístupná ze třech různých bodů:
SAP
Be
qu
ea
th
DB AdminSys Admin
programátor
Ochrana databází napříč všemi vektory
Lokální přístup
Síťový přístup
1 2 3
Ze sítě Z konzole Z databáze (Intra-DB)
intra-DB threats
55
Stored
Proc
Trigger
ViewData
Shared Memory
DBMS
Liste
ner
Bequeath
Local Conn
Network Conn
Host-Based Sensor technologie
• Veškeré databázové transakce, externí i interní, musí
procházet přes sdílenou databázovou paměť
• Host-based sensor pasivně monitoruje sdílenou
databázovou paměť
• Detekované události odesílá na management server,
popřípadě provádí ukončení session a karanténu podle
definované politiky
• Minimální vliv na výkon – obvykle 3-5% z jednoho jádra
CPU
• Neintruzivní, žádné změny jádra, uživatelského
nastavení, fail-open řešení, žádné I/O operace, žádně
zpoždění
• Žádné přerušení obchodních aktivit - restart databáze,
serveru
Host-based
Sensor
56
Jak McAfee DLP může pomoci s dodržováním shody s GDPR
• DLP je jeden ze základních nástrojů, který je schopen organizacím pomoci s dodržováním nařízení GDPR při
zpracování osobních údajů.
• McAfee DLP umožňuje:
• Omezit pohyb osobních údajů, jak náhodný, tak úmyslný
• Vyhledat osobních údaje na lokálních i sdílených úložištích
• Sledovat pohyb osobních údajů v rámci lokální sítě i na externích úložištích
• Sledovat jednotlivé uživatele, jak nakládají s osobními údaji
• Identifikovat možné incidenty úniku osobních údajů
• Auditovat uživatele při zpracování nebo možném úniku osobních údajů – detailní informace o vynesených datech – v případě
dokládání incidentu vůči GDPR
• Šifrování odchozích osobních údajů ve spolupráci s produktem File and Removable Media Encryption
• Šifrování externích médií – USB flash disky, externí disky s produktem File and Removable Media Encryption
• DLP vhodný pro větší organizace, které zpracovávají velké množství osobních údajů, nicméně je použitelný
pro jakoukoliv organizaci
• Podpora na stanicích, serverech i na síti – host a network DLP
• Jednodužší a rychlejší nasazení - unifikovaná politika pro host a network DLP s jednotnou centrální správou
57
Jak McAfee Database Security pomůže s dodržováním shody s GDPR
• McAfee Database Security je další důležitý nástroj, který je schopen organizacím pomoci s
dodržováním nařízení GDPR při zpracování osobních údajů.
• McAfee Database Security umožňuje:
• Vyhledávat databáze v síti společnosti
• Speciální Discovery scan for GDPR dokáže vyhledat osobní údaje definované GDPR
• Monitoruje osobní údaje ukládané nebo čtené z databáze, chrání před únikem osobních údajů
• Sleduje uživatele, aplikace, administrátory i DB logiku, jak pracují s osobními údaji
• Identifikuje a notifikuje možné incidenty úniku osobních údajů
• McAfee Database Security nabízí:• Pouze software řešení, které se rychle a snadno instaluje a používá (rychlý čas k ochraně databáze)
• Navržené pro použití správci, kteří nejsou DBA
• Komplexní pokrytí databází a komplexní ochrana před DB útoky
• Neintruzivní & malý agent a neustále aktualizované z McAfee Labs
• Flexibilní správa s ePO serverem nebo DB Security Management serverem
• Škálovatelné řešení a použitelné ve virtuálním nebo cloud prostředí
• Systém vhodný pro větší organizace, které zpracovávají velké množství citlivých informací,
nicméně je použitelný pro jakoukoliv organizaci
McAfee, the McAfee logo and other relevant McAfee Names are trademarks or registered trademarks of McAfee LLC or its subsidiaries in the U.S.
and/or other countries. Other names and brands may be claimed as the property of others. Copyright © 2017 McAfee LLC.