Blog

McAfee DLP megoldások

1. BEVEZETÉS

A technológia fejlődése, új adathordozók és adatkapcsolatok megjelenése, valamint a különböző mobilesz-közök elterjedése új adatvédelmi problémákat vetettek fel. A különböző adatszivárgási incidensek felderítése során kiderült, hogy az információkat az esetek döntő többségében nem az adott cégen kívülről indított támadásokkal szerezték meg, hanem olyan céges dolgozók szivárogtatták ki, akik napi rendszerességgel találkoznak a kérdéses adatokkal. Ezért a jogosult adatokhoz történő hozzáférések ellenőrzésére, naplózására, illetve korlátozására alakították ki az összefoglaló nevén adatszivárgást megelőző megoldást, Data Loss Prevention – röviden DLP-t. Célja a fenti probléma megoldása oly módon, hogy a cég értékes adatvagyonát alapvetően a védett belső hálózatban tartja, az adatok és az általuk hordozott információ bármilyen módon történő másolását, kimentését, ellenőrzött, előre definiált szabályrendszer alapján korlátozza és naplózza.

Mivel a DLP a teljes adatvagyont kezeli, ezért bevezetéséhez elengedhetetlenül fontos az adatvagyon előzetes feltérképezése és osztályozása. Ellenkező esetben a bevezetés vagy nem éri el célját, mert számos „lyukat” hagy az adatkezelésben, vagy túl szigorú szabályokkal ellehetetleníti a munkavégzést.

A cégek többsége pont az adatvagyon feltérképezés miatt hátrál meg a DLP bevezetésétől, kockáztatva adatai esetleges elvesztését, mivel legtöbb helyen az adatok olyan kuszán és rendszerezéstelenül, több helyen vannak tárolva, hogy első lépésben még azt sem tudják hogyan is álljanak neki ennek a feladatnak.

Hosszú távon azonban megtérül a belefektetett munka, mivel így a cég sokszor felbecsülhetetlen adatvagyona sokkal nagyobb biztonságban lesz.

Az adatszivárgás elleni védelem megvalósítását szolgáló eszközök fejlesztésével több gyártó is foglalkozik. A teljes körű (átjáró és végponti) megoldást is biztosítók közül az egyik leg patinásabb a McAfee, aki az új verzió megjelenésével ismét nagyot lépett előre.

2. MCAFEE DLP TULAJDONSÁGOK

Kliens oldali megoldásként a gyártó egy szűkebb és egy kiterjesztett adatszivárgást megelőző megoldást kínál, ebben a DLP 10-es megjelenésével sem történt változás, jól működő felosztás, teljeskörű adatvédelem.

A szűkebb a Device Control, kifejezetten a kliensgépekhez (desktop, notebook) csatlakoztatható, ill. beépített perifériák, ill. adathordozó eszközök ellenőrzését célozza meg.

A kiterjesztett megoldás a McAfee DLP, amely az adat és információ teljeskörű védelmére törekszik, ezzel együtt természetesen tartalmazza a Device Control teljes funkcionalitását is.

A McAfee továbbá rendelkezett és rendelkezik hálózati DLP megoldásokkal, melyek appliance alapú eszközökkel vagy virtuális appliance-ként (Discover és Prevent) képesek kikényszeríteni az adatvédelmi szabályokat, adott esetben vizsgálva az email és web forgalmat is, felderítve a szervezetben megjelenő újabb adatforrásokat (pl.: újabb hálózati megosztások, amelyek nincsenek integrálva a DLP rendszerbe.)
Ezek a hálózati DLP megoldások a McAfee DLP Monitor, DLP Discover és DLP Prevent appliance termékek, a felosztás szintén nem változott, az egyes appliance-ek funkciók szerint vannak felosztva mint eddig is.

Itt a virtuális licensz vásárlási lehetőség lett új , ill. az ePO integráltság már teljeskörű, a software-t is átdolgozta a gyártó, míg a „régi” network DLP verzió image mérete 1GB körül volt, addig az új network DLP 10 Prevent virtual image 405MB.

A hálózati DLP megoldások funkciói

DLP Monitor
Kizárólag monitorozó funkcióval bír, szkenneli és analizálja a teljes adatforgalmat real time, beleértve az internetes forgalmakat (Gmail, Yahoo, IM, Facebook stb…) Ez az egyedüli McAfee DLP termék amely kizárólag fizikai appliance (6600DLP-A) sw verzióban érhető el.

DLP Discover
Szenzitív információk sok helyen lehetnek, akár céges notebookok-on, megosztott file szervereken, vagy akár cloud sorage-okon. A McAfee DLP Discover segít lokalizálni, és osztályozni az érzékeny adatokat. Megvásárolható SW only módon is Virtuális környezetben futtatva.

DLP Prevent
A McAfee DLP Prevent policy-k alapján engedélyezi vagy tiltja egyes szenzitív adatok céges hálózatból való kijutását. Policykat minden egyes csatornára alakíthatunk ki, így pl. email, webmail, IM, wiki, blogok, portálok, HTTP/HTTPS, és FTP forgalmakra is. A Prevent message transfer agent (MTA) –ként bármely gyártó email gw-vel együtt tud működni, ill. kommunikál ICAP protokollon is, így web proxy-kkal is összeköthető.
Szintén megvásárolható SW only módon is Virtuális környezetben futtatva.

3. MCAFEE DLP 10 ÚJDONSÁGOK

A McAfee előző 9.3 és 9.4 verzióihoz képest számos újdonság jelent meg a DLP 10-es verziójában.

Egységes központi management

A legfőbb változás a ténylegesen egységes központi management, amely a McAfee ePO, a legtöbb egyéb más McAfee termék központ managementje is.

Az előző verziókban a McAfee ugyan már azt hirdette hogy egységes a management, de ez nem teljesen volt így, a végponti DLP policy ugyan az ePO felületéről volt elérhető, de külön ablakban nyílt meg, nem volt teljesen integrálva, viszont az előző verziós hálózati DLP-k teljesen különálló managementen keresztül voltak elérhetőek, logolni is lokálisan logoltak, az ePO-val csak riport generálás szinten lehetett összekötni őket.

A jelenlegi 10-es DLP verzió viszont már mind végponti, mind hálózati DLP oldalról egységesen az ePO felületéről kezelhető.

DLP Discover a cloudban

Az új 10-es verzióban már lehetővé vált a cloud-os ellenőrzés.

Amennyiben Cloud vagy Web protection rule-t hoztunk létre, lehetőség van a vállalati cloud storage-ba való feltöltés engedélyezésére, ez esetben a cloudban történik a file-ok ellenőrzése és tag-elése.
DLP Discover termék szükséges ehhez a funkcióhoz.

Manuális osztályozás/besorolás (classification)

Lehetőség van különböző osztályok/besorolások létrehozására, ezek akár userekhez, vagy usercsoportokhoz történő hozzárendelésére, és az így hozzárendelt csoportoknak a manuális tagging engedélyezésére. Így az adott csoport tagjai egy dokumentumot bármikor manuálisan is elláthatnak a nekik engedélyezett tag-el.

User által kezdeményezett scan

A végpontról a usernek már lehetősége van discovery scan futtatására, a még nem kategorizált file-ok felderítésére, és mauálius kategórizálásra, tag hozzáadására, adott file karanténozására, ill. elmozgatására más helyre.

Egységes DLP Prevent

Egységesítették a DLP termékpalettát, közös központi management mindenre, egységes incidens és case management, ugyanaz a classification motor, megosztott dictionaries és regex szintaktika

DLP Prevent for Mobile Email

A DLP védelem ez esetben egy ActiveSync Proxyként beéklelődve valósul meg, ezáltal a mobilra semmilyen plusz alkalmazás telepítését nem igényli.

Megemelt MAC támogatás

Teljesen ePO managelt, Device control, Application protection, Network share

Újraindítás mentes upgrade

A jövőben a 10-es verziótól felfele az upgrade-ek nem igényelnek újraindítást.
A 9-es verzióról tröténő upgrade, ill. a teljesen új telepítésű DLP 10 viszont egyszeri újraindítást igényel.

Windows 10 RS2 support

Az április 17.-én megjelent DLP 10.0 Patch2 HF30 verzió már támogatja a Microsoft Windows 10 RS2 (Creators Update) 32-bit és 64-bit operációs rendszereket.

Kérdéseket intézhet, észrevételeket küldhet az S&T szakértőinek, kérem vegye fel velünk a kapcsolatot!

Páli Péter Rendszermérnök

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.