GRUPPO TELECOM ITALIA ABI, Banche e Sicurezza 2010 Roma, 11 giugno 2010 Un approccio sistematico al Data Loss Prevention Fabio Bussa
Il mercato del DLP Fatturato Worldwide 2007 2008 2009. 2012 120 M$ 215 M$ 300 M$ 2.000 M$ La domanda Interesse nell'adozione del DLP non so 19% Gartner, 2009 The Radicati, 2008 Gartner Magic Quadrant, 2009 non interessati interessati, ma nessun piano pianificato nel prossimo anno 16% 16% 30% già adottato 19% 0% 5% 10% 15% 20% 25% 30% 35% Forrester, 2009 La quantificazione dei danni Secondo Ponemon Institute e RSA (2008), ciascun record perso ha un costo medio di 202$: se la causa è interna 231$. La media delle perdite di aziende US è di 1,5$ anno in aziende di medie dimensioni (fonte Forrester) Fabio Bussa 2
16% 10% ABI, Banche e Sicurezza 2010 Le minacce ai dati e la necessità di comunicare Cause interne involontarie, social engineering Terze parti negligenti 42% Perdita dei dispositivi Comunicazione interna Comunicazione istituzionale 7% 6% Incidenti IT Furti, rapine estorsioni Comunicazione Commerciale 6% Attacchi interni volontari, interna trading Obblighi di informazione Concorrenza illecita Altro 15% Stime Ponemon Institute, Terrorismo, Spionaggio Eventi naturali Minacce Necessita Comunicazione scientifica, di settore Fabio Bussa 3
Le aziende non sono un mondo perfetto In una banca, in una grossa azienda, a causa della complessità dell organizzazione e del business non è possibile pensare a priori: di poter conoscere il ciclo di vita dell informazione, di prevedere la sua strutturazione, di conoscere le applicazioni che ne le utilizzeranno, I Giardini dell Eden- (c. 1615) Rubens and Jan Brueghel il Vecchio i formati che le conterranno. Gli strumenti di DLP devono essere in grado di interpretare l approccio olistico dell IT Security in un contesto dinamico in continua modifica Fabio Bussa 4
DLP: un integrazione all approccio tradizionale I sistemi di messagging utilizzati in azienda spesso sfuggono al controllo. Le soluzioni di sicurezza applicate a questi servizi ad oggi sono principalmente rivolte a contrastare gli attacchi dall esterno, piuttosto che a regolare e controllare il flusso delle informazioni sensibili per il business all interno dell azienda o verso l esterno. Le soluzioni di sicurezza già attive in azienda si basano su un concetto di perimetro che non sempre tiene conto di tutti gli strumenti e metodi utilizzati nel trattare le informazioni. La definizione a livello aziendale di policy per la classificazione e trattamento dell informazione o per la compliance ad un sistema regolatorio non è sufficiente se non si pongono in atto anche soluzioni volte ad accrescere la sensibilità e l educazione degli utenti nell uso e trattamento dei dati, E proprio il fattore umano uno de fattori critici nel contesto della protezione dei dati. Le soluzioni DLP contribuiscono, insieme alle misure di sicurezza tradizionali, a rendere piu efficace il processo di governance secondo logiche di business delle informazioni trattate all interno dell azienda. Fabio Bussa 5
Il paradigma DLP DISCOVER MONITOR PROTECT Discover where sensitive data is stored. Run scan to find sensitive data on networks & endpoints Monitor Inspect how data sensitive being sent data is Monitor being network used & endpoint Monitor events network & endpoint events MANAGE MANAGE Protect Block, and remove prevent or encrypt sensitive data Quarantine loss. or copy files Block, Notify remove, employee quarantine & manager, encrypt ecc.. sensitive data Notify employee & manager Manage Enable or and customize enforce unified policy data templates security policies Remediate and report on risk reduction Fonte Symantec, elaborazione Telecom Italia Fabio Bussa 6
Applicazioni DLP DLP Endpoint DLP Storage DLP Network DLP Mobile DLP paper Intranet Intranet DLP solution Allarmi Gestione policy Policy DLP Policy Manager Gestione incidenti Reportistica Enforcement Cifratura mail Cifratura file e storage DRM/watermarking su documenti Workflow autorizzazioni.. Fabio Bussa 7
Un caso bancario Ambiente integrato per la sicurezza di informazioni ed end-point (1/2) OBIETTIVO Riservatezza: far sì che le informazioni critiche e di rilevanza strategica siano disponibili sempre e solo alle persone che devono potervi accedere Protezione: le informazioni non devono essere copiate, spedite o comunque portate all esterno dell Azienda senza autorizzazione; una persona che non sia più qualificata ad accedere a determinate informazioni (es. un ex dipendente) deve essere tecnicamente disabilitata all accesso. Classificazione: dei dati e delle informazioni aziendali in base alla loro rilevanza e criticità; sapere quali siano i documenti che contengono dati rilevanti, confidenziali, critici. Fabio Bussa 8
Un caso bancario Ambiente integrato per la sicurezza di informazioni ed end-point (2/2) SOLUZIONE Discover TAG DRM Protect Rilevare i dati non protetti sui file server e sui data repository e successiva indicizzazione e classificazione automatica; Associare ad ogni Implementare la documento un prestazione di barcode 2D (tag) follow-me-security che accompagnerà in formato cifrato il documento nella con strumenti che sua vita anche a garantiscono il seguito di stampa tracking e l audit cartacea (mediante timestamp) dell informazione classificata; Proteggere i dati archiviati applicando le policy e permettendo il loro uso con strumenti di content management. Garantire, per particolari documenti, azioni di logging warning e alerting. Fabio Bussa 9
Watermarking Watermarking Impercettibile Inserimento di un logo modificato Steganografia linguistica Inserimento controllato di spazi nel testo Inserimento di una modifica sintattica, attraverso l inserimento di una modifica degli apici Roma, 6 Settembre 2008 Steganografia tecnica Roma, 6 Settembre 2008 Variazione del template ad es. spostamento della data rispetto al documento originale Watermarking visibile Inserimento codice a barre Inserimento di una modifica semantica, attraverso l inserimento di sinonimo Inserimento codice alfanumerico in calce Fabio Bussa 10
Watermarking impercettibile : Variazioni del logo originale Fabio Bussa 11
Il dato è mobile (qual foglia al vento). Backend Telecom Italia Mobile Device Managemen t Platform Invito ad installare il client SMS di attivazione SMS push updates Impedisce di inserire una SIM diversa, blocca il terminale Nelcasodismarrimento il terminale può essere bloccato Nelcasodifurtosipuò fare il WIPE del terminale Gestione Report Updates Il cliente gestisce le politiche e le licenze Completa protezione realtime degli smartphone Fabio Bussa 12
GRUPPO TELECOM ITALIA ABI, Banche e Sicurezza 2010 Roma, 11 giugno 2010 Un approccio sistematico al Data Loss Prevention Fabio Bussa