Extrusion Prevention Christian Uwe Götz cirosec GmbH
Überblick Was ist Extrusion Prevention? Sensible Daten und Bedrohungsszenarien Technische Lösungsansätze Netzwerkbasiert Extrusion Prevention Systeme Hostbasiert Extrusion Prevention Systeme Digital Rights Management Schlussfolgerungen
Was ist Extrusion Prevention?
Extrusion Prevention Extrusion (engl.) 1. The act or process of pushing or thrusting out. 2. The act or process of shaping by forcing through a die. 3. An object or material produced by extruding. Frei übersetzt : Kontrolle und Verhinderung von unkontrolliertem Datenabfluss Schutz von (sensiblen) Daten und Kontrolle von Datenbewegungen
Extrusion Prevention Es geht nicht (mehr) um den Schutz von Systemen, sondern um den Schutz von Daten! Synonym verwendete Begriffe: Data Leakage Prevention (DLP) Data Loss Prevention (DLP) Intelectual Property Protection (ILP/IPP)
Was sind sensible Daten?
Bespiele für sensible Daten Eigene Forschung/Entwicklung Produktinformationen, Konstruktionspläne, Messdaten, Kundendaten Ansprechpartner, Adressen, Wartungsverträge, Interne Verwaltungsdaten Gehälter, Verträge, Personenbezogene Daten Anschriften, Informationen über Krankheiten,
Bedrohungsszenarien
Bedrohungen Datenverlust (Zerstörung/Löschung) Daten, die für den Betrieb wichtig sind Manipulation/Unerlaubte Veränderung Daten für korrekte Produktion Gesetzlich zu schützende Daten gelangen nach Außen z.b. personenbezogene Daten Firmengeheimnisse gelangen in falsche Hände z.b. Intellectual Property, Informationen über zukünftige Produkte, Rezepturen, Strategien, etc.
Vor wem sollte ich mich fürchten? Die Bösen sind doch Außen, oder? Über unsere Firewalls kommen sie nicht herein! Intern sind meine Mitarbeiter! Wenn man den Mitarbeitern nicht trauen kann, kann man gleich aufhören! Ist es wirklich so einfach?
Technische Lösungsansätze
Grundlegende Fragen Wie kann der unerlaubte Datenabfluss erkannt werden? Context-basierter Ansatz Content-basierter Ansatz Wo kann der unerlaubte Datenabfluss erkannt werden? Hostbasiert: Auf dem Endgerät (PC, Laptop, ) Netzwerkbasiert: Transparent im Netzwerk Wie gelangen Daten abhanden? Über Channels
Modell zur Verarbeitung von Daten read open Word Daten Data base Operationen copy write move SAP Anwendungen Oracle IM Channels
Beispiele für Channels Internet Instant Messenger Internet USB-Devices Email Web/FTP-Upload CD / DVD Datenquelle Enterprise Application Clipboard Mobile Endgeräte Drucker
Wie kann der unerlaubte Datenabfluss erkannt werden? Context-basierter Ansatz Entscheidung basiert auf dem Speicherort, der Operation, dem Channel, etc. oder einer Kombination dieser Kriterien Beispiel: Files auf \\Server1\Research werden auf einen USB-Stick kopiert Content-basierter Ansatz Entscheidung basiert auf dem Inhalt Beispiel: Alle Dokumente in denen die Schlagworte Longhorn und Top Secret stehen
Extrusion Response Wie wird gehandelt, wenn eine Extrusion festgestellt wird? Protokollieren Logging von (allen?) Datenbewegungen und Operationen Erzeugung eines Nutzungsprofils Datenschutz? Mitarbeiterüberwachung? Datenmenge kann sehr groß werden Warnen Anzeige von Warnmeldungen und Hinweisen zur korrekten Nutzung von Daten auf dem Endgerät Blocken Unterbinden von Datenoperationen Abfangen /Stoppen von Datenbewegungen im Netzwerk
Netzwerkbasierte Extrusion Prevention Systeme (EPS) Technisch den Netzwerk-IDS/IPS sehr ähnlich Es wird i.d.r. nach Mustern gesucht Kontrollierter Channel: Netzwerk Alle anderen Channels auf den Endgeräten können nicht kontrolliert werden! Suchmuster müssen bekannt sein! Daten müssen im Klartext vorliegen Integration ins Netzwerk oft schwierig
Content-basierte Netzwerkbasierte Extrusion Prevention Systeme Event Database Daten- Sensor EPS-Management Daten- Sensor LAN Abteilungs- Server
Netzwerkbasierte Extrusion Prevention Systeme Vorteile Integration ohne Softwareinstallation auf Endgeräten Nachteile Kontrolliert nur Channel Netzwerk Suchmuster müssen bekannt sein! Wonach suchen? Suchverfahren? Blind bei Verschlüsselung, Kompression, Performance (Durchsatz) begrenzt Integration oft schwierig!!!
Hostbasierte Extrusion Prevention Systeme Umsetzung durch Installation von Softwareagenten auf den Zielsystemen Kontrolle möglichst aller Channels auf dem Endgerät Daten werden auf Endgeräten bearbeitet, nicht im Netzwerk! Policy wird definiert über: Verhaltens und Bewegungsmuster (Context) und/oder Suchmuster (Content) erlaubte Datenoperationen Steuerung der EPS-Agenten durch zentrale Managementstation und Policies
Anatomie eines Hostbasierten Extrusion Prevention Systems User Land Applikationen Channels Daten EPS Agent (Komm.) Alarme/Logs Policy/Config EPS Treiber (Analyse) Operationen Channels Kernel Kernel Land Memory File I/O Schematische Darstellung (stark vereinfacht)
Implementierung eines Hostbasierten Extrusion Prevention Systems Installation eines Software-Agenten auf Zielsystem in Form von: Windows: Kernel-Mode Driver Unix: (Loadable) Kernel Module Treiber/Modul darf nicht entladbar sein Großes Problem unter Unix! Kontrolle durch Syscall Hooking, Überwachung von API- und Library-Aufrufen (Context-basierte Erkennung) Pattern Matching (Content-basierte Erkennung)
Hostbasierte Extrusion Prevention Systeme Vorteile Kontrolliert viele Channels Granulare Contextund/oder Content- Analyse möglich Verschlüsselung kein Problem Nachteile Agenten-Software muss für Plattform verfügbar sein Ohne Agent keine Kontrolle! Rogue Clients Agent darf nicht umgehbar sein
Digital Rights Management (DRM) Digital Rights Management (DRM) wurde entwickelt, um kopiergeschützte Daten vor unerlaubter Verbreitung zu schützen meist Audio- und Videodaten Einschränkung der Nutzung von Daten Unterbinden von Kopieren, Ausdrucken, etc. Die Attribute werden vom Ersteller der Daten festgelegt DRM ist i.d.r. an eine Applikation gebunden Der Benutzer muss die DRM-fähige Applikation verwenden Umsetzung z.b. über Certificate-based Encryption oder Steganograhpie (Watermarking)
Digital Rights Management (DRM) Vorteile Geschützte Inhalte können nur noch auf DRM-enabled Systemen genutzt werden Nutzung der Daten (Operationen) kann festgelegt werden Schutz vor unbekannten Dritten, die nicht anderweitig kontrolliert werden können Nachteile Zusatzsoftware erforderlich, ohne DRM-Software i.d.r. kein Zugriff auf die Daten Benutzer muss DRM auch nutzen und Daten schützen DRM verhindert nicht den Abfluss von Daten! Nur die missbräuchliche Nutzung!
Weitere Aspekte von Extrusion Prevention Behavioral Access Control Ist das Zugriffsverhalten eines Benutzers normal? Treten Abweichungen von definierten Profil auf? Beispiel: Warum greift User Müller aus der Buchhaltung heute auf Research-Daten zu? Produktbeispiel: Varonis IDU Suite Data-in-Rest-Analysis Wo liegen sensible Daten/Inhalte und sie Daten dort hin? Durchsuchen von Datenbeständen und Indizes mit Search Engines (z.b. von Autonomy) im LAN Kontrolle der Datenbewegungen = Data-in-Motion-Analysis
Einige Hersteller Hostbased EPS Verdasys Tablus Onigma (McAfee) Orchestria DRM Sealed Media (Stellent) Liquid Machines Microsoft Networkbased EPS Vericept Vontu Fidelis Security Code Green Viele Hersteller von Networkbased EPS liefern auch Hostbased EPS - Lösungskomponenten
Schlussfolgerungen
Schlussfolgerungen Die Motive, warum Daten illegal genutzt werden oder abfließen sind vielfältig. Sie zu schützen ebenso! Die Identifikation der zu überwachenden Datentypen, Channels und Benutzer bestimmt die einzusetzende Technologie Die Protokollierung und Kontrolle von Datenbewegungen kann arbeitsrechtlich nicht ohne Komplikationen sein Der Markt steckt in den Kinderschuhen und entwickelt sich stark
Vielen Dank für Ihr Interesse! Noch Fragen?