©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone Практические аспекты применения решений Check Point в банковской среде Александр Рапп Консультант по информационной безопасности RRC

2 2©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Концепция Check Point

3 3©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Next Generation Firewall: практические аспекты применения

4 4©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Сценарий 1: Датацентр LAN Терминальные сервисы Веб-сервисы Базы данных Приложение А Приложение Б Структура и события AD Приложение А Приложение Б Группа А Группа Б NGFW Упрощение процесса предоставления сетевых доступов пользователям Уменьшение количества ошибок Увеличение уровня обеспечения безопасности

5 5©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Сценарий 2: Периметр Детектирование, предоставление, блокировка или ограничение использования приложений для пользователя или группы пользователей Enable access for support team Гранулярный контроль доступа

6 6©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Сценарий 3: WAN и удаленные офисы Центральный офис Филиал Удаленный офис Единая консоль управления для всей унифицированной архитектуры Internet VPN-1 UTM Edge VPN-1 UTM VPN-1 Power

7 7©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Концепция управления на основе профилей безопасности Define gateway profiles Configure security and VPN policies for the profiles Up to a few thousand devices Create gateway objects and associate them with profiles The gateways pull the policies/configurations Update the policy/configuration of the profile (changes will affect all gateways of the profile) The gateways pull the updated policies/configurations

8 8©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | SmartProvisioning Blade Эффективное управление крупномасштабными инсталляциями в распределенных сетевых средах Повышение уровня безопасности Быстрое развертывание сетевых устройств Центральная консоль для развертывания, поддержки и восстановления устройств безопасности

9 9©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Сценарий 4: Альтернатива выделенной IPS Простота внедрения и настройки – 1 day Для существующих заказчиков еще проще: подписка на IPS: от 1500$ (low-end устройства) до 4500$ (high-end устройства) в год! Отличное соотношение цена/Mbps !

10 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Сценарий 5. Защита ресурсов банкоматов Системы, приложения Приоритезация трафика, классы обслуживания 4 Банкоматы Центр Обработки Данных Шлюз процессинга Шлюз ЦОД Небольшое надежное устройство с резервированием каналов связи 1 Интеграция Процессинга в общую инфраструктуру 3 Шифрование 2 Централизованное управление ВСЕЙ безопасностью 5 ЛВС Any IP network link

11 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Защита виртуальных сред

12 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Виртуализация серверов К 2012 году половина рабочих мощностей предприятий будет виртуализирована 60% IT Руководителей считают защиту виртуальных сред сложной задачей Организации с виртуальными средами интересуются простыми решениями по защите виртуальных машнин

13 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Сценарий 1: Защита на уровне гипервизора Инспектирование трафика между виртуальными машинами Защита новых виртуальных машин автоматически Защита от внешних угроз Security Gateway Virtual Edition (VE) Унифицированное управление защитой физических и виртуальных сред Унифицированное управление защитой физических и виртуальных сред

14 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Сценарий 2: Защита на сетевом уровне

15 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Data Loss Prevention: практические аспекты применения

16 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Что такое утечка данных Что такое DLP? Данные о клиентах Card numbers.doc Сообщение отправленное неправильному получателю, намеренно или по ошибке. Утечки данных могут случиться с каждым из нас Загрузка банковского документа на внешний веб сайт

17 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Данные для работы на дому Сценарий 1: Упреждающее предотвраще- ние утечки данных Веб загрузка файла содержащего критичные банковские данные Банковский сотрудник Банковский сотрудник загружает файлы для работы на дому Пользователь выбирает файл для его публикации на сайте для размещения файлов Check Point DLP блокирует загрузку и уведомляет пользователя

18 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Виц- приезидент отправляет файл содержащий чувствительные данные Сценарий 2: Фильтрация основанная на корпоративной политике Исключения Политик позволяет отправку почту к предопределенным почтовым адресам Вице- президент банка M&A letter of intent for review ProjectAtlantisLoI.pdf Hi James, We have revised the terms of the acquisition. Attached is the Letter of Intent for your review. Thanks, David Уведомление уведомляет пользователя

19 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Сценарий 3: Уведомление, уточнение и обучение пользователей Check Point UserCheck привносит коррекционное обучение в DLP Финансовый директор Preliminary Financial Statement Preliminary_financials.pdf Greg, Sending you the Q1 preliminary financials for audit. Thanks, Matt Gerhart Chief Financial Officer ACME Corp. Company CFO sends preliminary financial statement to external auditor Check Point Data Loss Prevention Reconsider sending this (Prelimi… Fri 4/2/2010 3:45 PM Rachel Greene PCI Audit Status Fri 4/2/2010 1:23 PM Tom Peters Sales Planning Meeting Thu 3/2/2010 9:45 AM Reconsider sending this (Preli… Preliminary Financial Statement The attached message, sent by you, is addressed to an external address. The Check Point Data Loss Prevention System determined that it may contain confidential information. s attachment Preliminary_financials.pdf appears to contain financial records. The message is being held until further action. Send, Discard, or Review Issue Уведомление спрашивает пользователя о подтверждении отправки сообщения Preliminary Financial Statement Привет. Эта информация должна быть отправлена для нашего внешнего аудитора. Спасибо, Джорж Пользователь обязан предоставить объяснение в случае необходимости отправки.

20 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Item No. NameSocial Security Number Job TitleGross Pay 1John Smith CEO$200,000 2Kevin Brian VP R&D$150,000 3Margret White VP Marketing $153,000 4Bob Johns CFO$140,000 5Mike Riddle COO$180,000 Корреляция данных из разных источников используя открытый язык MultiSpect Technology MultiSpect Detection Engine Детектирование более чем 600 файловых архивов 600+ File Formats 250+ Data Types Свыше 250 предопределенных типов содержимого Детектирование и распознавание собственных образцов документов (шаблонов)

21 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Простота управления политиками Легкость в определении политики – для детектирования, предотвращения и коррекции пользователем

22 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Endpoint Protection: практические аспекты применения

23 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Сценарий 1: Безопасный удаленный доступ с любого компьютера Check Point Abra Безопасный доступ к данными с любого компьютера Виртуальное рабочее место Windows Plug-and-play без необходимости установки дополнительного ПО или перезагрузки Check Point Abra Безопасный доступ к данными с любого компьютера Виртуальное рабочее место Windows Plug-and-play без необходимости установки дополнительного ПО или перезагрузки

24 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Сценарий 2: Безопасная оффлайн работа с любого компьютера Work Off-Line Доступ к рабочим файлам и данным с виртуальной рабочей среды FIPS сертифицированное USB устройство

25 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Secure Virtual Workspace Доступ в Intranet и к разрешенным сайтам Запуск разрешенных приложений Импорт, экспорт и доступ к зашифрованным данным на USB устройстве Переключение между Secure Workspace и гостевым ПК

26 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Secure Virtual Workspace Keeping Mobile Data Secure Hardware and Software Encryption Always-on AES 256-bit encryption Tamper-proof device Segregate Workspace from Host PC Isolates all user files Prevents data leaking to host PC Block and Control Applications Control outgoing traffic to stop data loss Block unauthorized applications

27 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Intranet Applications Files Extranet Portal Applications Files Extranet access Partner computers Day Extenders Basic applications Home computer Teleworkers Applications Company computer Mobile workers Basic applications Company computer or public computer Сценарий 3. Безопасный клиентный и безклиентный удаленный доступ Больше удаленных подключений Больше типов устройств Разные типы ресурсов Больше «неуправляемых» устройств Хитрые злоумышленники Требования регуляторов Снижение TCO Больше удаленных подключений Больше типов устройств Разные типы ресурсов Больше «неуправляемых» устройств Хитрые злоумышленники Требования регуляторов Снижение TCO Центральный офис Шлюз удаленного доступа Новые реалии бизнеса

28 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Endpoint Security On Demand Защищает от угроз даже неуправляемые ПК Сканирует их отсутствие злонамеренного ПО и соответствие политикам прежде, чем предоставить доступ Проверяет наличие актуальных обновлений ОС, антивирусов… Рекомендует, как привести ПК в соответствие с требованиями Защищает от угроз даже неуправляемые ПК Сканирует их отсутствие злонамеренного ПО и соответствие политикам прежде, чем предоставить доступ Проверяет наличие актуальных обновлений ОС, антивирусов… Рекомендует, как привести ПК в соответствие с требованиями Spyware and malware Antivirus and firewall compliance Latest updates installed Опции сканирования Connectra Свой ПК/ноутбук Расширенные права Гостевой ПК Ограниченные права Обнаружение Spyware Блокировать доступ Карантин, лечение Все ПК проверяются на соответствие

29 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Сценарий 4: Шифрование дисков для мобильных пользователей Настройка шифрования дисков (алгоритм, какие разеделы шифровать,…) Настройка доступа на пребуте (к-во неправильных логонов, WIL, Wake on Lan, Удаленная помощь) Настройка доступа на пребуте (к-во неправильных логонов, WIL, Wake on Lan, Удаленная помощь) Включение или выключение User Acquisition Настройка OneCheck SSO

30 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Сценарий 5: Защита портов и шифрование носителей Настройка доступа к незашифрованны м устройствам Настройка доступа к зашифрованным устройствам Разрешения на шифрование устройства Настройки авторизации и сканирования внешних устройств

31 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Сценарий 6: Комплексная защита рабочих станций

32 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Единый сервер управления Политики могут назначаться на уровне: всей организации; отдельных организационных единиц; отдельных пользователей; отдельных рабочих станций;

33 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Единый клиент Single Client Updates & Scan Single Client Updates & Scan Automatic VPN Connection Single Logon

34 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | Ваш выбор softwareblades from Check PointРазнообразные решения / вендоры Множество проектов Отдельные устройства Разные центры управления Один проект Множество конфигураций Единое управление

©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone Александр Рапп Консультант по информационной безопасности RRC