אלי שלמה

דגשים ביישום Endpoint DLP

by · 08/08/2020

דליפת מידע, DLP, מידע שמטייל וניידות אינם מושגים חדשים, אך לאחרונה DLP מקבל מעט פוקוס, וזאת בגלל בעיות אבטחה שונות שהתרחשו בעקבות זליגת מידע.

בדוח אבטחה השנתי של חברת Verizon שיצא בחודש מאי 2020 ניתן לראות את המידע הרלוונטי לגבי אבטחת מידע ובעיות שהיו בשנה החולפת, כגון, סוגי אירועים, וקטורי תקיפה, מוטיבציה קיימת, יעדי תקיפה, סיכונים מובילים ועוד שלל מידע שמספק תמונה מלאה לגבי אירועי אבטחה.

קישור לדוח Verizon Data Breach Incident Report

2020-08-08_10h31_16

הדוח אבטחה מכיל בנוסף מידע על מקרי דליפת מידע, ובקטגוריה של דליפת מידע ישנה עליה של כמעט 15% מהשנה החולפת, ולצד הדוח של חברת Verizon ניתן לראות בדוחות אבטחה נוספים כגון זה של חברת IBM כי ישנה עליה דומה במקרי דליפת מידע.

אירוע דליפת מידע עבור ארגונים עלול לגרום לנזקים כבדים ויכול לנוע מנזק כלכלי החל מסכומים של 4 מיליון דולר ועד לסכוים של 42 מיליון דולר.

אם לא די בכך, החשיפה לאירוע דליפת מידע בענן היא גדולה יותר בעשרות ואף מאות אחוזים בהשוואה לסביבה מקומית, וזאת בגלל שניידות או עבודה מרחוק היא נחלת הכלל, ולכן אירוע דליפת מידע הוא קל יותר למימוש בין אם במכוון או בגלל טעות אנוש.

השאלה החשובה היא, האם הסביבה שלכם מאפשרת סנכרון קבצים וגישה מרחוק למידע רגיש ללא אכיפה כלשהיא? 

שמדברים על DLP תמיד עולה המחשבה של פרויקט ארוך, פרויקט מורכב, תהליכים שרובם הגדול אינו טכני וכן הלאה. אך לא כך פני הדברים כי כיום ישנם מנגנונים בתוך Microsoft 365 או כלים צד שלישי שיכולים לסייע בזיהוי מידע רגיש, כמו זה של Cognni שיכול לזהות קבצים רגישים בענן ולסווג אותם לפי קטוגריות שונות ולפי רגישות המידע וחשיפה לגורמים צד שלישי.

לצד איסוף המידע שיכול לארוף פרק זמן מסוים אנו חייבים לאכוף מנגנון DLP בתרחישים מסוימים, למשל:

  • תחנות מרוחקות שמנסכרנות תיקיות משותפות
  • משתמשי קצה אשר מסנכרנים תיקיות על גבי Ondrive For Business
  • סנכרון Site מבוססי SharePoint Online
  • פריטי דואר עם קבצים רגישים
  • שיתוף תיקיות מול צד שלישי (למשל ספקים)

בתרחישים הנ”ל אין צורך להמתין לצוותים מסוימים כמו HR או Legal שיגדירו מהו מידע רגיש, ולכן ככל שנפעל מהר יותר כך נוכל למנוע את זליגת המידע הבאה.

במבט כללי על האפשרויות של Microsoft 365 DLP ישנם יכולות ואפשרויות רבות המשלבות פלטפורמות וכלים מגוונים לאכיפת מדיניות ומניעת דליגת מידע.

DLP

מי אתה Endpoint DLP

מנגנון Endpoint DLP מרחיב את הניטור, את הנראות ואת האכיפה על מידע שנמצא בתחנות מבוססות Windows 10, וכאשר תחנה מחוברת אל מנגנון DLP ניתן לנטר בכל רגע נתון מידע רגיש בתחנות קצה.

רגע, יש את מנגנון Windows Information Protection (או MIP החדש) אז מה ההבדל? היכולת של Endpoint DLP היא חלק מתוך הסכימה הרחבה של Microsoft Information Protection ומאפשרת ניטור ואכיפה ברמת Device-level וברמת פעולות נקודתיות של משתמשי קצה.

השילוב של ENdpoint DLP יחד עם Microsoft Edge Chrome מאפשר לבצע להגביל תוכן ושיתוף של פריטים לאפליקציות ושירותי ענן שאינם מורשים, וחלק מתוך הפוליסי נעשה יחד עם Microsoft Edgde Chrome שמבין מתי נתונים מוגבלים ע”י מדיניות ENdpoint DLP ובהתא לכך אוכף את המגבלות השונות.

כאשר ישנו פוליסי מבוסס מיקום אז דפדפנים בלתי מורשים לא יוכלו לגשת לפריטים רגישים וכאלה אשר מותאמים למדיניות של Endpoint DLP.

דגשים ביישום Endpoint DLP

רגע לפני שמיישמים Endpoint DLP ישנם מספר דגשים שחשוב לדעת כאשר מנטרים, אוכפים, מיישמים ועובדים עם היכולות החדשות מתוך Microsoft 365 Compliance Center.

ניטור ואכיפה על מידע שהוגדר מראש ועל גבי הפעולות הבאות:

  • יצירה של פריטים ומידע
  • עריכה של פריטים ומידע
  • העתקות והעברות של מידע
  • העתקות והעברות לכונני אחסון צד שלישי
  • העתקות והעברות למיפוי רשת (או כל רשת אחרת)
  • העברה בין Cloud Storage
  • גישה מתול מערכת או אפליקציה שאינה מורשית

זיהוי ושינוי מידע מתבסס על גבי MIME ולכן מידע מנוטר בכל עת ובכל שינוי שהוא, וזאת בגלל שוג המידע נשמר עם MIME שהוא יודע לזהות כל שינוי שמתבצע על הנתונים ברמת Metadata של הקובץ וכן ברמת Binary Data.

ניטור המידע והקבצים נעשה על גבי סוגי הקבצים הבאים:

  • Office (כמו Word, PowerPoint, Excel)
  • PDF
  • CSV
  • TSV
  • CPP
  • CS
  • H
  • JAVA
  • C
  • TXT

טיפ: קובצי קוד למינהם אינם מנוטרים בדיפולט ולכן מומלץ ליצור פוליסי שמנטר קובצי קוד וקובצי TXT.

נראות ניטור המידע על ממשק Activity explorer נעשה על גבי מאפייני המידע הבאים:

  • activity type
  • client IP
  • target file path
  • happened timestamp
  • file name
  • user
  • file extension
  • file size
  • sha1 value
  • sha256 value
  • previous file name
  • location
  • parent
  • filepath
  • source location type
  • platform
  • device name
  • destination location type
  • application that performed the copy

טיפ:מאפייני המידע המוזכרים מעלה הם מאפיינים כללים לכל פעולה שהיא, ובנוסף לכך ישנם מאפיינים נוספים לכל פעולה ספציפית

EDLP

דרישות ליישום

הכנת הסביבה נעשית לפי הדרישות הבאות:

רישוי נדרש ליישום Endpoint DLP מתבסס על הרישוי הבא:

  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E5 compliance
  • Microsoft 365 A5 compliance
  • Microsoft 365 E5 information protection and governance
  • Microsoft 365 A5 information protection and governance

טיפ: רישוי Endpoint DLP נאכף ברמת כל משתמש וללא רישוי מוצמד אין אפשרות לקבל מידע על התחנה

הרשאות ליישום מצריכות מספר סוגי הרשאות:

  • Global admin
  • Security admin
  • Compliance admin

לניהול ומעקב אחר בעיות אבטחה ניתן לעבוד עם ההרשאות הבאות:

  • Compliance admin
  • Global Reader

טיפ: במצבי קשה (לפי דרישה) ניתן להגדיר Role מקוסטם על גבי Azure AD ולאפשר הרשאות ספציפיות לניהול בעיות ובכדי לעקוב אחר תחנות

תחנות קצה המבוססות על גבי הדרישות הבאות:

  • Windows 10 Build 1809 ומעלה
  • תחנות מסוג Azure AD Joined
  • תחנות מסוג Hybrid Azure AD joined
  • דפדפן מסוג Microsoft Chromium Edge

טיפ: במידה וישנו MDATP על התחנה אין צורך להתקין EDLP בתחנה

טיפ: תהליך Onboard בתחנת קצה יכול לארוך עד לכדי 90 שניות עד שמעובר מידע (מידע שעובר בפעם הראשונה לאחר התקנה)

יישום ופריסה יכול להיעשות מתוך הכלים והמערכות הבאות:

  • Microsoft Endpoint Manager
  • Group Policy
  • Local Script
  • SCCM
  • כלים צד שלישי

דגשים במדיניות

ניתן לנטר ולאכוף מדיניות באמצעות הגדרות ופוליסי שונים, ובין היתר לפי הדגשים הבאים:

  • אכיפת לפי מבנה לוגי של תיקיות וקבצים, למשל, C:\Onedrive או .\ או * וכן הלאה
  • ניתן להגדיר דומיינים ספציפיים (מולבנים או מושחרים) לצורכי חסימה או העלאה של מידע
  • פוליסי המאפשר אפליקציות מורשות או לא מורשות לגישה מול המידע, למשל, פוליסי החוסם גישה למידע רגיש מתוך אפליקציה מסוימת ולהיפך
  • פוליסי מבוסס Browser המאפשר חסימה או מתן גישה למידע מתוך דפדפנים על סמך process name
  • פוליסי יכול להיות מבוסס לפי מאפיינים של דומיינים, Services וכתובות IP

2020-08-08_19h12_46

הפעלת Endpoint DLP

בכדי להתחיל ולעבוד עם Endpoint DLP מומלץ לפעול לפי השלבים הבאים:

הפעלת השירות וביצוע Device Onbloarding נעשית מתוך ממשק Microsoft compliance center

הערה: הפעלת השירות היא פעולה חד פעמית אלא אם כן בוצע כיבוי לשירות באופן ידני

טיפ: במידה וישנו MDATP מוגדר אין צורך לבצע Device Onboarding כי המנגנון ברמת התחנה עובד על גבי אותו סנסור

יתר הפעולות הן פעולות סטנדרטיות ומצריכות הורדת חבילת התקנה, ובדוגמה שלפנינו נעבוד עם Local Script

2020-08-08_18h49_23

2020-08-08_18h50_26

2020-08-08_18h51_18

2020-08-08_18h51_44

2020-08-08_18h52_22

2020-08-08_18h52_39

Endpoint DLP

מה יש בתוך הסקריפט של Endpoint DLP? קובץ אחד בלבד שנקרא DeviceComplianceLocalOnboardingScript והוא זהה מאוד לקובץ של MDATP והותוכן שלו אפילו מתואר באותה צורה

Endpoint DLP

הרצת הסקריפט מצריכה אלבציה ולכן נריץ את הסקריפט עם הרשאות אדמין, ולאחר מכן נצריך להמתין מספר דקות בכדי שהתחנה תהיה רשומה בממשק Microsoft Compliance.

Endpoint DLP

לאחר ביצוע Onboarding נוכל להתחיל לעבוד עם הממשקים השונים של Endpoint DLP:

  • ממשק Microsoft Compliance לניהול תחנות
  • ממשק Data loss prevention לניהול פוליסי ומדיניות
  • ממשק Data classification עם Activity Explorer לניהול אירועים

לסיכום, היכולות החדשות של Endpoint DLP מביאות איתם בשורה חדשה וממשית לניידות המידע, ואנו יכולים לאכוף מדיניות על מידע רגיש מבלי “לשגע” את משתמשי הקצה, ובנוסף לכך הממשקים השונים מאפשרים ניטור וניהול המידע ברמת הבורג ונראות על ניסיונות ואיורעי אבטחה.

מאמר הגדרת מדיניות Endpoint DLP

Tags:

You may also like...

2 Responses

  1. התקנה והגדרת מדיניות Endpoint DLP - Ell! $hLomo
    22/08/2020

    […] מידע נוסף לגבי המאמר דגשים ביישום Endpoint DLP […]

  2. אבטחה, ניהול והגנה על נתונים Microsoft 365 Compliance
    27/03/2021

    […] דגשים ביישום Endpoint DLP […]

השאר תגובה

%d בלוגרים אהבו את זה: