הפעלת WIP במצב למידה באמצעות Endpoint Manager

דליפות מידע נמשכות והשיירה עוברת. בעיות אבטחה כדוגמת בעיות של נתונים מטיילים, חשיפות יתר של פרטים, הפרות נתונים, וסיכונים הקשורים למידע עלולים לשים ארגונים ואף מדינות במצבי קצה ולגרום לנזקים. 

בעיות אבטחה לא חסרות בארגונים ויש שלל בעיות בכל טכנולוגיה ורבוד שהוא, אחת מהן היא בעיות בהגנה על המידע וניתן לראות זאת בנתונים אשר מטיילים בכל מקום, והבעיה הזאת היא בעית אבטחה שאין לה אח ורע. אם למשל תשאלו כל CISO, האם הוא יודע מה קורה עם המידע הרגיש בארגון? סביר להניח שהתשובה תהיה תשובה חלקית.

עד שנגיע לנקודה שבה אנו יודעים באופן מלא היכן נמצא המידע ומהו התוכן הרגיש, אנו נמשיך להיות בסיכון, ולכן עד שהגנה על המידע לא תהיה אינהרנטית ביומיום של כל צוות אבטחה, סביר להניח שנמצא את עצמנו מטפלים בבעיות של הפרות נתונים, ועל חלקם נקרא בבוקר עם הקפה מתוך הפיד.

האם יש פתרון שלם או מלא? כמו כל פתרון וטכנולוגיה של אבטחה גם כאן אנו צריכים להוריד את הסיכונים וליצור חיכוך אפשרי ע"י כלים, נהלים, תהליכים ומניפלציות.

אחת הבעיות שמתרחשות בארגונים היא סנכרון מידע ושיתופים מתוך Cloud Storage, ולמרות שישנה הגנה מסוימת על המידע, עדיין אפשר לראות יוזרים אשר מסנכרנים Cloud Storage (למשל, ODfB) לכל מכשיר ומכל מקום. אז מה הרעיון לחסום פינה אחת ולפתוח פינה אחרת עם נתונים רגישים יותר?

החלק הבעייתי ביותר בהגנה על המידע הוא כאשר צורכים מידע מתוך מכשירים שהם לא מכשירי חברה, אבל דווקא כאן הפתרון הוא פשוט יותר. חשוב להדגיש כי הגנה על המידע בכל רובד, שכבה, מימוש או יישום היא לא פתרון של עמידה בחצר.

הפתרון של Microsoft Information Protection הוא פתרון הוליסטי ומאוחד שנותן מענה בהגנה על תקנים, צורך בהפרדת נתונים, הגנה מפני דליפות מידע, מניעת דליפת מידע, הגנה מפני שיתופים לא רצויים ועוד.

פתרון MIP משלב פתרונות של הגנת מידע כגון הגנת מידע של Microsoft 365, הגנת מידע של Windows וכן הגנה על מידע אשר נמצא בשירות Azure. המימושים של Microsoft Information Protection נחלקים למספר קטגוריות ונעשים על טכנולוגיות ורכיבים שונים, כגון, ביטלוקר, Windows Information Protection וכן Microsoft Information Protection.

חשוב להדגיש כי החלק של Infromation Protection הוא חלק נכבד מתוך סט מגוון של אפשרויות מתוך Microsoft Compliance.

MIP

הגנה על המידע באמצעות Widnows Infromstion Prtoection מסייעת בהגנה על המידע מפני דליפות מידע פוטניציאליות וכל זאת מבלי להפריע בחווית המשתמש. בנוסף, WIP מסייע בהגנה על מידע אשר נצרך מתוך אפליקציות מול מכשירים של הארגון או מכשירים שאינם שייכים לארגון (BYOD).

הגנה על נתונים באפליקציות נאורות…

מדיניות הגנה על אפליקציות מבטיחה שהנתונים של הארגון יהיו בטוחים ככל האפשר, וגם במידה ויודלף מידע אז תהיה אפשרות לקבל נראות ואפשרות לבצע פעולות מנע שונות. ניתן לאכוף מדיניות בכדי לנטר או למנוע העברת נתונים מתוך הארגון ע"י אפליקציות מנוהלות שמקבלות מדיניות הגנה מוגדרת מראש.

כיום קיימים סוגים שונים של מדיניות WIP שניתנות להחלה על Windows 10 באמצעות WIP

WIP ללא רישום (WIP שאינו נרשם מול Endpoint Manager) שנועד לטפל במצבים שאין אפשרות לרשום תחנות או מכשירים ויוזרים מגיעים עם תחנות מסוג BYOD. במצב כזה אנו נדרשים להפריד בין נתונים של הארגון לנתונים של המשתמש. המטרה במצב כזה היא להגן על נתונים של הארגון באמצעות תיוג של החברה באמצעות מדיניות.

WIP עם רישום (WIP אשר נרשם מול Endpoint Manager) שנועד לטפל במצבים שישנה אפשרות לרשום תחנות או מכשירים ויוזרים עובדים עם תחנות של הארגון. במצב כזה אנו נדרשים להפריד בין נתונים של הארגון לנתונים של המשתמש. המטרה במצב כזה היא להגן על נתונים של הארגון באמצעות תיוג של החברה באמצעות מדיניות.

איך מבדילים בין נתונים ארגוניים לבין נתונים אישיים? ואיך מבדילים בין כל אותם נתונים בכל אפליקציה? בעייתי משהו, לא?

כאשר ישנו מימוש של WIP אנו חייבים להבין מהם סוגי הנתונים ומהם סוגי האפליקציות והדרכים שאיתם ניתן להבדיל בין נתונים ארגוניים לבין נתונים אישיים, כאן נכנסת החלוקה של Enlightened מול Unenlightened, כלומר האפליקציות "הנאורות" מול אפליקציות "שאינן נאורות".

מה ההבדל בין אפליקציות Enlightened לבין אפליקציות Unenlightened?

אפליקציות Enlightened הם אפליקציות הנתמכות במימוש של MAM, וזה אומר שאפליקציות אלה יכולות להבדיל בין נתונים ארגוניים לעומת נתונים אישיים ברמת האפליקציה. כאשר ישנן אפליקציות מסוג Enlightened אנו יכולים לאכוף מדיניות WIP שתתמקד רק בנתוני הארגון ומכאן תוכל לאכוף הגבלות מגוונות, כגון, העתקות, הורדת מידע, צילומי מסך ועוד. כמו כן, נתוני הארגון של התחנה יהעיו מוצפנים בעוד נתונים אישיים יהיו ללא מגע, כלוצר ללא שינוי או מגבלות מסוימות.

אפליקציות Unenlightened הן אפליקציות שאין להם מימוש ישיר מול MAM, ולכן באפליקציות מהסוג הנ"ל יהיה קשר יותר לזהות ותסוג נתונים ארגוניים ונתונים אישיים וכן להפריד בניהם. במצב כזה כל הנתונים יקבלו מדיניות WIP כלשהיא.

לרשימת האפליקציות הנאורות ואלה שקצת פחות ועוד על Enlightened versus unenlightened apps

לצד סוגי האפליקציות אנו יכולים להפעיל את WIP במצבים שונים, בינהם מצב שקט (Silent Mode) הוא למעשה מצב למידה שבו WIP פועל מאחורי הקלעים ואינו מבצע חסימות או פעולות אכיפה שונות, אך יחד עם זאת הוא מנטר ורושם כל פעולה של המשתמש אשר נעשית מול הנתונים, כולל פעולות חריגות. הפעולות נרשמות אל לוג אירועים ומאפשרת לנו ללמוד ולהבין מהן הפעולות הנעשות ברמת תחנת קצה ומהי ההשפעה האפשרית של WIP על אותה תחנת קצה.

הגדרת WIP במצב שקט

בכדי להגדיר WIP במצב שקט באמצעות Endpoint Manager אנו צריכים להבין מהם הדרישות, תצורה קיימת ומכאן ההפעלה אינה מסובכת.

דרישות

  • תחנת קצה בגרסת Widnows 10 עם בילד 1607 ומעלה
  • תחנה אינה חייבת להיות רשומה
  • רישוי מוצמד ומוגדר למשתמש של Intune
  • אופציונלי: Log Analytics לניטור מתקדם של בעיות ולמידה של WIP

איך מגדירים

בכדי להגדיר WIP במצב שקט יש להיכנס לממשק Endpoint Manager ולבלייד של Apps. משם נגדיר פוליסי לתחנות קצה של Windows 10.

טיפ: המלצה במצב למידה ושקט של WIP היא להגדיר מול תחנות רשומות (תחנות MDM) מול Endpoint Manager בכדי לאפשר ניטור יעיל יותר ודוחות עשירים בממשק Reports.

WIP Learning Mode

בחירת אפליקציות נעשית לפי סוג האפליקציות וסוג הנתונים שאותם אנו רוצים לנטר.

WIP Learning Mode

טיפ: אכיפה מיידית של מצב שקט על גבי WIP מוגדרת ככזאת שניתנת ליישום מיידי ולקבל שני דוחות עשירים במידע על נגיעה וביצוע פעולות מול נתונים ארגוניים.

הפעלת WIP במצב למידה באמצעות Endpoint Manager

אכיפת מדיניות משתנה מעת לעת יכולה להשתלב עם Azure Infromtion Protection ותבניות שהוגדרו או תבניות חדשות, וכן מול הגדרות נוספות.

WIP Learning Mode

תחילה נממש מול קבוצה ספציפית, תחילה פילוט.

WIP Learning Mode

הדוחות של WIP נחלקים למספר סוגי דוחות אשר נמצאים בממשק Endpoint Manager וכן מול Azure Log Analytics.

טיפ: המימוש של WIP וניטור הפעולות מול Azure Log Analytics הינו אופציונלי ואינו חובה אך מאפשר לשמור את הניטור לאורך זמן, וכן מאפשר לאבחן את הבעיות באופןו מעמיק יותר.

WIP Learning Mode

הדיווח בתוך Report מכיל שני דוחות של למידת WIP המסווגים כדוחות Learning.

טיפ: ניתן להוריד את הדוחות לקובץ Excel בכדי לנתח למידת WIP (הורדה בתפריט העליון)

WIP Learning Mode

במידה ומיישמים Log Analytics ניתן לעבוד עם הלוגים הבאים:

  • Microsoft-Windows-EDP-Application-Learning/Admin – מציג את כל האפליקציות והפעולות שהם חלק מתוך הפוליסי של WIP.
  • Microsoft-Windows-EDP-Audit-Regular/Admin – מציג מידע נוסף כולל תקשורת של אפליקציות מול גורמים צד שלישי.

המלצות נוספות

  • מומלץ להגדיר בלמידת WIP קבוצה רחבה של תחנות קצה בכדי לבצע למידה נכונה של הפעולות מול נתונים בארגון
  • מצב למידה אינו משפיע על תחנות קצה בשום מצב כולל מצבים של מקרי קצה
  • מימוש של Log Analytics מול WIP הינו אופציונלי ואינו חובה אך משפר את ניתוח המידע
  • במימוש של Log Analytics צריך לפרוס Agents בתחנות קצה
  • ישנה אפשרות לממש את היישום במצב למידה מול Device Analytics
  • מצב למידה הוא מצב שאורך זמן ותלוי בארגון, זמן למידה מינימלי הוא חודש
  • ניתן לממש WIP במצב למידה מול Azure Sentinel
  • ניתן לצאת מתוך מצב למידה אל אכיפה מאותו פוליסי
  • השילוב של פלטפורמת אבטחה עם API מלא נעשית על גבי WIP + Information Protection + Endpoint Manager

מאמרים נוספים בנושא Endpoint Manager

מידע נוסף לגבי WIP מול Intune

מאמרים נוספים בנושא WIP של התקנה, הגדרת פוליסי מתקדם, יישום מול Azure Sentinel ונוספים יעלו בקרוב

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.

%d בלוגרים אהבו את זה: