אלי שלמה

איך ליישם Endpoint DLP

by · 20/02/2023

דליפת נתונים, מידע שמטייל וניידות אינם מושגים חדשים, אך לאחרונה שוב הטרנד של הגנה על המידע מקבל פוקוס, וזאת בגלל מגוון סיבות, החל מבעיות אבטחה שונות שהתרחשו בעקבות זליגת מידע ועד הבנה מסויימת שאנו צריכים לדעת מה המידע שלנו עושה.

בדוח אבטחה השנתי של חברת DBIR (אחד הטובים והמדוייקים) שיוצא בכל שנה, בסביבות מאי ניתן לראות טרנדים שונים, כמו וקטורים, סוגי אירועים, מוטיבציה ועוד. בינהם, את העובדה שזליגת נתונים תמיד מככבת בטופ. 

קישור לדוח2022 Data Breach Investigations Report | Verizon

328ec monosnap 2022 data breach investigations report verizon 2023 02 21 20 10 11

בקטגוריה של דליפת מידע ישנה עליה של כמעט 15% מהשנה החולפת, ולצד הדוח של חברת Verizon ניתן לראות בדוחות אבטחה נוספים כי ישנה עליה דומה במקרי דליפת מידע. תקריות דליפת מידע עבור ארגונים עלול לגרום לנזקים כבדים ויכול לנוע מנזק כלכלי של סכומים כמו 4 מיליון דולר ועד לסכום של 42 מיליון דולר.

אם לא די בכך, החשיפה לאירוע דליפת מידע בענן היא גדולה יותר בעשרות אחוזים בהשוואה לסביבה מקומית, וזאת בגלל שניידות או עבודה מרחוק היא נחלת הכלל, ולכן אירוע דליפת מידע הוא קל יותר למימוש בין אם במכוון או בגלל טעות אנוש.

השאלה החשובה היא, האם הסביבה שלך מאפשרת סנכרון קבצים וגישה מרחוק למידע רגיש ללא אכיפה כלשהיא? כמובן, ולרוב ללא הגנות בסיסיות! 

שמדברים על זליגת נתונים, קרי, DLP, תמיד עולה המחשבה על פרויקט ארוך ומורכב, תהליכים שרובם הגדול אינו טכני וכן הלאה. אך לא כך פני הדברים כי כיום ישנם מנגנונים בתוך Microsoft 365 או כלים צד שלישי שיכולים לסייע בזיהוי מידע רגיש, כמו זה של Cognni שיכול לזהות קבצים רגישים בענן ולסווג אותם לפי קטוגריות שונות ולפי רגישות המידע וחשיפה לגורמים צד שלישי.

לצד איסוף המידע שיכול לארוך פרק זמן מסוים אנו חייבים לאכוף מנגנון DLP בתרחישים מסוימים, למשל:

  • תחנות מרוחקות שמנסכרנות תיקיות משותפות
  • משתמשי קצה אשר מסנכרנים תיקיות על גבי Ondrive For Business
  • סנכרון Site מבוססי SharePoint Online
  • פריטי דואר עם קבצים רגישים
  • שיתוף תיקיות מול צד שלישי (למשל ספקים)

בתרחישים הנ”ל אין צורך להמתין לצוותים מסוימים כמו HR או Legal שיגדירו מהו מידע רגיש, ולכן ככל שנפעל מהר יותר כך נוכל למנוע את זליגת המידע הבאה. במבט כללי על האפשרויות של Microsoft 365 DLP ישנם יכולות ואפשרויות רבות המשלבות פלטפורמות וכלים מגוונים לאכיפת מדיניות ומניעת דליגת מידע.

DLP

מי אתה Endpoint DLP

מנגנון Endpoint DLP מרחיב את הניטור, את הנראות ואת האכיפה על מידע שנמצא בתחנות מבוססות Windows 10, וכאשר תחנה מחוברת אל מנגנון DLP ניתן לנטר בכל רגע נתון מידע רגיש בתחנות קצה.

רגע, יש את מנגנון Windows Information Protection (או MIP החדש) אז מה ההבדל? היכולת של Endpoint DLP היא חלק מתוך הסכימה הרחבה של Microsoft Information Protection ומאפשרת ניטור ואכיפה ברמת Device-level וברמת פעולות נקודתיות של משתמשי קצה.

השילוב של ENdpoint DLP יחד עם Microsoft Edge Chrome מאפשר לבצע להגביל תוכן ושיתוף של פריטים לאפליקציות ושירותי ענן שאינם מורשים, וחלק מתוך הפוליסי נעשה יחד עם Microsoft Edgde Chrome שמבין מתי נתונים מוגבלים ע”י מדיניות ENdpoint DLP ובהתא לכך אוכף את המגבלות השונות.

כאשר ישנו פוליסי מבוסס מיקום אז דפדפנים בלתי מורשים לא יוכלו לגשת לפריטים רגישים וכאלה אשר מותאמים למדיניות של Endpoint DLP.

דגשים ביישום Endpoint DLP

רגע לפני שמיישמים Endpoint DLP ישנם מספר דגשים שחשוב לדעת כאשר מנטרים, אוכפים, מיישמים ועובדים עם היכולות החדשות מתוך Microsoft 365 Compliance Center.

ניטור ואכיפה על מידע שהוגדר מראש ועל גבי הפעולות הבאות:

  • יצירה של פריטים ומידע
  • עריכה של פריטים ומידע
  • העתקות והעברות של מידע
  • העתקות והעברות לכונני אחסון צד שלישי
  • העתקות והעברות למיפוי רשת (או כל רשת אחרת)
  • העברה בין Cloud Storage
  • גישה מתול מערכת או אפליקציה שאינה מורשית

זיהוי ושינוי מידע מתבסס על גבי MIME ולכן מידע מנוטר בכל עת ובכל שינוי שהוא, וזאת בגלל שוג המידע נשמר עם MIME שהוא יודע לזהות כל שינוי שמתבצע על הנתונים ברמת Metadata של הקובץ וכן ברמת Binary Data.

ניטור המידע והקבצים נעשה על גבי סוגי הקבצים הבאים:

  • Office (כמו Word, PowerPoint, Excel)
  • PDF
  • CSV
  • TSV
  • CPP
  • CS
  • H
  • JAVA
  • C
  • TXT

טיפ: קובצי קוד למינהם אינם מנוטרים בדיפולט ולכן מומלץ ליצור פוליסי שמנטר קובצי קוד וקובצי TXT.

נראות ניטור המידע על ממשק Activity explorer נעשה על גבי מאפייני המידע הבאים:

  • activity type
  • client IP
  • target file path
  • happened timestamp
  • file name
  • user
  • file extension
  • file size
  • sha1 value
  • sha256 value
  • previous file name
  • location
  • parent
  • filepath
  • source location type
  • platform
  • device name
  • destination location type
  • application that performed the copy

טיפ:מאפייני המידע המוזכרים מעלה הם מאפיינים כללים לכל פעולה שהיא, ובנוסף לכך ישנם מאפיינים נוספים לכל פעולה ספציפית.

EDLP

דרישות ליישום

הכנת הסביבה נעשית לפי הדרישות הבאות:

רישוי נדרש ליישום Endpoint DLP מתבסס על הרישוי הבא:

  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E5 compliance
  • Microsoft 365 A5 compliance
  • Microsoft 365 E5 information protection and governance
  • Microsoft 365 A5 information protection and governance

טיפ: רישוי Endpoint DLP נאכף ברמת כל משתמש וללא רישוי מוצמד אין אפשרות לקבל מידע על התחנה

הרשאות ליישום מצריכות מספר סוגי הרשאות:

  • Global admin
  • Security admin
  • Compliance admin

לניהול ומעקב אחר בעיות אבטחה ניתן לעבוד עם ההרשאות הבאות:

  • Compliance admin
  • Global Reader

טיפ: במצבי קשה (לפי דרישה) ניתן להגדיר Role מקוסטם על גבי Azure AD ולאפשר הרשאות ספציפיות לניהול בעיות ובכדי לעקוב אחר תחנות

תחנות קצה המבוססות על גבי הדרישות הבאות:

  • Windows 10 Build 1809 ומעלה
  • תחנות מסוג Azure AD Joined
  • תחנות מסוג Hybrid Azure AD joined
  • דפדפן מסוג Microsoft Chromium Edge

טיפ: במידה וישנו MDATP על התחנה אין צורך להתקין EDLP בתחנה

טיפ: תהליך Onboard בתחנת קצה יכול לארוך עד לכדי 90 שניות עד שמעובר מידע (מידע שעובר בפעם הראשונה לאחר התקנה)

יישום ופריסה יכול להיעשות מתוך הכלים והמערכות הבאות:

  • Microsoft Endpoint Manager
  • Group Policy
  • Local Script
  • SCCM
  • כלים צד שלישי

דגשים במדיניות

ניתן לנטר ולאכוף מדיניות באמצעות הגדרות ופוליסי שונים, ובין היתר לפי הדגשים הבאים:

  • אכיפת לפי מבנה לוגי של תיקיות וקבצים, למשל, C:\Onedrive או .\ או * וכן הלאה
  • ניתן להגדיר דומיינים ספציפיים (מולבנים או מושחרים) לצורכי חסימה או העלאה של מידע
  • פוליסי המאפשר אפליקציות מורשות או לא מורשות לגישה מול המידע, למשל, פוליסי החוסם גישה למידע רגיש מתוך אפליקציה מסוימת ולהיפך
  • פוליסי מבוסס Browser המאפשר חסימה או מתן גישה למידע מתוך דפדפנים על סמך process name
  • פוליסי יכול להיות מבוסס לפי מאפיינים של דומיינים, Services וכתובות IP

2020-08-08_19h12_46

הפעלת Endpoint DLP

בכדי להתחיל ולעבוד עם Endpoint DLP מומלץ לפעול לפי השלבים הבאים:

הפעלת השירות וביצוע Device Onbloarding נעשית מתוך ממשק Microsoft compliance center

הערה: הפעלת השירות היא פעולה חד פעמית אלא אם כן בוצע כיבוי לשירות באופן ידני

טיפ: במידה וישנו MDATP מוגדר אין צורך לבצע Device Onboarding כי המנגנון ברמת התחנה עובד על גבי אותו סנסור

יתר הפעולות הן פעולות סטנדרטיות ומצריכות הורדת חבילת התקנה, ובדוגמה שלפנינו נעבוד עם Local Script

2020-08-08_18h49_23

2020-08-08_18h50_26

2020-08-08_18h51_18

2020-08-08_18h51_44

2020-08-08_18h52_22

2020-08-08_18h52_39

Endpoint DLP

מה יש בתוך הסקריפט של Endpoint DLP? קובץ אחד בלבד שנקרא DeviceComplianceLocalOnboardingScript והוא זהה מאוד לקובץ של MDATP והותוכן שלו אפילו מתואר באותה צורה

Endpoint DLP

הרצת הסקריפט מצריכה אלבציה ולכן נריץ את הסקריפט עם הרשאות אדמין, ולאחר מכן נצריך להמתין מספר דקות בכדי שהתחנה תהיה רשומה בממשק Microsoft Compliance.

Endpoint DLP

לאחר ביצוע Onboarding נוכל להתחיל לעבוד עם הממשקים השונים של Endpoint DLP:

  • ממשק Microsoft Compliance לניהול תחנות
  • ממשק Data loss prevention לניהול פוליסי ומדיניות
  • ממשק Data classification עם Activity Explorer לניהול אירועים

לסיכום, היכולות החדשות של Endpoint DLP מביאות איתם בשורה חדשה וממשית לניידות המידע, ואנו יכולים לאכוף מדיניות על מידע רגיש מבלי “לשגע” את משתמשי הקצה, ובנוסף לכך הממשקים השונים מאפשרים ניטור וניהול המידע ברמת הבורג ונראות על ניסיונות ואיורעי אבטחה.

מאמר נוסף בנושא הגדרת מדיניות Endpoint DLP

Tags:

You may also like...

2 Responses

  1. התקנה והגדרת מדיניות Endpoint DLP - Ell! $hLomo
    22/08/2020

    […] מידע נוסף לגבי המאמר דגשים ביישום Endpoint DLP […]

  2. אבטחה, ניהול והגנה על נתונים Microsoft 365 Compliance
    27/03/2021

    […] דגשים ביישום Endpoint DLP […]

השאר תגובה

%d