Data Loss Prevention (DLP) ve světě Exchange: ochrana (2. díl)

Miroslav Knotek
4 minuty, 23 sekundy
9

V 1. díle jsme uvedli definici toho, co technologie DLP vlastně přesně zahrnuje a odkryli jsme všechny možnosti pro detekci citlivých dat v rámci Exchange Online/On-Premises. V pokračování se zaměříme na možné akce pro ochranu těchto citlivých informací.

Možnosti ochrany informací

Možnosti detekce citlivých informací jsou velmi široké, ale základní funkcí DLP není jen detekce, ale také ochrana citlivých dat. Exchange nám nabízí celou řadu akcí s různou mírou restrikce:

  • Odesílatel je upozorněn, ale může zprávu odeslat
  • Odeslání zprávy je zablokováno
  • Odeslání zprávy je zablokováno, pokud se nejedná o false positive
  • Odeslání zprávy je zablokováno, ale uživatel může tento blok odstranit a zprávu poslat
  • Odeslání zprávy je zablokováno, ale uživatel může po zadání byznysového důvodu zprávu přece jen odeslat

Stream Image

Obrázek 1 DLP akce pro ochranu

Kromě těchto výchozích akcí je možné vyvolat další akce spojené přímo s možnostmi Exchange technologie nebo Azure Information Protection (AIP):

  • Pouze zprávu klasifikovat
  • Povolit odeslání zprávy, ale připojit na konec disclaimer
  • Povolit odeslání zprávy, ale vynutit její zašifrování
  • Zprávu přesměrovat do schránky bezpečnostního správce a zalogovat bezpečnostní incident

Obrázek 2 DLP akce dle restriktivnosti

Na některé možnosti ochrany se podíváme detailněji.

Policy tip – upozornění pro odesílatele

Ideální je, pokud je odesílatel varován o přítomnosti citlivých údajů ještě před tím, než se zprávu pokusí odeslat. K tomu slouží tzv. policy tip, který může být zobrazen v následujících klientech:

  • Outlook on the web
  • Outlook 2013 a vyšší
  • OWA for Devices (v budoucnu Outlook for iOS/Android)

Na obrázku je vidět zobrazení DLP policy tipu před odesláním zprávy. DLP policy tip je v tom případě správnou reakcí na připojení excelovské tabulky, která obsahuje seznam hráčů Manchester United včetně jejich rodných čísel.

Obrázek 3 DLP Policy tip

Odeslání zprávy je zablokováno, ale uživatel může po zadání byznysového důvodu zprávu přece jen odeslat

Například u lidí, kteří patří do TOP managementu a dá se u nich předpokládat zvýšená opatrnost při nakládání s citlivými informacemi, můžeme povolit odeslání zprávy i přesto, že DLP identifikovalo přítomnost citlivých údajů. Pravděpodobně takovéto jednání mělo nějaký podstatný byznysový důvod, který ale budeme chtít od odesílatele uvést, zaznamenat a předat jako incident bezpečnostnímu auditorovi.

Obrázek 4 Uživatel přes varování odesílá citlivé údaje a uvádí zdůvodnění

Zprávu přesměrovat do schránky bezpečnostního správce a zalogovat bezpečnostní incident

Již několikrát jsme v tomto článku zmínili možnost zaznamenání bezpečnostního incidentu. Na obrázku vidíme náhled na strukturu tohoto incident reportu s vyznačením klíčových informací:

  • Odesílatel
  • Příjemce
  • Typ detekovaných citlivých údajů a počet výskytů

Obrázek 5 DLP: incident report

DLP pravidla

DLP pravidla v konečném důsledku kombinují část detekce, a na to navazující provedení definované akce. Podmínka detekce často může zahrnovat také počet výskytů citlivých údajů. Pomocí různých DLP pravidel tak mohu například rozlišovat následující situace:

  • Pokud je v poštovní zprávě rodné číslo 1x, pouze upozorni odesílatele
  • Pokud je v poštovní zprávě rodné číslo 2x-9x, zablokuj odesílání zprávy, ale umožni odesílateli tento blok odstranit po uvedení důvodu
  • Pokud je v poštovní zprávě rodné číslo 10x a více, zprávu přesměruj do schránky bezpečnostního správce a vygeneruj bezpečnostní incident

Obrázek 6 Příklad DLP pravidla

Licenční požadavky pro nasazení DLP

DLP je prémiová bezpečnostní funkce, která není součástí základních licencí a v Office 365 i v on-premises nasazení je pro aktivaci DLP nutné využití vyšší licenčních plánů nebo edicí.

  • Exchange Online: DLP je součástí Exchange Online Plan 2
  • Exchange 2013/2016: DLP vyžaduje Exchange Enterprise Client Access License (CAL)

Miroslav Knotek, KPCS CZ, knotek@kpcs.cz

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Autor: Miroslav Knotek

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Následující článek Předchozí článek