Databeveiliging en classificatie is belangrijk. Een datalek via een verkeerde aanzender of toegang tot externe databronnen is snel gemaakt, waardoor er vervolgens geen mogelijkheid en controle is op de data. In de huidige tijd is de beveiliging van data belangrijk.
Microsoft Endpoint Data Loss Prevention
Data, cloud en modern werken
In het verleden was toegang tot data vrij eenvoudig via een VPN of één directe koppeling. Tegenwoordig zijn er vele cloudtoepassingen en is veelal via de cloud te bereiken. Naast de basis zoals bijvoorbeeld MFA en Identity beveiliging als Password Protection is het beschermen en beveiligen van data zeker een belangrijk item.
Naast cloud-applicaties hebben we tegenwoordig ook te maken met flexibele werkplekken als bring your own devices, en online toegang tot de applicaties. In dit blog een toelichting over het gebruik van Microsoft Data Loss prevention om data kopieën naar externe opslagmediums te blokkeren.
Microsoft Data Loss Prevention
Microsoft 365 Data Loss prevention is een oplossing van Microsoft welke ingezet kan worden voor het beveiligen van gevoelige informatie. Hiermee voorkom je ongewenste verspreiding van data buiten de organisatie. Met Data Loss Prevention is het voor bedrijven mogelijk om te voldoen aan de standaarden als GDPR.
Binnen Microsoft Data Loss Prevention is er een Breede ondersteuning van cloud producten zoals Mail, SharePoint, Microsoft Teams en OneDrive. Hiermee is de dekking niet alleen gericht op data, maar ook op de online chat en samenwerkings producten. Vrij recent is de mogelijkheid toegevoegd om Windows 10 devices te configureren.
Microsoft Data Loss Prevention beschikt over de mogelijkheid om te integreren met de Microsoft Information Protection labels. Hiermee is het mogelijk om data te beveiligen op basis van de classificatie labels.
Voorbeeld; Wanneer de gebruiker data een classificatie meegeeft van “hoog vertrouwelijk” is het wensenlijk om deze data te beschermen en in het netwerk te houden. Via Data Loss Prevention is het mogelijk om deze data te protecten. Ook voorbeelden als het printen van gevoelige data of het uploaden naar niet vertrouwde browsers komen regelmatig voor in de praktijk.
Endpoint Data Loss prevention
Endpoint Data Loss prevention beschikt over een nieuwe functionaliteit waarmee configuraties mogelijk zijn op de Windows 10 endpoints en devices. Endpoint Data Loss prevention een geldige A5/E5 licentie. Zie onderstaand overzicht voor de verschillende licenties.
In dit blog gaan we in op het beveiligen van hoog vertrouwelijke data naar externe mediums als een USB en externe schijf, om te voorkomen dat medewerkers buiten het netwerk data kunnen kopiëren. In een vervolg blog gaan we dieper in op Endpoint DLP, met ook integratie tot de classificatie labels en incident afhandeling.
Minimale voorwaarden
Endpoint Data Loss prevention vereist een aantal requirements.
- Minimaal Windows 10 1809
- Windows 10 devices gekoppeld aan AzureAD of Hybrid on-premise
- Device monitoring geactiveerd
- Microsoft Edge based on Chromium (voor de cloud activiteiten)
- Geldige licentie waaronder een van onderstaande;
- Microsoft 365 E5
- Microsoft 365 A5 (EDU)
- Microsoft 365 E5 compliance
- Microsoft 365 A5 compliance
- Microsoft 365 E5 information protection and governance
- Microsoft 365 A5 information protection and governance
Device monitoring activeren
Device monitoring onboarding is een vereiste voor de configuratie. Om de onboarding te configureren zijn onderstaande stappen vereist:
- Open de Microsoft Compliance Portal
- Klik vervolgens op Settings(1) -> Device onboarding(2) (Let op; vooralsnog is de functionaliteit een preview)
- Klik vervolgens op de button ‘Turn on device onboarding’
Vervolgens worden de devices welke al zijn toegevoegd in Microsoft Defender ATP toegevoegd aan de devices. De onboarding van nieuwe devices is mogelijk via de onboarding optie. Deze methode is hetzelfde als de Microsoft Defender ATP onboarding.
Voor een handmatige onboarding/offboarding:
- Open de device onboarding
- Klik op onboarding / offboarding
- Selecteer vervolgens een van de opties en download de onboarding /offboarding package-file.
Indien de devices aanwezig zijn in MDATP zal het even duren voordat de devices ook aanwezig zijn in de portal. De devices zullen zichtbaar zijn onder ‘devices’
Indien gewenst is het via de devices pagina ook mogelijk om device monitoring te deactiveren. De deactivatie is mogelijk via de button; Turn off device monitoring
Policy configureren
De basis is geconfigureerd. Nu is het vereist om een policy aan te maken om in de praktijk ook een copy actie te blokkeren naar een extern medium. Voor het aanmaken van een policy:
- Open de Microsoft Compliance Portal
- Ga naar Policies (1) – Data Loss Prevention (2)
- Klik op Create policy (preview) (3)
Vanuit de policy wizard is het mogelijk om op basis van GDPR templates de data te beveiligen. In dit geval gaan we voor een custom policy.
Extra info; De templates zijn verdeeld in de categorieën (Financial, Medical and Health, Privacy). Onder Privacy/ GDPR valt onder andere de informatie; EU Debit Card Number, Driver License Number, Passport Number etc.
Als eerste is het van belang om een DLP policy naam op te geven en eventueel een beschrijving.
Vervolgens is het een vereiste om de locatie op te geven. Hierbij geef je aan waar de policy actief zal worden. Voor de blokkade van de opslag op USB medium is de optie Devies (preview) vereist. Hiermee is de Data Loss Prevention policy actief voor endpoint-apparaten. De locaties; Exchange e-mail, Sharepoint Sites, OneDrive accounts en Teams chat and channel messages zijn gericht op de cloud.
De actie in dit geval is een block naar verwijderbare media(USB). Hierbij is er een keus tussen de volgende opties;
- Block
- Audit only
- Block met mogelijkheid tot aanpassen door gebruiker
Naast USB is het ook mogelijk om overige media, zoals Print en Netwerkshares te blokken op device niveau via de devices configuratie. In het geval van USB is het specifiek onderstaande setting:
In onderstaande geval gaat het om een block with override. Als actie is het mogelijk om de setting ook te configureren op; Block of Audit Only
Wanneer de actie is geconfigureerd als block is het niet mogelijk om data te kopiëren naar een verwijderbare media.
Vervolgens is het een mogelijkheid om notificaties te versturen wanneer er een actie zal plaatsvinden welke overeenkomst met de configuratie. Dit is bijvoorbeeld toepasbaar voor een security alert richting een centraal servicedesk systeem ter registratie van een mogelijk incident.
De policy is hierbij geconfigureerd. Wanneer actief kan het ongeveer 1 uur duren voordat de policy ook effect heeft op de systemen.
Blokkeren van uploads richting browsers
Voor bijvoorbeeld het blokkeren van uploads naar niet ondersteunende browsers is het mogelijk om gebruik te maken van de setting: Upload to cloud services or access by unallowed browsers. Voor deze configuratie;
- Open Microsoft 365 Compliance
- Klik op Policies
- Open Data Loss Prevention
De settings zijn te configureren onder; Endpoint DLP Settings (preview)
Voor het uitsluiten van een browser tijdens een upload is de settings; Browser and domein restrictions to sensitive data aanwezig;
Als voorbeeld zijn de browsers; Opera, SeaMonkey en Avast Secure Browser aangegeven als unallowed browsers.
MIME
Endpoint DLP werkt op basis van MIME, hierdoor maakt het niet uit of de bestandsextensie gewijzigd zal worden om het beleid te omzeilen. De public preview beschikt over ondersteuning tot een aantal extensies.
USB opslag en meer
In dit geval is de configuratie alleen gericht op USB-opslag. Dit is een van de mogelijkheden om bedrijfsinformatie te verspreiden buiten de organisatie. Naast USB-opslag zijn de volgende configuraties via de Endpoint Data Loss prevention ook te configureren:
activity on item | auditable/restrictable |
---|---|
created | auditable |
renamed | auditable |
copied to or created on removable media | auditable and restrictable |
copied to network share, e.g. \my-server\fileshare | auditable and restrictable |
printed | auditable and restrictable |
copied to cloud via Chromium Edge | auditable and restrictable |
accessed by unallowed apps and browsers | auditable and restrictable |
In de praktijk
In de praktijk werkt de configuratie als volgt;
Bij het kopiëren van een file naar een extern medium ontvangt de gebruiker een melding. In onderstaande geval gaat het om een actie welke overschreven kan worden via een Allow. Wanneer een block is geconfigureerd zal de optie; Allow verdwijnen
Part 2… In een vervolg blog gaan we dieper in op Endpoint DLP, met ook integratie tot de classificatie labels en rapportage/ incident afhandeling.
Bronnen:
Microsoft; https://techcommunity.microsoft.com/t5/microsoft-security-and/announcing-public-preview-of-microsoft-endpoint-data-loss/ba-p/1534085
Microsoft; https://docs.microsoft.com/en-us/microsoft-365/compliance/endpoint-dlp-learn-about?view=o365-worldwide