DLP v Exchange 2013 a Exchange Online
Ochrana firemních dat před nechtěným únikem nabývá v posledních letech na významu a vzhledem k tomu, že přes firemní mailové systémy prochází značná část firemních dat tak ochrana mailových systému před úniky dat je klíčovým bodem zabezpečení IT systémů mnoha společností.
Typickými scénáři, při kterých dochází k úniku dat, jsou externí útoky, chyba zaměstnance nebo, a to je patrně nejzávažnější problém, záměr zaměstnance. V závislosti na typu úniku dat může být společnost vystavena ztrátě důvěry zákazníků nebo partnerů, v dalších případech může dojít k vyšetřování ze strany státních orgánů a případných trestů v podobě pokut atp.
Co tedy nabízí Exchange 2013 a Exchange Online (dále pouze Exchange) aby společnosti mohly předejít těmto nepříjemným situacím?
Odpověď je Data Loss Prevention (DLP).
DLP umožňuje:
- Identifikovat citlivé informace
- Monitorovat tok citlivých informací
- Nastavit pravidla pro ochranu citlivých informací
Jak DLP identifikuje citlivé informace
- DLP obsahuje v současné době 40 předdefinovaných šablon, které umožňují jednoduše nastavit pravidla pro zacházení s citlivými informacemi.
- Dále obsahuje 51 předdefinovaných typů citlivých informací jako jsou například čísla kreditních karet, čísla bankovních účtů a nebo IP adresy.
- Je také možné importovat DLP policy šablony od třetích stran
- DLP umožňuje udělat dokument „fingerprint“ – což je řekněme detailní analýza dokumentu – typicky například formuláře, a na základě tohoto fingerprintu je potom možné detekovat možný únik vyplněných formulářů.
- Je možné definovat vlastní šablony
Jaké akce DLP umožňuje
Pokud zachytíme možný únik informací tak máme celou škálu možností jak s touto situací naložit. Možné akce jsou:
- Alert – je možné uživatele upozornit, že dochází k odeslání citlivých informací. Je možné, že uživatel se chystá odeslat citlivé informace omylem a DLP ho na tento omyl může upozornit.
- Classify – umožňuje klasifikaci informací.
- Encrypt – může se provést aplikace RMS nebo TLS šifrování.
- Append – připojí se Disclaimer.
- Override – umožňuje uživateli zaslat mail navzdory upozornění. Uživatel může být požádán o zadání důvodu, proč citlivé informace zasílá.
- Review – umožňuje zaslat zprávu na schválení před odesláním, např. na právní oddělení.
- Redirect – přesměruje zprávu.
- Block – zablokuje odeslání zprávy.
Ukázka konfigurace DLP
V modelovém případě si ukážeme DLP, kdy budeme uživatele upozorňovat na fakt, že se pokouší poslat dvě a více IP adresy. Nicméně bude mu dovoleno více než dvě IP adresy zaslat pokud zadá důvod.
Vytvoříme novou DLP policy. Pokud potřebujeme tak máme možnost policy nejprve otestovat. V tomto případě testovat nebudeme a zvolíme Enforce.
V pravidlech nastavíme blokování zprávy, pokud uživatel nezadá důvod zaslání citlivé informace
Vybereme IP Address jako typ citlivé informace a zadáme minimální počet 2. Tzn. jednu IP adresu bude možné zaslat bez upozornění.
Dále nastavíme aplikaci pravidla pouze na zprávy mimo organizaci a nastavíme, komu se má zasílat zpráva při porušení pravidla
Jak to funguje na klientovi.
Pokud uživatel zadá jednu IP adresu tak se nic neděje, uživatel ji může standardně odeslat.
Pokud však zadá druhou IP adresu tak je uživatel pomocí Policy Tip upozorněn na fakt, že chce odeslat citlivé informace a má možnost „Override“ tzn. odeslat citlivé informace upozornění navzdory.
Nicméně před odesláním musí uživatel zadat důvod pro odeslání.
Zpráva je odeslána, a specifikovanému uživateli, z typicky právního nebo bezpečnostního týmu, dojde zpráva o zaslání citlivé informace včetně důvodu, který uživatel zadal pro odeslání zprávy.
Závěr
DLP v Exchange vyžaduje Enterprise CAL a představuje velmi zajímavou volbu jak ochránit citlivá data společnosti, bez nutnosti pořizovat a spravovat systém třetí strany. Velkou výhodu je nativní integrace s Exchange admin nástroji, s Outlookem 2013 a Exchange Outlok Web App.
Ondřej Štefka
Mainstream Technologies