DLP v Exchange 2013 a Exchange Online

Ochrana firemních dat před nechtěným únikem nabývá v posledních letech na významu a vzhledem k tomu, že přes firemní mailové systémy prochází značná část firemních dat tak ochrana mailových systému před úniky dat je klíčovým bodem zabezpečení IT systémů mnoha společností.

Typickými scénáři, při kterých dochází k úniku dat, jsou externí útoky, chyba zaměstnance nebo, a to je patrně nejzávažnější problém, záměr zaměstnance. V závislosti na typu úniku dat může být společnost vystavena ztrátě důvěry zákazníků nebo partnerů, v dalších případech může dojít k vyšetřování ze strany státních orgánů a případných trestů v podobě pokut atp.

Co tedy nabízí Exchange 2013 a Exchange Online (dále pouze Exchange) aby společnosti mohly předejít těmto nepříjemným situacím?

Odpověď je Data Loss Prevention (DLP).

DLP umožňuje:

Jak DLP identifikuje citlivé informace

Jaké akce DLP umožňuje

Pokud zachytíme možný únik informací tak máme celou škálu možností jak s touto situací naložit. Možné akce jsou:

image

Ukázka konfigurace DLP

V modelovém případě si ukážeme DLP, kdy budeme uživatele upozorňovat na fakt, že se pokouší poslat dvě a více IP adresy. Nicméně bude mu dovoleno více než dvě IP adresy zaslat pokud zadá důvod.

Vytvoříme novou DLP policy. Pokud potřebujeme tak máme možnost policy nejprve otestovat. V tomto případě testovat nebudeme a zvolíme Enforce.

image

V pravidlech nastavíme blokování zprávy, pokud uživatel nezadá důvod zaslání citlivé informace

image

Vybereme IP Address jako typ citlivé informace a zadáme minimální počet 2. Tzn. jednu IP adresu bude možné zaslat bez upozornění.

image

Dále nastavíme aplikaci pravidla pouze na zprávy mimo organizaci a nastavíme, komu se má zasílat zpráva při porušení pravidla

image

Jak to funguje na klientovi.

Pokud uživatel zadá jednu IP adresu tak se nic neděje, uživatel ji může standardně odeslat.

image

Pokud však zadá druhou IP adresu tak je uživatel pomocí Policy Tip upozorněn na fakt, že chce odeslat citlivé informace a má možnost „Override“ tzn. odeslat citlivé informace upozornění navzdory.

image

Nicméně před odesláním musí uživatel zadat důvod pro odeslání.

image

Zpráva je odeslána, a specifikovanému uživateli, z typicky právního nebo bezpečnostního týmu, dojde zpráva o zaslání citlivé informace včetně důvodu, který uživatel zadal pro odeslání zprávy.

image

Závěr

DLP v Exchange vyžaduje Enterprise CAL a představuje velmi zajímavou volbu jak ochránit citlivá data společnosti, bez nutnosti pořizovat a spravovat systém třetí strany. Velkou výhodu je nativní integrace s Exchange admin nástroji, s Outlookem 2013 a Exchange Outlok Web App.