Microsoft maakt Data Loss Prevention ook beschikbaar voor endpoint-apparaten

Microsoft stelt zijn Data Loss Prevention-tools voortaan ook beschikbaar op endpoints. Klanten met Microsoft 365-licenties beschermen daarmee niet alleen online diensten en apps, maar ook de data op fysieke Windows 10-apparaten.

Met de nieuwe feature kunnen Microsoft 365-gebruikers policy's die ze instellen voor apps, ook inzetten op computers en laptops. Het gaat om een verlenging van Data Loss Prevention, een tool waarmee systeembeheerders kunnen bepalen wat eindgebruikers met gevoelige data en bestanden mogen doen. Via DLP kan bijvoorbeeld worden ingesteld dat gebruikers geen data naar een externe usb-stick of een netwerkschijf mogen kopiëren of een bepaald bestand mogen uitprinten. Data Loss Prevention is bedoeld om bepaalde bestanden niet te laten uitlekken door medewerkers.

Data Loss Prevention werkte al op online applicaties als Sharepoint en Office, maar met Endpoint Data Loss Prevention kan ook hardware worden gereguleerd. De functie werkt op Windows 10-apparaten. Er komen geen nieuwe policy's bij die geregeld kunnen worden, maar Microsoft zegt dat er wel nieuwe meldingen beschikbaar komen voor systeembeheerders. Zo komen er meldingen als gebruikers Edge gebruiken om bepaalde bestanden te downloaden of te uploaden naar een persoonlijke cloudopslag.

Endpoint DLP werkt volgens Microsoft op basis van MIME, waardoor het niet uitmaakt als gebruikers de bestandsextensie wijzigen. Naast Word-bestanden en pdf's kunnen systeembeheerders ook bestanden beheren, zoals Java-files, c-files of csv-files. Bij een melding krijgen beheerders bovendien veel informatie over de dataoverdracht te zien, zoals het model van het externe apparaat of de sha-waardes.

Voorlopig is Endpoint DLP als publieke preview te gebruiken. Apparaten die als endpoint worden opgenomen, moeten in de Azure Active Directory zitten en Windows 10-build 1809 of hoger draaien. Ook moet Chromium Edge zijn geïnstalleerd.

Endpoint Data Loss Prevention

Door Tijs Hofmans

Nieuwscoördinator

22-07-2020 • 11:06

19

Reacties (19)

19
16
12
4
0
4
Wijzig sortering
De functie werkt op Windows 10-apparaten. Er komen geen nieuwe policy's bij die geregeld kunnen worden, maar Microsoft zegt dat er wel nieuwe meldingen beschikbaar komen voor systeembeheerders. Zo komen er meldingen als gebruikers Edge gebruiken om bepaalde bestanden te downloaden of te uploaden naar een persoonlijke cloudopslag.
Ik ben benieuwd hoe het staat met de privacy van gebruikers. Natuurlijk moet je altijd een afweging maken tussen het persoonlijk belang en het bedrijfsbelang. Dadelijk krijg je een situatie dat de directeur aan je bureau komt omdat hij van IT heeft gehoord dat je zijn laatste flame-mail hebt doorgestuurd naar een vakbond of jurist.
DLP zal standaard de medewerker informeren dat een DLP policy is overtreden, dus de medewerker zal als eerste weten dat er iets mis is gegaan. Ook wordt die mail gewoon doorgestuurd.

Daarnaast is het wat mij betreft verstandiger om je zakelijke email adres niet te gebruiken voor contact met je vakbond of jurist.
DLP zal standaard de medewerker informeren dat een DLP policy is overtreden, dus de medewerker zal als eerste weten dat er iets mis is gegaan.

De optie om de gebruiker te notificeren staat standaard aangevinkt maar is natuurlijk eenvoudig uit te zetten in Office 365. Normaal gesproken zet je het ook eerst een tijd in 'monitoring' modus waarbij alleen op de achtergrond meegekeken wordt hoe goed of slecht je instellingen hun werk doen.
Klopt, de optie is inderdaad uit te schakelen, maar daarmee kweek je dus geen bewustzijn. Sterker nog, door dit uit te schakelen en eventueel te rapporteren naar management, zul je alleen maar achterdocht kweken.
DLP policies zijn natuurlijk alleen maar hulpmiddelen om te voorkomen dat er persoonsgegevens de wereld in verdwijnen. De beste manier om dit te voorkomen is bewustzijn. En ook daar kunnen de policies met hun notificaties bij helpen.
Oh, ik zeg ook niet dat je dit moet doen maar enkel dat het mogelijk is.

Het hele DLP process staat of valt met bewustzijn. Het is de bedoeling dat de gebruikers immers zelf de gevoeligheid van de documenten aangeven (tagging). Dit kun je nooit volledig geautomatiseerd afvangen.
Wanneer de data al in Azure staat is de data in kwestie al in een grijs gebied qua privacy.
Door bepaalde properties aan te merken voor DLP notificaties maakt dat weinig uit voor de privacy. Het aanmerken van data kopiëren naar locaties die niet toegestaan zijn volgens bedrijfsbeleid is prima toegestaan. Een kleding winkel mag ook anti diefstal tags plaatsen.

Let wel dat dit om bestaande data op corporate resources gaat. Als je dit gaat gebruiken voor persoonlijke data ben je zelf al in overtreding en mag je niet zeuren over het verkeerd aanmerken van privé data. Met DLP kan er ook nog eens een laagje encryptie op komen waar je als gebruiker niet de key van hebt.
Als je dit gaat gebruiken voor persoonlijke data ben je zelf al in overtreding en mag je niet zeuren over het verkeerd aanmerken van privé data.
Dat is absoluut niet waar. Wellicht in de VS, maar niet in Nederland.

Dat ligt er aan wat je in je bedrijf afspreekt en meldt aan je medewerkers.
Bij veel bedrijven mag er beperkt prive gebruik worden gemaakt van corporate resources. (vaak bv telefoons) en mag je ook vanaf je laptop wel een prive mailtje versturen. Zolang het het bedrijf niet schaadt.
Dan mag je als bedrijf dus niet zomaar alle data van iemand bekijken.

En als je als bedrijf daar niets over afgesproken hebt, dan mag je ook niet zomaar alle data bekijken.

Je met als bedrijf van tevoren aan iederen overduidelijk melden dat je monitoort tbv DLP en dat prive data daar ook in mee genomen word. Heeft je bedrijf een OR, dan moet het ook door de OR goed gekeurd worden. En je privacy officer zal akkoord moeten geven.
Dat ligt er aan wat je in je bedrijf afspreekt en meldt aan je medewerkers.
Dit communiceren is verplicht per AVG. Ik ging er van uit dat, gezien ieder bedrijf dit verplicht is, dat dit een logisch gevolg is. Misschien had ik dit er bij moeten vermelden.

Wat je verder zegt is waar, maar er is een nuance.
Een voorbeeld case: Een sharepoint repo voor de afdeling met bedrijfsdata zit in de scope voor DLP en dit is vantevoren gemeld per AVG. Een gebruiker zet daar prive data neer. Wie is in overtreding? De werkgever omdat hij (vooraf aangegeven) de prive data scant of de gebruiker die prive data neer zet op een corporate locatie?

Er moet natuurlijk zeer goed gekeken worden naar scoping, maar niet in alle gevallen is het nodig om via de OR en de privacy officer zulke zaken te laten goedkeuren. Wanneer de persoonlijke OneDrive/Home folders onder DLP vallen is dit uiteraard wel het geval.
DLP bestond al op Exchange niveau en je voorbeeld is niet correct, daarvoor dient DLP niet en zo werkt het ook niet. Wat ze bedoelen met dat voorbeeld is als company data geupload wordt naar private cloud opslag, dat is data loss prevention, waarom moet je company data naar je privé cloud verhuizen? Vanaf dan is het namelijk niet meer te monitoren wat er met de data gebeurd.

[Reactie gewijzigd door Tha Render_2 op 26 juli 2024 00:06]

Dit is wel echt heel gaaf. Heel veel Microsoft Endpoint Manager implementaties die ik doe daar krijg ik veel vrije hand in, omdat MT vaak geen idee heeft wat ze wel/niet willen. Zelfs als ze ISO 27001 hebben, hebben ze vaak geen idee hoe met data om te gaan. Daarom zet ik DLP bij "ik weet het niet" altijd aan in Audit Mode, zodat men wel persoonsgegevens naar buiten kan sturen, maar zodat men wel bewust wordt van het feit dat men dat doet. Vaak helpt het en wordt DLP daardoor een onderdeel van hun procedures. Dat DLP nu naar endpoints wordt getrokken is wel echt mega mega mega gaaf.

[Reactie gewijzigd door Trommelrem op 26 juli 2024 00:06]

Endpoint DLP werkt volgens Microsoft op basis van MIME, waardoor het niet uitmaakt als gebruikers de bestandsextensie wijzigen.
Hou dan ook rekening met archieven (e.v.t. met compressie) in je policies. Anders kan een medewerker alsnog data laten lekken via een omweg. Kan ook via MIME gedetecteerd worden, maar moet je wel rekening mee houden.
[...]
Hou dan ook rekening met archieven (e.v.t. met compressie) in je policies. Anders kan een medewerker alsnog data laten lekken via een omweg. Kan ook via MIME gedetecteerd worden, maar moet je wel rekening mee houden.
Hier is wel degelijk al rekening mee gehouden:
accessed by unallowed apps and browsers: auditable and restrictable
Je zou immers kunnen verbieden dat ze gecomprimeerd kunnen worden (al heb je er volgens mij wel werk mee om het helemaal waterdicht te maken)... echter is het niet de bedoeling om het compleet te verbieden, wel om te vermijden dat informatie per ongeluk gelekt wordt:
You can use Microsoft 365 data loss prevention (DLP) to monitor the actions that are being taken on items you've determined to be sensitive and to help prevent the unintentional sharing of those items.

[Reactie gewijzigd door edeboeck op 26 juli 2024 00:06]

Prima uitbreiding, net als dat AIP tegenwoordig built-in is (in Office) en geen losse client meer vereist. Geeft toch wat meer het idee van een geïntegreerde ipv een point solution.
quote: Uit het artikel
Bij een melding krijgen beheerders bovendien veel informatie over de dataoverdracht te zien, zoals het model van het externe apparaat of de sha-waardes.
Het voorbeeld dat aangehaald wordt, is wat zichtbaar is bij kopiëren naar een USB-stick/-schijf:
Endpoint DLP collects extensive information on audited activity.
For example, if a file is copied to removable USB media, you'd see these attributes in the activity details:
  • activity type
  • client IP
  • target file path
  • happened timestamp
  • file name
  • user
  • file extension
  • file size
  • sensitive information type (if applicable)
  • sha1 value
  • sha256 value
  • previous file name
  • location
  • parent
  • filepath
  • source location type
  • platform
  • device name
  • destination location type
  • application that performed the copy
  • MDATP device ID (if applicable)
  • removable media device manufacturer
  • removable media device model
  • removable media device serial number
De afkorting DLP heb ik vroeger geleerd dat het Data Leakage Prevention betekent.
Bij Data Loss Prevention krijg ik meer het idee dat het over een backup-pakket gaat om te voorkomen dat je data kwijtraakt.
Als je dit "een tikkeltje komisch" noemt, dan heb je al een tijdje de dienstencatalogus van Microsoft niet bijgehouden. Dit is namelijk een feature die sinds 2013 in Exchange Online zit, en sinds 2015 in SharePoint Online en OneDrive for Business, plus in alle Office 2016 applicaties zit. Daarvoor bestond het al als Rights Management Services (Windows Server 2003).

[Reactie gewijzigd door the_shadow op 26 juli 2024 00:06]

Op dit item kan niet meer gereageerd worden.