Vi är oftast duktiga på att skydda vår infrastruktur. Något som många dock missar är att skydda själva informationen. Information som faktiskt är det mest kritiska för de allra flesta företag och myndigheter. Hur hanterar vi viktiga dokument, allt ifrån sekretessklassad till konfidentiell känslig information som lämnar företaget. Antingen via e-post, USB minnen eller olika molntjänster. Hur ser vi till att informationen inte kommer i fel händer?
Azure Information Protection
Skydda känslig information oavsett filtyp och var filen befinner sig
Azure Information Protection är en molntjänst från Microsoft som gör följande:
- Klassificerar informationen
- Taggar en filen utefter dess informationsklassifikation
- Kryptera och behörighetskontrollera informationen utefter dess klassificering
- Ger både IT och slutanvändare möjlighet att övervaka och återkalla information
Informationsklassificering är ytterst viktigt för att tydliggöra för både skribent och läsare. Allt ifrån om filen är av publik karaktär och innehåller information tillgängligt för alla, till en känslig karaktär och därmed skyddad för obehöriga. Informationsklassificeringen ligger till grund för att medvetengöra hur man skall handskas med olika typer av information
Taggar (även kallad Labeling) filerna utefter dess klassificering och följer med filen. Taggning är läsbart för alla varianter av DLP (Data Loss Prevention) -system. Ett exempel är Microsoft Exchange mailtjänst som baserat på dessa taggar kan avgöra om filerna får skickas utanför verksamheten med mera. Andra system både från Microsoft och 3-part kan styra/övervaka var dessa filer får lagras och flyttas.
Baserat på informationsklassificeringen krypteras filerna av Rights Management Services (RMS). Antingen via moln varianten Azure RMS alternativt lokala AD RMS eller en kombination av de båda, baseras på informationens känslighet.
Med RMS kan kryptera informationen och även styra vem som skall få tillgång till den och vilka rättigheter personen skall få med informationen.
RMS kan kryptera vilken fil som helst och med Azure RMS kan du sätta behörigheter till vem som helst.
Via Office och en Azure Information Protection applikation går det att styra olika typer av behörigheter för dokument, bilder och epost. Definiera vad mottagaren kan göra i fom av att se, editera, kopiera, vidarebefordra innehåll eller skriva ut dokumentet. På det sättet förhindras att informationen kommer i fel händer.
Tekniken är integrerad i Officepaketet men även i SharePoint och Exchange, vilket ger möjlighet att dels automatisera så alla dokument som sparas på en viss SharePoint site blir RMS-skyddade med rätt säkerhetskrav och exempelvis inte är läsbar för icke anställda. Integrationen i Exchange och Outlook ger möjlighet att RMS-skydda hela mail där intern säkerhetsklassad information som går ut till anställda förhindras från att vidarebefordras, kopieras, ta printscreens eller skrivas ut. Du kan automatisera så mail och dess bifogade filer blir krypterade baserade på definierat innehåll antingen via Transport Rules eller Outlook Protection Rules.
Förutom automatiserade möjligheter kan användaren själv sätta rättigheterna till sitt dokument direkt från Office. Det kan även automatiserad från Office som baserat på innehåll antingen rekommenderar eller påtvingar en informations klassifikation och kryptering.
Om mottagaren har rätt att öppna dokumentet redovisas även behörigheterna på dokumentet.
En mottagare som har fått ett RMS-skyddat mail där man enbart tillåter att läsa informationen har ingen möjlighet att vidarebefordra eller kopiera informationen. Naturligtvis kan man inte hindra användaren att fotografera skärmen men man minskar risken för informationsspridning och det skulle i så fall vara en medveten handling om att man gjorde något otillåtet.
Förutom att verksamheten kan spåra och styra tillgång till information så kan även slutanvändaren (den som applicerar RMS skyddet) spåra och ta bort behörigheten till en RMS skyddad fil via en web portal. Mer information finns här https://itsakerhetsguiden.se/azure-rms-document-tracking-portal/
En längre dragning från TechX 2015:
Läs mer om Azure Information Protection: RMS på ITSakerhetsGuiden
Windows Information Protection
Skyddar företags data och förhindrar oavsiktligt läckage med hjälp av Windows 10
Den största hotbilden idag med det växande problem som råder med informationsläckage är inte externa hot, utan kommer internt ifrån. Av just den enkla anledningen att våra användare medvetet eller oftast omedvetet hanterar känslig information felaktigt.
RMS ser till att enbart behöriga har tillgång till informationen men skyddar inte om den som har rättigheter av misstag råkar hantera informationen felaktigt.
Inte helt ovanligt att man skickar ett e-postmeddelande till fel person, råkar få med känslig information vid en skärmdump eller helt enkelt råkar spara en fil på fel ställe.
Windows Information Protection (WIP) är en funktion i Windows 10 som kryptera vår företagsinformation som laddas ner till vår Windows 10 enhet.
Vi definierar var vi har vår företagsinformation där vi både kan peka ut interna (IPv4/IPv6) nät, interna domäner men även externa tjänster så som OneDrive for Business och SharePoint Online.
När information från utpekade källor kopieras till vår Windows 10 enhet kommer filerna (oavsett filtyp) att bli krypterade. Tekniken som används är beprövade EFS (Encrypting File System) som ser till att enbart användaren som kopierade information kan dekryptera dessa filer på just den Windows 10 enheten.
WIP-krypterade filer definieras dels med en utökning av ikonen samt ”encrypted to” fältet i Explorer som redovisar inom vilken organisation filen är krypterad.
Vi kan även definiera vilka applikationer vår organisation stödjer för den här typen av information, allt ifrån Office desktopapplikationer till tredjepartsapplikationer och nya standarden Windows-applikationer. På det sättet skyddar vi att känslig data öppnas av ett skadligt program.
Om information flyttas från en WIP-krypterad fil kan vi begränsa så den enbart kan flyttas till utpekade applikationer och antingen blockera användaren från att flytta information till övriga applikationer alternativt enbart informera användaren om att den inte bör flytta information till en okontrollerad applikation, då skyddet kommer upphöra. Det kommer då även informeras om att åtgärden övervakas, vilket då inte förhindrar något eventuellt verksamhetskritiskt men även får användaren att tänka över sitt beslut.
Applikationerna definieras med hjälp av Windows funktionen AppLocker där WIP redovisar för användaren vad som gäller.
![clip_image001[8]](https://svenskaforefront.files.wordpress.com/2016/03/clip_image003.png "clip_image001[8]")
Ovanstående redovisas för användaren när den kopierar WIP-skyddad information och försöker flytta det till en icke WIP-kontrollerad applikation
Applikationer som är definierade för WIP redovisar även motsvarande WIP ikon så fort skyddat innehåll kopieras till, eller skapas i denna applikation
Läs också om hur WIP (EDP) och AIP (RMS) samverkar i EDP+RMS=Sant
IT-Säkerhetsguiden 