Prevenzione della perdita di dati tramite la ricezione di classificazioni inappropriate per la conformità del governo australiano al PSPF
Questo articolo fornisce indicazioni per le organizzazioni governative australiane sulle configurazioni per ridurre il rischio di perdita di dati monitorando e impedendo che gli elementi con classificazioni inappropriate vengano ricevuti dai servizi di Microsoft 365. Lo scopo è aiutare le organizzazioni a migliorare il comportamento di sicurezza delle informazioni. I consigli in questo articolo sono allineati ai requisiti descritti in Protective Security Policy Framework (PSPF) e Information Security Manual (ISM).
Le organizzazioni governative devono garantire che le informazioni altamente sensibili siano protette dal passaggio in ambienti con sensibilità inferiore. Sono incluse informazioni con classificazioni applicate superiori a quelle consentite dall'organizzazione e informazioni non appropriate per l'uso all'interno degli ambienti cloud di Microsoft 365 (ad esempio, informazioni SECRET e TOP SECRET).
Blocco della trasmissione di messaggi di posta elettronica etichettati in modo inappropriato
ISM-0565 impone misure per la protezione dalle perdite di dati tramite posta elettronica:
| Requisito | Dettagli |
|---|---|
| ISM-0565 (giugno 2024) | Email server sono configurati per bloccare, registrare e segnalare messaggi di posta elettronica con contrassegni di protezione inappropriati. |
Oltre a ISM-0565, i controlli in questa guida sono allineati con Protective Security Policy Framework (PSPF). All'interno di Microsoft 365, le classificazioni di sicurezza sono allineate ai controlli di sicurezza ISM (Information Security Manual) e PSPF usando etichette di riservatezza. Gli elementi devono avere etichette di riservatezza in Enti pubblici, perché i controlli di sicurezza e la gestione prescritti sono associati all'elemento.
Le distribuzioni di Microsoft Purview per le organizzazioni governative australiane sono in genere configurazioni associate che richiedono l'applicazione di etichette a tutti gli elementi. Questa configurazione di etichettatura obbligatoria consente alle organizzazioni di soddisfare il requisito 1 del criterio PSPF 8, come quando viene creato un elemento, viene applicata un'etichetta. L'applicazione di etichette a tutti gli elementi garantisce la protezione appropriata e riduce il rischio di compromissione.
I criteri di prevenzione della perdita dei dati (DLP) sono configurati per entrambi:
- Impedire lo spillage dei dati impedendo la trasmissione, la ricezione e l'ulteriore distribuzione di elementi di una classificazione superiore a quella consentita nell'ambiente (definiti in questo articolo come classificazioni non consentite); e
- Impedire la trasmissione di messaggi di posta elettronica senza etichetta, che non sono stati valutati per la riservatezza o che possono indicare un tentativo di ignorare i controlli di sicurezza.
Blocco della trasmissione di classificazioni non consentite
Per bloccare la ricezione e/o l'ulteriore trasmissione di elementi classificati e di elementi che non dovrebbero esistere nella piattaforma, devono essere prima stabiliti i metodi di identificazione di tali informazioni. Tali metodi includono:
- Valutazione dei contrassegni dell'oggetto e delle intestazioni x-protective-marking x-email per determinare la classificazione applicata agli elementi in ingresso.
- L'uso di un tipo di informazioni riservate (SIT) (come illustrato nell'identificazione delle informazioni sensibili) per identificare le informazioni che non dovrebbero esistere nella piattaforma. Questi SIT includono identificatori di parole chiave come 'SEC=SECRET' e 'SEC=TOP-SECRET' e altre parole chiave per enti pubblici presenti in elementi altamente sensibili.
- L'uso di etichette di riservatezza non pubblicate in combinazione con l'etichettatura automatica come metodo per identificare gli elementi che non dovrebbero esistere nella piattaforma. Per altre informazioni, vedere etichette per informazioni che superano il livello PROTECTED.
Per bloccare la propagazione di classificazioni non consentite, viene usato un set di criteri di prevenzione della perdita dei dati. Poiché le condizioni dei criteri disponibili dipendono dai servizi usati dall'organizzazione, sono necessari diversi criteri per coprire tutti i canali di comunicazione disponibili. I criteri che indirizzano il servizio Exchange sono un punto di partenza consigliato per la maggior parte delle organizzazioni.
I criteri DLP contengono una o più regole, che userebbero condizioni quali:
- Contenuto contenente, tipo di informazioni riservate, Parole chiave segrete SIT, OR
- Contenuto contenente, etichetta di riservatezza, SEGRETO, OR
-
Intestazione corrisponde a pattern,
X-Protective-Marking : SEC=SECRET, OR -
Modello di corrispondenza del soggetto,
\[SEC=SECRET
Le regole devono avere un'azione di blocco per tutti, disponibile in limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365 .
ISM-0133 è rilevante per la prevenzione della perdita dei dati per la segnalazione di azioni:
| Requisito | Dettagli |
|---|---|
| ISM-0133 (giugno 2024) | Quando si verifica una perdita di dati, vengono consigliati i proprietari dei dati e l'accesso ai dati è limitato. |
Le azioni di avviso sono importanti per impedire ulteriori perdite di dati e per accelerare le attività di pulizia. È possibile configurare più azioni in una singola regola DLP. Team di sicurezza dell'organizzazione per determinare le azioni di avviso appropriate. Le opzioni disponibili tramite l'interfaccia DLP vengono estese tramite le soluzioni Power Automate e Security Information and Event Management (SIEM), ad esempio Sentinel.
Di seguito è riportato un esempio di regola DLP completata per identificare e arrestare la distribuzione di elementi SECRET in Exchange:
Nome criterio: EXO - Bloccare le classificazioni non consentite
| Nome regola | Condizioni | Azione |
|---|---|---|
| Blocca elementi SECRET | Contenuto contiene, Tipo di informazioni sensibili: Secret Keywords custom SIT contenente termini che potrebbero essere allineati a una classificazione SECRET. OPPURE L'intestazione corrisponde ai modelli: X-Protective-Marking : SEC=SECRET OPPURE Il soggetto corrisponde ai modelli: \[SEC=SECRET OPPURE Il contenuto contiene l'etichetta di riservatezza: SEGRETO |
Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365: - Impedire agli utenti di ricevere messaggi di posta elettronica - Blocca tutti Configurare la gravità e gli avvisi degli eventi imprevisti appropriati. |
La logica applicata nella regola precedente può essere usata per creare più criteri DLP per bloccare la distribuzione di classificazioni non consentite tra altri servizi, tra cui:
- SharePoint
- OneDrive
- Messaggi di chat e canale di Teams (esclusa la condizione dell'etichetta di riservatezza)
- Dispositivi tramite DLP EndPoint (incluse reti non consentite, USB, posizioni e così via)
- Caricare nei servizi cloud tramite Defender for Cloud Apps
- Repository di file locali
Blocco della trasmissione di messaggi di posta elettronica senza etichetta
Per bloccare la trasmissione di messaggi di posta elettronica senza etichetta, è possibile configurare un criterio di prevenzione della perdita dei dati in base al modello di criteri personalizzato e applicare al servizio Exchange.
Per bloccare la trasmissione di criteri di posta elettronica senza etichetta sono necessarie due regole:
- La prima regola per gli elementi in uscita tramite il contenuto condiviso da Microsoft 365, con persone esterne alla condizione dell'organizzazione .
- Una seconda regola che si applica al contenuto condiviso da Microsoft 365, solo con persone all'interno dell'organizzazione.
Le regole richiedono un'eccezione, che viene applicata tramite un gruppo di condizioni con l'operando NOT abilitato. Il gruppo di condizioni include una condizione di contenuto contenente, etichette di riservatezza e tutte le etichette disponibili nell'ambiente selezionato.
I servizi che generano messaggi di posta elettronica non sono inclusi nella configurazione di etichettatura obbligatoria che si applica ai client Microsoft 365 Apps. Di conseguenza, questo criterio DLP viene attivato ogni volta che viene inviato un messaggio di posta elettronica generato da utenti non utente. Si attiva contro gli avvisi di sicurezza generati dai servizi Microsoft, la posta elettronica da scanner e dispositivi multifunzionale (MMFD) e la posta elettronica da applicazioni come le risorse umane o i sistemi di retribuzioni. Per assicurarsi che i criteri non blocchino i processi aziendali essenziali, è necessario includere eccezioni nel gruppo NOT. Ad esempio:
- Oil dominio mittente èmicrosoft.com, che acquisisce la sicurezza e gli avvisi di SharePoint.
- ORsender è un membro del gruppo, con un gruppo contenente account autorizzati a ignorare questo requisito.
- OPPUREl'indirizzo IP del mittente è, insieme agli indirizzi degli MMF di office.
La regola viene attivata ogni volta che viene inviato un messaggio di posta elettronica che non contiene una delle etichette di riservatezza elencate, a meno che il mittente non sia esente tramite una delle eccezioni configurate.
Queste regole DLP devono avere un'azione di blocco per tutti insieme alle azioni di gravità e segnalazione appropriate.
Il requisito di avviso seguente è rilevante per la regola DLP applicata agli elementi in uscita:
| Requisito | Dettagli |
|---|---|
| ISM-1023 (giugno 2024) | I destinatari previsti dei messaggi di posta elettronica in ingresso bloccati e i mittenti dei messaggi di posta elettronica in uscita bloccati ricevono una notifica. |
Per soddisfare questo requisito, la regola DLP applicata agli elementi in uscita è configurata per notificare all'utente che ha tentato di inviare l'elemento.
Consiglio
Le organizzazioni governative che stanno passando all'etichettatura di riservatezza possono scegliere di configurare un suggerimento per i criteri anziché azioni di blocco o avviso. Tali criteri possono essere usati per suggerire la selezione delle etichette senza configurarla come requisito difficile. Anche se questo non soddisfa rigorosamente i requisiti di ISM, può consentire una distribuzione più normale delle funzionalità di Microsoft Purview per gli utenti.
Esempio di criteri DLP che bloccano la posta elettronica senza etichetta
I criteri DLP seguenti si applicano al servizio Exchange e impediscono la perdita di informazioni tramite posta elettronica senza etichetta:
Nome criterio: EXO - Bloccare la posta elettronica senza etichetta
| Regola | Condizioni | Azione |
|---|---|---|
| Bloccare i messaggi di posta elettronica non etichettati in uscita | Il contenuto viene condiviso da Microsoft 365 , con persone esterne all'organizzazione E Gruppo di condizioni NOT Il contenuto contiene etichette di riservatezza: - Selezionare tutte le etichette O Il dominio del mittente è: - microsoft.com - includere altre eccezioni |
Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365: - Impedire agli utenti di ricevere messaggi di posta elettronica - Blocca tutti |