Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Datenexfiltration ist ein Angriff, bei dem ein interner oder externer Akteur eine nicht autorisierte Datenübertragung vertraulicher Unternehmensressourcen durchführt. Die Exfiltration sensibler Unternehmensressourcen erfolgt häufig aufgrund eines Mangels an geeigneten Authentifizierungs- und Autorisierungskontrollen. Microsoft versucht, sich vor böswilligem Zugriff und der Exfiltration von Daten an Standorte außerhalb des vorgesehenen Organisationsbereichs zu schützen, indem eine Reihe von Kontrollmechanismen verwendet wird, um mehrere Risikoszenarien zu beheben. Auf diese Weise unterstützt Microsoft den Defense-in-Depth-Status seiner Kunden und verringert die Gefahr der Datenexfiltration.
Dieser Artikel bietet einen detaillierten Einblick in den ganzheitlichen Ansatz, den Microsoft für den Schutz vor Datenexfiltration im Namen seiner Kunden verfolgt. Es zeigt, wie die Microsoft-Suite mit kontrollmindernden Steuerelementen schädliches Verhalten erkennt und verhindert, den Zugriff zwischen Mandanten verwaltet und vor Wiederholungsangriffen schützt.
Microsoft Defender for Cloud Apps
Aktionen, die die Sicherheit von Kundendaten gefährden würden, müssen erkannt und verhindert werden. Mitarbeiter können beispielsweise eine nicht genehmigte Cloudanwendung verwenden, um vertrauliche Unternehmensdaten zu speichern oder eine große Anzahl vertraulicher Dateien zur Exfiltration herunterzuladen. Diese Aktionen können durch Microsoft Defender for Cloud Apps verhindert werden.
Microsoft Defender for Cloud Apps ist ein Cloud Access Security Broker (CASB). CASBs steuern den Zugriff zwischen Unternehmensbenutzern und den von ihnen verwendeten Cloudressourcen in Echtzeit, unabhängig vom verwendeten Gerät und unabhängig vom verwendeten Gerät. Microsoft Defender for Cloud Apps verhindert böswillige Aktivitäten in allen Clouddiensten von Microsoft und Drittanbietern, indem die Verwendung von Schatten-IT und Apps ermittelt und sichtbar wird, Benutzeraktivitäten auf anormales Verhalten überwacht werden, der Zugriff auf Ressourcen kontrolliert wird, die Möglichkeit bietet, vertrauliche Informationslecks zu klassifizieren und zu verhindern und die Compliance von Clouddiensten zu bewerten. Microsoft Defender for Cloud Apps unterstützt verschiedene Bereitstellungsmodi, einschließlich Protokollsammlung, API-Connectors und Reverseproxy. Dieses CASB-Angebot ermöglicht Es Organisationen, die Verwendung von angegebenen Cloudanwendungen zu sanktionieren und zu blockieren und schädliche Dateidownloads mithilfe der App-Steuerung für bedingten Zugriff zu blockieren.
Microsoft Defender for Cloud Apps App-Steuerung für bedingten Zugriff (Conditional Access App Control, CAAC) verwendet eine Reverseproxyarchitektur, um die Tools bereitzustellen, die für die Echtzeitsichtbarkeit und Kontrolle über den Zugriff auf und aktivitäten in einer Cloudumgebung erforderlich sind. CAAC kann für Folgendes verwendet werden:
Vermeiden von Datenlecks durch Blockieren von Downloads
Legen Sie Regeln fest, die erzwingen, dass in der Cloud gespeicherte Daten durch Verschlüsselung geschützt werden.
Hervorheben von nicht geschützten Endpunkten, damit Organisationen überwachen können, was auf nicht verwalteten Geräten ausgeführt wird
Zugriff von Nicht-Unternehmensnetzwerken oder riskanten IP-Adressen steuern.
Werten Sie Richtlinien für bedingten Zugriff neu aus, wenn eine vertrauliche Aktion in der Sitzung auftritt. Ermöglicht beispielsweise das Herunterladen einer streng vertraulichen Datei, um eine mehrstufige Authentifizierung zu erfordern.
Fortlaufende Zugriffsevaluierung
Riskantes Benutzerverhalten, das der Datenexfiltration vorausgeht, kann auch durch continuous Access Evaluation (CAE ) erkannt und verhindert werden. CAE erzwingt Zugriffsrichtlinien nahezu in Echtzeit basierend auf Signalen von Benutzern, Sitzungen und Geräten und kann Sitzungen widerrufen, wenn ein Risiko besteht. Zum Beispiel:
Wenn ein Benutzer beendet wurde und sein Zugriff auf Unternehmensressourcen sofort widerrufen werden muss.
Wenn sich ein Benutzer innerhalb der Unternehmensgrenze authentifiziert, nur um über die Straße zu einem Café zu gehen, um eine Verbindung mit dem riskanten Netzwerk herzustellen, während er weiterhin bei Cloudressourcen authentifiziert wird, die vertrauliche Daten enthalten.
Wenn ein Benutzerkonto gelöscht oder deaktiviert wird.
Wenn das Kennwort für einen Benutzer geändert oder zurückgesetzt wird.
Wenn der Administrator explizit alle Aktualisierungstoken für den Benutzer widerruft.
Wenn ein hohes Benutzerrisiko durch Microsoft Entra ID Protection erkannt wird (Geräteverknährung, unmöglicher Reiseverkehr usw.)
CAE kann auch verwendet werden, um den Tokenexport zu verhindern, ein häufiges Risiko der Datenexfiltration. Token, z. B. Zugriffstoken, werden einem autorisierten Benutzer bereitgestellt, wenn eine Sitzung initiiert wird. Mithilfe von Entwicklertools können diese Token außerhalb des internen Netzwerks an externe Benutzer exportiert werden, die das Token dann an einen Microsoft 365-Dienst bereitstellen, Microsoft Entra ID umgehen und Zugriff auf diese Ressource und die darin enthaltenen Daten erhalten. CAE verhindert den Tokenexport, indem der Zugriff auf Unternehmensressourcen auf vertrauenswürdige IP-Adressen und Always-On-VPN beschränkt wird. In einem Tokenexportszenario würde cae die Zugriffsanforderung von einem nicht autorisierten Speicherort erkennen und den Zugriff auf die Ressource widerrufen, um die Datenexfiltration zu verhindern.
Verringern des Risikos eines nicht autorisierten Mandantenzugriffs
Microsoft ist sich bewusst, dass ein wichtiger Bestandteil des Geschäfts die Zusammenarbeit und Kommunikation mit anderen Unternehmen ist. Zusammenarbeit und Gastzugriff bergen eigene Risiken. Mitarbeiter können eingeladen werden, ihre Heimidentitäten zu verwenden, um Gäste in einem anderen Mandanten zu werden oder Gäste von einem anderen Mandanten in einen eigenen einzuladen. Mitarbeiter können auch versuchen, die Unternehmenskonten eines anderen Mandanten zu verwenden, um aus ihrem Netzwerk auf diesen Mandanten zuzugreifen, wodurch ein Exfiltrationskanal erstellt wird. Böswillige oder nachlässige Benutzer können auch ihre persönlichen Microsoft-Ressourcen zum Speichern vertraulicher Unternehmensdaten (z. B. Outlook, persönliches OneDrive) verwenden. Aus diesem Grund setzt Microsoft Mandanteneinschränkungen v2 (TRv2) ein. TRv2 ist eine cloudrichtlinienbasierte Autorisierungssteuerungsebene, die die Kontrolle über den Mitarbeiterzugriff auf externe Mandanten ermöglicht. Mit TRv2 können Benutzer auf organisationsseitig verwalteten Geräten oder Geräten innerhalb des Unternehmensnetzwerks am Zugriff auf nicht genehmigte ausländische Mandanten gehindert werden. Mandantenübergreifende Zugriffsrichtlinien (Cross-Tenant Access Policies, XTAP) ermöglichen darüber hinaus die Kontrolle darüber, wie Sie innerhalb der Mandanten anderer organization zusammenarbeiten (ausgehend) und wie andere Organisationen innerhalb Ihrer eigenen organization (eingehend) zusammenarbeiten. Mit XTAP können Benutzer nur in explizit genehmigten Mandanten zu Gästen werden.
TRv2 kann auch verwendet werden, um den Tokenimport zu verhindern. Der Tokenimport erfolgt, wenn sich ein Benutzer außerhalb des Unternehmensnetzwerks bei einem nicht genehmigten externen Mandanten anmeldet, und sein Token dann an einen Zugeordneten innerhalb des Unternehmensnetzwerks gesendet wird. Der Benutzer innerhalb des Unternehmensnetzwerks versucht dann, das Zugriffstoken zu verwenden, um sich zum Zwecke der Datenexfiltration bei einem nicht genehmigten Mandanten anzumelden. TRv2 verhindert den Tokenimport, indem der interne Benutzer daran gehindert wird, auf nicht zugelassene ausländische Mandanten zuzugreifen. In diesem Szenario kann sich der Benutzer aufgrund von TRv2 nicht mit dem Token beim externen Mandanten authentifizieren.