Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'esfiltrazione dei dati è un attacco in base al quale un attore interno o esterno completa un trasferimento di dati non autorizzato di risorse aziendali sensibili. L'esfiltrazione di risorse aziendali sensibili viene spesso eseguita a causa della mancanza di controlli di autenticazione e autorizzazione appropriati. Microsoft cerca di proteggersi dall'accesso dannoso e dall'esfiltrazione dei dati in posizioni esterne all'ambito aziendale previsto usando una suite di controlli mitiganti per affrontare più scenari di rischio. In questo modo, Microsoft supporta il comportamento di difesa in profondità dei clienti e riduce la minaccia dell'esfiltrazione dei dati.
Questo articolo fornisce un'analisi approfondita dell'approccio olistico adottato da Microsoft per la protezione dell'esfiltrazione dei dati per conto dei clienti. Mostra in che modo la suite microsoft di controlli di mitigazione rileva e impedisce comportamenti dannosi, gestisce l'accesso tra tenant e protegge dagli attacchi di riproduzione.
Microsoft Defender for Cloud Apps
Le azioni che compromettono la sicurezza dei dati dei clienti devono essere rilevate e impedite. Ad esempio, i dipendenti possono usare un'applicazione cloud non approvata per archiviare dati aziendali sensibili o scaricare un numero elevato di file sensibili per l'esfiltrazione. Queste azioni possono essere impedite da Microsoft Defender for Cloud Apps.
Microsoft Defender for Cloud Apps è un cloud access security broker (CASB). I CASB controllano l'accesso in tempo reale tra gli utenti aziendali e le risorse cloud usate, ovunque si trovino gli utenti e indipendentemente dal dispositivo in uso. Microsoft Defender for Cloud Apps impedisce attività dannose in tutti i servizi cloud Microsoft e di terze parti individuando e fornendo visibilità sull'uso shadow di IT e app, monitorando le attività degli utenti per rilevare comportamenti anomali, controllando l'accesso alle risorse, offrendo la possibilità di classificare e prevenire perdite di informazioni sensibili e valutando la conformità dei servizi cloud. Microsoft Defender for Cloud Apps supporta varie modalità di distribuzione, tra cui raccolta di log, connettori API e proxy inverso. Questa offerta CASB consente alle organizzazioni di approvare e bloccare l'uso di applicazioni cloud specificate e di bloccare i download di file dannosi usando il controllo app per l'accesso condizionale.
Microsoft Defender for Cloud Apps Controllo app per l'accesso condizionale (CAAC) usa l'architettura del proxy inverso per fornire gli strumenti necessari per la visibilità e il controllo in tempo reale sull'accesso e sulle attività eseguite all'interno di un ambiente cloud. CAAC può essere usato per:
Evitare perdite di dati bloccando i download
Impostare regole che forzano la protezione dei dati archiviati nel cloud con la crittografia.
Evidenziare gli endpoint non protetti in modo che le organizzazioni possano monitorare le operazioni eseguite nei dispositivi non gestiti
Controllare l'accesso da reti non aziendali o indirizzi IP rischiosi.
Rivalutare i criteri di accesso condizionale quando si verifica un'azione sensibile nella sessione. Consentendo, ad esempio, il download di un file altamente riservato per richiedere l'autenticazione a più fattori.
Valutazione dell'accesso continuo
Anche il comportamento utente rischioso che precede l'esfiltrazione dei dati può essere rilevato e impedito, tramite la valutazione dell'accesso continuo (CAE). CAE funziona per applicare i criteri di accesso quasi in tempo reale in base ai segnali provenienti da utenti, sessioni e dispositivi e può revocare le sessioni quando è presente un rischio. Ad esempio:
Quando un utente è stato terminato e l'accesso alle risorse aziendali deve essere revocato immediatamente.
Quando un utente esegue l'autenticazione all'interno del limite aziendale, solo per passare dall'altra parte della strada a una caffetteria, connettendosi alla rete più rischiosa mentre viene ancora autenticata in risorse cloud contenenti dati sensibili.
Quando un account utente viene eliminato o disabilitato.
Quando la password per un utente viene modificata o reimpostata.
Quando l'amministratore revoca in modo esplicito tutti i token di aggiornamento per l'utente.
Quando viene rilevato un rischio utente elevato da Microsoft Entra ID Protection (non conformità del dispositivo, viaggio impossibile e così via)
È anche possibile usare cae per impedire l'esportazione di token, un rischio comune di esfiltrazione dei dati. I token, ad esempio i token di accesso, vengono forniti a un utente autorizzato quando viene avviata una sessione. Usando gli strumenti di sviluppo, questi token possono essere esportati all'esterno della rete interna a utenti esterni che quindi forniscono il token a un servizio Microsoft 365, aggirando Microsoft Entra ID e ottenendo l'accesso a tale risorsa e ai dati all'interno. CAE impedisce l'esportazione di token limitando l'accesso alle risorse aziendali agli indirizzi IP attendibili e alla VPN sempre attiva. In uno scenario di esportazione di token, CAE rileva la richiesta di accesso proveniente da una posizione non autorizzata e revoca l'accesso alla risorsa, impedendo l'esfiltrazione dei dati.
Mitigazione del rischio di accesso non autorizzato al tenant
Microsoft è consapevole del fatto che una parte fondamentale del business riguarda la collaborazione e la comunicazione con altre aziende. La collaborazione e l'accesso guest comportano i propri rischi intrinseci. I dipendenti possono essere invitati a usare le identità di casa per diventare guest in un altro tenant o invitare guest da un altro tenant nel proprio. I dipendenti potrebbero anche tentare di usare gli account aziendali di un altro tenant per accedere a tale tenant dall'interno della rete, creando un canale di esfiltrazione. Gli utenti malintenzionati o negligenti possono anche usare le proprie risorse Microsoft personali per l'archiviazione di dati aziendali sensibili (ad esempio, Outlook, OneDrive personale). Questo è il motivo per cui Microsoft usa restrizioni del tenant v2 (TRv2). TRv2 è un piano di controllo delle autorizzazioni basato su criteri cloud che consente il controllo sull'accesso dei dipendenti ai tenant esterni. Con TRv2, agli utenti di dispositivi gestiti dall'organizzazione o dispositivi all'interno della rete aziendale può essere impedito di accedere a tenant stranieri non autorizzati. I criteri di accesso tra tenant (XTAP) consentono di controllare ulteriormente la collaborazione all'interno dei tenant di altre organizzazioni (in uscita) e il modo in cui altre organizzazioni collaborano all'interno della propria organizzazione (in ingresso). Usando XTAP, gli utenti possono diventare guest solo in tenant approvati in modo esplicito.
TRv2 può essere usato anche per impedire l'importazione di token. L'importazione di token avviene quando un utente accede a un tenant esterno non approvato dall'esterno della rete aziendale, quindi il token viene inviato a un associato all'interno della rete aziendale. L'utente all'interno della rete aziendale tenta quindi di usare il token di accesso per accedere a un tenant non approvato ai fini dell'esfiltrazione dei dati. TRv2 impedisce l'importazione di token bloccando l'accesso dell'utente interno ai tenant esterni non consentiti. In questo scenario, l'utente non sarebbe in grado di eseguire l'autenticazione al tenant esterno con il token a causa di TRv2.