Prevención del derrame de datos mediante la recepción de clasificaciones inadecuadas para el cumplimiento del gobierno australiano con PSPF
En este artículo se proporcionan instrucciones para las organizaciones gubernamentales australianas sobre las configuraciones para reducir el riesgo de derrame de datos mediante la supervisión y la prevención de que los servicios de Microsoft 365 reciban elementos con clasificaciones inapropiadas. Su propósito es ayudar a las organizaciones a mejorar su posición de seguridad de la información. Los consejos de este artículo se alinean con los requisitos descritos en el Marco de directivas de seguridad de protección (PSPF) y el Manual de seguridad de la información (ISM).
Las organizaciones gubernamentales deben asegurarse de que la información altamente confidencial está protegida frente a que se pase a entornos de menor confidencialidad. Esto incluye información con clasificaciones aplicadas que son superiores a las permitidas por la organización e información inapropiada para su uso en entornos de nube de Microsoft 365 (por ejemplo, información SECRET y TOP SECRET).
Bloqueo de la transmisión de correo electrónico etiquetado inapropiadamente
ISM-0565 exige medidas para protegerse de los derrames de datos por correo electrónico:
| Requisito | Detalles |
|---|---|
| ISM-0565 (junio de 2024) | Email servidores están configurados para bloquear, registrar e informar de correos electrónicos con marcas de protección inapropiadas. |
Además de ISM-0565, los controles de esta guía se alinean con el Marco de directivas de seguridad de protección (PSPF). En Microsoft 365, las clasificaciones de seguridad se alinean con los controles de seguridad ISM (Manual de seguridad de la información) y PSPF mediante etiquetas de confidencialidad. Los elementos deben tener etiquetas de confidencialidad en Government, ya que los controles de seguridad y la administración prescritos están asociados con el elemento.
Las implementaciones de Microsoft Purview para organizaciones gubernamentales australianas suelen ser configuraciones emparejadas que requieren la aplicación de etiquetas en todos los elementos. Esta configuración de etiquetado obligatoria permite a las organizaciones cumplir con el requisito 8 de la directiva 1 de PSPF, ya que cuando se crea un elemento, se le aplica una etiqueta. Tener etiquetas aplicadas a todos los elementos garantiza que reciban la protección adecuada y reduce el riesgo de peligro.
Las directivas de prevención de pérdida de datos (DLP) están configuradas para:
- Evitar el derrame de datos evitando la transmisión, recepción y distribución adicional de elementos de una clasificación superior a la permitida en el entorno (a la que se hace referencia en este artículo como clasificaciones no emitidas); y
- Impedir la transmisión de correos electrónicos sin etiquetar, que no se han evaluado por confidencialidad o que pueden indicar un intento de omitir los controles de seguridad.
Bloqueo de la transmisión de clasificaciones no emitidas
Para bloquear la recepción o transmisión adicional de elementos clasificados y elementos que no deben existir en la plataforma, primero deben establecerse métodos de identificación de dicha información. Estos métodos incluyen:
- La evaluación de los marcadores de asunto y los encabezados X de marcado x de marcado de protección por correo electrónico para determinar la clasificación que se aplica a los elementos entrantes.
- El uso de un tipo de información confidencial (SIT) (como se describe en la identificación de información confidencial) para identificar información que no debe existir en la plataforma. Estos SIT incluyen identificadores de palabras clave como "SEC=SECRET" y "SEC=TOP-SECRET" y otras palabras clave gubernamentales que existen en elementos altamente confidenciales.
- El uso de etiquetas de confidencialidad no publicadas en combinación con el etiquetado automático como método para identificar elementos que no deben existir en la plataforma. Para obtener más información, consulte etiquetas para obtener información que supere el nivel PROTEGIDO.
Para bloquear el desbordamiento de clasificaciones no emitidas, se usa un conjunto de directivas DLP. Dado que las condiciones de directiva disponibles dependen de los servicios utilizados por la organización, se requieren varias directivas para cubrir todos los canales de comunicación disponibles. Las directivas que abordan el servicio Exchange son un punto de partida recomendado para la mayoría de las organizaciones.
Las directivas DLP contienen una o varias reglas, que harían uso de condiciones como:
- El contenido contiene, tipo de información confidencial, palabras clave secretas SIT, OR
- Contenido que contiene, etiqueta de confidencialidad, SECRET, OR
-
El encabezado coincide con el patrón ,
X-Protective-Marking : SEC=SECRET, OR -
El asunto coincide con el patrón,
\[SEC=SECRET
Las reglas deben tener una acción de bloquear a todos, que está disponible en la opción restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365 .
ISM-0133 es dlp relevante para las acciones de informes:
| Requisito | Detalles |
|---|---|
| ISM-0133 (junio de 2024) | Cuando se produce un derrame de datos, se recomienda a los propietarios de datos y se restringe el acceso a los datos. |
Las acciones de alerta son importantes para evitar cualquier otro derrame de datos y para acelerar las actividades de limpieza. Se pueden configurar varias acciones en una sola regla DLP. Equipos de seguridad de la organización para determinar las acciones de alerta adecuadas. Las opciones disponibles a través de la interfaz DLP se amplían a través de Power Automate y soluciones de administración de eventos e información de seguridad (SIEM), como Sentinel.
A continuación se muestra un ejemplo de una regla DLP completada para identificar y detener la distribución de elementos SECRET en Exchange:
Nombre de directiva: EXO: bloquear clasificaciones no emitidas
| Nombre de regla | Condiciones | Acción |
|---|---|---|
| Bloquear elementos SECRET | El contenido contiene, tipo de información confidencial: Sit personalizado de palabras clave secretas que contiene términos que probablemente se alinean con una clasificación SECRET. OR El encabezado coincide con los patrones: X-Protective-Marking : SEC=SECRET OR El asunto coincide con los patrones: \[SEC=SECRET OR El contenido contiene la etiqueta de confidencialidad: SECRETO |
Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365: - Impedir que los usuarios reciban correo electrónico - Bloquear a todos Configure la gravedad y las alertas de incidentes adecuadas. |
La lógica aplicada en la regla anterior se puede usar para crear más directivas DLP para bloquear la distribución de clasificaciones no emitidas entre otros servicios, como:
- SharePoint
- OneDrive
- Mensajes de chat y canal de Teams (excepto la condición de etiqueta de confidencialidad)
- Dispositivos a través de EndPoint DLP (incluidas redes no emitidas, USB, ubicaciones, etc.)
- Carga en servicios en la nube a través de Defender for Cloud Apps
- Repositorios de archivos locales
Bloqueo de la transmisión de correo electrónico sin etiquetar
Para bloquear la transmisión de correo electrónico sin etiquetar, se puede configurar una directiva DLP en función de la plantilla de directiva personalizada y aplicarla al servicio Exchange.
Una transmisión de bloqueo de la directiva de correo electrónico sin etiquetar requiere dos reglas:
- La primera regla para los elementos salientes a través del contenido que se comparte desde Microsoft 365, con personas fuera de la condición de mi organización .
- Una segunda regla que se aplica al contenido que se comparte desde Microsoft 365, solo con personas de mi organización.
Las reglas necesitan una excepción, que se aplica a través de un grupo de condiciones con el operando NOT habilitado. El grupo de condiciones incluye una condición de contenido que contieneetiquetas de confidencialidad y tiene todas las etiquetas disponibles en el entorno seleccionado.
Los servicios que generan correo electrónico están fuera de la configuración de etiquetado obligatorio que se aplica a Aplicaciones Microsoft 365 clientes. Por lo tanto, esta directiva DLP se desencadena cada vez que se envía correo electrónico no generado por el usuario. Se desencadena contra las alertas de seguridad generadas por los servicios de Microsoft, el correo electrónico de escáneres y dispositivos multifunción (MFP) y el correo electrónico de aplicaciones como recursos humanos o sistemas de nómina. Para asegurarse de que la directiva no bloquea los procesos empresariales esenciales, las excepciones deben incluirse en el grupo NOT. Por ejemplo:
- Eldominio de remitente OR esmicrosoft.com, que captura las alertas de seguridad y SharePoint.
- El remitente ORes miembro del grupo, con un grupo que contiene cuentas autorizadas para omitir este requisito.
- Ladirección IP del remitente OR es, junto con las direcciones de los MFP de la oficina.
La regla se desencadena cada vez que se envía un correo electrónico que no contiene una de las etiquetas de confidencialidad enumeradas a menos que el remitente esté exento a través de una de las excepciones configuradas.
Estas reglas DLP deben tener una acción de bloquear a todos junto con la gravedad adecuada y las acciones de informes.
El siguiente requisito de alerta es relevante para la regla DLP que se aplica a los elementos salientes:
| Requisito | Detalles |
|---|---|
| ISM-1023 (junio de 2024) | Se notifica a los destinatarios previstos de los correos electrónicos entrantes bloqueados y a los remitentes de los correos electrónicos salientes bloqueados. |
Para cumplir este requisito, la regla DLP que se aplica a los elementos salientes está configurada para notificar al usuario que intentó enviar el elemento.
Sugerencia
Las organizaciones gubernamentales que realizan la transición al etiquetado de confidencialidad pueden optar por configurar una sugerencia de directiva en lugar de bloquear o alertar acciones. Estas directivas se pueden usar para sugerir la selección de etiquetas sin configurarla como un requisito obligatorio. Aunque esto no cumple estrictamente el requisito del ISM, puede permitir una implementación más correcta de las funcionalidades de Microsoft Purview para los usuarios.
Ejemplo de directiva DLP que bloquea el correo electrónico sin etiquetar
La siguiente directiva DLP se aplica al servicio Exchange y evita la pérdida de información por correo electrónico sin etiquetar:
Nombre de directiva: EXO: bloquear el correo electrónico sin etiquetar
| Rule | Condiciones | Acción |
|---|---|---|
| Bloquear el correo electrónico saliente sin etiquetar | El contenido se comparte desde Microsoft 365, con personas ajenas a mi organización AND Grupo de condiciones NOT El contenido contiene etiquetas de confidencialidad: - Seleccionar todas las etiquetas O El dominio del remitente es: - microsoft.com - incluir otras excepciones |
Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365: - Impedir que los usuarios reciban correo electrónico - Bloquear a todos |