Impedir o derrame de dados através da receção de classificações inadequadas para conformidade do Governo australiano com o PSPF
Este artigo fornece orientações para organizações do Governo australiano sobre configurações para reduzir o risco de transposição de dados ao monitorizar e impedir que itens com classificações inadequadas sejam recebidos pelos serviços do Microsoft 365. O seu objetivo é ajudar as organizações a melhorar a sua postura de segurança de informações. Os conselhos neste artigo estão alinhados com os requisitos descritos no PSPF (Protection Security Policy Framework) e no Manual de Segurança de Informações (ISM).
As organizações governamentais são obrigadas a garantir que as informações altamente confidenciais estão protegidas contra a passagem para ambientes de menor confidencialidade. Isto inclui informações com classificações aplicadas que são superiores às permitidas pela organização e informações inadequadas para utilização em ambientes na cloud do Microsoft 365 (por exemplo, informações SECRETAS e ULTRA-SECRETAs).
A bloquear a transmissão de e-mails etiquetados de forma inadequada
O ISM-0565 determina medidas para proteger contra derrames de dados por e-mail:
| Requisito | Detalhe |
|---|---|
| ISM-0565 (junho de 2024) | Email servidores estão configurados para bloquear, registar e comunicar e-mails com marcas de proteção inadequadas. |
Além do ISM-0565, os controlos neste guia alinham-se com o PSPF ( Protection Security Policy Framework ). No Microsoft 365, as classificações de segurança estão alinhadas com os controlos de segurança ISM (Information Security Manual) e PSPF com etiquetas de confidencialidade. Os itens têm de ter etiquetas de confidencialidade no Governo, uma vez que os controlos de segurança e a gestão prescritos estão associados ao item.
As implementações do Microsoft Purview para organizações do Governo Australiano são normalmente configurações emparelhadas que requerem aplicação de etiquetas para todos os itens. Esta configuração de etiquetagem obrigatória permite que as organizações cumpram o requisito 1 da Política PSPF 8 como quando um item é criado, uma etiqueta é aplicada à mesma. Ter etiquetas aplicadas a todos os itens garante que recebem proteção adequada e reduz o risco de comprometimento.
As políticas de Prevenção de Perda de Dados (DLP) estão configuradas para ambas:
- Impedir a transposição de dados ao impedir a transmissão, a receção e a distribuição adicional de itens de uma classificação superior à permitida no ambiente (referido neste artigo como classificações não autorizadas); e
- Impeça a transmissão de e-mails não etiquetados, que não tenham sido avaliados quanto a sensibilidade ou que possam indicar uma tentativa de ignorar os controlos de segurança.
A bloquear a transmissão de classificações não autorizadas
Para bloquear o recibo e/ou transmissão adicional de itens classificados e itens que não devem existir na plataforma, os métodos de identificação dessas informações têm primeiro de ser estabelecidos. Estes métodos incluem:
- A avaliação de marcas de assunto e e-mail x-protective-marking x-headers para determinar a classificação que é aplicada aos itens recebidos.
- A utilização de tipos de informações confidenciais (SITs) (conforme abordado na identificação de informações confidenciais) para identificar informações que não deveriam existir na plataforma. Estes SITs incluem identificadores palavra-chave como "SEC=SECRET" e "SEC=TOP-SECRET" e outras palavras-chave governamentais que existem em itens altamente confidenciais.
- A utilização de etiquetas de confidencialidade não publicadas em combinação com a etiquetagem automática como método para identificar itens que não deveriam existir na plataforma. Para obter mais informações, veja etiquetas para obter informações que ultrapassem o nível PROTEGIDO.
Para bloquear o transposição de classificações não autorizadas, é utilizado um conjunto de políticas DLP. Uma vez que as condições de política disponíveis dependem dos serviços utilizados pela organização, são necessárias várias políticas para abranger todos os canais de comunicação disponíveis. As políticas que abordam o serviço Exchange são um ponto de partida recomendado para a maioria das organizações.
As políticas DLP contêm uma ou mais regras, que utilizariam condições como:
- Conteúdo contém, tipo de informações confidenciais, Palavras-chave secretas SIT, OU
- Conteúdo contém, etiqueta de confidencialidade, SEGREDO, OU
-
O cabeçalho corresponde ao padrão,
X-Protective-Marking : SEC=SECRET, OU -
Padrão de correspondência de assunto,
\[SEC=SECRET
As regras devem ter uma ação de bloquear todas as pessoas, que está disponível na opção restringir o acesso ou encriptar o conteúdo nas localizações do Microsoft 365 .
O ISM-0133 é um DLP relevante para as ações de relatórios:
| Requisito | Detalhe |
|---|---|
| ISM-0133 (junho de 2024) | Quando ocorre um derrame de dados, os proprietários de dados são aconselhados e o acesso aos dados é restrito. |
As ações de alerta são importantes para evitar qualquer transposição adicional de dados e para agilizar as atividades de limpeza. Várias ações podem ser configuradas numa única regra DLP. Equipas de segurança organizacionais para determinar as ações de alerta adequadas. As opções disponíveis através da interface DLP são expandidas através do Power Automate e soluções de Gestão de Informações e Eventos de Segurança (SIEM), como Sentinel.
Segue-se um exemplo de uma regra DLP concluída para identificar e parar a distribuição de itens SECRET no Exchange:
Nome da política: EXO – Bloquear classificações não autorizadas
| Nome da regra | Condições | Ação |
|---|---|---|
| Bloquear itens SECRETOS | Conteúdo contém Tipo de Informações Confidenciais: Palavras-chave secretas personalizadas SIT que contém termos susceptíveis de se alinharem com uma classificação SECRET. OU O cabeçalho corresponde aos padrões: X-Protective-Marking : SEC=SECRET OU O assunto corresponde aos padrões: \[SEC=SECRET OU O conteúdo contém etiqueta de confidencialidade: SEGREDO |
Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365: - Bloquear a receção de e-mails por parte dos utilizadores - Bloquear todas as pessoas Configure a gravidade e os alertas de incidentes adequados. |
A lógica aplicada na regra anterior pode ser utilizada para criar mais políticas DLP para bloquear a distribuição de classificações não autorizadas noutros serviços, incluindo:
- SharePoint
- OneDrive
- Mensagens de chat e de canal do Teams (excluindo a condição de etiqueta de confidencialidade)
- Dispositivos através do DLP do EndPoint (incluindo redes não autorizadas, USB, localizações, etc.)
- Carregar para serviços cloud através de Defender para Aplicativos de Nuvem
- Repositórios de ficheiros no local
A bloquear a transmissão de e-mails não etiquetados
Para bloquear a transmissão de e-mails não etiquetados, pode configurar uma política DLP com base no modelo de política personalizada e aplicar ao serviço Exchange.
Uma transmissão de bloqueio da política de e-mail não etiquetada requer duas regras:
- A primeira regra para itens enviados através do conteúdo que é partilhado a partir do Microsoft 365, com pessoas fora da condição da minha organização .
- Uma segunda regra que se aplica a conteúdos partilhados a partir do Microsoft 365, apenas com pessoas dentro da minha organização.
As regras precisam de uma exceção, que é aplicada através de um grupo de condições com o operando NOT ativado. O grupo de condição inclui uma condição de conteúdo que contém etiquetasde confidencialidade e tem todas as etiquetas disponíveis no ambiente selecionadas.
Os serviços que geram e-mail estão fora da configuração de etiquetagem obrigatória que se aplica aos clientes Microsoft 365 Apps. Por conseguinte, esta política DLP é acionada sempre que é enviado um e-mail não gerado pelo utilizador. Aciona alertas de segurança gerados por serviços Microsoft, e-mail de scanners e dispositivos multifunções (MFDs) e e-mail de aplicações como recursos humanos ou sistemas de folha de pagamentos. Para garantir que a política não bloqueia processos empresariais essenciais, as exceções têm de ser incluídas no grupo NÃO. Por exemplo:
- OUo domínio do remetente émicrosoft.com, o que captura alertas de segurança e do SharePoint.
- OUo remetente é um membro do grupo, com um grupo que contém contas autorizadas a ignorar este requisito.
- OUo endereço IP do remetente é, juntamente com os endereços dos MFDs do Office.
A regra é acionada sempre que é enviado um e-mail que não contém uma das etiquetas de confidencialidade listadas, a menos que o remetente esteja isento através de uma das exceções configuradas.
Estas regras DLP devem ter uma ação de bloquear todas as pessoas , juntamente com a gravidade adequada e as ações de relatórios.
O seguinte requisito de alerta é relevante para a regra DLP que se aplica aos itens de saída:
| Requisito | Detalhe |
|---|---|
| ISM-1023 (junho de 2024) | Os destinatários pretendidos de e-mails de entrada bloqueados e os remetentes de e-mails de saída bloqueados são notificados. |
Para cumprir este requisito, a regra DLP que se aplica aos itens de saída está configurada para notificar o utilizador que tentou enviar o item.
Dica
As organizações governamentais que estão em transição para a etiquetagem de confidencialidade podem optar por configurar uma sugestão de política em vez de bloquear ou alertar ações. Estas políticas podem ser utilizadas para sugerir a seleção de etiquetas sem a configurar como um requisito difícil. Embora isto não cumpra estritamente os requisitos no ISM, pode permitir uma implementação mais correta das capacidades do Microsoft Purview para os utilizadores.
Exemplo de política DLP a bloquear e-mails não etiquetados
A seguinte política DLP aplica-se ao serviço Exchange e impede a perda de informações por e-mail não etiquetado:
Nome da Política: EXO – Bloquear e-mail não etiquetado
| Regra | Condições | Ação |
|---|---|---|
| Bloquear a saída de e-mail não etiquetado | O conteúdo é partilhado a partir do Microsoft 365, com pessoas fora da minha organização AND Grupo condição NÃO O conteúdo contém etiquetas de confidencialidade: - Selecionar todas as etiquetas OU O domínio do remetente é: - microsoft.com - incluir outras exceções |
Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365: - Bloquear a receção de e-mails por parte dos utilizadores - Bloquear todas as pessoas |