7 bewährte Vorgehensweisen für Datensicherheit in Office 365 und …€¦ · 1 Gartner Regain Control of Access to Your Unstructured Data Repositories On-Premises and in the Cloud,

1WEISSBUCH : 7 bewährte Vorgehensweisen für Datensicherheit in Office 365 und Co.

WEISSBUCH

7 bewährte Vorgehensweisen für Datensicherheit in Office 365 und Co. So erhalten Sie einheitliche Transparenz und Kontrolle bei unstrukturierten Daten in lokalen Datenspeichern und in der Cloud.

2WEISSBUCH : 7 bewährte Vorgehensweisen für Datensicherheit in Office 365 und Co. 2WEISSBUCH : 7 bewährte Vorgehensweisen für Datensicherheit in Office 365 und Co.

InhaltDatensicherheit in einer komplexen, hybriden Umgebung 3

Die Verbreitung von „dunklen Daten“ 4

Datensicherheit ist nicht optional 5

Cloud-zentrierte Datensicherheit ist nicht genug 6

Mehr Sicherheit in der Cloud mit Varonis 9

1. Einheitliche Kontrolle über lokal gespeicherte Daten und Office 365-Daten 10

2. Vollständige Transparenz und Verwaltung von Berechtigungen 11

3. Erkennen sensibler Daten 12

4. Umfassende Audit- und Überwachungsprozesse 13

5. Erweiterte Bedrohungserkennung (UEBA) 14

6. Automatisierung von Risikoabwehr und Begrenzung auf minimale Rechtevergabe 15

7. Verwaltung der Zugriffsberechtigung durch Daten-Eigentümer 16

Vereinbaren Sie Ihre persönliche Office 365-Risikobeurteilung 17


Datensicherheit in einer komplexen, hybriden Umgebung

Wir erleben gerade eine globale Verlagerung von rein lokaler Informationstechnologie zu hybriden IT-Umgebungen. Zahlreiche Unternehmen verschieben Teile Ihrer Infrastruktur für E-Mails und gemeinsam genutzte Dateien in die Cloud, wobei Office 365 eindeutig der Marktführer ist.

Beim Einsatz von Office 365 in Kombination mit lokalen Datenspeichern treten neue Herausforderungen für Datensicherheit und Daten-Governance auf, die angesichts weltweiter Datenschutzverletzungen und strenger Datenschutzbestimmungen dringend bewältigt werden müssen.

Für Führungskräfte mit Verantwortung für Sicherheit und Risikoabwehr bedeutet das, dass sie einheitliche und nachhaltige Datensicherheitskontrollen und bewährte Vorgehensweisen in ihren lokalen Datenspeichern und Cloud-Repositories implementieren sollten.

Die folgenden Themen werden in diesem Weissbuch behandelt:

¤¤ Die Verbreitung von „dunklen“ Daten

¤¤ Warum Cloud-zentrierte Datensicherheit nicht genug ist

¤¤ Mehr Sicherheit für Office 365 mit Varonis

2014 2016 20172015

Microsoft O�ce 365

Salesforce.com

Box

Amazon Web ServicesG Suite

▲ Source: Okta Businesses @ Work, January 2017


Innerhalb eines Zeitraums von 25 Jahren haben Organisationen Milliarden, vielleicht sogar Billionen Euro für die Verlagerung von fast allen analogen Informationen auf digitale Medien investiert. Heute verbergen sich viele sensible Informationen in privaten Rechenzentren, öffentlichen Clouds und in Mailboxen. Viele Unternehmen haben die damit verbundenen Risiken unterschätzt und sich auf die Produktivitätssteigerung konzentriert, ohne sich Gedanken darüber zu machen, ob ihre Daten vor Hackern, Insidern, Konkurrenten oder sogar feindseligen Nationen sicher sind.

Das Datenwachstum hat rasant zugenommen, während die Informationssicherheit ein wenig in Vergessenheit geraten ist. Oft liegen geschäftskritische Informationen auf Datenspeichern ohne Kontrolle für den Zugriff offen. Die dadurch entstehenden Schäden lassen sich an den spektakulären Datenschutzverletzungen bei Sony, Equifax, dem U.S. Office of Personal Management (OPM) und dem Democratic National Committee (DNC) erkennen.

Die Verbreitung hybrider Cloud-Umgebungen verschärft das Risiko von Sicherheitsverstößen noch mehr. Bei Gartner meinte man dazu:

Es musste sich etwas ändern.

Die Verbreitung von „dunklen“ Daten

1 Gartner Regain Control of Access to Your Unstructured Data Repositories On-Premises and in the Cloud, Marc-Antoine Meunier, David Anthony Mahdi, 12 April 2017

Unstrukturierte Datenspeicher sind in den Unternehmen

chronisch zu wenig verwaltet und zu großzügig geöffnet

worden. Die fortschreitende Einführung von Cloud-Speichern

und Kollaborationsplattformen in den letzten Jahren hat es noch

komplizierter gemacht, der Situation Herr zu werden.

https://krebsonsecurity.com/2014/12/sony-breach-may-have-exposed-employee-healthcare-salary-data/

http://www.mcclatchydc.com/news/nation-world/national/national-security/article172078982.html

https://www.opm.gov/news/releases/2015/06/opm-to-notify-employees-of-cybersecurity-incident/

https://www.opm.gov/news/releases/2015/06/opm-to-notify-employees-of-cybersecurity-incident/

https://www.wired.com/2016/07/heres-know-russia-dnc-hack/


Um nicht das nächste Opfer zu werden, machen Unternehmen jetzt ihre Hausaufgaben und nehmen ihre „dunklen Daten“ in den Fokus. Sie führen regelmäßig datenfokussierte Riskobeurteilungen durch, verlangen umfassendere Sicherheitsfunktionen von SaaS/IaaS-Anbietern und verschliessen Sicherheitslücken mit Lösungen externer Anbieter. Viele dieser externen, isolierten Lösungen bieten höchstens partielle Antworten, und ihre Bereitstellung kann zu unnötiger Komplexität führen, welche die Sicherheitssituation schwächt.

Wenn Daten zwischen lokalen Speicherlösungen und Cloud-Repositories wie Office 365 hin- und herfließen, verlangt die IT, dass fundamentale Fragen zu Datensicherheit und angemessener Nutzung beantwortet werden können.

Datensicherheit ist nicht optional

2 Gartner Glossary, https://www.gartner.com/it-glossary/dark-data

Wer greift auf Daten und E-Mails zu, ändert, verschiebt und löscht sie?

Wer ist für die Daten zuständig, und wie bewege ich diese Personen zur Mitarbeit?

Welche Daten sind für zu viele Personen

offen zugänglich?

Wer kann auf Dateien, Ordner und

Posteingänge zugreifen?

Welche Daten werden nicht mehr genutzt?

Es gibt viele

Fragen, auf die IT-

Abteilungen und der

Geschäftsbetrieb

keine Antwort

haben:Welche Dateien enthalten kritische Informationen?

https://www.forbes.com/sites/forbestechcouncil/2017/08/07/let-there-be-data-focused-risk-assessments/2/#2a03db845252

https://www.gartner.com/it-glossary/dark-data


Es gibt cloud-fokussierte Sicherheitslösungen, die einige dieser Fragen zu beantworten versuchen und die auf eine Reihe der damit verbundenen Sicherheitsprobleme eingehen.

Cloud-Acces Security Broker (CASB) sind beispielsweise eine beliebte Kategorie cloud-zentrierter Produkte, die dabei helfen, die unbefugte Nutzung von Cloud-Diensten (Shadow-IT) einzudämmen, den Zugriff auf nicht genehmigte Cloud-Anwendungen zu blockieren und die externe Freigabe von Daten ohne entsprechende Genehmigung zu verhindern. Sie werden üblicherweise als Forward- und/oder Reverse-Proxy zwischen die Benutzer und die Cloud-Dienste gesetzt.

Diese Funktionen erfüllen zwar einen wertvollen Zweck, rein auf die Cloud ausgerichtete Lösungen sind aber blind gegenüber der lokalen Infrastruktur, weitgehend blind im Hinblick auf hybride Infrastruktur und verfügen über keine der erweiterten Sicherheitsfunktionen, die Unternehmen inzwischen von führenden datenzentrierten Audit- und Schutzlösungen gewohnt sind.

Gartner beschreibt die wichtigsten Probleme von CASB im Bericht „CASBs dürfen im Datenschutz keine Insellösungen sein“ (CASBs Must Not Be Data Security Islands, April 2017) folgendermaßen:

¤¤ Viele CASBs verfügen über DLP-Inspektionsfunktionen, sind jedoch bei der Inhaltsinspektion noch nicht so robust, wie voll ausgestattete DLP- und DCAP-Angebote für Unternehmen.

¤¤ Die DLP- und DCAP-Funktionalitäten von CASBs sind derzeit in Bezug auf die Flexibilität der Nutzung für unterschiedliche Cloud-Anwendungen, einheitliche Richtlinien oder Integration mit anderen Datensicherheitsprodukten eingeschränkt.

¤¤ Die begrenzten Möglichkeiten zur Integration mit anderen DCAP-Produkten des Unternehmens können zu Mängeln bei der Durchsetzung von Richtlinien, einheitlichen Berichten und der Policy-Assurance führen.

Cloud-zentrierte Datensicherheit ist nicht genug


CASBs bieten als Bestandteil der Datensicherheitsstrategie von Unternehmen durchaus einen Mehrwert, für sich allein genommen reicht ihre Deckung jedoch nicht aus, um als primäre Datensicherheitslösung für Office 365 zu fungieren. In hybriden Umgebungen bieten sie natürlich nur partiellen Schutz.

Als Alternative oder Ergänzung zu CASB haben einige Anbieter von Cloud-Anwendungen begonnen, eigene Sicherheitsfunktionen anzubieten. Microsoft hat beispielsweise native Sicherheitsfunktionen in Office 365 integriert. Analysten und Sicherheitsprofis sind sich jedoch einig, dass die nativen Funktionen von Microsoft als Best Practice mit Produkten von Drittanbietern erweitert werden müssen, um maximale Transparenz und Sicherheit zu erreichen. Das gilt - wenig überraschend - insbesondere in hybriden Umgebungen.

IT-Sicherheitsfachleute sollten sich darüber

im Klaren sein, dass neue Datensicherheitsfunktionen

als Teil einer klar definierten Governance-Strategie für

Datensicherheit eingesetzt werden müssen, die sowohl

Cloud- als auch lokale Daten erfasst, um sie in

vollen Umfang nutzen zu können.

— Gartner-Bericht „CASBs Must Not Be Data Security Islands“, April 2017


Isolierte Datenschutz-Tools, die nur kleine Lücken stopfen, können teuer werden und steigern Komplexität und Risiken. Varonis ersetzt bisher voneinander getrennte Sicherheitstools durch eine einzige Lösung, mit denen Sicherheitsteams ihre Datensicherheitskontrollen zentral koordinieren und Richtlinien über eine Vielzahl von Datenspeichern hinweg einheitlich durchsetzen können – im lokalen Netzwerk und in der Cloud.

Im Folgenden verdeutlichen wir anhand von sieben einzigartigen Funktionen, wie die Datensicherheitsplattform von Varonis die integrierten Sicherheitsfunktionen von Office 365 optimiert.

1. Einheitliche Kontrolle über lokal gespeicherte Daten und Office 365-Daten

2. Vollständige Transparenz und Verwaltung von Berechtigungen

3. Erkennen sensibler Daten

4. Umfassende Audit- und Überwachungsprozesse

5. Erweiterte Bedrohungserkennung (UEBA)

6. Automatisierung von Riskoabwehr und Begrenzung auf die minimalste Berechtigung

7. Verwaltung der Zugriffsberechtigung durch Daten-Eigentümer

Mehr Sicherheit in der Cloud mit Varonis


„Gemäß den strategischen Annahmen von Gartner werden „bis 2020 mehr als 85 % der Unternehmen, die eine Cloud-First-Strategie verfolgen, weiterhin geschäftskritische Anwendungen in herkömmlichen Rechenzentren hosten.“

Da der Löwenanteil der unstrukturierten Daten immer noch in lokalen Systemen liegt, wird ein großer Nachteil der nativen Sicherheitstools in Office 365 offenkundig: Sie können keine einheitliche Kontrolle für Daten in der Cloud und lokalen Umgebungen bieten, was zu einer Redundanz bei Prozessen, Anwendungen, Warnungen und Berichten für hybride Umgebungen führt.

Varonis ist eine einheitliche Sicherheitsplattform für Daten in lokalen Systemen und in der Cloud, die dazu beiträgt, dass nur die richtigen Personen jederzeit Zugriff auf die Daten haben, wobei die komplette Nutzung überwacht und Missbrauch gemeldet wird.

Agentenfreie Installation

Erfassung von Ereignissen über die offiziellen APIs von Microsoft

Installation in wenigen Minuten

1 Einheitliche Kontrolle über lokal gespeicherte Daten und Office 365-Daten

3 Gartner Market Trends: Lead the On-Premises Market by Focusing on Characteristics That Drive On-Premises Decisions,Scot MacLellan, 25 October 2017


Schnell festzustellen, auf welche OneDrive-Ordner, SharePoint-Websites und Exchange-Postfächer ein Benutzer oder eine Gruppe zugreifen darf, kann äußerst schwierig oder gar unmöglich sein. Noch schwieriger ist es, gefährdete Daten zu finden, sensible Ordner und Objekte zu identifizieren, die extern freigegeben wurden und nicht mehr benötigte Berechtigungen zu korrigieren.

Varonis liefert Ihnen einen ganzheitlichen Überblick über Datenzugriffe über Office 365 und lokale Repositories. Innerhalb von Sekunden kann die IT-Abteilung potenzielle Zugriffe für jeden Benutzer oder jede Gruppe in Active Directory, Azure AD oder einem lokalen System visualisieren oder melden, gefährdete sensible Daten lokalisieren und zu großzügige Berechtigungen identifizieren.

2 Vollständige Transparenz und Verwaltung von Berechtigungen


Eine leistungsstarke Commit-Engine kann Änderungen an der Zugriffskontrolle in einer Sandbox-Simulation prüfen und diese, nach erfolgter, positiver Validierung, in die Produktivumgebung übertragen. Es ist nicht notwendig, alle Unterschiede zwischen Office 365 und lokalen Berechtigungsmodellen zu verstehen – Varonis bietet eine einheitliche, abstrakte Schnittstelle für die Verwaltung der Datenzugriffe.


Um Risikobewertungen durchzuführen, Bedrohungen zu überwachen und Prioritäten bei notwendigen Korrekturen an der Berechtigungsstruktur setzen zu können, müssen Office 365-Kunden wissen, wo sich ihre sensiblen Daten befinden. Bei der integrierten Klassifikation von Microsoft (über Secure Islands / AIP) müssen die Erstellung von Regeln und die Kennzeichnung manuell erfolgen - was in großen Umgebungen besonders aufwendig sein kann und lokale Datenspeicher nicht berücksichtigt.

Die Varonis Data Classification Engine klassifiziert sensible Daten in OneDrive, SharePoint Online und lokalen Speichersystemen. Die Plattform von Varonis stellt eine nahtlose Integration mit der AIP her, liefert unverzichtbaren Kontext zu gefundenen sensiblen Inhalten und verschafft Ihnen die Möglichkeit, diese zu priorisieren und erfolgreich zu schützen, rechtliche Normen einzuhalten und Datenschutzverletzungen vorzubeugen.

Die Data Classification Engine verfügt über eine große Auswahl integrierter Compliance-Pakete für Vorschriften wie die DSGVO, HIPAA, SOX, PCI-DSS, etc. Gleichzeitig bietet sie die Möglichkeit, benutzerdefinierte Regeln zu erstellen, algorithmische Verifikation durchzuführen, manuelle Markierungen hinzuzufügen und sogar sensible Inhalte, bei denen Richtlinien verletzt werden, automatisch in Quarantäne zu verschieben oder zu löschen.

3 Erkennen sensibler Daten


Es ist zwar möglich, Audits zum Verhalten der Benutzer in Office 365 zu erstellen, es ist jedoch schwierig, Aktivitäten über einzelne Office 365-Anwendungen hinweg zusammenzufassen. Das kann dazu führen, dass sicherheitsrelevante Untersuchungen behindert werden und Bedrohungen unentdeckt bleiben.

Varonis stellt zentralisierte Audit- und Benachrichtigungsfunktionen für Exchange Online, SharePoint Online und OneDrive bereit. Ein einheitlicher, durchsuchbarer Audit-Trail führt die Office 365-Aktivitäten eines Benutzers mit lokalen Zugriffsaktivitäten auf NAS-Geräten, Active Directory, Dateifreigaben, UNIX, Exchange und mehr zusammen.

4 Umfassende Audit- und Überwachungsprozesse


Microsoft stellt eine grundlegende (statische) Bedrohungsmodellierung zur Verfügung, aber den nativen Tools fehlt es an einem detaillierten Kontext über das Benutzerverhalten mit anderen Produkten. Deshalb können sie nicht erkennen, wenn sich Accounts in lokalen Systemen verdächtig verhalten.

Es gibt zwar einige bewährte feste Regeln, aber sie sind kein Ersatz für dynamische, verhaltensbasierte Bedrohungserkennung. Mit ihnen lassen sich keine fortschrittlichen Bedrohungsmodelle erstellen oder fehlerhafte Treffer unterdrücken. Die integrierte User Behavior Analytics Engine (UEBA) in Office 365 ist für die meisten SOCs also nicht ausreichend.

Varonis analysiert Benutzeraktivitäten und -verhaltensweisen in hybriden Umgebungen und erstellt verhaltensbasierte Normalszenarien für jeden Account. Die Datensicherheitsplattform von Varonis analysiert Datenzugriffe unter Berücksichtigung des Sensibilitätsgrads der Daten, von Berechtigungen und Active Directory-Metadaten, weshalb sie präzise Warnmeldungen ausgeben kann und deutlich seltener Fehlalarme auslöst.

Mithilfe von über 100 Bedrohungsmodellen kann Varonis vor diversen Ereignissen warnen, angefangen bei ungewöhnlichem Verhalten in Posteingängen über Insider-Risiken bis hin zu bekannten Verhaltensmustern von Ransomware. Sicherheitsteams können dann flexibel entweder das DatAlert-Dashboard nutzen oder Meldungen an ein integriertes SIEM senden.

5 Erweiterte Bedrohungserkennung (UEBA)

DatAlert ist das UEBA-Produkt mit den meisten Bewertungen bei Gartner Peer Insights. Lesen Sie mehr über die Ergebnisse bei Kunden →

Die Bewertungen von Gartner Peer Insights stellen subjektive Meinungen einzelner Endnutzer auf der Grundlage ihrer eigenen Erfahrungen dar und geben nicht die Ansichten von Gartner oder seinen verbundenen Unternehmen wieder.

https://www.gartner.com/reviews/market/user-and-entity-behavior-analytics/vendor/varonis


Microsoft kann in eingeschränkter Form Transparenz bei Berechtigungen bieten und sensible Daten erkennen, hilft aber nicht bei der Priorisierung von Gegenmaßnahmen, kann keine Änderungen simulieren und bietet auch keinen zentralisierten Mechanismus, um Änderungen an Azure AD-Gruppenmitgliedschaften und Container-Berechtigungen vorzunehmen. Durch diese Einschränkungen wird es sehr schwierig, ein Berechtigungsmodell auf Basis der minimalen Rechtevergabe zu etablieren und zu pflegen.

Varonis priorisiert Ihre größten Risiken, unabhängig davon, ob sie im lokalen System oder in Office 365 vorliegen und verschafft Ihnen die Möglichkeit, diese mit minimalem Aufwand zu beheben.

Mit Varonis können Kunden sensible Inhalte in global freigegebenen Ordnern, auf SharePoint-Websites und in OneDrive-Ordnern - einschließlich extern freigegebener Links - unmittelbar identifizieren und schützen. Varonis unterstützt Sie bei der Vereinfachung der Berechtigungsstruktur auf allen Plattformen und bei der Löschung unnötiger Berechtigungen. Dabei wird eine Beeinträchtigung der Nutzer vermieden, indem die Berechtigungsänderungen vor der Umsetzung der neuen Berechtigungen simuliert werden.

6 Automatisierung von Riskoabwehr und Begrenzung auf die minimalste Berechtigung


Um ein Privilegienmodell auf Basis der minimalen Rechtevergabe zu pflegen, ist es unverzichtbar, dass die Daten-Eigentümer in die Prüfung der Berechtigungen einbezogen werden. Microsoft sieht in Office 365 jedoch weder eine unkomplizierte Möglichkeit zur Identifizierung von Daten-Eigentümern vor, noch bezieht es sie in die wichtigen Workflows der Zugriffsverwaltung, wie z. B. Berechtigungsprüfungen, ein.

Mit Varonis werden die wahrscheinlichen Daten-Eigentümer anhand der tatsächlichen Benutzeraktivität identifiziert. Sobald ein Eigentümer zugeordnet wurde, können die Berechtigungsprüfungen und Workflows der Berechtigungsvergabe automatisiert werden. Das spart Zeit, verringert die Belastung der IT-Abteilung und hilft Ihnen, deutlich bessere Entscheidungen für die Zugriffssteuerung zu fällen.

7 Verwaltung der Zugriffsberechtigung durch Daten-Eigentümer

Heute können Benutzer Zugriff auf eine Gruppe

beantragen, und die Daten-Eigentümer werden

automatisch in die Entscheidung, den Zugriff zu gewähren

oder zu widerrufen, einbezogen, ohne dass die IT-

Abteilung aktiv werden muss. Das beschleunigt nicht nur

den Prozess, sondern macht auch die Kapazitäten der IT-

Abteilung frei für andere Aufgaben.

— Serena Lee, Senior Security Analyst, AXA Wealth


Live DemoRichten Sie Varonis in Ihrer eigenen Umgebung ein, um zu beobachten, wie Ransomware gestoppt und Ihre Daten geschützt werden.

hub.varonis.com/request-a-demo-de

DatenrisikobeurteilungSie erhalten Ihr Risikoprofil, entdecken Sicherheitslücken und beheben echte Sicherheitsprobleme.

info.varonis.com/express-assessment-de

Vereinbaren Sie Ihre persönliche Office 365-Risikobeurteilung

Varonis ist einefantastische Lösung

https://www.gartner.com/reviews/market/UserandEntityBehaviorAnalytics/vendor/varonis

http://hub.varonis.com/request-a-demo-de

http://info.varonis.com/express-assessment-de

Documents

7 bewährte Vorgehensweisen für Datensicherheit in Office 365 und …€¦ · 1 Gartner Regain Control of Access to Your Unstructured Data Repositories On-Premises and in the Cloud,