Windows 10: Tính năng bảo mật quan trọng mới giúp người dùng bảo vệ thông tin

Windows 10: Tính năng bảo mật quan trọng mới giúp người dùng bảo vệ thông tin

19-10-2020 Lượt xem: 1,029

Do ảnh hưởng của dịch bệnh, nhiều người lao động trên thế giới đã và đang lựa chọn phương án làm việc từ xa. Theo đó, bảo vệ dữ liệu trên PC trở thành nhiệm vụ được ưu tiên hàng đầu, trong khi trình duyệt Edge có nhiều quyền kiểm soát hơn.

Ngăn chặn thất lạc dữ liệu (Data Loss Prevention – DLP) đã xuất hiện trong Microsoft Exchange từ lâu, dưới dạng các quy tắc để đảm bảo nhân viên không gửi thông tin bí mật hoặc thông tin cá nhân qua email. Những năm qua, Microsoft đã mở rộng DLP cho nhiều Office hơn (dù tên của nó là Microsoft Information Protection hoặc MIP), bao gồm Exchange, SharePoint, Teams, OneDrive for Business và các ứng dụng Office như Word, PowerPoint, Excel, Outlook, cũng như các ứng dụng của bên thứ ba tích hợp SDK MIP.

Giờ đây, nó được tích hợp vào Windows 10 (phiên bản 1809 trở lên) và trình duyệt Edge mới (phiên bản 85 trở lên) mà không cần thêm chương trình đại lý bổ sung. Vì vậy, các chính sách bảo vệ thông tin và truy cập có điều kiện giống nhau mà quản trị viên viết ra sẽ bảo vệ email và tài liệu lưu trữ trên SharePoint, áp dụng cho mọi thứ người dùng thực hiện trên Windows, bao gồm cả gửi tweet.

DLP.

DLP.

“Chúng tôi đã hỗ trợ cho hàng trăm loại thông tin nhạy cảm với MIP và mô hình ngành, và những loại thông tin này được hỗ trợ ngay lập tức với Endpoint DLP”, Alym Rayani – Tổng Giám đốc Phụ trách Tuân thủ của Microsoft, nói với trang TechRepublic.

Nếu bạn chưa thiết lập các chính sách cài đặt, các mô hình sẽ chứa những quy định khác nhau, bao gồm cả gợi ý các chính sách PII cho hàng loạt vị trí, cộng với những công cụ giúp bạn tạo ra các chính sách dựa trên tài liệu có chứa dữ liệu nhạy cảm tiềm ẩn.

Endpoint DLP nằm trong Microsoft 365 E5 và gói đăng ký A5 (hoặc tiện ích bổ sung bảo vệ thông tin hoặc tuân thủ). Bạn hãy dùng trung tâm tuân thủ Microsoft 365 mới để khởi động quản lý thiết bị – mặc dù có thể tích hợp các thiết bị bằng cách sử dụng Group Policy, Microsoft Endpoint Configuration Manager, MDM hoặc tập lệnh cục bộ. Tất cả các thiết bị đều cần được kết nối với Azure Active Directory hoặc Hybrid Azure AD.

Làm việc từ xa đồng nghĩa với việc nhiều Endpoint hơn

Hiện tại, ở bản xem trước công khai, Endpoint DLP dự kiến sẽ “trình làng” trong tháng này (10/2020). Đó là tiến độ nhanh chóng cho một dịch vụ mới, nhưng trong bối cảnh hiện tại, nhiều khách hàng là đối tác thiết kế ban đầu đang hối thúc cho một cuộc ra mắt chóng vánh hơn. “Họ nói rằng ‘chúng tôi muốn bạn tiến hành thật nhanh”, Rayani nói.  

Trong một cuộc khảo sát khách hàng do Microsoft thực hiện vào giữa mùa xuân vừa qua, 60% nhóm tuân thủ cho biết rò rỉ dữ liệu là nỗi lo hàng đầu của họ, do ảnh hưởng của dịch bệnh.

Endpoint DLP blocking a user from copying specific data on Windows.

Endpoint DLP chặn người dùng khỏi việc sao chép dữ liệu cụ thể trên Windows. 

“Khi mọi người đang chuyển sang phương án làm việc từ xa một cách ồ ạt, nhu cầu đánh giá lại hoạt động bảo mật và quản lý rủi ro của khách hàng cũng tăng lên. Chủ đề mà chúng tôi nghe nhiều nhất gần đây là ‘Tôi đã nhanh chóng chuyển sang ủng hộ phương án làm việc từ xa – thỉnh thoảng xuyên đêm, thỉnh thoảng chỉ trong vài tuần, và hiện tại, tôi quay về để đánh giá lại hoạt động bảo mật và tuân thủ. Tôi đã phải chạy nước rút vì thế tôi không thể nghĩ về tất cả những thứ đó. Nhưng, tôi đang quay trở lại”, Rayani nhấn mạnh. 

Anh nói thêm: “Khách hàng đã bật các tính năng làm việc từ xa như Teams xuyên đêm và giờ, họ muốn có một giải pháp tuân thủ phù hợp với tình trạng năng suất mới".

Không chỉ việc chuyển sang làm việc từ xa đột ngột, mà nhiều Endpoint mới cũng đã được đưa vào sử dụng – đa phần là những thiết bị cá nhân cũ không còn được sử dụng trước đó. “Nhiều nhân viên của họ đang truy cập vào dữ liệu công ty từ máy tính tại nhà, hoặc họ đang chia sẻ và cộng tác theo cách mới. Các tổ chức cảm thấy rủi ro gia tăng, và họ thấy cần phải triển khai mọi thứ một cách nhanh chóng để giải quyết vấn đề. Khách hàng nói với chúng tôi rằng họ muốn bắt đầu ngay lập tức. Họ không muốn phải trải qua quá trình triển khai một chương trình đại lý và quản lý chúng. Họ muốn sở hữu thông tin chi tiết ngay lập tức”, Rayani chia sẻ. 

Ngăn chặn thất lạc dữ liệu là thứ mà cả các nhóm bảo mật lẫn tuân thủ phải quan tâm. Rayani cho biết: “Họ nói ‘kết quả mà tôi mong muốn nhất ở đây về giảm thiểu rủi ro – theo nghĩa bảo vệ thông tin, nhưng cũng tuân thủ các tiêu chuẩn và quy định - là tôi muốn bảo vệ dữ liệu trên các ứng dụng của mình, trên các dịch vụ của mình, trên các thiết bị đầu cuối của mình”.

Điều đó có nghĩa là bất kỳ chính sách nào bạn tạo ra bằng cách sử dụng hệ thống dán nhãn và phân loại trong Microsoft Information Protection cho tuân thủ hoặc bảo mật, giờ đây đều sẽ áp dụng cho các PC chạy Windows 10 mà không cần phải làm gì thêm. "Bạn có một cổng để ngăn ngừa thất lạc dữ liệu và với bất kỳ chính sách nào đã chạy, bạn cũng sẽ được bật nút có nội dung ‘Windows Devices’. Bạn cũng sẽ kế thừa tất cả các chính sách đã thiết lập trên Teams, SharePoint, OneDrive và chúng chỉ khởi chạy trên Windows”, Rayani nói.

Admins can choose whether to audit, partly block or fully block what users can do on Windows devices.

Quản trị viên có thể chọn kiểm tra, chặn một phần hoặc chặn hoàn toàn những gì người dùng có thể làm trên thiết bị Windows.

Endpoint DLP cung cấp thứ mà Rayani gọi là “thực thi chính sách dựa trên ngữ cảnh” trên dữ liệu - "hiểu dữ liệu đó là gì và sau đó thực hiện một hành động cụ thể dựa trên dữ liệu ấy, có thể là bất cứ điều gì từ một cảnh báo cho người dùng, tất cả các cách thông qua một phần cứng chặn trên di chuyển thông tin".

Các chính sách có thể chặn (đi kèm hoặc không đi kèm tùy chọn cho nhân viên ghi đè khối) một loạt hành vi hoặc chỉ theo dõi để kiểm tra: sao chép dữ liệu vào clipboard, vào ổ USB di động hoặc chia sẻ trên mạng; in; tải lên dịch vụ đám mây; mở dữ liệu trong các ứng dụng hoặc trình duyệt không được phê duyệt. Nó còn có thể theo dõi việc tạo và đổi tên tệp kiểm tra, nhưng không chặn.

“Ý tưởng của việc cho phép người dùng ghi đè khối là bạn tin tưởng nhân viên và hướng dẫn họ cách chăm sóc dữ liệu. Bạn muốn người dùng đưa ra quyết định chứ không phải hạn chế hiệu suất của họ, trong khi vẫn duy trì được bảo mật và sự tuân thủ”, Rayani giải thích.

Endpoint DLP sử dụng các loại MIME thay vì phần mở rộng file (thứ có thể thay đổi) và bản xem trước xem các file Word, PowerPoint, Excel, CSV, TSV và PDF, cộng với C, Java và các tệp liên quan: Hành vi người dùng trong TXT và các tệp mã nguồn cũng sẽ bị xem là chống lại chính sách.

Nhiều tùy chọn trong Edge

“Các tổ chức dùng trình duyệt Edge mới cũng có thể chọn mức độ kiểm soát chi tiết hơn thay vì chỉ chặn”, Rayani nói. "Nếu bạn đang sử dụng một trình duyệt khác, thông tin nhạy cảm sẽ không rò rỉ qua trình duyệt của bên thứ ba đó, nhưng với Edge, vì chúng tôi đã tích hợp nó một cách nguyên bản, bạn có thể hiểu rõ trang web tôi đang truy cập. Nếu tôi truy cập một trang SharePoint của công ty và tải lên thứ gì đó từ thiết bị của mình, điều đó rất khác so với việc tôi truy cập OneDrive cá nhân".

Edge is the only browser that can apply the DLP policies with this much granularity.

Edge là trình duyệt duy nhất có thể áp dụng các chính sách DLP với cấp độ chi tiết cao này.

Điều đó cũng có nghĩa là nhân viên sử dụng Chrome có thể bị chặn khỏi việc tải một file chứa thông tin nhạy cảm mà bạn thiết lập chính sách để tóm lấy, chẳng hạn như một con số National Insurance, thậm chí trên trang SharePoint của bạn. Dùng Edge, bạn sẽ có khả năng tải nó lên SharePoint, nhưng nơi khác thì không.

Với Edge, bạn có thể lựa chọn xem có muốn biến danh sách tên miền đã tạo thành danh sách chặn, nơi bạn có thể chọn các trang riêng biệt cho trình duyệt cảnh báo hoặc chặn các dữ liệu nhạy cảm được tải lên, hoặc một danh sách cho phép các trang web duy nhất mà người dùng có thể tải lên. 

Bạn cũng có thể liệt kê những trình duyệt không cần thiết trong việc xử lý các dữ liệu nhạy cảm. Nếu người dùng muốn truy cập vào một tệp phù hợp với chính sách DLP, họ sẽ được nhắc mở tệp trong Edge – sau đó có thể chặn hoặc hạn chế các hành vi cụ thể thay vì toàn bộ tệp, hoặc cho phép người dùng ghi đè khối để đổi lấy các bản tải lên được theo dõi.

“Nếu bạn gặp phải tình huống có người dùng cố gắng tải 1 file PDF lên với nội dung được coi là nhạy cảm đến một Dropbox được chia sẻ, nội dung đó sẽ bị chặn. Trong Edge, cửa sổ bật lên cho biết họ có thể ghi đè nó; nếu họ đang ở trong một trình duyệt khác, chúng ta sẽ chỉ chặn và họ không được chấp thuận ghi đè”, Rayani nói.  

Áp dụng DLP cho các trình duyệt cho phép các doanh nghiệp dễ dàng kiểm soát cách nhân viên dùng lưu trữ đám mây mà không phải viện đến những biện pháp mạnh tay. 

Rayani tiếp tục: “Chúng tôi lắng nghe khách hàng, họ thường xuyên gặp cảnh có người dùng khác sử dụng các giải pháp lưu trữ đám mây để truyền dữ liệu, nhưng lại làm việc đó thông qua trang web. Nếu tôi dùng OneDrive cá nhân để làm một việc gì đó và nó là dữ liệu nhạy cảm, điều đó sẽ rất khác với việc tôi dùng OneDrive của công ty. Có một loạt các giải pháp lưu trữ đám mây của bên thứ ba mà mọi người có thể sử dụng và họ bị buộc phải sử dụng chúng để truyền dữ liệu trong bối cảnh nhiều người lựa chọn làm việc từ xa”.

Trở nên thông minh hơn

Vào thời điểm thích hợp, Edge sẽ có nhiều tùy chọn chi tiết hơn cho các trang web được phê duyệt, có thể bao gồm cả quyền truy cập có điều kiện dựa trên Microsoft Graph. Rayani nói: “Giả sử có khoảng 3 người trong nhóm, và họ nên được tiếp cận với loại thông tin này, vì vậy, bạn được phép tải nó lên”.

Nó cũng sẽ tận dụng lợi thế của các bộ phân loại có thể đào tạo trong MIP để hỗ trợ hướng dẫn tạo ra các chính sách. Rayani cho biết: “Giả sử bạn có một dự án rất bí mật, chẳng hạn như sáp nhập và mua lại, bạn không muốn để lại bất kỳ dấu vết nào, do vậy, bạn luôn cần tăng cường bảo vệ. Một trong những việc mà chúng tôi thực hiện với các bộ phân loại có thể đào tạo là cho phép hệ thống tìm hiểu xem thông tin đó là gì. Bạn trỏ nó trong một trang SharePoint với 30 tài liệu và nó sẽ tìm hiểu. Một khi xác nhận, bạn sẽ phải tự mình thực hiện chính sách đó. Bởi vì nó rất nhạy cảm, nên bạn không muốn bất kỳ người dùng nào khác của bạn đưa ra quyết định thay mình”.

Một lần nữa, đó là về nâng cao độ chi tiết của các quyền kiểm soát. “Không tồn tại một kích thước phù hợp cho tất cả khi nói đến dữ liệu và cách bạn muốn bảo vệ, phân loại và quản lý chúng. Vì thế, sẽ có nhiều cấp độ khác nhau của các quyền kiểm soát mà bạn có thể kích hoạt”.

Chặn và kiểm tra sử dụng thông tin nhạy cảm là một tín hiệu hữu ích cho những công cụ bảo mật, chẳng hạn như Microsoft Defender. “Khách hàng có thể dùng chúng để hỗ trợ ưu tiên ứng phó sự cố và điều tra pháp lý. Hãy tưởng tượng, bạn gặp phải một sự cố DLP được kích hoạt trên một phần của dữ liệu nhạy cảm truyền trên thiết bị đó. Sau đó, bạn có thể kiểm tra chính thiết bị ấy và điều tra xem liệu chúng có khả năng xảy ra vi phạm trên thiết bị đó hay không. Vì vậy, bạn có thể bắt đầu liên hệ những điều này qua các sự cố và xem điều gì sẽ xảy ra”, Rayani chia sẻ. 

Các tín hiệu từ Endpoint DLP cũng tràn vào giải pháp quản lý rủi ro nội bộ của Microsoft: “Nếu ai đó tải xuống một loạt nội dung nhạy cảm từ SharePoint, bạn có thể theo dõi xem họ đang làm gì với những nội dung đó bằng việc kích hoạt một chính sách thông qua Endpoint DLP”.

Cho đến nay, Endpoint DLP chỉ dành cho Windows, nhưng Rayani cho biết giống như các dịch vụ tuân thủ và bảo mật khác của Microsoft: “Chúng tôi sẽ tiếp cận nhiều khách hàng hơn. Không phải tôi đang đưa ra cam kết, nhưng chúng tôi sẽ tiếp tục sử dụng cách tiếp cận tương tự với Endpoint DLP”.

Do Microsoft Defender cho Endpoint (được đổi tên thành Defender Advanced Threat Protection) có sẵn trên MacOS, Linux, Android và chế độ xem trước công khai trên iOS (với tính năng quản lý mối đe dọa và lỗ hổng cũng ở bản xem trước công khai cho MacOS), có vẻ như Endpoint DLP sẽ xuất hiện trên nhiều nền tảng trong tương lai.

 

Bài viết liên quan


0913.111111

Chỉ đường

Chat FB

Chat Zalo

0913.111111