Ein neues Feature namens Zscaler Endpoint DLP optimiert den Schutz Ihrer Endgerätedaten. Aktuell werden externe entfernbare Datenträger wie USB-Sticks oder SD-Karten, Drucker, Netzlaufwerke und private Cloud Stores zur Kontrolle unterstützt. Eine einheitliche Richtlinie und ein einziger Agent verschaffen uneingeschränkte Einblicke in die Bewegungen sensibler Daten und beugen Datenverlusten durch die erwähnten Medien und auf anderen Wegen vor. Ein Beispiel einer Datei mit Kreditkartendaten soll einen kleinen Einblick in die Möglichkeiten zeigen.
Voraussetzung
Wir brauchen den ZCC (Zscaler Client Connector) 4.3.x und die Aktivschaltung des Features durch den Support. Voraussetzung ist eine Lizenz, in welcher der ZCC enthalten ist. Ein PoV (Proof of Value; also zuerst testen und dann kaufen) sollte aber sicher jederzeit für einen Monat möglich sein. Wenn das Feature aktiv ist, gibt es zwei Menüpunkte mehr:
- unter Administration – DLP Ressources, wo ich meine bekannten Devices und Cloudstores definieren kann, um eine Allow- oder Exception Rule zu bauen.
- unter Policy Endpoint Data Loss Prevention, wo ich meine DLP Rules pflege.
Funktionsweise von Zscaler Endpoint DLP
Zum Start dieses neuen Features kann das Ablegen von sensitiven Daten auf ein Netzlaufwerk eingeschränkt oder verhindert werden. Das gilt auch für den Cloudspeicher wie iCloud, OneDrive, Google Drive (Personal), Box (Personal), OneDrive oder den USB-Stick sowie das Ausdrucken!
Ich muss mir auch hier Gedanken machen, was denn bei uns sensitiv ist und eine entsprechende DLP Engine definieren, welche diese Daten klassifiziert:
Wie sieht eine Policy aus?
Für unser Beispiel definiere ich eine DLP Engine aus der bestehenden PCI («PCI engine contains the Credit Cards and Social Security Number dictionaries») als Vorlage und limitiere auf einmal eine Kreditkartennummer oder US Social Security Number. Eines der beiden reicht für den Trigger. Den Inhalt habe ich per Google anhand von Beispielen bei Paypal entnommen und in eine Datei EPDLP-Test.txt abgelegt:
American Express
378282246310005
American Express
371449635398431
….
Mögliche Policy zum Start und Test:
Wie verhält es sich auf meinem MAC oder PC?
Wenn die Notification eingeschaltet ist, sieht man das Pop-up oben rechts. Das Speichern wird verhindert. Wir haben die Möglichkeit, einen Request für eine Ausnahme zu machen (Request Exception) oder dass wir nicht mehr damit gestört werden (Do Not Disturb), also nur noch weitere kritische Notifications angezeigt werden, aber diese nicht mehr.
Da ich ebenfalls eine E-Mail-Adresse hinterlegt habe, erhalte ich eine Mail mit diesem Inhalt:
—cut—
The attached content triggered a Web DLP rule for your organization.
Transaction ID: 3522283109339254366
User Accessing the URL: alert@mail.address
URL Accessed:
Posting Type:
DLP MD5: 0aa3c1d7a0616a00ec4f696b2fd7d162
Triggered DLP Violation Engines (assigned to the hit rule):
Engine Name |
Expression |
PCI – EP – DLP – Test | (((Credit Cards) > 1) OR ((Social Security Numbers (US)) > 1)) |
Triggered DLP Violation Dictionaries (assigned to the hit rule):
Dictionary Name |
Match Count |
Credit Cards | 8 |
No action is required on your part.
—cut—
Unter Dashboard Endpoint DLP sehe ich:
Natürlich gibt es auch Analytics Endpoint DLP Insights dazu. Dies ersparen wir uns jetzt.
Zusammenfassung
Es gibt noch diverse weitere Möglichkeiten wie ein Action «Confirm», bei welchem der User bestätigen muss, dass es nur seine persönlichen Daten betrifft. Wir können Alarme verschicken, wir können den NSS füttern uvm.
Dies würde den Rahmen des Blogs sprengen und kann unter den angegebenen Links weiterverfolgt werden:
help.zscaler.com/zia/about-endpoint-dlp
help.zscaler.com/zia/policies/endpoint-data-loss-prevention
Wenn auf diesen Blog viel Feedback eintrifft, doch das Ganze zu vertiefen, kann ich auch einen Teil II ausarbeiten.
Es ist der richtige Schritt von Zscaler, nun auch den Endpunkt zu bedienen und das mit der gleichen Software; nämlich dem Zscaler Client Connector. Es sei nochmals erwähnt, dass man seine Daten klassifiziert und entsprechende Engines definiert haben muss, damit dieses Feature auch erfolgreich verwendet werden kann.
Diese Erweiterung ist für mich eine Bereicherung und nach etwas Pröbeln und Lesen der Onlinehilfe bei Zscaler kommt man schnell zu einem Erfolgserlebnis. Es ergibt viel Sinn, dass man das Ausdrucken von sensitiven Dokumenten im Office steuern kann. Auch das sorglose Kopieren von sensitiven Daten auf beliebige Datenträger oder gar in persönliche Cloudaccounts wird gesteuert. Eine sehr sinnvolle Erweiterung aus meiner Sicht und ich kann nur empfehlen, sich einmal ein paar Gedanken über die eigene Situation in der Firma zu machen.
Lenti
Lenti ist Senior Security Engineer und langjähriger AVANTEC-Mitarbeiter. Er interessiert sich für Firewalls, Zscaler, BlueCoat, SEPPmail, Cisco IronPort, Sandboxing und das Zusammenspiel aller Komponenten in komplexen Umgebungen.