UDM

Sensitive Daten in Dateien & Dokumenten

Unstructured Data Management (UDM)

Slide

Unstructured Data Management (UDM)

Heute werden in den Unternehmen die verschiedensten Inhalte als Microsoft Office Dateien, PDF oder in anderen Formaten verarbeitet und gespeichert.
Im Bereich von Microsoft Office ist heute die Menge an Dateien auf zentralen Ablagen sehr gross. Damit gemeint sind Dateien auf SharePoint und interne File-Ablagen (z.B. NetApp Filer).

Word, Excel & PowerPoint & Co. als Risiko?

Zusätzlich setzen Unternehmen heute vermehrt Cloud-basierte Dienste, wie z.B. Office365 von Microsoft, ein.  Aufgrund der Geschäftsprozesse werden auf diese Art und Weise auch besonders schützenswerte Inhalte verarbeitet und gespeichert. Unabhängig vom Speicherort und Format gilt für diese Inhalte ein besonderer Schutzbedarf. Die Resultate aus den Scans zeigen, dass sich viele dieser Dateien auf Ablagen mit breiten Zugriffsberechtigungen abgelegt sind. Im Weiteren finden wir die gleiche Datei mehrmalig an unterschiedlichen Orten. Damit ist eine Kontrolle über den falschen Ablageort und unnötige Vervielfältigung von schützenswerten Daten schwierig.

Unstrukturierte Daten in Unternehmen

Datensammlungen mit den unterschiedlichsten Inhalten, abgespeichert in den verschiedensten Formaten und verteilt auf diverse Speicherorte werden als unstrukturierte Daten bezeichnet.

Die Lösung – UDM für Dateien auf Ablagen mit StealthAudit

Es benötigt einen standardisierten und weitgehend automatisierten Prozess zur Identifikation und Klassifikation (Inventarisierung) aller unstrukturierten Daten in Dateien. Das heisst, es geht um Dateien jeglichen Formats wie z.B. Office Dokumente, PDF-Dateien, Bild- oder Textdateien. Zusätzlich sollen die Aktionen auf solchen Dateien protokolliert werden (Monitoring).

Data Access Governance

Im Weiteren ermöglicht die Lösung die Prüfung der vorhandenen Berechtigungsstrukturen (zum Beispiel Active Directory) im Unternehmen.
Damit kann einerseits geprüft werden, ob es Dateien in Ablagen gibt, wo viele Personen berechtigt sind. Andererseits können Bereinigungsaufgaben wie das Verschieben oder Löschen ausgelöst werden. Damit kann die Durchsetzung des «Least Privileges» Prinzips durchgesetzt werden.

Besuchen Sie die Website des Software Herstellers StealthBits

UDM Disziplinen – StealthAudit Funktionen

Die Inventarisierung

Schritt 1 – Die Suche

Scannen
Diese Lösung durchsucht die Ablagen (scannen) nach Dateien mit besonders schützenswerten Inhalten. Als Basies dienen Suchmustern, Schlüsselwörtern und exakter Datenabgleich (Exact Data Matching). Als Resultat entsteht ein Inventar von Dateien mit besonderem Schutzbedarf auf Ablageorten. Das Inventar beinhaltet die Suchresultate im Sinne eines Vorschlags. Damit gemeint sind die Klassifizierung, die Art der gefundenen Daten in der Datei und den möglichen Besitzer der Datei. Gleichzeitig können auch Ablagestrukturen mit breiten Zugriffsberechtigungen (Open Access) identifiziert werden.

Schritt 2 - Die Validierung

Qualifizieren
Die identifizierten Dateien aus der Suche werden gebündelt und dem jeweiligen möglichen Besitzer der Datei zur Überprüfung zugestellt. Dieser bestätigt die Besitzverhältnisse, die Art der verwendeten Daten in der Datei, den Verwendungszweck der Datensammlung, sowie mögliche Klassifizierungswerte und Datenhaltungsvorgaben. Nach Abschluss der Umfrage werden die Angaben zur Datei im Inventar nachgeführt. Damit können Aussagen darüber gemacht werden, welche Mitarbeitende, welche Daten auf welcher Ablage gespeichert und verarbeitet haben.

Schritt 3 - Taggen der Dateien

Verifizieren
Auf Basis der Inventardaten werden die entsprechenden Metadaten wie Besitzer, Datenkategorie, etc. bei diversen Datentypen, wie Microsoft Office und PDF, in der Info der Datei als Tag gespeichert. Diese Werte können bei anderen Schutzmassnahmen, wie z.B. DLP verwendet werden.

Schritt 4 - Die Remedierung

Bereinigen
Bei der Remedierung geht es darum sicherzustellen, dass primär die Besitzverhältnisse von Dateien mit besonders schützenswerten Daten geklärt sind. Im Weiteren sollen Dateien auf ihren heutigen Ablageort geprüft und gegebenenfalls in einen gesicherten Ort durch Besitzer verschoben werden. Zusätzlich kann auf dieser Basis überprüft werden, ob die gleiche Datei mehrmalig vorhanden ist. So kann der Besitzer ggfs. zur Löschung der Duplikate aufgefordert werden.

Das Monitoring

Nach der Inventarisierung der Datei werden die Aktionen durch Benutzer, welche auf die Datei zugreifen, diese verändern oder löschen, protokolliert. Es folgt ein Abgleich mit vorgegebenen Regelmustern (Security Monitoring Use Case).  Eine Alarmierung bei ungewöhnlichem Verhalten an den Besitzer der Datei ist so sichergestellt (z.B. beim Löschen einer Datei).

Das Reporting

Die Lösung stellt im Security Center (SMC) verschiedene voreingestellte Berichte bereit. Damit kann jederzeit Auskunft über die Art der Daten, die Besitzverhältnisse und Verwendung der Daten erteilt werden.

Das Security Monitor Center (SMC)

Suite für die zentrale Steuerung

shutterstock_SIEM_Klein

Das Security Monitor Center hat verschiede Aufgaben im Rahmen von UDM.

Die Service-Konfiguration
Hier werden die Grundeinstellung der Prozess-Orchestrierung vorgenommen, aber auch die Vorgeben des Unternehmens in Bezug auf Klassifizierungsmerkmale, Datenhaltungsprinzipien (z.B. Schweiz, Cloud etc.), sowie Dateninhaber festgelegt.
Das Service-Mapping
Im SMC wird festgelegt, welche Ablagen in welcher Tiefe gescannt werden sollen, welche Datenkategorien und -attribute als schützenswert zu behandeln sind. Diese Einstellungen werden mit der UDM Applikation synchronisiert.
Das Inventar
Im Inventar sind einerseit die gescannten Dateien mit möglichem senstiven Inhalten, sowie Ordner mit möglichen sensitiven Dateien aufgeführt. Nach dem Qualifizierungsschritt wird das Inventar "Geschützte Dateien" und "Sensitive Ordner" aktiv geführt. Damit kann das Unternehmen jederzeit Auskunft über welche Art Daten wo liegen und wer dafür verantwortlich ist.
Der Qualifizierungs-Workflow
Dieser Workflow bündelt regelmässig neue Scan-Resultate in Umfrage-Batches, welche mit dem UDM Self Service Portal synchronisiert werden. Hier ist ersichtlich welches Umfragelos in welchem Status steckt.
Das UDM Security und Incident Management
Sämtliche Alarme (Alerts) werden im Security Monitor Center (SMC) erstellt und als Event oder Incident zur Analyse, Bewertung und zum Auslösen allfälliger Schutzmassnahmen bereitgestellt. Die unterschiedlichen Aufgaben, wie das Zuteilen von Tickets an Personen (z.B. Security Operations Center), dem Auslösen von Benachrichtigungs-Mails mittels standardisierter Templates, dem Kommentieren von Vorfällen und dem automatisierten Bearbeiten sind im SMC enthalten.

Die Architektur

Unstructured Data Management (UDM)

UDM_Architektur

UDM kann in der bestehenden IT-Infrastruktur beim Kunden oder auf virtuellen Servern bis zu Cloud-basierten Lösungen integriert werden.

Die Technologien – Unsere Service Bausteine für UDM

UDM Management Applikation (Konsole)

Managementsystem für das Steuern der Scan-Jobs auf den Zielsystemen. Im Weiteren steuern der Regeln und Verarbeitung der Resultate, sowie zusätzlich das File Activity Monitoring und das Taggen der Dateien.

Security Monitor Center, Security Event & Incident Management und UDM Self Service Portal

Management Konsole für die Prozess- und Service-Orchestrierung über das zentrale Security Monitor Center (SMC), sowie die Steuerung der Umfragen bei den Mitarbeitenden für die Erhebung der Datenattribute (UDM-SSP).

Haben Sie auch

besonders schützenswerte Daten

in Applikationen, Datawarehouses, Data Lakes und Datenbanken? Besuchen Sie unsere Lösung Data Centric Analytics & Protection (DCAP).

Die auf dieser Seite abgebildeten Software-Produkte Logos sind Eigentum der jeweiligen Hersteller:  Microsoft Corp. Inc, Oracle Inc, Phyton Software Foundation, Linux Family, splunk Inc., Stealthbits Inc. Urheberrechtlich geschützt – Alle Rechte vorbehalten!