Sử dụng Microsoft 365 Advanced Audit và Advanced eDiscovery để giảm thiểu vi phạm dữ liệu doanh nghiệp

Tư vấn Sản Phẩm

Tất cả các tiêu chuẩn như GDPR, HIPPA, GLBA được áp dụng khi có yêu cầu báo cáo vi phạm quyền riêng tư (privacy). Nếu một tổ chức gặp sự cố vi phạm thông tin cá nhân của khách hàng hoặc nhân viên, họ phải báo cáo trong khung thời gian bắt buộc. Quy mô và phạm vi của nỗ lực báo cáo này có thể rất lớn. Việc sử dụng Microsoft 365 Advanced AuditAdvanced eDiscovery để hiểu rõ hơn về phạm vi vi phạm có thể giảm thiểu gánh nặng cho khách hàng cũng như chi phí tài chính và uy tín cho doanh nghiệp.

Toàn cảnh quyền riêng tư (privacy) đang thay đổi

Năm 2005, ChoicePoint, một công ty tổng hợp dữ liệu tài chính có trụ sở tại Georgia, đã vi phạm dữ liệu của 145.000 khách hàng của mình.

Kể từ thời điểm đó, tất cả 50 Tiểu bang của Hoa Kỳ đã áp dụng luật thông báo vi phạm quyền riêng tư bắt buộc. Các quốc gia ở Châu Mỹ, Trung Đông, Châu Âu và Châu Á đã áp dụng các tiêu chuẩn về quyền riêng tư bao gồm thông báo vi phạm bắt buộc. Các quy định rộng hơn giải quyết vấn đề này bao gồm Đạo luật về quyền riêng tư của người tiêu dùng của California (California Consumer Privacy Act), Đặc điểm bảo mật thông tin cá nhân của Trung Quốc (China’s Personal Information Security Specification), Lei Geral de Proteção de Dados Pessoais của Brazil (LGPD) và Quy định bảo vệ dữ liệu chung của Châu Âu (GDPR -European General Data Protection Regulation). Với tần suất bổ sung hoặc cập nhật các luật này, bất kỳ tổ chức/doanh nghiệp nào cũng khó theo kịp. Là một giải pháp, Trình quản lý Tuân thủ Compliance Manager Microsoft 365 cung cấp một tập hợp các đánh giá được cập nhật liên tục (174 và đang phát triển) để hỗ trợ khách hàng doanh nghiệp đáp ứng các tiêu chuẩn về quyền riêng tư khách hàng.

Rủi ro kinh doanh cấp hội đồng quản trị

Rủi ro về uy tín và tài chính đối với một công ty do vi phạm quyền riêng tư (privacy) có thể rất lớn.

Theo một danh sách do Viện Infosec tổng hợp, chi phí trung bình cho một vụ vi phạm dữ liệu vào năm 2019 là 3,9 triệu đô la nhưng có thể lên tới 2 tỷ đô la trong những trường hợp như vụ vi phạm Equifax năm 2017.

Thiệt hại về danh tiếng liên quan đến việc vi phạm thông tin cá nhân hoặc doanh nghiệp của khách hàng, nhân viên hoặc các bên liên quan khác có thể làm giảm đáng kể giá trị của công ty.

Phạm vi thông báo (nếu cần) và biện pháp khắc phục phụ thuộc vào việc hiểu rõ phạm vi vi phạm một cách kịp thời. Trong trường hợp không có thông tin đáng tin cậy, các công ty cần đưa ra các giả định trong trường hợp xấu nhất có thể dẫn đến thông báo lớn hơn, chi phí cao hơn và gây khó khăn không cần thiết cho khách hàng và các bên liên quan khác.

Sử dụng Microsoft 365 Advanced Audit và Advanced eDiscovery để giảm thiểu vi phạm dữ liệu doanh nghiệp

Chuẩn bị cho trường hợp vi phạm

Là các chuyên gia về bảo mật và tuân thủ, ưu tiên của Microsoft là tránh vi phạm bằng chiến lược bảo vệ chuyên sâu bao gồm kiến trúc Zero Trust

Microsoft có các giải pháp bảo mật toàn diện cho Microsoft 365, cũng như các giải pháp quản lý rủi ro và tuân thủ (compliance) theo compliance pillar framework:

Sử dụng Microsoft 365 Advanced Audit và Advanced eDiscovery để giảm thiểu vi phạm dữ liệu doanh nghiệp

Chúng ta cũng phải chuẩn bị cho các vi phạm ngay cả khi đã có các biện pháp. Một phần của quá trình chuẩn bị đó là đặt doanh nghiệp vào vị trí để xử lý vi phạm và hạn chế tác động. Điều này có nghĩa là đảm bảo có sẵn tín hiệu và quản lý dữ liệu trước khi vi phạm xảy ra. Các chuyên gia bảo mật biết rằng họ phải triển khai các giải pháp như Ngăn chặn mất dữ liệu (Data Loss Prevention), tường lửa (firewall) và mã hóa (encryption) để bảo vệ khỏi các cuộc tấn công, nhưng nhóm bảo mật có thể không tập trung nhiều vào việc audit data và lưu giữ dữ liệu kiểm tra phù hợp.

Sử dụng Microsoft 365 Advanced Audit và Advanced eDiscovery để điều tra các tài khoản bị xâm phạm

Giải pháp Microsoft 365 Advanced Audit cung cấp một loạt dữ liệu tập trung vào những gì sẽ hữu ích để phản hồi các sự kiện quan trọng và điều tra chi tiết. Giải pháp này lưu giữ dữ liệu trong một năm (thay vì lưu giữ 90 ngày tiêu chuẩn), có một tùy chọn để kéo dài thời gian lưu giữ lên mười năm. Điều này giữ cho các audit logs luôn sẵn sàng cho các cuộc điều tra kéo dài và để đáp ứng các nghĩa vụ pháp lý và quy định.

Những sự kiện (events) quan trọng này có thể giúp bạn điều tra các vi phạm có thể xảy ra và xác định phạm vi ảnh hưởng. Kiểm tra nâng cao cung cấp các sự kiện (events) quan trọng sau:

  • MailItemsAccessed: Được kích hoạt khi dữ liệu thư được truy cập bởi các giao thức thư và ứng dụng thư.
  • Send: Được kích hoạt khi người dùng gửi, trả lời hoặc chuyển tiếp một email.
  • SearchQueryInitiatedExchange: Được kích hoạt khi người dùng tìm kiếm các mục trong hộp thư Exchange.
  • SearchQueryInitiatedSharePoint: Được kích hoạt khi người dùng tìm kiếm các mục trong trang SharePoint của tổ chức.

Có các chính sách cảnh báo mặc định được tích hợp sẵn sử dụng dữ liệu Kiểm tra nâng cao (Advanced Audit data) để cung cấp nhận thức về tình huống thông qua cổng tuân thủ và bảo mật của chính Microsoft 365, thông qua SIEM cloud-native  Azure Sentinel của Microsoft hoặc thông qua SIEM bên thứ ba của khách hàng. Khách hàng cũng có thể tạo cảnh báo tùy chỉnh để sử dụng dữ liệu kiểm tra.

Hãy xem cách khách hàng có thể sử dụng Kiểm tra nâng cao (Advanced Audit data) để điều tra tài khoản bị xâm nhập và xác định phạm vi vi phạm dữ liệu:

Khi chiếm đoạt tài khoản, kẻ tấn công sử dụng tài khoản người dùng bị xâm phạm để có quyền truy cập và hoạt động như là chính người dùng đó.

Nếu email của người dùng có thông tin bí mật của khách hàng hoặc các bên liên quan khác, doanh nghiệp cần biết liệu email này có bị truy cập trái phép hay không. Việc cần làm là tách quyền truy cập hợp pháp của chủ sở hữu hộp thư trong quá trình bị chiếm đoạt tài khoản khỏi quyền truy cập của kẻ tấn công. Với Kiểm tra nâng cao (Advanced Audit data), doanh nghiệp có thể hoàn toàn làm được điều này.

MailItemsAccessed sẽ cho biết mục hộp thư đã được truy cập bằng giao thức thư hay chưa. Nó bao gồm thư được truy cập bằng cả đồng bộ và liên kết (sync & bind). Trong trường hợp truy cập đồng bộ (sync), thư được truy cập bằng phiên bản desktop của ứng dụng client Outlook dành cho Windows hoặc Mac. Trong truy cập liên kết (bind), InternetMessageId của tin nhắn riêng lẻ sẽ được ghi lại trong hồ sơ kiểm tra (audit record).

Giải pháp của Microsoft có khả năng phân tích chính xác quyền truy cập thư qua ứng dụng client trên desktop hoặc qua Outlook Web Access.

Sử dụng Microsoft 365 Advanced Audit và Advanced eDiscovery để giảm thiểu vi phạm dữ liệu doanh nghiệp

Chúng ta cũng cần phân biệt giữa quyền truy cập hợp pháp của chủ sở hữu hộp thư vào một mục thư trong khoảng thời gian bị tấn công và quyền truy cập của kẻ tấn công. Doanh nghiệp có thể thực hiện việc này bằng cách kiểm tra audit records  để xem ngữ cảnh của truy cập, bao gồm ID phiên và địa chỉ IP được sử dụng để truy cập. Giải pháp sẽ khớp những hồ sơ này với các hồ sơ audit khác.

Kiểm tra nâng cao (Advanced Audit) giữ lại các sự kiện (events) khác như Teams Joins, File Accessed, Messages Sent, Searches Queries và nhiều sự kiện khác có thể hỗ trợ phân tích vi phạm.

Khi đã xác định đúng phạm vi dữ liệu mà kẻ tấn công có quyền truy cập, bược tiếp theo là đi sâu hơn và kiểm tra nội dung.

Với Advanced eDiscovery, tất cả email, tài liệu, Microsoft Teams và các tương tác với Yammer của tài khoản đã được tiếp quản đều có thể thu thập dữ liệu. Chúng tôi có thể tìm kiếm thông tin secret và metadata để xác định tài liệu được đề cập:

Sử dụng Microsoft 365 Advanced Audit và Advanced eDiscovery để giảm thiểu vi phạm dữ liệu doanh nghiệp

Hỗ trợ metadata cho mỗi mục, đối với email, bao gồm InternetMessageID cũng như nhiều mục khác như từ (from), đến (to) và thời điểm được gửi, và bất kỳ nhãn nhạy cảm Bảo vệ Thông tin (sensitivity label) nào của Microsoft.

Advanced Audit & Advanced eDiscovery là một phần quan trọng của chiến lược tuân thủ và rủi ro bảo mật hiệu quả. Các công cụ gốc (native tools) Microsoft 365 này cho phép khách hàng hiểu phạm vi thực sự của vi phạm. Giải pháp có khả năng làm giảm đáng kể hoặc loại bỏ các yêu cầu báo cáo bắt nguồn từ một tài khoản bị xâm phạm. Advanced Audit còn có thể giảm thiệt hại về tài chính và uy tín cho công ty, khách hàng, nhân viên, đối tác và các bên liên quan khác.

Có thể bạn quan tâm:

Bài viết liên quan

Pin It on Pinterest