Use la política de Defender para aplicaciones en la nube para evitar la fuga de información

En mi artículo anterior, expliqué cómo usar Defender para aplicaciones en la nube para evitar la fuga de información para Microsoft 365 y aplicaciones de terceros. Esta vez, me gustaría profundizar en algunas políticas que pueden mejorar la seguridad y el cumplimiento de las aplicaciones protegidas por Defender for Cloud Apps.

Defender for Cloud Apps incluye varias políticas diferentes para abordar diferentes escenarios. Los detalles se pueden encontrar en la documentación de Microsoft. En este artículo, nos centramos en cómo aplicar las políticas de archivo y sesión de Defender for Cloud Apps en algunas situaciones comunes.

Evitar la carga/descarga de archivos maliciosos

Defender for Cloud Apps es esencialmente un proxy inverso que se encuentra frente a sus aplicaciones en la nube. No existe un lugar perfecto para verificar si los archivos que los usuarios desean cargar o descargar contienen contenido malicioso, pero Defender for Cloud Apps puede hacer el trabajo. Puede configurar una política de sesión para analizar todos los archivos con el motor de detección de amenazas integrado antes de que el archivo llegue a las aplicaciones en la nube subyacentes. Lo mismo se aplica para descargar archivos desde aplicaciones en la nube.

Una política de sesión de Defender for Cloud Apps controla qué hacer cuando el tráfico pasa a través de su «proxy inverso». Se admiten muchas acciones, como buscar archivos maliciosos durante las cargas y descargas del usuario, o impedir que un usuario realice algún tipo de actividad, como:

  • Realice una verificación de DLP contra la copia y pegado de texto desde y hacia el archivo almacenado en SharePoint Online o OneDrive y luego evite que los usuarios copie y pegue. Por ejemplo, puede impedir que los usuarios copien y peguen números de pasaporte desde/al documento.
  • Cuando los usuarios están fuera de la red corporativa, también puede evitar que descarguen los archivos. Este es un escenario de uso muy común para Defender for Cloud Apps en casi todos mis clientes

Para implementar el bloqueo de carga de malware en Microsoft 365 o cualquier aplicación SaaS protegida por Defender para aplicaciones en la nube, creamos una política de sesión como la política que se muestra en la Figura 1. Para facilitarnos la vida, Microsoft incluye una serie de plantillas en Defender para aplicaciones en la nube, por lo que solo necesitamos modificar la plantilla para adaptarla a nuestro escenario. Usemos la plantilla Bloquear carga de malware potencial como punto de partida.

Figura 1: Acciones y alertas para la política de sesión

En la política de sesión, especificamos el tipo de aplicaciones para escanear y las acciones a tomar. En la política que se muestra en la Figura 1, decidí solo escanear y bloquear cualquier archivo malicioso detectado. Debe inscribir las aplicaciones en la nube en Defender para aplicaciones en la nube antes de poder usar la directiva de sesión. La inscripción significa que Defender for Cloud Apps inspeccionará y procesará todo el tráfico entrante y saliente para permitir que funcione la política de sesión.

La Figura 2 muestra lo que ve un usuario si intenta cargar un archivo con malware en SharePoint Online.

Figura 2: Bloquear carga de mensaje de malware potencial

Política de contenido para bloquear copiar y pegar y restringir el acceso al navegador

Otra solicitud muy común de mis clientes cuando llevamos a cabo un proyecto de implementación de Microsoft 365 es permitir que los usuarios accedan a los datos corporativos incluso cuando están fuera de la red corporativa, pero solo a través de Office Web Apps. Además, algunos de mis clientes solicitan bloquear la capacidad de copiar y pegar cuando los usuarios editan archivos fuera de la red corporativa o usan un dispositivo que no es proporcionado por la empresa.

Una vez más, aprovechamos la plantilla Block Upload of Potential Malware (basada en Microsoft Threat Intelligence) proporcionada por Microsoft para crear la solución. La Figura 3 muestra una política de ejemplo que detecta si el contenido que el usuario copió incluye información confidencial (como un número de tarjeta de crédito) y luego evita que copie y pegue en el portapapeles a través de aplicaciones compatibles (es decir, navegadores). La detección se puede basar en el tipo de información confidencial de Microsoft 365, EDM o el propio tipo de contenido de Defender for Cloud Apps.

Figura 3: Condiciones en la política de Defender para aplicaciones en la nube para diferenciar el tipo de dispositivo.

La clave aquí es cómo diferenciar entre dispositivos corporativos y no corporativos. Una forma de hacerlo es a través de la integración de Intune. Puede ver que las condiciones de coincidencia de actividad incluyen una condición para excluir cualquier dispositivo que sea compatible con Intune (es probable que solo los dispositivos aprobados por la empresa tengan este estado) o a través de un certificado digital emitido durante el proceso de inscripción. Personalmente, siempre elijo la condición de indicador compatible con Intune, ya que es más fácil de implementar.

Ahora que tenemos la política para bloquear copiar y pegar, probemos en acción. Inserté algunos números de «tarjeta de crédito falsa» que coinciden con las condiciones definidas en el tipo de información confidencial en un documento e intenté copiarlo y pegarlo. La Figura 4 muestra el error resultante.

Figura 4: Bloquear mensajes para la acción

Para evitar las descargas de archivos, necesitamos otra política similar a la que se muestra en la Figura 5, que se basa en la descarga de bloques que se ve en la plantilla de política de inspección de contenido en tiempo real.

Figura 5: Política que filtra según la dirección IP

Tenga en cuenta que en esta política, agregamos una condición que establece que solo queremos evitar las descargas cuando un usuario está fuera de la red corporativa. Recuerde agregar los rangos de IP que pertenecen a la red corporativa en Defender for Cloud Apps para que la sesión pueda clasificarse como proveniente de la red corporativa. Desafortunadamente, los rangos de IP no se comparten entre Intune y Defender para aplicaciones en la nube. Para agregar rangos de IP a la lista de redes de Defender for Cloud Apps, puede usar el enlace Administrar rangos de direcciones IP al definir la política (figura 6).

Figura 6: Administrar el rango de direcciones IP de la política de Defender para aplicaciones en la nube

Eliminar automáticamente archivos compartidos huérfanos

Otra política muy útil es la capacidad de detectar archivos compartidos (o enlaces) en SharePoint o OneDrive. Los usuarios a menudo comparten archivos y luego olvidan que los archivos están compartidos, lo que crea un riesgo potencial de fuga de información. Defender para aplicaciones en la nube incluye una política llamada Política de archivos para escanear todos los archivos en las aplicaciones en la nube compatibles (como SharePoint y OneDrive) y buscar condiciones de coincidencia de archivos.

Por ejemplo, para detectar archivos compartidos durante más de 90 días y detener el uso compartido, podemos crear una política de archivos como la que se muestra en la Figura 7.

Figura 7: Condiciones de filtro para políticas de archivos en Defender para aplicaciones y acciones en la nube compatibles

Las acciones disponibles dependen de las aplicaciones en la nube. En el caso de SharePoint y OneDrive, Defender for Cloud Apps puede enviar un resumen de lo que encontró (archivos compartidos durante 90 días) y eliminar el enlace compartido. También puede hacer otras cosas, como poner el archivo en cuarentena (es decir, ocultar los archivos a los usuarios y solicitar que un administrador verifique y libere el archivo). Mis clientes a menudo encuentran útil esta capacidad para ayudar a administrar el uso compartido en SharePoint y OneDrive.

Aproveche al máximo Defender para aplicaciones en la nube

Muchas organizaciones consideran a Defender para aplicaciones en la nube como un agente de sesión de aplicaciones en la nube (CASB) de monitoreo o simple para bloquear el acceso. Pero Defender for Cloud Apps contiene otras gemas ocultas que puede aprovechar, como las capacidades de políticas mencionadas en este artículo. Además, las funciones mencionadas en este artículo también son compatibles con otras aplicaciones de terceros, como salesforce.com o slack, que admiten el mismo nivel de Análisis para evitar posibles filtraciones de información entre diferentes aplicaciones. Un ejemplo de dicha fuga de información sería copiar y pegar información personal de Microsoft 365 a Slack y compartirla.