制定数据安全计划以增强合规性并降低数据风险仍然是安全和风险管理领导者关注的问题。这项研究阐明了 Microsoft 的数据安全许可结构,并确定了围绕 Purview 构建数据安全计划的关键要素。
主要发现
-
客户对微软数据安全的询问表明,安全和风险管理 (SRM) 领导者难以解读微软许可模型,并且通常不确定其组织的许可级别中包含哪些数据安全技术和功能。
-
对于拥有 Microsoft 365 (M365) A/E/G3 及以下版本授权的 Microsoft 客户,当前的许可模式仅提供对基本数据安全功能的访问。对全面数据安全控制感兴趣的客户需要购买附加组件、升级到更昂贵的许可层或考虑使用 Microsoft 数据安全功能的第三方替代方案。
-
M365 中的数据治理和安全仍然是一项重大挑战。在 Gartner 的 2023 年 Microsoft 365 调查中,近 60% 的受访者表示,过度共享、数据丢失和内容蔓延是其组织 M365 环境面临的最大风险之一。在部署 Microsoft Copilot for Microsoft 365 (M365 Copilot)时如果不先采取措施解决这些风险,将大大增加这些风险。
建议
负责 Microsoft 应用程序和数据安全的 SRM 领导者必须:
-
通过确定主要数据安全需求和用例,并将原生 Microsoft Purview 功能与替代方案的成本进行比较,估算数据安全程序的成本和许可要求。
-
部署Microsoft 的原生数据安全控制来解决核心用例,在缺乏原生 Microsoft 功能或成本过高时通过第三方解决方案进行补充。
-
使用 Microsoft Purview 信息保护和数据丢失防护对敏感数据进行分类和保护,以满足数据安全性和合规性要求,并降低过度共享和意外发现敏感数据的风险。
介绍
在 Gartner 2023 年 Microsoft 365 调查的一个问题中,IT 领导者被问到“您认为贵组织部署 Microsoft 365 面临的最大挑战/风险是什么?” 59% 的受访者认为过度共享和数据丢失是其组织部署 M365 面临的三大风险之一(见图 1)。
图 1:Microsoft 365 部署面临的最大挑战/风险
Microsoft 的 Purview 数据安全产品和许可非常复杂,难以理解。SRM 领导者经常难以理解原生数据安全功能如何支持他们的数据安全计划。
在客户咨询中,SRM 领导也表达了对高级 Purview 功能需要顶级 E5 捆绑许可证或 E5 合规性附加组件的不满。他们很难接受微软在预览和正式发布前几个月就宣布功能并对技术控制进行更改。因此,很少有 SRM 领导使用 Microsoft 套件建立数据安全程序,这并不奇怪。有太多混乱和太多变动部分。
对于一些 SRM 领导者来说,现有的数据安全风险因 Microsoft Copilot 系列(尤其是 M365 Copilot)而变得更加严重和复杂,而 M365 Copilot 是当今最紧迫的业务请求。Gartner 的 Microsoft 365 IT 领导者调查还发现,82% 的受访者将M365 Copilot 列为其组织最有价值的 M365 新功能前三名之一。如果数据安全和治理控制未能及时妥善协调,M365 Copilot 可能会引入或加剧数据暴露风险,从而给组织造成无法挽回的业务、财务和声誉损害。
SRM 领导者可以通过结合使用有效的权限、访问控制和 Microsoft Purview 敏感度标签来解决这些问题。在部署敏感度标签时,Gartner 建议重点关注高风险部门和用户(例如人力资源或财务团队)。需要注意的是,大规模推出敏感度标签需要大量时间和资源。SRM 领导者应考虑使用适用于 M365 的第三方治理和安全产品,这些产品可以通过比仅依赖原生 Microsoft 控件更快地定位和降低风险来帮助加快价值实现时间。
正确协调数据安全和治理控制需要确定数据安全和治理的组织用例,评估已获得许可的控制,优先考虑本机功能而不是第三方解决方案,并将控制与定义的用例关联起来。
分析
Microsoft Purview 提供的技术和功能因许可而异,用于解决 M365 数据安全、治理以及风险和合规性管理问题。Microsoft Purview 产品套件包括:
-
自适应保护
-
审计
-
沟通合规性
-
合规经理
-
数据生命周期管理
-
数据防泄露
-
电子取证
-
信息保护
-
内部风险管理
-
统一数据治理
由于 Purview 套件内的控制范围广泛,本研究重点关注数据丢失防护和信息保护产品,因为它们与数据安全有直接或间接关联。
将许可证权利与组织用例关联起来,并将定价与替代方案进行比较
大多数组织都为知识型员工和一线员工提供多种许可证级别。要开始将许可证权利与数据安全用例关联起来,SRM 领导者应该与 IT 采购和 M365 管理员合作,以了解数据安全项目范围内员工的当前许可证级别。
2023 年 Gartner Microsoft 365 调查显示,只有 30% 的受访者报告其组织为所有员工授予了 A/G/E5级别的许可。由于 Microsoft 许可层之间的权利存在差异,SRM 领导者应通过比较项目范围中确定的内部用户的通用许可级别来为其组织的数据安全计划做好准备。这将有助于确定组织有权部署哪些 Microsoft Purview 控件。
在拥有 E5 许可证的组织中,不到 10% 的受访者认为他们从对 Microsoft 365 的投资中获得了全部价值,而拥有 E5 许可证的组织中 56% 的受访者认为他们从对 Microsoft 365 的投资中没有获得任何价值。这可能会导致对实际上是搁置软件的过度支出。
重新分配许可证以优化成本/功能并与用例和角色保持一致
由于Microsoft 许可相关的成本以及许可证分配错误可能产生的影响,SRM 领导者必须与组织的 M365 管理员合作进行许可审查。此审查有助于确定组织的数据安全要求是否提供了调整规模和降低成本的机会,或者将许可证重新分配给可能需要特定功能的用户。例如,拥有 E3 许可证、处理高风险敏感数据的数据分析师应分配 E5 许可证,而不是不处理敏感数据的一线主管。为了优化成本,一线主管应该拥有 F3、F5 或 E3 许可证,具体取决于其他要求。
Gartner 发现,许多拥有 E5 许可证的组织并未积极使用他们为此付出高价的高级安全功能。为了提高投资回报率,SRM 领导者必须与 IT 和/或采购团队合作开发角色,并通过向每个用户分配正确的许可证来避免过度许可。SRM 领导者应与他们的 M365 管理员和/或 IT 团队合作,以确定任何未使用的关键 M365 功能,如果启用这些功能可能会提供价值,如果启用这些控件的好处再次与特定业务目标相一致,则选择这样做。
对于考虑升级到 A/E/G5 的组织,SRM 领导者应确定升级成本,并将其与针对确定的数据安全用例购买第三方技术的成本进行比较。从 A/E/G5 许可中包含的功能中获取价值还需要考虑其他因素,例如资源分配和实施时间表,因为许可成本只是升级或替换现有 Microsoft 许可的一个因素。有意升级到 E5 捆绑包以实现安全性和合规性的 SRM 领导者必须确保他们拥有实施这些功能的资源和专业知识。
考虑现有的Microsoft 控件并补充第三方解决方案
考虑以 Microsoft 为中心的数据安全策略的 SRM 领导者应采取分阶段的方法,在组织内构建数据安全控制。这种方法通常分为三个特定阶段。
充分利用许可功能
尽管顶级 M365 A/E/G5 或 M365 A/E/G5 合规性附加许可证中包含高级 Purview 功能,但较低级别的许可证中也包含基础数据安全功能,具体而言是数据丢失防护 (DLP) 和数据分类功能的子集。对于没有立即升级到顶级 E5 许可证的组织,Microsoft 还提供迷你许可包,这是 E5 合规性包的一个子类别。这些包括 M365 E5 信息保护和治理、M365 E5 内部风险管理和 M365 E5 电子数据展示和审计,可能比升级到顶级 E5 许可证更具成本效益。
在 SRM 领导者确定许可证授权和所包含的产品功能后,他们应该评估使用原生 Microsoft 功能来满足每个角色和组织用例的数据安全需求的有效性。虽然这可能会导致供应商锁定并降低谈判筹码,但它将提高投资回报率,减少与管理多个供应商、合同和工具相关的开销,并最大限度地降低与使用第三方解决方案相关的兼容性和支持风险。
首先评估原生 Microsoft Purview 功能
然而,大多数组织不仅仅使用 Microsoft 服务;它们将数据存储在多个云和 SaaS 提供商中并使用它们。因此,负责使用 Microsoft 保护其组织数据的 SRM 领导者必须确定 Purview 中的功能是否足以满足其组织提出的数据安全策略。这可能很难确定,因为 Microsoft在与第三方服务集成之前主要关注其生态系统内的集成和功能。截至本文撰写时,它们的集成深度因来源而异。
希望保护 Microsoft 应用程序之外的数据的SRM领导者可以使用 Microsoft Defender for Cloud Apps (MDCA) 中的 Purview 功能,但可能需要补充第三方解决方案。例如,MDCA 支持 Dropbox 的实时 DLP 扫描,但目前不支持 Microsoft Purview 信息保护 (MPIP) 敏感度标签。相比之下,虽然 Microsoft 支持存储在 Google Workspace 中的数据的 MPIP 敏感度标签,但它目前不支持实时 DLP 扫描,因为 Google 将该功能限制在其企业许可层级。
对于将数据存储在多个云、各种非 Microsoft SaaS 应用程序或本地的组织,功能差异使数据分类和标记以及 DLP 策略检测和实施变得复杂。有关最新的集成和支持。
由于 Microsoft Purview 包含的功能范围广泛,因此许多市场上都有 Purview 的替代品,包括 DLP、内部风险管理、安全服务边缘 (SSE)、数据安全平台 (DSP) 和数据安全态势管理 (DSPM)。
使用第三方解决方案补充缺失或成本过高的原生功能
尽管 Microsoft Entra Internet Access 提供了具有域级 Web 内容过滤功能的安全 Web 网关,但 Microsoft 目前还没有通过网络协议过滤数据传输的解决方案。
Purview 也不包含通过 Web 代理实现的网络 DLP 功能。但是,它确实提供了临时的网络 DLP 功能,即过滤上传到受限云服务或受支持的浏览器的敏感数据,并检测用户试图访问项目或在受支持的浏览器中粘贴内容的行为。这些功能包含在端点 DLP 解决方案中,可将检测范围扩展到端点出口通道之外。
除了网络 DLP 检测用例之外,Purview 和 Defender for Endpoint 中提供的端点 DLP 功能还包括通过以下方式检测数据泄露尝试:
-
打印活动
-
USB 可移动设备传输
-
网络共享传输
-
将操作复制到剪贴板
-
使用未经允许的蓝牙应用进行复制和移动操作
-
使用远程桌面会话复制和移动操作
-
创建和重命名文件
请注意,其中一些功能可应用于 Windows 和 macOS 端点,具有可审计和可限制的操作,但仅限于 macOS 最新发布的三个主要版本。对于具有基本 DLP 用例的组织,Microsoft Purview 可以提供足够的控制以确保合规性。具有高级 DLP 要求的组织可能需要寻求补充解决方案。
更广泛地说,需要全面数据安全性(超出 Microsoft Purview 所能提供的范围)的 SRM 领导者应该寻找能够通过第三方产品增强Purview 基础数据分类和安全功能的解决方案。这可以通过消除对重复基础技术的需求来帮助降低总体拥有成本。增强的企业数字版权管理 (EDRM)、内部风险和 DLP 控制可以扩展和增强 Purview 的数据安全功能。
在企业或集成 Purview DLP 方法之间进行选择
部署 Microsoft Purview DLP 有两种基本方法:企业 DLP 或集成 DLP。考虑企业 DLP 的 SRM 领导者选择使用 Microsoft Purview 的所有 DLP 功能,以及 Microsoft Purview 合规门户中的集中管理控制台。集成 DLP 方法需要从 Purview 产品组合中选择一两个特定于渠道的解决方案与第三方工具相结合,并从 Microsoft Purview 合规门户管理 Microsoft DLP 部署。例如,这可能看起来像使用 Purview 电子邮件和端点 DLP 来减轻 Exchange Online 和 Windows 端点上数据丢失的风险,但也投资于用于网络 DLP 的第三方安全 Web 网关和用于云 DLP 的第三方云原生 DLP(见图 2)。
图 2:Microsoft 数据丢失预防方法
Microsoft 产品组合的功能与第三方解决方案相比缺乏对等性,再加上 Microsoft 的快速开发路线图和功能发布,要求 SRM 领导者认真评估 Purview 控制是否符合其组织的数据安全用例。这包括评估许可权利之间的不同功能,以决定 Microsoft Purview 是否足够,或者是否需要补充第三方解决方案。如果 Microsoft 增加功能或扩大覆盖范围,则应每年重新评估以降低成本和复杂性。如果本机功能不够,请考虑使用第三方电子邮件、端点、电子邮件和/或云 DLP 工具来补充 Microsoft Purview 的现有功能。
通过对数据进行分类和保护来满足合规性要求并降低M365 Copilot带来的风险
SRM 领导者传统上投资于数据分类和安全以遵守隐私法规。虽然这仍然是 Gartner 客户面临的主要挑战和关注点,但M365 Copilot 的兴起既增加了对全面数据分类和安全程序开发的需求,也增加了挑战。为 GenAI(包括 M365 Copilot)准备数据不在本研究范围之内。
在 2023 年 Gartner Microsoft 365 IT 领导者调查中,超过 80% 的受访者表示 M365 Copilot 将成为其组织最有价值的三大新 M365 功能,尽管 SRM 角色也是调查参与者的一部分,但他们只占受访者的绝大多数,仅为 4%,其中大多数是 IT 基础设施和运营角色,占37 %(见图 3)。
图 3:最有价值的 Microsoft 365 新功能
许多 SRM 领导者都认识到 M365 Copilot 对其组织数据安全态势的影响。M365 Copilot 简化了员工查找、创建、使用和理解数据及其他内容的方式。M365 数据治理不成熟的组织面临着过度共享和权限不足的内容风险,而 M365 Copilot 可以通过正确的提示快速轻松地揭露这些内容。业务需求的增加加剧了这种风险,因为 Gartner 客户报告称,M365 Copilot 的购买和部署通常由高管领导进行,而没有 SRM 领导者的意见。
发现并分类敏感数据
为了有效地为 M365 Copilot 做好准备,在保护敏感数据之前,SRM 领导者首先需要发现敏感数据是什么以及它在哪里。数据分类可以让你了解敏感数据在哪里,有助于提高下游控制、DLP 或其他方面的准确性,并协助在为 M365 Copilot 做准备时进行适当的访问治理控制。
SRM 领导者应从数据分类开始,但要认识到数据分类本身并不是一项安全控制措施,如果将其作为独立目标引入,则对组织的安全、隐私或治理计划几乎没有价值。独立于业务计划开展数据分类工作的 SRM 领导者通常会发现数据分类工作不成功且不完整。使用 Microsoft Purview 保护数据从数据分类开始,但也必须与其他目标相关联,并在更广泛的利益相关者社区的意见下进行开发。
实施敏感度标签
Microsoft 的共享功能使在组织内部和外部过度共享内容变得容易。很少有组织调整适当的共享设置以符合最小权限最佳实践。
这些设置取决于数据分类,这就是为什么 SRM 领导者必须首先确定数据的敏感度。敏感度标签通常包含在数据分类练习中,是组织数据安全策略的关键组成部分,可应用于 Teams 和网站中个人和团体拥有的文件。敏感度标签可以通过添加水印和加密来防止未经授权的访问,并且是下游 DLP 控制的基础。
它们还通过明显标记文件(例如公共、内部、机密或受限)并根据组织数据处理策略描述适当的用途来帮助提高员工教育和意识。例如,“受限”文件只能在数据所有者同意的情况下与授权个人共享。
敏感度标签会保留在文件中,即使文件被移动或共享到其他地方,并且作为 Purview 软件包的一部分,可以通过加密提供本机保护,同时仍允许在加密文档上进行协作。使用 E3,管理员可以发布敏感度标签,以便员工手动应用于文件。使用 E5 或 E5 合规性权利,可以根据文件的特定内容(文本或模式,例如社会保障或信用卡号、文件属性或元数据)自动应用标签。
在数据分类方面,Microsoft Purview 有替代方案,覆盖范围更广,而且成本通常低于许可证升级到 E5。替代方案包括 BigID、Spirion 和 Varonis,这些供应商支持并集成 Microsoft Purview 敏感度标签。
当数据分类作为独立目标引入时,它对组织的安全、隐私或治理计划几乎没有价值。
确定哪些数据是敏感数据、这些敏感数据位于何处以及限制对这些敏感数据的访问是安全使用 M365 Copilot 的基础。M365 Copilot 旨在根据员工的访问权限通过 Microsoft Graph(M365 背后的 API 和数据层)访问 M365 应用程序中包含的组织数据。其响应将包括来自文档、网站、页面、电子邮件、聊天和会议的任何可用和可访问的信息。
使用适当的访问控制来限制员工有权访问的内容也是关键,因为 M365 Copilot 尊重通过敏感度标签和 DLP 策略强制执行的所有访问控制。为了获得更全面的视图,拥有 E5 授权的组织可以使用 Windows Defender 扫描整个 M365 环境中的文件并报告调查结果。SRM 领导者可以使用过滤器来显示内容在组织内部和外部的共享方式。如果使用 Microsoft Purview 信息保护,他们还可以按已标记敏感度标签的文件进行过滤,这应该可以进一步了解敏感内容是否被过度共享。
防止数据过度共享的最有效策略需要更改默认共享设置以限制过度共享的文件,启动数据分类工作以发现和分类敏感数据,利用 DLP 控制对被视为敏感的数据实施限制,并经常查看共享报告以识别和解决不合规问题。应用这些措施将解决敏感数据被员工和 M365 Copilot 访问的风险。
过度共享是 M365 Copilot 面临的一种信息风险,而这项工作并未解决其他风险(如不准确、蔓延和错误)。
7752
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
