>_AYSOLI SECURITY HUB
THREAT AREA

Endpoint & Device DLP

Das Endgerät des Benutzers ist der Ort, an dem Daten am häufigsten die Organisation verlassen. Ein wirksames Endpoint DLP schützt Daten dort, wo sie verarbeitet werden, auch wenn das Gerät offline ist.

Deine Strategie

Implementiere restriktive Richtlinien für unverschlüsselte Wechseldatenträger und unmanaged Cloud-Speicher. Nutze Deep-Kernel-Integrationen, um Datenbewegungen auf Dateisystem-Ebene in Echtzeit zu überwachen und bei Verstössen zu blockieren.

Best Practices

  • Browser-Security: Erzwinge die Nutzung von verwalteten Browsern, die DLP-Regeln für Uploads und Copy/Paste unterstützen.
  • Device Health: Kopple DLP-Berechtigungen an den Compliance-Zustand des Geräts.
  • Selective Wipe: Stelle sicher, dass Firmendaten auf verlorenen Geräten sofort und gezielt gelöscht werden können.

STRIDE-LM Design-Risiken

SpoofingS-01

Identity Spoofing

Angreifer gibt sich als legitimer Benutzer oder Partner aus.

TamperingT-01

Data Tampering

Unbefugte Änderung von geteilten Daten oder Konfigurationen.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-DLP-01

Insider Data Theft

Bewusster oder unbewusster Abfluss von Daten durch interne Personen.

Information DisclosureI-DLP-02

USB & Peripheral Exfiltration

Datenabfluss über physische Schnittstellen.

Information DisclosureI-DLP-03

Encrypted Channel Exfiltration

Abfluss von Daten über verschlüsselte, nicht einsehbare Kanäle.

Denial of ServiceD-01

Resource Exhaustion

Überlastung von Systemen durch massenhafte Anfragen oder Ressourcen-Hogging.

Monitoring GapsM-01

Insufficient Logging

Fehlende oder unzureichende Aufzeichnung von sicherheitsrelevanten Ereignissen.

MITRE ATT&CK® Techniken

Initial Access
T1566

Phishing

ATT&CK

Zustellung schädlicher Inhalte über elektronische Kommunikation.

Mitigiert durch
Endpoint Compliance (Intune)GrundschutzMittel
CIS: 4.1NIST: PR.AC-7
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
Privilege Escalation
T1548

Abuse Elevation Control Mechanism

ATT&CK

Umgehung von Mechanismen zur Rechteausweitung (z.B. UAC).

Mitigiert durch
Endpoint Compliance (Intune)GrundschutzMittel
CIS: 4.1NIST: PR.AC-7
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Credential Access
T1003

OS Credential Dumping

ATT&CK

Extrahieren von Anmeldedaten aus dem Betriebssystem.

Mitigiert durch
Endpoint Compliance (Intune)GrundschutzMittel
CIS: 4.1NIST: PR.AC-7
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Endpoint DLP PoliciesErweiterter SchutzMittel
CIS: 13.3NIST: PR.DS-1
Collection
T1530

Data from Cloud Storage Object

ATT&CK

Abgreifen von Daten aus Cloud-Speichern (S3, Blobs).

Mitigiert durch
Automatic Data ClassificationErweiterter SchutzHoch
CIS: 13.1NIST: PR.DS-1
Sensitivity Labels (Purview)Erweiterter SchutzHoch
CIS: 13.2NIST: PR.DS-1
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Data Anonymization (Differential Privacy)Erweiterter SchutzHoch
NIST: PR.PT-3
T1213

Data from Information Repositories

ATT&CK

Abgreifen von Daten aus Wissensdatenbanken (SharePoint, Confluence).

Mitigiert durch
Automatic Data ClassificationErweiterter SchutzHoch
CIS: 13.1NIST: PR.DS-1
Exact Data Matching (EDM)Erweiterter SchutzHoch
CIS: 13.1NIST: PR.DS-1
Sensitivity Labels (Purview)Erweiterter SchutzHoch
CIS: 13.2NIST: PR.DS-1
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Exfiltration
T1020

Automated Exfiltration

ATT&CK

Automatisiertes Abgreifen von Daten über Schnittstellen.

Mitigiert durch
Endpoint DLP PoliciesErweiterter SchutzMittel
CIS: 13.3NIST: PR.DS-1
Automatic Data ClassificationErweiterter SchutzHoch
CIS: 13.1NIST: PR.DS-1
Exact Data Matching (EDM)Erweiterter SchutzHoch
CIS: 13.1NIST: PR.DS-1
OCR for DLPErweiterter SchutzMittel
CIS: 13.3NIST: PR.DS-5
Sensitivity Labels (Purview)Erweiterter SchutzHoch
CIS: 13.2NIST: PR.DS-1
Data Anonymization (Differential Privacy)Erweiterter SchutzHoch
NIST: PR.PT-3
T1567

Exfiltration Over Web Service

ATT&CK

Abfluss von Daten über legitime Web-Schnittstellen.

Mitigiert durch
Endpoint DLP PoliciesErweiterter SchutzMittel
CIS: 13.3NIST: PR.DS-1
Automatic Data ClassificationErweiterter SchutzHoch
CIS: 13.1NIST: PR.DS-1
Exact Data Matching (EDM)Erweiterter SchutzHoch
CIS: 13.1NIST: PR.DS-1
OCR for DLPErweiterter SchutzMittel
CIS: 13.3NIST: PR.DS-5
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Sensitivity Labels (Purview)Erweiterter SchutzHoch
CIS: 13.2NIST: PR.DS-1
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Impact
T1565

Inplace Modification

ATT&CK

Manipulation von bestehendem Code oder Daten am Speicherort.

Mitigiert durch
Data Anonymization (Differential Privacy)Erweiterter SchutzHoch
NIST: PR.PT-3

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch
Endpoint & Device DLP | IT-Sicherheit Checkliste für KMU · AYSOLI Security Hub