В тази статия бихме искали да покажем как изглежда работата с Microsoft Teams от гледна точка на потребителите, ИТ администраторите и служителите по информационна сигурност.
Първо, нека изясним как Teams се различава от повечето други продукти на Microsoft в тяхното предложение за Office 365 (накратко O365).
Teams е само клиент и няма собствено облачно приложение. И хоства данните, които управлява в различни приложения на O365.
Ще ви покажем какво се случва „под капака“, когато потребителите работят в Teams, SharePoint Online (наричан по-нататък SPO) и OneDrive.
Ако искате да преминете към практическата част от осигуряването на сигурност с помощта на инструментите на Microsoft (1 час от общото време на курса), силно препоръчваме да слушате нашия курс за одит на споделяне на Office 365, наличен Този курс също така обхваща настройките за споделяне в O365, които могат да се променят само чрез PowerShell.
Запознайте се с вътрешния проектен екип на Acme Co.
Ето как изглежда този екип в Teams, след като е създаден и съответният достъп е предоставен на членовете му от собственика на този отбор, Амелия:
Екипът започва работа
Линда предполага, че файлът с плана за плащане на бонуси, поставен в създадения от нея канал, ще бъде достъпен само от Джеймс и Уилям, с които са го обсъдили.
Джеймс, от своя страна, изпраща връзка за достъп до този файл на служител по човешки ресурси, Ема, която не е част от екипа.
Уилям изпраща споразумение с личните данни на трета страна на друг член на екипа в чата на MS Teams:
Качваме се под капака
Зоуи, с помощта на Амелия, вече може да добавя или премахва всеки от екипа по всяко време:
Линда, публикувайки документ с критични данни, предназначен за използване само от двама нейни колеги, направи грешка с типа на канала при създаването му и файлът стана достъпен за всички членове на екипа:
За щастие има приложение на Microsoft за O365, в което можете (използвайки го напълно за други цели) бързо да видите до какви критични данни имат достъп абсолютно всички потребители?, използвайки за теста потребител, който е член само на най-общата група за сигурност.
Дори ако файловете се намират в частни канали, това може да не е гаранция, че само определен кръг хора ще имат достъп до тях.
В примера с Джеймс той предостави връзка към файла на Ема, която дори не е член на екипа, да не говорим за достъп до частния канал (ако беше такъв).
Най-лошото в тази ситуация е, че няма да видим информация за това никъде в групите за сигурност в Azure AD, тъй като правата за достъп са му предоставени директно.
PD файлът, изпратен от Уилям, ще бъде достъпен за Маргарет по всяко време, а не само докато чатите онлайн.
Изкачваме се до кръста
Нека да разберем по-нататък. Първо, нека да видим какво точно се случва, когато потребител създаде нов екип в MS Teams:
- Създава се нова група за сигурност на Office 365 в Azure AD, която включва собственици на екипи и членове на екипа
- Създава се нов екипен сайт в SharePoint Online (наричан по-долу SPO)
- Три нови локални (валидни само в тази услуга) групи са създадени в SPO: Собственици, Членове, Посетители
- Правят се промени и в Exchange Online.
Данните на MS Teams и къде се намират
Teams не е склад или платформа за данни. Той е интегриран с всички решения на Office 365.
- O365 предлага много приложения и продукти, но данните винаги се съхраняват на следните места: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Данните, които споделяте или получавате чрез MS Teams, се съхраняват на тези платформи, а не в самия Teams
- В този случай рискът е нарастващата тенденция към сътрудничество. Всеки с достъп до данни в платформите SPO и OD може да ги направи достъпни за всеки в или извън организацията
- Всички данни на екипа (с изключение на съдържанието на частните канали) се събират в сайта на SPO, създаден автоматично при създаване на екип
- За всеки създаден канал автоматично се създава подпапка в папката „Документи“ в този SPO сайт:
- файловете в Каналите се качват в съответните подпапки на папката Документи на сайта на SPO Teams (именуван по същия начин като канала)
- Имейлите, изпратени до канала, се съхраняват в подпапката „Имейл съобщения“ на папката на канала
- Когато се създаде нов частен канал, се създава отделен SPO сайт за съхраняване на съдържанието му със същата структура, както е описано по-горе за обикновените канали (важно - за всеки частен канал се създава собствен специален SPO сайт)
- Файловете, изпратени чрез чатове, се записват в акаунта на изпращащия потребител в OneDrive (в папката „Microsoft Teams Chat Files“) и се споделят с участниците в чат
- Съдържанието на чат и кореспонденция се съхранява съответно в потребителски и екипни пощенски кутии в скрити папки. В момента няма начин да получите допълнителен достъп до тях.
Има вода в карбуратора, има теч в трюма
Ключови точки, които е важно да запомните в контекста информационна сигурност:
- Контролът на достъпа и разбирането кой може да получи права върху важни данни се прехвърля на ниво краен потребител. Не е предоставено пълен централизиран контрол или мониторинг.
- Когато някой споделя фирмени данни, вашите слепи петна са видими за другите, но не и за вас.
Не виждаме Ема в списъка с хора, които са част от екипа (чрез група за сигурност в Azure AD), но тя има достъп до конкретен файл, връзката към която Джеймс й изпрати.
По същия начин няма да знаем за способността й да осъществява достъп до файлове от интерфейса на Teams:
Има ли някакъв начин да получим информация до какъв обект има достъп Ема? Да, можем, но само като проверим правата за достъп до всичко или конкретен обект в СПО, за който имаме съмнения.
След като разгледахме такива права, ще видим, че Ема и Крис имат права върху обекта на ниво SPO.
Крис? Не познаваме никакъв Крис. Откъде е дошъл?
И той „дойде“ при нас от „местната“ група за сигурност на SPO, която от своя страна вече включва групата за сигурност на Azure AD, с членове на екипа „Компенсации“.
може би Microsoft Cloud App Security (MCAS) ще може да хвърли светлина върху въпросите, които ни интересуват, осигурявайки необходимото ниво на разбиране?
Уви, не... Въпреки че ще можем да видим Крис и Ема, няма да можем да видим конкретните потребители, на които е предоставен достъп.
Нива и методи за осигуряване на достъп в O365 - IT предизвикателства
Най-простият процес за предоставяне на достъп до данни във файловите хранилища в периметъра на организациите не е особено сложен и практически не предоставя възможности за заобикаляне на предоставените права за достъп.
O365 също има много възможности за сътрудничество и споделяне на данни.
- Потребителите не разбират защо да ограничават достъпа до данни, ако могат просто да предоставят връзка към файл, достъпен за всички, защото нямат основни познания в областта на информационната сигурност или пренебрегват рисковете, като правят предположения за ниската вероятност от тяхното възникване
- В резултат на това критична информация може да напусне организацията и да стане достъпна за широк кръг от хора.
- Освен това има много възможности за осигуряване на излишен достъп.
Microsoft в O365 са предоставили вероятно твърде много начини за промяна на списъците за контрол на достъпа. Такива настройки са налични на ниво клиент, сайтове, папки, файлове, самите обекти и връзки към тях. Конфигурирането на настройките за възможности за споделяне е важно и не трябва да се пренебрегва.
Предоставяме възможност да вземете безплатен, приблизително час и половина видео курс за конфигурацията на тези параметри, връзката към която е предоставена в началото на тази статия.
Без да мислите два пъти, можете да блокирате всички външни споделяния на файлове, но след това:
- Някои от възможностите на платформата O365 ще останат неизползвани, особено ако някои потребители са свикнали да ги използват у дома или на предишна работа
- „Напредналите потребители“ ще „помагат“ на други служители да нарушават правилата, които сте задали, чрез други средства
Настройването на опциите за споделяне включва:
- Различни конфигурации за всяко приложение: OD, SPO, AAD и MS Teams (някои конфигурации могат да бъдат направени само от администратора, някои могат да бъдат направени само от самите потребители)
- Конфигурации на настройките на ниво клиент и на ниво всеки конкретен сайт
Какво означава това за информационната сигурност?
Както видяхме по-горе, пълните авторитетни права за достъп до данни не могат да се видят в един интерфейс:
По този начин, за да разберете кой има достъп до ВСЕКИ конкретен файл или папка, ще трябва самостоятелно да създадете матрица за достъп, събирайки данни за нея, като вземете предвид следното:
- Членовете на екипите се виждат в Azure AD и Teams, но не и в SPO
- Собствениците на екипи могат да назначават съсобственици, които могат да разширяват списъка с екипи независимо
- Екипите могат да включват и ВЪНШНИ потребители – „Гости“
- Връзките, предоставени за споделяне или изтегляне, не се виждат в Teams или Azure AD - само в SPO и само след досадно щракване през тон връзки
- Достъпът само до SPO сайт не се вижда в Teams
Липса на централизиран контрол означава, че не можете:
- Вижте кой до какви ресурси има достъп
- Вижте къде се намират критични данни
- Спазвайте регулаторните изисквания, които изискват подход на първо място към поверителността при планирането на услугата
- Откриване на необичайно поведение по отношение на критични данни
- Ограничете зоната на атака
- Изберете ефективен начин за намаляване на рисковете въз основа на тяхната оценка
Обобщение
Като заключение можем да кажем, че
- За ИТ отделите на организациите, избиращи да работят с O365, е важно да имат квалифицирани служители, които могат както технически да внедрят промени в настройките за споделяне, така и да обосноват последствията от промяната на определени параметри, за да напишат политики за работа с O365, които са съгласувани с информация охрана и бизнес звена
- За сигурността на информацията е важно да можете да извършвате автоматично ежедневно или дори в реално време одит на достъпа до данни, нарушенията на политиките на O365, съгласувани с ИТ и бизнес отделите, и анализ на правилността на предоставения достъп , както и да видите атаки към всяка от услугите в техния наемател O365
Източник: www.habr.com