Office 365&Microsoft timovi - lakoća saradnje i uticaj na bezbednost

U ovom članku želimo da pokažemo kako izgleda rad sa Microsoft timovima sa stanovišta korisnika, IT administratora i osoblja za bezbednost informacija.

Prvo, da razjasnimo po čemu se Teams razlikuje od većine drugih Microsoft proizvoda u njihovoj ponudi Office 365 (skraćeno O365).

Teams je samo klijent i nema vlastitu aplikaciju u oblaku. I hostuje podatke kojima upravlja u raznim O365 aplikacijama.

Pokazaćemo vam šta se dešava "ispod haube" kada korisnici rade u timovima, SharePoint Online (u daljem tekstu SPO) i OneDrive.

Ako želite da pređete na praktični deo obezbeđivanja sigurnosti korišćenjem Microsoft alata (1 sat ukupnog vremena kursa), toplo preporučujemo da poslušate naš kurs Office 365 Sharing Audit, koji je dostupan by reference. Ovaj kurs također pokriva postavke dijeljenja u O365, koje se mogu promijeniti samo putem PowerShell-a.

Upoznajte interni projektni tim Acme Co.

Ovako izgleda ovaj Tim u Timovima, nakon što je kreiran i odgovarajući pristup njegovim članovima odobrila vlasnica ovog tima, Amelia:

Tim počinje sa radom

Linda implicira da će fajlu sa planom bonusa koji se nalazi na kanalu koji je kreirala pristupiti samo Džejms i Vilijam, sa kojima su o tome razgovarali.

Džejms zauzvrat šalje link za pristup ovoj datoteci zaposlenoj u ljudskim resursima, Emi, koja nije deo tima.

William šalje sporazum sa ličnim podacima treće strane drugom članu tima u MS Teams chatu:

Penjemo se ispod haube

Zoey, uz pomoć Amelije, sada može dodati ili ukloniti bilo koga iz tima u bilo koje vrijeme:

Linda je, postavljajući dokument sa kritičnim podacima namijenjenim samo za dvije njene kolege, napravila grešku sa tipom kanala prilikom kreiranja i datoteka je postala dostupna svim članovima tima:

Srećom, postoji Microsoft aplikacija za O365 u kojoj možete (koristeći je potpuno u druge svrhe) brzo vidjeti kojim kritičnim podacima imaju pristup apsolutno svi korisnici?, koristeći za test korisnika koji je član samo najopćenitije sigurnosne grupe.

Čak i ako se fajlovi nalaze unutar privatnih kanala, to možda nije garancija da će im pristup imati samo određeni krug ljudi.

U primjeru s Jamesom, dao je vezu do Emminog fajla, koja nije čak ni član tima, a kamoli pristup Privatnom kanalu (ako je takav).

Najgora stvar u ovoj situaciji je što informacije o tome nećemo vidjeti nigdje u sigurnosnim grupama u Azure AD, jer su im prava pristupa direktno dodijeljena.

PD datoteka koju šalje William bit će dostupna Margaret u bilo koje vrijeme, a ne samo dok ćaskate na mreži.

Penjemo se do struka

Hajde da to dalje shvatimo. Prvo, da vidimo šta se tačno dešava kada korisnik kreira novi Tim u MS Teams:

• Nova Office 365 sigurnosna grupa je kreirana u Azure AD, koja uključuje vlasnike tima i članove tima
• Nova timska stranica se kreira u SharePoint Online (u daljem tekstu SPO)
• Tri nove lokalne (važe samo u ovoj usluzi) grupe su kreirane u SPO-u: Vlasnici, Članovi, Posjetioci
• Promjene se vrše i na Exchange Online.

MS Teams podaci i gdje žive

Teams nije skladište podataka ili platforma. Integrisan je sa svim Office 365 rešenjima.

• O365 nudi mnoge aplikacije i proizvode, ali podaci se uvijek pohranjuju na sljedećim mjestima: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
• Podaci koje dijelite ili primate putem MS Teamsa pohranjuju se na tim platformama, a ne unutar samog Teamsa
• U ovom slučaju, rizik je rastući trend ka saradnji. Svako ko ima pristup podacima na SPO i OD platformama može ih učiniti dostupnim svima unutar ili izvan organizacije
• Svi podaci tima (osim sadržaja privatnih kanala) prikupljaju se na SPO stranici, kreiraju se automatski prilikom kreiranja tima
• Za svaki kreirani kanal, automatski se kreira podfolder u folderu Dokumenti na ovoj SPO lokaciji:
  • fajlovi u kanalima se učitavaju u odgovarajuće poddirektorijume fascikle Dokumenti na sajtu SPO timova (naziva se isto kao i kanal)
  • E-poruke poslane na kanal se pohranjuju u podfolderu “Email Messages” foldera kanala

• Kada se kreira novi privatni kanal, kreira se posebna SPO stranica za pohranjivanje njegovog sadržaja, sa istom strukturom kao što je gore opisano za obične kanale (važno - za svaki privatni kanal kreira se posebna SPO stranica)
• Fajlovi poslani putem ćaskanja čuvaju se na OneDrive nalogu korisnika koji šalje (u fascikli "Microsoft Teams Chat Files") i dijele se sa učesnicima ćaskanja
• Sadržaj ćaskanja i korespondencije pohranjen je u korisničkim i timskim poštanskim sandučićima, respektivno, u skrivenim folderima. Trenutno ne postoji način da im se dobije dodatni pristup.

Ima vode u karburatoru, curi u kaljuži

Ključne tačke koje je važno zapamtiti u kontekstu sigurnost informacija:

• Kontrola pristupa i razumijevanje kome se mogu dodijeliti prava na važne podatke prenosi se na nivo krajnjeg korisnika. Nije obezbeđeno potpuna centralizirana kontrola ili nadzor.
• Kada neko podeli podatke kompanije, vaše mrtve tačke su vidljive drugima, ali ne i vama.

Ne vidimo Emmu na listi ljudi koji su dio tima (preko sigurnosne grupe u Azure AD), ali ona ima pristup određenoj datoteci, linku na koji ju je James poslao.

Isto tako, nećemo znati za njenu mogućnost pristupa datotekama iz Teams interfejsa:

Postoji li način na koji možemo dobiti informacije o tome kojem objektu Emma ima pristup? Da, možemo, ali samo ispitivanjem prava pristupa svemu ili konkretnom objektu u SPO-u za koji sumnjamo.

Nakon što smo ispitali takva prava, vidjet ćemo da Emma i Chris imaju prava na objekt na nivou SPO-a.

Chris? Ne poznajemo nijednog Chrisa. Odakle je došao?

A kod nas je “došao” iz “lokalne” SPO grupe za bezbednost, koja, pak, već uključuje Azure AD bezbednosnu grupu, sa članovima tima za “Kompenzacije”.

Možda, Microsoft sigurnost aplikacija u oblaku (MCAS) će moći da rasvijetli pitanja koja nas zanimaju, pružajući potreban nivo razumijevanja?

Jao, ne... Iako ćemo moći vidjeti Chrisa i Emmu, nećemo moći vidjeti konkretne korisnike kojima je odobren pristup.

Nivoi i metode pružanja pristupa u O365 - IT izazovi

Najjednostavniji proces obezbjeđivanja pristupa podacima o skladištu datoteka unutar perimetra organizacija nije posebno komplikovan i praktično ne pruža mogućnosti zaobilaženja odobrenih prava pristupa.

O365 također ima mnogo mogućnosti za saradnju i razmjenu podataka.

• Korisnici ne razumiju zašto ograničavati pristup podacima ako mogu jednostavno dati link do fajla koji je dostupan svima, jer nemaju osnovnu stručnost u oblasti informacione sigurnosti, ili zanemaruju rizike, pretpostavljajući da je njihova vjerovatnoća mala. pojava
• Kao rezultat toga, kritične informacije mogu napustiti organizaciju i postati dostupne širokom spektru ljudi.
• Osim toga, postoje mnoge mogućnosti za pružanje redundantnog pristupa.

Microsoft je u O365 pružio vjerovatno previše načina za promjenu lista kontrole pristupa. Takve postavke su dostupne na nivou stanara, lokacija, foldera, datoteka, samih objekata i veza do njih. Konfiguriranje postavki mogućnosti dijeljenja je važno i ne treba ga zanemariti.

Pružamo vam mogućnost besplatnog, otprilike sat i po sata video kursa o konfiguraciji ovih parametara, na koji se link nalazi na početku ovog članka.

Bez razmišljanja, možete blokirati svo vanjsko dijeljenje datoteka, ali tada:

• Neke od mogućnosti O365 platforme će ostati neiskorištene, posebno ako su neki korisnici navikli da ih koriste kod kuće ili na prethodnom poslu
• “Napredni korisnici” će “pomoći” drugim zaposlenima da prekrše pravila koja ste postavili na druge načine

Postavljanje opcija dijeljenja uključuje:

• Različite konfiguracije za svaku aplikaciju: OD, SPO, AAD i MS Teams (neke konfiguracije može obaviti samo administrator, neke mogu samo sami korisnici)
• Konfiguracije postavki na nivou stanara i na nivou svake određene lokacije

Šta to znači za sigurnost informacija?

Kao što smo vidjeli gore, puna autoritativna prava pristupa podacima ne mogu se vidjeti u jednom interfejsu:

Dakle, da biste razumjeli ko ima pristup SVAKOJ određenoj datoteci ili mapi, morat ćete samostalno kreirati pristupnu matricu, prikupljajući podatke za nju, uzimajući u obzir sljedeće:

• Članovi timova su vidljivi u Azure AD i Timovima, ali ne i u SPO-u
• Vlasnici timova mogu imenovati suvlasnike, koji mogu samostalno proširiti listu timova
• Timovi mogu uključivati ​​i VANJSKE korisnike – “Gosti”
• Linkovi predviđeni za dijeljenje ili preuzimanje nisu vidljivi u Teams-u ili Azure AD - samo u SPO-u i tek nakon dosadnog klikanja na gomilu veza
• Pristup samo SPO sajtu nije vidljiv u timovima

Nedostatak centralizovane kontrole znači da ne možete:

• Pogledajte ko ima pristup kojim resursima
• Pogledajte gdje se nalaze kritični podaci
• Ispunite regulatorne zahtjeve koji zahtijevaju pristup planiranju usluga na prvom mjestu
• Otkrijte neobično ponašanje u vezi sa kritičnim podacima
• Ograničite područje napada
• Odaberite efikasan način za smanjenje rizika na osnovu njihove procjene

Rezime

Kao zaključak možemo to reći

• Za IT odjele organizacija koje se opredijele za rad sa O365, važno je imati kvalifikovane radnike koji mogu i tehnički implementirati promjene u postavkama dijeljenja i opravdati posljedice promjene određenih parametara kako bi napisali politike za rad sa O365 koje su usaglašene sa informacijama bezbjednosne i poslovne jedinice
• Za informacionu sigurnost je važno da bude u mogućnosti da na automatskoj dnevnoj bazi, ili čak u realnom vremenu, provodi reviziju pristupa podacima, kršenja O365 politika dogovorenih sa IT i poslovnim odjelima i analizu ispravnosti odobrenog pristupa. , kao i da vidite napade na svaki od servisa u njihovom zakupcu O365

izvor: www.habr.com