V tomto článku bychom rádi ukázali, jak vypadá práce s Microsoft Teams z pohledu uživatelů, IT administrátorů a pracovníků informační bezpečnosti.
Nejprve si ujasněme, jak se Teams liší od většiny ostatních produktů Microsoftu v nabídce Office 365 (zkráceně O365).
Teams je pouze klient a nemá vlastní cloudovou aplikaci. A data, která spravuje, hostí v různých aplikacích O365.
Ukážeme vám, co se děje „pod pokličkou“, když uživatelé pracují v Teams, SharePoint Online (dále jen SPO) a OneDrive.
Pokud byste chtěli přejít k praktické části zajištění bezpečnosti pomocí nástrojů Microsoftu (1 hodina z celkové doby kurzu), vřele doporučujeme poslechnout si náš kurz Office 365 Sharing Audit, dostupný
Seznamte se s interním projektovým týmem společnosti Acme Co.
Takto vypadá tento tým v Teams poté, co byl vytvořen a byl udělen odpovídající přístup jeho členům vlastníkem tohoto týmu, Amelií:
Tým začíná pracovat
Linda naznačuje, že k souboru s plánem plateb bonusů umístěným na kanálu, který vytvořila, budou mít přístup pouze James a William, se kterými o tom diskutovali.
James zase pošle odkaz pro přístup k tomuto souboru HR zaměstnankyni Emmě, která není součástí týmu.
William odešle souhlas s osobními údaji třetí strany jinému členovi týmu v chatu MS Teams:
Lezeme pod kapotu
Zoey nyní může s pomocí Amelie kdykoli přidat nebo odebrat kohokoli z týmu:
Linda, která zveřejnila dokument s kritickými daty určenými pro použití pouze dvěma jejím kolegům, udělala při jeho vytváření chybu s typem kanálu a soubor byl dostupný všem členům týmu:
Naštěstí existuje aplikace Microsoftu pro O365, ve které můžete (využíváte-li ji zcela pro jiné účely) rychle vidět k jakým kritickým datům mají přístup absolutně všichni uživatelé?, s použitím pro test uživatele, který je členem pouze nejobecnější skupiny zabezpečení.
I když jsou soubory umístěny v soukromých kanálech, nemusí to být zárukou, že k nim bude mít přístup pouze určitý okruh lidí.
V příkladu James poskytl odkaz na soubor Emmy, která není ani členem týmu, natož přístupem k soukromému kanálu (pokud by byl).
Nejhorší na této situaci je, že o tom nikde ve skupinách zabezpečení v Azure AD neuvidíme, protože přístupová práva jsou jí udělena přímo.
Soubor PD zaslaný Williamem bude Margaret k dispozici kdykoli, a to nejen při online chatování.
Stoupáme až do pasu
Pojďme to zjistit dále. Nejprve se podívejme, co přesně se stane, když uživatel vytvoří nový tým v MS Teams:
- V Azure AD se vytvoří nová skupina zabezpečení Office 365, která zahrnuje vlastníky týmu a členy týmu
- V SharePoint Online se vytváří nový týmový web (dále jen SPO)
- V SPO jsou vytvořeny tři nové místní (platné pouze v této službě) skupiny: Vlastníci, Členové, Návštěvníci
- Změny se provádějí také ve službě Exchange Online.
Data MS Teams a kde žijí
Teams není datový sklad ani platforma. Je integrován se všemi řešeními Office 365.
- O365 nabízí mnoho aplikací a produktů, ale data jsou vždy uložena na následujících místech: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Data, která sdílíte nebo přijímáte prostřednictvím MS Teams, jsou uložena na těchto platformách, nikoli v samotném Teams
- V tomto případě je rizikem rostoucí trend ke spolupráci. Každý, kdo má přístup k datům na platformách SPO a OD, je může zpřístupnit komukoli v organizaci i mimo ni
- Všechna data týmu (kromě obsahu soukromých kanálů) se shromažďují na webu SPO, který se automaticky vytváří při vytváření týmu
- Pro každý vytvořený kanál se automaticky vytvoří podsložka ve složce Dokumenty na tomto webu SPO:
- soubory v kanálech se nahrávají do odpovídajících podsložek složky Dokumenty na webu SPO Teams (pojmenované stejně jako kanál)
- E-maily odeslané do Kanálu se ukládají do podsložky „E-mailové zprávy“ složky Kanál
- Když je vytvořen nový soukromý kanál, vytvoří se samostatný web SPO pro uložení jeho obsahu se stejnou strukturou, jaká je popsána výše pro běžné kanály (důležité – pro každý soukromý kanál je vytvořena jeho vlastní speciální stránka SPO)
- Soubory odeslané prostřednictvím chatů se ukládají do účtu OneDrive odesílajícího uživatele (ve složce „Soubory chatu Microsoft Teams“) a jsou sdíleny s účastníky chatu.
- Obsah chatu a korespondence je uložen v uživatelských a týmových poštovních schránkách ve skrytých složkách. V současné době neexistuje žádný způsob, jak k nim získat další přístup.
V karburátoru je voda, ve stoce je netěsnost
Klíčové body, které je důležité si zapamatovat v kontextu informační bezpečnost:
- Řízení přístupu a pochopení toho, komu lze udělit práva k důležitým datům, je přeneseno na úroveň koncového uživatele. Není poskytnuto úplné centralizované ovládání nebo monitorování.
- Když někdo sdílí firemní data, vaše slepá místa jsou viditelná pro ostatní, ale ne pro vás.
Emmu nevidíme v seznamu lidí, kteří jsou součástí Teamu (přes bezpečnostní skupinu v Azure AD), ale má přístup ke konkrétnímu souboru, na který jí James poslal odkaz.
Stejně tak nebudeme vědět o její schopnosti přistupovat k souborům z rozhraní Teams:
Existuje nějaký způsob, jak můžeme získat informace o tom, k jakému objektu má Emma přístup? Ano, můžeme, ale pouze prozkoumáním přístupových práv ke všemu nebo konkrétnímu objektu v SPO, na který máme podezření.
Po prozkoumání těchto práv uvidíme, že Emma a Chris mají práva k objektu na úrovni SPO.
Chrisi? Neznáme žádného Chrise. odkud se vzal?
A „přišel“ k nám z „místní“ bezpečnostní skupiny SPO, která na oplátku již zahrnuje bezpečnostní skupinu Azure AD, se členy týmu „Kompenzace“.
Možná Microsoft Cloud App Security (MCAS) budou schopni osvětlit problémy, které nás zajímají, a poskytnout potřebnou úroveň porozumění?
Bohužel, ne... I když budeme moci vidět Chrise a Emmu, nebudeme moci vidět konkrétní uživatele, kterým byl udělen přístup.
Úrovně a způsoby poskytování přístupu v O365 - IT výzvy
Nejjednodušší proces poskytování přístupu k datům na souborových úložištích v perimetru organizací není nijak zvlášť složitý a prakticky neposkytuje možnosti obcházení udělených přístupových práv.
O365 má také mnoho příležitostí pro spolupráci a sdílení dat.
- Uživatelé nechápou, proč omezovat přístup k datům, když mohou jednoduše poskytnout odkaz na soubor dostupný všem, protože nemají základní odborné znalosti v oblasti informační bezpečnosti nebo zanedbávají rizika a vyvozují předpoklady o nízké pravděpodobnosti jejich vzniku. výskyt
- V důsledku toho mohou důležité informace opustit organizaci a stát se dostupnými širokému okruhu lidí.
- Kromě toho existuje mnoho příležitostí k zajištění redundantního přístupu.
Microsoft v O365 poskytl pravděpodobně příliš mnoho způsobů, jak změnit seznamy řízení přístupu. Taková nastavení jsou dostupná na úrovni tenanta, webů, složek, souborů, samotných objektů a odkazů na ně. Konfigurace nastavení možností sdílení je důležitá a neměla by být opomíjena.
Poskytujeme možnost absolvovat bezplatný, přibližně jeden a půl hodinový videokurz o konfiguraci těchto parametrů, jehož odkaz je uveden na začátku tohoto článku.
Bez přemýšlení můžete zablokovat veškeré externí sdílení souborů, ale pak:
- Některé možnosti platformy O365 zůstanou nevyužity, zejména pokud jsou někteří uživatelé zvyklí je používat doma nebo v předchozím zaměstnání.
- „Pokročilí uživatelé“ „pomohou“ ostatním zaměstnancům porušovat vámi nastavená pravidla jinými prostředky
Nastavení možností sdílení zahrnuje:
- Různé konfigurace pro každou aplikaci: OD, SPO, AAD a MS Teams (některé konfigurace může provádět pouze správce, některé pouze uživatelé sami)
- Konfigurace nastavení na úrovni tenanta a na úrovni každého konkrétního webu
Co to znamená pro bezpečnost informací?
Jak jsme viděli výše, plná autoritativní přístupová práva k datům nelze vidět v jediném rozhraní:
Abyste tedy pochopili, kdo má přístup ke KAŽDÉMU konkrétnímu souboru nebo složce, budete muset nezávisle vytvořit přístupovou matici a shromažďovat pro ni data, přičemž je třeba vzít v úvahu následující:
- Členové týmů jsou viditelní v Azure AD a Teams, ale ne v SPO
- Vlastníci týmu mohou jmenovat spoluvlastníky, kteří mohou seznam týmů rozšiřovat nezávisle
- Týmy mohou také zahrnovat EXTERNÍ uživatele – „hosty“
- Odkazy poskytnuté pro sdílení nebo stahování nejsou viditelné v Teams nebo Azure AD – pouze v SPO a pouze po zdlouhavém proklikávání spoustou odkazů.
- Přístup pouze k webu SPO není v Teams viditelný
Nedostatek centralizovaného řízení znamená, že nemůžete:
- Podívejte se, kdo má přístup k jakým zdrojům
- Podívejte se, kde se nacházejí důležitá data
- Splňujte regulační požadavky, které vyžadují přístup k plánování služeb v prvé řadě na ochranu soukromí
- Zjistěte neobvyklé chování týkající se důležitých dat
- Omezte oblast útoku
- Vyberte si efektivní způsob snižování rizik na základě jejich vyhodnocení
Shrnutí
Závěrem lze říci, že
- Pro IT oddělení organizací, které se rozhodnou pracovat s O365, je důležité mít kvalifikované zaměstnance, kteří dokážou jak technicky implementovat změny v nastavení sdílení, tak zdůvodnit důsledky změny určitých parametrů, aby mohli sepsat zásady pro práci s O365, které jsou odsouhlaseny s informacemi. bezpečnostní a obchodní jednotky
- Pro informační bezpečnost je důležité, aby bylo možné automaticky denně nebo i v reálném čase provádět audit přístupu k datům, porušení zásad O365 dohodnutých s IT a obchodním oddělením a analýzu správnosti uděleného přístupu. , stejně jako vidět útoky na každou ze služeb v jejich tenante O365
Zdroj: www.habr.com