Office 365&Microsoft Teams – snadná spolupráce a dopad na zabezpečení

V tomto článku bychom rádi ukázali, jak vypadá práce s Microsoft Teams z pohledu uživatelů, IT administrátorů a pracovníků informační bezpečnosti.

Nejprve si ujasněme, jak se Teams liší od většiny ostatních produktů Microsoftu v nabídce Office 365 (zkráceně O365).

Teams je pouze klient a nemá vlastní cloudovou aplikaci. A data, která spravuje, hostí v různých aplikacích O365.

Ukážeme vám, co se děje „pod pokličkou“, když uživatelé pracují v Teams, SharePoint Online (dále jen SPO) a OneDrive.

Pokud byste chtěli přejít k praktické části zajištění bezpečnosti pomocí nástrojů Microsoftu (1 hodina z celkové doby kurzu), vřele doporučujeme poslechnout si náš kurz Office 365 Sharing Audit, dostupný link. Tento kurz také pokrývá nastavení sdílení v O365, které lze změnit pouze prostřednictvím PowerShellu.

Seznamte se s interním projektovým týmem společnosti Acme Co.

Takto vypadá tento tým v Teams poté, co byl vytvořen a byl udělen odpovídající přístup jeho členům vlastníkem tohoto týmu, Amelií:

Tým začíná pracovat

Linda naznačuje, že k souboru s plánem plateb bonusů umístěným na kanálu, který vytvořila, budou mít přístup pouze James a William, se kterými o tom diskutovali.

James zase pošle odkaz pro přístup k tomuto souboru HR zaměstnankyni Emmě, která není součástí týmu.

William odešle souhlas s osobními údaji třetí strany jinému členovi týmu v chatu MS Teams:

Lezeme pod kapotu

Zoey nyní může s pomocí Amelie kdykoli přidat nebo odebrat kohokoli z týmu:

Linda, která zveřejnila dokument s kritickými daty určenými pro použití pouze dvěma jejím kolegům, udělala při jeho vytváření chybu s typem kanálu a soubor byl dostupný všem členům týmu:

Naštěstí existuje aplikace Microsoftu pro O365, ve které můžete (využíváte-li ji zcela pro jiné účely) rychle vidět k jakým kritickým datům mají přístup absolutně všichni uživatelé?, s použitím pro test uživatele, který je členem pouze nejobecnější skupiny zabezpečení.

I když jsou soubory umístěny v soukromých kanálech, nemusí to být zárukou, že k nim bude mít přístup pouze určitý okruh lidí.

V příkladu James poskytl odkaz na soubor Emmy, která není ani členem týmu, natož přístupem k soukromému kanálu (pokud by byl).

Nejhorší na této situaci je, že o tom nikde ve skupinách zabezpečení v Azure AD neuvidíme, protože přístupová práva jsou jí udělena přímo.

Soubor PD zaslaný Williamem bude Margaret k dispozici kdykoli, a to nejen při online chatování.

Stoupáme až do pasu

Pojďme to zjistit dále. Nejprve se podívejme, co přesně se stane, když uživatel vytvoří nový tým v MS Teams:

• V Azure AD se vytvoří nová skupina zabezpečení Office 365, která zahrnuje vlastníky týmu a členy týmu
• V SharePoint Online se vytváří nový týmový web (dále jen SPO)
• V SPO jsou vytvořeny tři nové místní (platné pouze v této službě) skupiny: Vlastníci, Členové, Návštěvníci
• Změny se provádějí také ve službě Exchange Online.

Data MS Teams a kde žijí

Teams není datový sklad ani platforma. Je integrován se všemi řešeními Office 365.

• O365 nabízí mnoho aplikací a produktů, ale data jsou vždy uložena na následujících místech: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
• Data, která sdílíte nebo přijímáte prostřednictvím MS Teams, jsou uložena na těchto platformách, nikoli v samotném Teams
• V tomto případě je rizikem rostoucí trend ke spolupráci. Každý, kdo má přístup k datům na platformách SPO a OD, je může zpřístupnit komukoli v organizaci i mimo ni
• Všechna data týmu (kromě obsahu soukromých kanálů) se shromažďují na webu SPO, který se automaticky vytváří při vytváření týmu
• Pro každý vytvořený kanál se automaticky vytvoří podsložka ve složce Dokumenty na tomto webu SPO:
  • soubory v kanálech se nahrávají do odpovídajících podsložek složky Dokumenty na webu SPO Teams (pojmenované stejně jako kanál)
  • E-maily odeslané do Kanálu se ukládají do podsložky „E-mailové zprávy“ složky Kanál

• Když je vytvořen nový soukromý kanál, vytvoří se samostatný web SPO pro uložení jeho obsahu se stejnou strukturou, jaká je popsána výše pro běžné kanály (důležité – pro každý soukromý kanál je vytvořena jeho vlastní speciální stránka SPO)
• Soubory odeslané prostřednictvím chatů se ukládají do účtu OneDrive odesílajícího uživatele (ve složce „Soubory chatu Microsoft Teams“) a jsou sdíleny s účastníky chatu.
• Obsah chatu a korespondence je uložen v uživatelských a týmových poštovních schránkách ve skrytých složkách. V současné době neexistuje žádný způsob, jak k nim získat další přístup.

V karburátoru je voda, ve stoce je netěsnost

Klíčové body, které je důležité si zapamatovat v kontextu informační bezpečnost:

• Řízení přístupu a pochopení toho, komu lze udělit práva k důležitým datům, je přeneseno na úroveň koncového uživatele. Není poskytnuto úplné centralizované ovládání nebo monitorování.
• Když někdo sdílí firemní data, vaše slepá místa jsou viditelná pro ostatní, ale ne pro vás.

Emmu nevidíme v seznamu lidí, kteří jsou součástí Teamu (přes bezpečnostní skupinu v Azure AD), ale má přístup ke konkrétnímu souboru, na který jí James poslal odkaz.

Stejně tak nebudeme vědět o její schopnosti přistupovat k souborům z rozhraní Teams:

Existuje nějaký způsob, jak můžeme získat informace o tom, k jakému objektu má Emma přístup? Ano, můžeme, ale pouze prozkoumáním přístupových práv ke všemu nebo konkrétnímu objektu v SPO, na který máme podezření.

Po prozkoumání těchto práv uvidíme, že Emma a Chris mají práva k objektu na úrovni SPO.

Chrisi? Neznáme žádného Chrise. odkud se vzal?

A „přišel“ k nám z „místní“ bezpečnostní skupiny SPO, která na oplátku již zahrnuje bezpečnostní skupinu Azure AD, se členy týmu „Kompenzace“.

Možná Microsoft Cloud App Security (MCAS) budou schopni osvětlit problémy, které nás zajímají, a poskytnout potřebnou úroveň porozumění?

Bohužel, ne... I když budeme moci vidět Chrise a Emmu, nebudeme moci vidět konkrétní uživatele, kterým byl udělen přístup.

Úrovně a způsoby poskytování přístupu v O365 - IT výzvy

Nejjednodušší proces poskytování přístupu k datům na souborových úložištích v perimetru organizací není nijak zvlášť složitý a prakticky neposkytuje možnosti obcházení udělených přístupových práv.

O365 má také mnoho příležitostí pro spolupráci a sdílení dat.

• Uživatelé nechápou, proč omezovat přístup k datům, když mohou jednoduše poskytnout odkaz na soubor dostupný všem, protože nemají základní odborné znalosti v oblasti informační bezpečnosti nebo zanedbávají rizika a vyvozují předpoklady o nízké pravděpodobnosti jejich vzniku. výskyt
• V důsledku toho mohou důležité informace opustit organizaci a stát se dostupnými širokému okruhu lidí.
• Kromě toho existuje mnoho příležitostí k zajištění redundantního přístupu.

Microsoft v O365 poskytl pravděpodobně příliš mnoho způsobů, jak změnit seznamy řízení přístupu. Taková nastavení jsou dostupná na úrovni tenanta, webů, složek, souborů, samotných objektů a odkazů na ně. Konfigurace nastavení možností sdílení je důležitá a neměla by být opomíjena.

Poskytujeme možnost absolvovat bezplatný, přibližně jeden a půl hodinový videokurz o konfiguraci těchto parametrů, jehož odkaz je uveden na začátku tohoto článku.

Bez přemýšlení můžete zablokovat veškeré externí sdílení souborů, ale pak:

• Některé možnosti platformy O365 zůstanou nevyužity, zejména pokud jsou někteří uživatelé zvyklí je používat doma nebo v předchozím zaměstnání.
• „Pokročilí uživatelé“ „pomohou“ ostatním zaměstnancům porušovat vámi nastavená pravidla jinými prostředky

Nastavení možností sdílení zahrnuje:

• Různé konfigurace pro každou aplikaci: OD, SPO, AAD a MS Teams (některé konfigurace může provádět pouze správce, některé pouze uživatelé sami)
• Konfigurace nastavení na úrovni tenanta a na úrovni každého konkrétního webu

Co to znamená pro bezpečnost informací?

Jak jsme viděli výše, plná autoritativní přístupová práva k datům nelze vidět v jediném rozhraní:

Abyste tedy pochopili, kdo má přístup ke KAŽDÉMU konkrétnímu souboru nebo složce, budete muset nezávisle vytvořit přístupovou matici a shromažďovat pro ni data, přičemž je třeba vzít v úvahu následující:

• Členové týmů jsou viditelní v Azure AD a Teams, ale ne v SPO
• Vlastníci týmu mohou jmenovat spoluvlastníky, kteří mohou seznam týmů rozšiřovat nezávisle
• Týmy mohou také zahrnovat EXTERNÍ uživatele – „hosty“
• Odkazy poskytnuté pro sdílení nebo stahování nejsou viditelné v Teams nebo Azure AD – pouze v SPO a pouze po zdlouhavém proklikávání spoustou odkazů.
• Přístup pouze k webu SPO není v Teams viditelný

Nedostatek centralizovaného řízení znamená, že nemůžete:

• Podívejte se, kdo má přístup k jakým zdrojům
• Podívejte se, kde se nacházejí důležitá data
• Splňujte regulační požadavky, které vyžadují přístup k plánování služeb v prvé řadě na ochranu soukromí
• Zjistěte neobvyklé chování týkající se důležitých dat
• Omezte oblast útoku
• Vyberte si efektivní způsob snižování rizik na základě jejich vyhodnocení

Shrnutí

Závěrem lze říci, že

• Pro IT oddělení organizací, které se rozhodnou pracovat s O365, je důležité mít kvalifikované zaměstnance, kteří dokážou jak technicky implementovat změny v nastavení sdílení, tak zdůvodnit důsledky změny určitých parametrů, aby mohli sepsat zásady pro práci s O365, které jsou odsouhlaseny s informacemi. bezpečnostní a obchodní jednotky
• Pro informační bezpečnost je důležité, aby bylo možné automaticky denně nebo i v reálném čase provádět audit přístupu k datům, porušení zásad O365 dohodnutých s IT a obchodním oddělením a analýzu správnosti uděleného přístupu. , stejně jako vidět útoky na každou ze služeb v jejich tenante O365

Zdroj: www.habr.com