I denne artikel vil vi gerne vise, hvordan arbejdet med Microsoft Teams ser ud fra brugernes, it-administratorernes og informationssikkerhedspersonalets synspunkt.
Lad os først gøre os klart, hvordan Teams adskiller sig fra de fleste andre Microsoft-produkter i deres Office 365-tilbud (forkortet O365).
Teams er kun en klient og har ikke sin egen cloud-applikation. Og den hoster de data, den administrerer på tværs af forskellige O365-applikationer.
Vi viser dig, hvad der sker "under motorhjelmen", når brugere arbejder i Teams, SharePoint Online (herefter benævnt SPO) og OneDrive.
Hvis du gerne vil videre til den praktiske del af sikring af sikkerhed ved hjælp af Microsoft-værktøjer (1 time af den samlede kursustid), anbefaler vi stærkt, at du lytter til vores Office 365 Sharing Audit-kursus, der er tilgængeligt Dette kursus dækker også delingsindstillinger i O365, som kun kan ændres gennem PowerShell.
Mød Acme Co. Interne projektteam.
Sådan ser dette team ud i Teams, efter at det er blevet oprettet, og dens medlemmer har fået den passende adgang af ejeren af dette team, Amelia:
Teamet begynder at arbejde
Linda antyder, at filen med bonusbetalingsplanen placeret i den kanal, hun oprettede, kun vil blive tilgået af James og William, som de diskuterede det med.
James sender til gengæld et link for at få adgang til denne fil til en HR-medarbejder, Emma, som ikke er en del af teamet.
William sender en aftale med en tredjeparts personlige data til et andet teammedlem i MS Teams chat:
Vi kravler ind under hætten
Zoey, med hjælp fra Amelia, kan nu tilføje eller fjerne enhver fra holdet til enhver tid:
Linda, der sendte et dokument med kritiske data, der kun var beregnet til brug af to af hendes kolleger, lavede en fejl med kanaltypen, da hun oprettede den, og filen blev tilgængelig for alle teammedlemmer:
Heldigvis er der en Microsoft-applikation til O365, hvor du (bruger den helt til andre formål) hurtigt kan se hvilke kritiske data har absolut alle brugere adgang til?, der til testen bruger en bruger, der kun er medlem af den mest generelle sikkerhedsgruppe.
Selvom filerne er placeret inde i Private Channels, er dette muligvis ikke en garanti for, at kun en bestemt kreds af mennesker har adgang til dem.
I James-eksemplet gav han et link til Emmas fil, som ikke engang er medlem af teamet, endsige adgang til den private kanal (hvis det var en).
Det værste ved denne situation er, at vi ikke vil se information om dette nogen steder i sikkerhedsgrupperne i Azure AD, da adgangsrettighederne tildeles det direkte.
PD-filen sendt af William vil være tilgængelig for Margaret når som helst og ikke kun mens hun chatter online.
Vi klatrer op til taljen
Lad os finde ud af det yderligere. Lad os først se, hvad der præcist sker, når en bruger opretter et nyt team i MS Teams:
- Der oprettes en ny Office 365-sikkerhedsgruppe i Azure AD, som omfatter teamejere og teammedlemmer
- Et nyt teamwebsted er ved at blive oprettet i SharePoint Online (i det følgende benævnt SPO)
- Tre nye lokale (kun gyldige i denne tjeneste) grupper oprettes i SPO: Ejere, Medlemmer, Besøgende
- Der foretages også ændringer i Exchange Online.
MS Teams data og hvor de bor
Teams er ikke et datavarehus eller en platform. Det er integreret med alle Office 365-løsninger.
- O365 tilbyder mange applikationer og produkter, men dataene gemmes altid følgende steder: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Data, du deler eller modtager gennem MS Teams, gemmes på disse platforme, ikke i Teams selv
- I dette tilfælde er risikoen den voksende tendens til samarbejde. Alle med adgang til data i SPO- og OD-platformene kan gøre dem tilgængelige for alle i eller uden for organisationen
- Alle teamdata (undtagen indholdet af private kanaler) indsamles på SPO-siden, der oprettes automatisk, når et team oprettes
- For hver oprettet kanal oprettes der automatisk en undermappe i mappen Dokumenter på dette SPO-websted:
- filer i kanaler uploades til de tilsvarende undermapper i mappen Dokumenter på SPO Teams-webstedet (navngivet det samme som kanalen)
- E-mails, der sendes til kanalen, gemmes i undermappen "E-mailbeskeder" i kanalmappen
- Når en ny privat kanal oprettes, oprettes der et separat SPO-websted til at gemme indholdet, med samme struktur som beskrevet ovenfor for almindelige kanaler (vigtigt - for hver privat kanal oprettes dens egen specielle SPO-side)
- Filer, der sendes gennem chats, gemmes på den afsendende brugers OneDrive-konto (i mappen "Microsoft Teams Chat Files") og deles med chatdeltagere
- Chat- og korrespondanceindhold gemmes i henholdsvis bruger- og teampostkasser i skjulte mapper. Der er i øjeblikket ingen måde at få yderligere adgang til dem.
Der er vand i karburatoren, der er en utæthed i lænsen
Nøglepunkter, der er vigtige at huske i sammenhængen informationssikkerhed:
- Adgangskontrol og forståelse af, hvem der kan tildeles rettigheder til vigtige data, overføres til slutbrugerniveau. Ikke med fuld centraliseret kontrol eller overvågning.
- Når nogen deler virksomhedsdata, er dine blinde vinkler synlige for andre, men ikke for dig.
Vi kan ikke se Emma på listen over personer, der er en del af teamet (via en sikkerhedsgruppe i Azure AD), men hun har adgang til en bestemt fil, det link, som James sendte hende til.
Ligeledes ved vi ikke om hendes evne til at få adgang til filer fra Teams-grænsefladen:
Er der nogen måde, vi kan få information om, hvilket objekt Emma har adgang til? Ja, det kan vi, men kun ved at undersøge adgangsrettighederne til alt eller et specifikt objekt i SPO'en, som vi har mistanke om.
Efter at have undersøgt sådanne rettigheder, vil vi se, at Emma og Chris har rettigheder til objektet på SPO-niveau.
Chris? Vi kender ingen Chris. Hvor kom han fra?
Og han "kom" til os fra den "lokale" SPO-sikkerhedsgruppe, som til gengæld allerede inkluderer Azure AD-sikkerhedsgruppen med medlemmer af "kompensations"-teamet.
Måske, Microsoft Cloud App Security (MCAS) vil være i stand til at belyse de problemstillinger, der interesserer os, og give det nødvendige niveau af forståelse?
Ak nej... Selvom vi vil være i stand til at se Chris og Emma, vil vi ikke være i stand til at se de specifikke brugere, der har fået adgang.
Niveauer og metoder til at give adgang i O365 - IT udfordringer
Den enkleste proces med at give adgang til data på fillagre inden for organisationers perimeter er ikke særlig kompliceret og giver praktisk talt ikke muligheder for at omgå de tildelte adgangsrettigheder.
O365 har også mange muligheder for samarbejde og deling af data.
- Brugere forstår ikke, hvorfor de begrænser adgangen til data, hvis de blot kan give et link til en fil, der er tilgængelig for alle, fordi de ikke har grundlæggende ekspertise inden for informationssikkerhed, eller de forsømmer risici, og gør antagelser om den lave sandsynlighed for deres Hændelse
- Som følge heraf kan kritisk information forlade organisationen og blive tilgængelig for en bred vifte af mennesker.
- Derudover er der mange muligheder for at give redundant adgang.
Microsoft i O365 har givet nok for mange måder at ændre adgangskontrollister på. Sådanne indstillinger er tilgængelige på lejerniveau, websteder, mapper, filer, selve objekter og links til dem. Konfiguration af indstillingerne for delingsfunktioner er vigtig og bør ikke forsømmes.
Vi giver mulighed for at tage et gratis, cirka halvanden times videokursus om konfigurationen af disse parametre, hvortil linket findes i begyndelsen af denne artikel.
Uden at tænke to gange kan du blokere al ekstern fildeling, men så:
- Nogle af funktionerne i O365-platformen forbliver ubrugte, især hvis nogle brugere er vant til at bruge dem derhjemme eller på et tidligere job
- "Avancerede brugere" vil "hjælpe" andre medarbejdere med at bryde de regler, du sætter, på andre måder
Opsætning af delingsmuligheder omfatter:
- Forskellige konfigurationer for hver applikation: OD, SPO, AAD og MS Teams (nogle konfigurationer kan kun udføres af administratoren, nogle kan kun udføres af brugerne selv)
- Indstillingskonfigurationer på lejerniveau og på niveauet for hvert enkelt websted
Hvad betyder det for informationssikkerheden?
Som vi så ovenfor, kan fulde autoritative dataadgangsrettigheder ikke ses i en enkelt grænseflade:
For at forstå, hvem der har adgang til HVER specifik fil eller mappe, skal du således uafhængigt oprette en adgangsmatrix, der indsamler data til den under hensyntagen til følgende:
- Teammedlemmer er synlige i Azure AD og Teams, men ikke i SPO
- Teamejere kan udpege medejere, som selvstændigt kan udvide teamlisten
- Teams kan også inkludere EKSTERNE brugere - "Gæster"
- Links til deling eller download er ikke synlige i Teams eller Azure AD - kun i SPO og kun efter kedeligt klik gennem et væld af links
- Kun SPO-webstedsadgang er ikke synlig i Teams
Mangel på centraliseret kontrol betyder at du ikke kan:
- Se, hvem der har adgang til hvilke ressourcer
- Se, hvor kritiske data er placeret
- Opfyld lovgivningsmæssige krav, der kræver en tilgang til tjenesteplanlægning, der sætter privatlivets fred først
- Opdag usædvanlig adfærd vedrørende kritiske data
- Begræns angrebsområdet
- Vælg en effektiv måde at reducere risici på baseret på deres vurdering
Resumé
Som konklusion kan vi sige det
- For it-afdelinger i organisationer, der vælger at arbejde med O365, er det vigtigt at have kvalificerede medarbejdere, der både teknisk kan implementere ændringer i delingsindstillinger og begrunde konsekvenserne af at ændre visse parametre for at kunne skrive politikker for arbejdet med O365, som er aftalt med information. sikkerheds- og forretningsenheder
- Det er vigtigt for informationssikkerheden at kunne gennemføre på en automatisk daglig basis, eller endda i realtid, en revision af dataadgang, overtrædelser af O365-politikker aftalt med IT- og forretningsafdelinger og en analyse af rigtigheden af den tildelte adgang. , samt at se angreb på hver af tjenesterne i deres lejer O365
Kilde: www.habr.com