Σε αυτό το άρθρο, θα θέλαμε να δείξουμε πώς φαίνεται η εργασία με το Microsoft Teams από τη σκοπιά των χρηστών, των διαχειριστών IT και του προσωπικού ασφάλειας πληροφοριών.
Αρχικά, ας ξεκαθαρίσουμε πώς το Teams διαφέρει από τα περισσότερα άλλα προϊόντα της Microsoft στην προσφορά του Office 365 (O365 για συντομία).
Το Teams είναι μόνο πελάτης και δεν έχει τη δική του εφαρμογή cloud. Και φιλοξενεί τα δεδομένα που διαχειρίζεται σε διάφορες εφαρμογές O365.
Θα σας δείξουμε τι συμβαίνει "κάτω από την κουκούλα" όταν οι χρήστες εργάζονται στο Teams, στο SharePoint Online (εφεξής SPO) και στο OneDrive.
Εάν θέλετε να προχωρήσετε στο πρακτικό μέρος της διασφάλισης ασφάλειας με χρήση εργαλείων της Microsoft (1 ώρα του συνολικού χρόνου μαθημάτων), σας συνιστούμε να ακούσετε το μάθημα του Office 365 Sharing Audit, που είναι διαθέσιμο Αυτό το μάθημα καλύπτει επίσης τις ρυθμίσεις κοινής χρήσης στο O365, οι οποίες μπορούν να αλλάξουν μόνο μέσω του PowerShell.
Γνωρίστε την ομάδα εσωτερικού έργου Acme Co.
Αυτή είναι η εμφάνιση αυτής της Ομάδας στο Teams, αφού έχει δημιουργηθεί και έχει παραχωρηθεί η κατάλληλη πρόσβαση στα μέλη της από την Ιδιοκτήτρια αυτής της Ομάδας, την Amelia:
Η ομάδα αρχίζει να δουλεύει
Η Linda υπονοεί ότι το αρχείο με το πρόγραμμα πληρωμής μπόνους που τοποθετήθηκε στο κανάλι που δημιούργησε θα έχει πρόσβαση μόνο ο James και ο William, με τους οποίους το συζήτησαν.
Ο James, με τη σειρά του, στέλνει έναν σύνδεσμο για πρόσβαση σε αυτό το αρχείο σε μια υπάλληλο HR, την Emma, η οποία δεν είναι μέλος της Ομάδας.
Ο William αποστέλλει μια συμφωνία με τα προσωπικά δεδομένα ενός τρίτου μέρους σε άλλο μέλος της Ομάδας στη συνομιλία του MS Teams:
Ανεβαίνουμε κάτω από την κουκούλα
Η Zoey, με τη βοήθεια της Amelia, μπορεί πλέον να προσθέσει ή να αφαιρέσει οποιονδήποτε από την Ομάδα ανά πάσα στιγμή:
Η Linda, δημοσιεύοντας ένα έγγραφο με σημαντικά δεδομένα που προορίζονται για χρήση μόνο από δύο από τους συναδέλφους της, έκανε λάθος με τον τύπο του καναλιού κατά τη δημιουργία του και το αρχείο έγινε διαθέσιμο σε όλα τα μέλη της ομάδας:
Ευτυχώς, υπάρχει μια εφαρμογή της Microsoft για το O365 στην οποία μπορείτε (χρησιμοποιώντας την εντελώς για άλλους σκοπούς) γρήγορα να δείτε σε ποια κρίσιμα δεδομένα έχουν πρόσβαση όλοι οι χρήστες;, χρησιμοποιώντας για τη δοκιμή έναν χρήστη που είναι μέλος μόνο της πιο γενικής ομάδας ασφαλείας.
Ακόμα κι αν τα αρχεία βρίσκονται μέσα σε Ιδιωτικά κανάλια, αυτό μπορεί να μην αποτελεί εγγύηση ότι μόνο ένας συγκεκριμένος κύκλος ατόμων θα έχει πρόσβαση σε αυτά.
Στο παράδειγμα του James, παρείχε έναν σύνδεσμο προς το αρχείο της Emma, η οποία δεν είναι καν μέλος της Ομάδας, πόσο μάλλον πρόσβαση στο Ιδιωτικό Κανάλι (αν ήταν ένα).
Το χειρότερο σε αυτήν την κατάσταση είναι ότι δεν θα δούμε πληροφορίες σχετικά με αυτό πουθενά στις ομάδες ασφαλείας στο Azure AD, αφού τα δικαιώματα πρόσβασης παραχωρούνται απευθείας σε αυτήν.
Το αρχείο PD που στάλθηκε από τον William θα είναι διαθέσιμο στη Margaret ανά πάσα στιγμή, και όχι μόνο κατά τη συνομιλία στο διαδίκτυο.
Ανεβαίνουμε μέχρι τη μέση
Ας το καταλάβουμε περαιτέρω. Αρχικά, ας δούμε τι ακριβώς συμβαίνει όταν ένας χρήστης δημιουργεί μια νέα Ομάδα στο MS Teams:
- Μια νέα ομάδα ασφαλείας του Office 365 δημιουργείται στο Azure AD, η οποία περιλαμβάνει κατόχους ομάδας και μέλη ομάδας
- Δημιουργείται μια νέα τοποθεσία ομάδας στο SharePoint Online (εφεξής SPO)
- Τρεις νέες τοπικές (ισχύει μόνο σε αυτήν την υπηρεσία) ομάδες δημιουργούνται στο SPO: Ιδιοκτήτες, Μέλη, Επισκέπτες
- Γίνονται αλλαγές και στο Exchange Online.
Δεδομένα MS Teams και πού ζει
Το Teams δεν είναι αποθήκη δεδομένων ή πλατφόρμα. Είναι ενσωματωμένο με όλες τις λύσεις του Office 365.
- Το O365 προσφέρει πολλές εφαρμογές και προϊόντα, αλλά τα δεδομένα αποθηκεύονται πάντα στα ακόλουθα σημεία: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Τα δεδομένα που μοιράζεστε ή λαμβάνετε μέσω του MS Teams αποθηκεύονται σε αυτές τις πλατφόρμες και όχι στο ίδιο το Teams
- Σε αυτή την περίπτωση, ο κίνδυνος είναι η αυξανόμενη τάση προς τη συνεργασία. Οποιοσδήποτε έχει πρόσβαση σε δεδομένα στις πλατφόρμες SPO και OD μπορεί να τα καταστήσει διαθέσιμα σε οποιονδήποτε εντός ή εκτός του οργανισμού
- Όλα τα δεδομένα της ομάδας (εξαιρουμένου του περιεχομένου των ιδιωτικών καναλιών) συλλέγονται στον ιστότοπο SPO, δημιουργούνται αυτόματα κατά τη δημιουργία μιας ομάδας
- Για κάθε κανάλι που δημιουργείται, ένας υποφάκελος δημιουργείται αυτόματα στο φάκελο Documents σε αυτήν την τοποθεσία SPO:
- τα αρχεία στα Κανάλια μεταφορτώνονται στους αντίστοιχους υποφακέλους του φακέλου Documents του ιστότοπου SPO Teams (ονομάζεται ίδιο με το κανάλι)
- Τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται στο κανάλι αποθηκεύονται στον υποφάκελο "Μηνύματα ηλεκτρονικού ταχυδρομείου" του φακέλου του καναλιού
- Όταν δημιουργείται ένα νέο Ιδιωτικό κανάλι, δημιουργείται ένας ξεχωριστός ιστότοπος SPO για την αποθήκευση των περιεχομένων του, με την ίδια δομή που περιγράφεται παραπάνω για τα κανονικά κανάλια (σημαντικό - για κάθε Ιδιωτικό κανάλι δημιουργείται ο δικός του ειδικός ιστότοπος SPO)
- Τα αρχεία που αποστέλλονται μέσω συνομιλιών αποθηκεύονται στον λογαριασμό OneDrive του χρήστη που αποστέλλει (στον φάκελο "Αρχεία συνομιλίας της Microsoft Teams") και μοιράζονται με τους συμμετέχοντες στη συνομιλία
- Τα περιεχόμενα συνομιλίας και αλληλογραφίας αποθηκεύονται σε γραμματοκιβώτια χρήστη και ομάδας, αντίστοιχα, σε κρυφούς φακέλους. Προς το παρόν δεν υπάρχει τρόπος να αποκτήσετε πρόσθετη πρόσβαση σε αυτά.
Υπάρχει νερό στο καρμπυρατέρ, υπάρχει διαρροή στη σεντίνα
Βασικά σημεία που είναι σημαντικό να θυμάστε στο πλαίσιο ασφάλεια πληροφοριών:
- Ο έλεγχος πρόσβασης και η κατανόηση του ποιος μπορεί να έχει δικαιώματα για σημαντικά δεδομένα, μεταφέρεται στο επίπεδο τελικού χρήστη. Δεν παρέχεται πλήρης κεντρικός έλεγχος ή παρακολούθηση.
- Όταν κάποιος μοιράζεται εταιρικά δεδομένα, τα τυφλά σημεία σας είναι ορατά σε άλλους, αλλά όχι σε εσάς.
Δεν βλέπουμε την Έμμα στη λίστα με τα άτομα που είναι μέλη της Ομάδας (μέσω μιας ομάδας ασφαλείας στο Azure AD), αλλά έχει πρόσβαση σε ένα συγκεκριμένο αρχείο, τον σύνδεσμο στον οποίο της έστειλε ο Τζέιμς.
Ομοίως, δεν θα γνωρίζουμε για την ικανότητά της να έχει πρόσβαση σε αρχεία από τη διεπαφή του Teams:
Υπάρχει κάποιος τρόπος να λάβουμε πληροφορίες σχετικά με το αντικείμενο στο οποίο έχει πρόσβαση η Έμμα; Ναι, μπορούμε, αλλά μόνο εξετάζοντας τα δικαιώματα πρόσβασης σε όλα ή σε συγκεκριμένο αντικείμενο στο SPO για το οποίο έχουμε υποψίες.
Έχοντας εξετάσει τέτοια δικαιώματα, θα δούμε ότι η Emma και ο Chris έχουν δικαιώματα στο αντικείμενο σε επίπεδο SPO.
Κρις; Δεν ξέρουμε κανέναν Κρις. Από πού ήρθε;
Και μας «ήλθε» από την «τοπική» ομάδα ασφαλείας SPO, η οποία με τη σειρά της περιλαμβάνει ήδη την ομάδα ασφαλείας Azure AD, με μέλη της Ομάδας «Αποζημιώσεις».
Μπορώ, Microsoft Cloud App Security (MCAS) θα μπορέσει να ρίξει φως σε θέματα που μας ενδιαφέρουν, παρέχοντας το απαραίτητο επίπεδο κατανόησης;
Αλίμονο, όχι... Αν και θα μπορούμε να δούμε τον Chris και την Emma, δεν θα μπορούμε να δούμε τους συγκεκριμένους χρήστες στους οποίους έχει δοθεί πρόσβαση.
Επίπεδα και μέθοδοι παροχής πρόσβασης σε προκλήσεις O365 - IT
Η απλούστερη διαδικασία παροχής πρόσβασης σε δεδομένα σε αποθήκες αρχείων εντός της περιμέτρου των οργανισμών δεν είναι ιδιαίτερα περίπλοκη και πρακτικά δεν παρέχει ευκαιρίες παράκαμψης των χορηγηθέντων δικαιωμάτων πρόσβασης.
Το O365 έχει επίσης πολλές ευκαιρίες για συνεργασία και κοινή χρήση δεδομένων.
- Οι χρήστες δεν κατανοούν γιατί περιορίζουν την πρόσβαση στα δεδομένα, εάν μπορούν απλώς να παράσχουν έναν σύνδεσμο προς ένα αρχείο διαθέσιμο σε όλους, επειδή δεν διαθέτουν βασική εξειδίκευση στον τομέα της ασφάλειας πληροφοριών ή παραμελούν τους κινδύνους, κάνοντας υποθέσεις σχετικά με τη χαμηλή πιθανότητα περιστατικό
- Ως αποτέλεσμα, κρίσιμες πληροφορίες μπορεί να εγκαταλείψουν τον οργανισμό και να γίνουν διαθέσιμες σε ένα ευρύ φάσμα ανθρώπων.
- Επιπλέον, υπάρχουν πολλές ευκαιρίες για παροχή πλεονάζουσας πρόσβασης.
Η Microsoft στο O365 έχει παράσχει πιθανώς πάρα πολλούς τρόπους για να αλλάξετε τις λίστες ελέγχου πρόσβασης. Τέτοιες ρυθμίσεις είναι διαθέσιμες σε επίπεδο μισθωτή, τοποθεσιών, φακέλων, αρχείων, ίδιων των αντικειμένων και συνδέσμων προς αυτά. Η διαμόρφωση των ρυθμίσεων των δυνατοτήτων κοινής χρήσης είναι σημαντική και δεν πρέπει να παραμεληθεί.
Παρέχουμε την ευκαιρία να παρακολουθήσετε ένα δωρεάν, περίπου μιάμιση ώρα βίντεο για τη διαμόρφωση αυτών των παραμέτρων, ο σύνδεσμος για τον οποίο παρέχεται στην αρχή αυτού του άρθρου.
Χωρίς να το σκεφτείτε δύο φορές, μπορείτε να αποκλείσετε όλη την εξωτερική κοινή χρήση αρχείων, αλλά στη συνέχεια:
- Ορισμένες από τις δυνατότητες της πλατφόρμας O365 θα παραμείνουν αχρησιμοποίητες, ειδικά εάν ορισμένοι χρήστες έχουν συνηθίσει να τις χρησιμοποιούν στο σπίτι ή σε προηγούμενη εργασία
- Οι "Προχωρημένοι χρήστες" θα "βοηθήσουν" άλλους υπαλλήλους να παραβιάσουν τους κανόνες που ορίζετε με άλλα μέσα
Η ρύθμιση των επιλογών κοινής χρήσης περιλαμβάνει:
- Διάφορες διαμορφώσεις για κάθε εφαρμογή: OD, SPO, AAD και MS Teams (ορισμένες διαμορφώσεις μπορούν να γίνουν μόνο από τον διαχειριστή, ορισμένες μπορούν να γίνουν μόνο από τους ίδιους τους χρήστες)
- Ρυθμίζει διαμορφώσεις σε επίπεδο μισθωτή και σε επίπεδο κάθε συγκεκριμένης τοποθεσίας
Τι σημαίνει αυτό για την ασφάλεια των πληροφοριών;
Όπως είδαμε παραπάνω, τα πλήρη έγκυρα δικαιώματα πρόσβασης σε δεδομένα δεν μπορούν να προβληθούν σε μία ενιαία διεπαφή:
Έτσι, για να κατανοήσετε ποιος έχει πρόσβαση σε ΚΑΘΕ συγκεκριμένο αρχείο ή φάκελο, θα χρειαστεί να δημιουργήσετε ανεξάρτητα έναν πίνακα πρόσβασης, συλλέγοντας δεδομένα για αυτόν, λαμβάνοντας υπόψη τα ακόλουθα:
- Τα μέλη των ομάδων είναι ορατά στο Azure AD και στο Teams, αλλά όχι στο SPO
- Οι ιδιοκτήτες ομάδων μπορούν να διορίσουν Συνιδιοκτήτες, οι οποίοι μπορούν να επεκτείνουν τη λίστα της ομάδας ανεξάρτητα
- Οι ομάδες μπορούν επίσης να περιλαμβάνουν ΕΞΩΤΕΡΙΚΟΥΣ χρήστες - "Επισκέπτες"
- Οι σύνδεσμοι που παρέχονται για κοινή χρήση ή λήψη δεν είναι ορατοί στο Teams ή στο Azure AD - μόνο στο SPO και μόνο μετά από κουραστικό κλικ σε έναν τόνο συνδέσμων
- Η πρόσβαση μόνο στον ιστότοπο SPO δεν είναι ορατή στις ομάδες
Έλλειψη κεντρικού ελέγχου σημαίνει ότι δεν μπορείς:
- Δείτε ποιος έχει πρόσβαση σε ποιους πόρους
- Δείτε πού βρίσκονται τα κρίσιμα δεδομένα
- Ικανοποιήστε τις ρυθμιστικές απαιτήσεις που απαιτούν μια προσέγγιση για το απόρρητο στο σχεδιασμό υπηρεσιών
- Εντοπίστε ασυνήθιστη συμπεριφορά σχετικά με κρίσιμα δεδομένα
- Περιορίστε την περιοχή επίθεσης
- Επιλέξτε έναν αποτελεσματικό τρόπο μείωσης των κινδύνων με βάση την εκτίμησή τους
Περίληψη
Ως συμπέρασμα, μπορούμε να πούμε ότι
- Για τα τμήματα πληροφορικής των οργανισμών που επιλέγουν να συνεργαστούν με το O365, είναι σημαντικό να έχουν καταρτισμένους υπαλλήλους που μπορούν να εφαρμόσουν τεχνικά αλλαγές στις ρυθμίσεις κοινής χρήσης και να αιτιολογήσουν τις συνέπειες της αλλαγής ορισμένων παραμέτρων, προκειμένου να συντάξουν πολιτικές για την εργασία με το O365 που συμφωνούνται με πληροφορίες ασφάλεια και επιχειρηματικές μονάδες
- Είναι σημαντικό για την ασφάλεια των πληροφοριών να μπορεί να διεξάγει σε αυτόματη καθημερινή βάση, ή ακόμα και σε πραγματικό χρόνο, έλεγχο πρόσβασης δεδομένων, παραβιάσεις των πολιτικών O365 που έχουν συμφωνηθεί με τα τμήματα πληροφορικής και επιχειρήσεων και ανάλυση της ορθότητας της παραχωρούμενης πρόσβασης , καθώς και για να δείτε επιθέσεις σε καθεμία από τις υπηρεσίες στο μισθωτή τους O365
Πηγή: www.habr.com