En este artículo, nos gustaría mostrar cómo es trabajar con Microsoft Teams desde el punto de vista de los usuarios, administradores de TI y personal de seguridad de la información.
Primero, dejemos claro en qué se diferencia Teams de la mayoría de los demás productos de Microsoft en su oferta de Office 365 (O365 para abreviar).
Teams es sólo un cliente y no tiene su propia aplicación en la nube. Y aloja los datos que administra en varias aplicaciones de O365.
Le mostraremos lo que sucede "bajo el capó" cuando los usuarios trabajan en Teams, SharePoint Online (en adelante, SPO) y OneDrive.
Si quieres pasar a la parte práctica de garantizar la seguridad utilizando las herramientas de Microsoft (1 hora del tiempo total del curso), te recomendamos encarecidamente escuchar nuestro curso Office 365 Sharing Audit, disponible Este curso también cubre la configuración de uso compartido en O365, que solo se puede cambiar a través de PowerShell.
Conozca al equipo de proyecto interno de Acme Co.
Así es como se ve este equipo en Teams, después de haber sido creado y la propietaria de este equipo, Amelia, ha otorgado el acceso adecuado a sus miembros:
El equipo empieza a trabajar.
Linda insinúa que solo James y William, con quienes lo discutieron, accederán al archivo con el plan de pago de bonificación colocado en el canal que ella creó.
James, a su vez, envía un enlace para acceder a este archivo a una empleada de Recursos Humanos, Emma, que no forma parte del Equipo.
William envía un acuerdo con los datos personales de un tercero a otro miembro del Equipo en el chat de MS Teams:
Nos subimos bajo el capó
Zoey, con la ayuda de Amelia, ahora puede agregar o eliminar a cualquier persona del equipo en cualquier momento:
Linda, al publicar un documento con datos críticos destinado a ser utilizado únicamente por dos de sus colegas, cometió un error con el tipo de canal al crearlo y el archivo quedó disponible para todos los miembros del equipo:
Afortunadamente, existe una aplicación de Microsoft para O365 en la que puedes (usándola completamente para otros fines) ver rápidamente ¿A qué datos críticos tienen acceso absolutamente todos los usuarios?, utilizando para la prueba un usuario que sea miembro únicamente del grupo de seguridad más general.
Incluso si los archivos están ubicados dentro de Canales Privados, esto puede no ser una garantía de que sólo un cierto círculo de personas tendrá acceso a ellos.
En el ejemplo de James, proporcionó un enlace al archivo de Emma, que ni siquiera es miembro del Equipo, y mucho menos acceso al Canal Privado (si lo fuera).
Lo peor de esta situación es que no veremos información sobre esto en ningún lugar de los grupos de seguridad en Azure AD, ya que los derechos de acceso se le conceden directamente.
El archivo PD enviado por William estará disponible para Margaret en cualquier momento, y no sólo mientras chatea en línea.
Subimos hasta la cintura
Averigüemos más. Primero, veamos qué sucede exactamente cuando un usuario crea un nuevo equipo en MS Teams:
- Se crea un nuevo grupo de seguridad de Office 365 en Azure AD, que incluye propietarios y miembros del equipo.
- Se está creando un nuevo sitio de equipo en SharePoint Online (en adelante, SPO)
- Se crean tres nuevos grupos locales (válidos sólo en este servicio) en SPO: Propietarios, Miembros, Visitantes
- También se están realizando cambios en Exchange Online.
Datos de MS Teams y dónde residen
Teams no es un almacén de datos ni una plataforma. Está integrado con todas las soluciones de Office 365.
- O365 ofrece muchas aplicaciones y productos, pero los datos siempre se almacenan en los siguientes lugares: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Los datos que comparte o recibe a través de MS Teams se almacenan en esas plataformas, no dentro del propio Teams.
- En este caso, el riesgo es la creciente tendencia hacia la colaboración. Cualquiera que tenga acceso a los datos en las plataformas SPO y OD puede ponerlos a disposición de cualquier persona dentro o fuera de la organización.
- Todos los datos del Equipo (excluyendo el contenido de los canales privados) se recopilan en el sitio SPO y se crean automáticamente al crear un Equipo.
- Para cada canal creado, se crea automáticamente una subcarpeta en la carpeta Documentos de este sitio SPO:
- los archivos en Canales se cargan en las subcarpetas correspondientes de la carpeta Documentos del sitio de SPO Teams (llamada igual que el Canal)
- Los correos electrónicos enviados al Canal se almacenan en la subcarpeta "Mensajes de correo electrónico" de la carpeta del Canal.
- Cuando se crea un nuevo Canal Privado, se crea un sitio SPO separado para almacenar su contenido, con la misma estructura descrita anteriormente para los Canales regulares (importante: para cada Canal Privado se crea su propio sitio SPO especial)
- Los archivos enviados a través de chats se guardan en la cuenta OneDrive del usuario que los envía (en la carpeta "Archivos de chat de Microsoft Teams") y se comparten con los participantes del chat.
- Los contenidos del chat y la correspondencia se almacenan en los buzones de correo del usuario y del equipo, respectivamente, en carpetas ocultas. Actualmente no hay forma de obtener acceso adicional a ellos.
Hay agua en el carburador, hay fuga en la sentina.
Puntos clave que es importante recordar en contexto seguridad de información:
- El control de acceso y la comprensión de a quién se le pueden otorgar derechos sobre datos importantes se transfiere al nivel del usuario final. No provisto control o monitoreo totalmente centralizado.
- Cuando alguien comparte datos de la empresa, sus puntos ciegos son visibles para los demás, pero no para usted.
No vemos a Emma en la lista de personas que forman parte del Equipo (a través de un grupo de seguridad en Azure AD), pero tiene acceso a un archivo específico, cuyo enlace le envió James.
Asimismo, no sabremos sobre su capacidad para acceder a archivos desde la interfaz de Teams:
¿Hay alguna manera de que podamos obtener información sobre a qué objeto tiene acceso Emma? Sí, podemos, pero sólo examinando los derechos de acceso a todo o a un objeto específico en la OPP sobre el cual tenemos sospechas.
Habiendo examinado dichos derechos, veremos que Emma y Chris tienen derechos sobre el objeto a nivel SPO.
¿Cris? No conocemos a ningún Chris. ¿De donde vino el?
Y “vino” a nosotros desde el grupo de seguridad “local” de SPO, que, a su vez, ya incluye el grupo de seguridad de Azure AD, con miembros del Equipo de “Compensaciones”.
Tal vez Seguridad de aplicaciones en la nube de Microsoft (MCAS) ¿Será capaz de arrojar luz sobre los temas que nos interesan, aportando el nivel de comprensión necesario?
Por desgracia, no... Aunque podremos ver a Chris y Emma, no podremos ver los usuarios específicos a los que se les ha otorgado acceso.
Niveles y métodos para proporcionar acceso en O365: desafíos de TI
El proceso más simple de proporcionar acceso a los datos almacenados en archivos dentro del perímetro de las organizaciones no es particularmente complicado y prácticamente no brinda oportunidades para eludir los derechos de acceso otorgados.
O365 también ofrece muchas oportunidades para colaborar y compartir datos.
- Los usuarios no entienden por qué restringir el acceso a los datos si pueden simplemente proporcionar un enlace a un archivo disponible para todos, porque no tienen conocimientos básicos en el campo de la seguridad de la información o descuidan los riesgos, haciendo suposiciones sobre la baja probabilidad de su ocurrencia
- Como resultado, la información crítica puede salir de la organización y quedar disponible para una amplia gama de personas.
- Además, existen muchas oportunidades para proporcionar acceso redundante.
Microsoft en O365 probablemente haya proporcionado demasiadas formas de cambiar las listas de control de acceso. Dichas configuraciones están disponibles a nivel de inquilino, sitios, carpetas, archivos, objetos en sí y enlaces a ellos. Configurar los ajustes de las capacidades para compartir es importante y no debe descuidarse.
Brindamos la oportunidad de realizar un curso en video gratuito de aproximadamente una hora y media sobre la configuración de estos parámetros, cuyo enlace se proporciona al principio de este artículo.
Sin pensarlo dos veces, puedes bloquear todos los archivos compartidos externos, pero luego:
- Algunas de las capacidades de la plataforma O365 quedarán sin uso, especialmente si algunos usuarios están acostumbrados a utilizarlas en casa o en un trabajo anterior.
- Los "usuarios avanzados" "ayudarán" a otros empleados a romper las reglas que usted establezca por otros medios.
La configuración de opciones para compartir incluye:
- Varias configuraciones para cada aplicación: OD, SPO, AAD y MS Teams (algunas configuraciones solo las puede realizar el administrador, otras solo las pueden realizar los propios usuarios)
- Configuraciones de configuración a nivel de inquilino y a nivel de cada sitio específico
¿Qué significa esto para la seguridad de la información?
Como vimos anteriormente, los derechos de acceso a datos autorizados completos no se pueden ver en una sola interfaz:
Por lo tanto, para comprender quién tiene acceso a CADA archivo o carpeta específica, deberá crear de forma independiente una matriz de acceso y recopilar datos para ello, teniendo en cuenta lo siguiente:
- Los miembros de Teams son visibles en Azure AD y Teams, pero no en SPO
- Los propietarios del equipo pueden nombrar copropietarios, quienes pueden ampliar la lista del equipo de forma independiente
- Los equipos también pueden incluir usuarios EXTERNOS – “Invitados”
- Los vínculos proporcionados para compartir o descargar no son visibles en Teams o Azure AD, solo en SPO y solo después de hacer tediosos clics en un montón de vínculos.
- El acceso exclusivo al sitio SPO no es visible en Teams
Falta de control centralizado significa que no puedes:
- Ver quién tiene acceso a qué recursos
- Vea dónde se encuentran los datos críticos
- Cumplir con los requisitos regulatorios que requieren un enfoque que priorice la privacidad en la planificación de servicios
- Detectar comportamientos inusuales respecto a datos críticos
- Limitar el área de ataque
- Elija una forma eficaz de reducir los riesgos en función de su evaluación.
Resumen
Como conclusión podemos decir que
- Para los departamentos de TI de las organizaciones que eligen trabajar con O365, es importante contar con empleados calificados que puedan implementar técnicamente cambios en la configuración de uso compartido y justificar las consecuencias de cambiar ciertos parámetros para poder escribir políticas para trabajar con O365 que se acuerden con la información. unidades de seguridad y negocios
- Es importante para la seguridad de la información poder realizar de forma automática, diaria o incluso en tiempo real, una auditoría del acceso a los datos, violaciones de las políticas de O365 acordadas con los departamentos de TI y comerciales y un análisis de la exactitud del acceso otorgado. , así como ver ataques a cada uno de los servicios en su inquilino O365
Fuente: habr.com