Dans cet article, nous aimerions montrer à quoi ressemble le travail avec Microsoft Teams du point de vue des utilisateurs, des administrateurs informatiques et du personnel chargé de la sécurité de l'information.
Tout d’abord, soyons clairs sur la différence entre Teams et la plupart des autres produits Microsoft dans leur offre Office 365 (O365 en abrégé).
Teams est un client uniquement et ne dispose pas de sa propre application cloud. Et il héberge les données qu'il gère dans diverses applications O365.
Nous vous montrerons ce qui se passe « sous le capot » lorsque les utilisateurs travaillent dans Teams, SharePoint Online (ci-après dénommé SPO) et OneDrive.
Si vous souhaitez passer à la partie pratique de la sécurité à l'aide des outils Microsoft (1 heure sur la durée totale du cours), nous vous recommandons vivement d'écouter notre cours Audit de partage Office 365, disponible Ce cours couvre également les paramètres de partage dans O365, qui ne peuvent être modifiés que via PowerShell.
Rencontrez l'équipe de projet interne d'Acme Co.
Voici à quoi ressemble cette équipe dans Teams, une fois qu'elle a été créée et que l'accès approprié a été accordé à ses membres par la propriétaire de cette équipe, Amelia :
L'équipe commence à travailler
Linda laisse entendre que le fichier avec le plan de paiement des bonus placé dans la chaîne qu'elle a créée ne sera accessible qu'à James et William, avec qui ils en ont discuté.
James, à son tour, envoie un lien pour accéder à ce dossier à une collaboratrice RH, Emma, qui ne fait pas partie de la Team.
William envoie un accord avec les données personnelles d'un tiers à un autre membre de l'équipe dans le chat MS Teams :
On grimpe sous le capot
Zoey, avec l'aide d'Amelia, peut désormais ajouter ou supprimer n'importe qui de l'équipe à tout moment :
Linda, en publiant un document contenant des données critiques destinées à être utilisées uniquement par deux de ses collègues, a commis une erreur avec le type de chaîne lors de sa création, et le fichier est devenu disponible pour tous les membres de l'équipe :
Heureusement, il existe une application Microsoft pour O365 dans laquelle vous pouvez (en l'utilisant à d'autres fins) voir rapidement À quelles données critiques absolument tous les utilisateurs ont-ils accès ?, en utilisant pour le test un utilisateur qui est membre uniquement du groupe de sécurité le plus général.
Même si les fichiers se trouvent dans des canaux privés, cela ne garantit pas que seul un certain cercle de personnes y aura accès.
Dans l'exemple de James, il a fourni un lien vers le fichier d'Emma, qui n'est même pas membre de l'équipe, encore moins accès au canal privé (si c'en était un).
Le pire dans cette situation est que nous ne verrons aucune information à ce sujet dans les groupes de sécurité d'Azure AD, puisque les droits d'accès lui sont accordés directement.
Le fichier PD envoyé par William sera disponible pour Margaret à tout moment, et pas seulement lors d'une conversation en ligne.
On monte jusqu'à la taille
Voyons cela plus loin. Tout d'abord, voyons ce qui se passe exactement lorsqu'un utilisateur crée une nouvelle équipe dans MS Teams :
- Un nouveau groupe de sécurité Office 365 est créé dans Azure AD, qui comprend les propriétaires et les membres de l'équipe
- Un nouveau site Team est en cours de création dans SharePoint Online (ci-après dénommé SPO)
- Trois nouveaux groupes locaux (valables uniquement dans ce service) sont créés dans SPO : Propriétaires, Membres, Visiteurs
- Des modifications sont également apportées à Exchange Online.
Données MS Teams et où elles se trouvent
Teams n’est pas un entrepôt de données ou une plateforme. Il est intégré à toutes les solutions Office 365.
- O365 propose de nombreuses applications et produits, mais les données sont toujours stockées aux endroits suivants : SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Les données que vous partagez ou recevez via MS Teams sont stockées sur ces plateformes, et non dans Teams lui-même.
- Dans ce cas, le risque réside dans la tendance croissante à la collaboration. Toute personne ayant accès aux données des plateformes SPO et OD peut les mettre à la disposition de toute personne à l'intérieur ou à l'extérieur de l'organisation.
- Toutes les données de l'Equipe (hors contenu des canaux privés) sont collectées dans le site SPO, créé automatiquement lors de la création d'une Équipe
- Pour chaque Channel créé, un sous-dossier est automatiquement créé dans le dossier Documents de ce site SPO :
- les fichiers des chaînes sont téléchargés dans les sous-dossiers correspondants du dossier Documents du site SPO Teams (nommés de la même manière que la chaîne)
- Les e-mails envoyés à la chaîne sont stockés dans le sous-dossier « Messages électroniques » du dossier de la chaîne.
- Lorsqu'un nouveau canal privé est créé, un site SPO distinct est créé pour stocker son contenu, avec la même structure que celle décrite ci-dessus pour les canaux normaux (important : pour chaque canal privé, son propre site SPO spécial est créé)
- Les fichiers envoyés via les discussions sont enregistrés sur le compte OneDrive de l'utilisateur expéditeur (dans le dossier « Fichiers de discussion Microsoft Teams ») et sont partagés avec les participants au chat.
- Le contenu des discussions et de la correspondance est stocké respectivement dans les boîtes aux lettres des utilisateurs et de l'équipe, dans des dossiers cachés. Il n'existe actuellement aucun moyen d'y accéder davantage.
Il y a de l'eau dans le carburateur, il y a une fuite dans la cale
Points clés qu’il est important de retenir dans leur contexte sécurité des informations:
- Le contrôle d'accès et la compréhension de qui peut obtenir des droits sur les données importantes sont transférés au niveau de l'utilisateur final. Non fourni contrôle ou surveillance entièrement centralisé.
- Lorsque quelqu’un partage des données d’entreprise, vos angles morts sont visibles pour les autres, mais pas pour vous.
On ne voit pas Emma dans la liste des personnes qui font partie de l'équipe (via un groupe de sécurité dans Azure AD), mais elle a accès à un fichier spécifique, lien vers lequel James lui a envoyé.
De même, nous ne connaîtrons pas sa capacité à accéder aux fichiers depuis l’interface Teams :
Existe-t-il un moyen d'obtenir des informations sur l'objet auquel Emma a accès ? Oui, nous le pouvons, mais uniquement en examinant les droits d'accès à tout ou à un objet spécifique du SPO sur lequel nous avons des soupçons.
Après avoir examiné ces droits, nous verrons qu'Emma et Chris ont des droits sur l'objet au niveau SPO.
Chris ? Nous ne connaissons aucun Chris. D'où est-ce qu'il venait?
Et il nous est « venu » du groupe de sécurité SPO « local », qui, à son tour, comprend déjà le groupe de sécurité Azure AD, avec des membres de l'équipe « Compensations ».
Peut-être Sécurité des applications cloud Microsoft (MCAS) sera-t-il en mesure de faire la lumière sur les questions qui nous intéressent, en apportant le niveau de compréhension nécessaire ?
Hélas, non... Même si nous pourrons voir Chris et Emma, nous ne pourrons pas voir les utilisateurs spécifiques qui ont obtenu l'accès.
Niveaux et modalités de fourniture d'accès dans O365 - Enjeux informatiques
Le processus le plus simple consistant à fournir un accès aux données sur les stockages de fichiers dans le périmètre des organisations n'est pas particulièrement compliqué et ne permet pratiquement pas de contourner les droits d'accès accordés.
O365 offre également de nombreuses opportunités de collaboration et de partage de données.
- Les utilisateurs ne comprennent pas pourquoi restreindre l'accès aux données s'ils peuvent simplement fournir un lien vers un fichier accessible à tous, parce qu'ils ne possèdent pas d'expertise de base dans le domaine de la sécurité de l'information, ou qu'ils négligent les risques, faisant des hypothèses sur la faible probabilité de leur occurrence
- En conséquence, des informations critiques peuvent quitter l’organisation et devenir accessibles à un large éventail de personnes.
- De plus, il existe de nombreuses possibilités de fournir un accès redondant.
Microsoft dans O365 a probablement fourni trop de façons de modifier les listes de contrôle d'accès. Ces paramètres sont disponibles au niveau du locataire, des sites, des dossiers, des fichiers, des objets eux-mêmes et des liens vers ceux-ci. La configuration des paramètres des capacités de partage est importante et ne doit pas être négligée.
Nous offrons la possibilité de suivre gratuitement un cours vidéo d'environ une heure et demie sur la configuration de ces paramètres, dont le lien vers est fourni au début de cet article.
Sans y réfléchir à deux fois, vous pouvez bloquer tout partage de fichiers externes, mais alors :
- Certaines fonctionnalités de la plateforme O365 resteront inutilisées, surtout si certains utilisateurs ont l'habitude de les utiliser à la maison ou lors d'un précédent travail.
- Les « utilisateurs avancés » « aideront » les autres employés à enfreindre les règles que vous avez fixées par d'autres moyens
La configuration des options de partage comprend :
- Différentes configurations pour chaque application : OD, SPO, AAD et MS Teams (certaines configurations ne peuvent être effectuées que par l'administrateur, d'autres ne peuvent être effectuées que par les utilisateurs eux-mêmes)
- Configurations des paramètres au niveau du locataire et au niveau de chaque site spécifique
Qu’est-ce que cela signifie pour la sécurité de l’information ?
Comme nous l'avons vu ci-dessus, les droits d'accès aux données faisant autorité ne peuvent pas être vus dans une seule interface :
Ainsi, afin de comprendre qui a accès à CHAQUE fichier ou dossier spécifique, vous devrez créer indépendamment une matrice d'accès, en collectant des données pour celui-ci, en tenant compte des éléments suivants :
- Les membres des équipes sont visibles dans Azure AD et Teams, mais pas dans SPO
- Les propriétaires d'équipe peuvent nommer des copropriétaires, qui peuvent élargir la liste de l'équipe de manière indépendante
- Les équipes peuvent également inclure des utilisateurs EXTERNES – « Invités »
- Les liens fournis pour le partage ou le téléchargement ne sont pas visibles dans Teams ou Azure AD - uniquement dans SPO, et seulement après un clic fastidieux sur une tonne de liens
- L’accès au site SPO uniquement n’est pas visible dans Teams
Manque de contrôle centralisé signifie que vous ne pouvez pas :
- Voir qui a accès à quelles ressources
- Découvrez où se trouvent les données critiques
- Répondre aux exigences réglementaires qui nécessitent une approche de planification des services axée sur la confidentialité
- Détecter les comportements inhabituels concernant les données critiques
- Limiter la zone d'attaque
- Choisir un moyen efficace de réduire les risques en fonction de leur évaluation
Résumé
En conclusion, nous pouvons dire que
- Pour les services informatiques des organisations choisissant de travailler avec O365, il est important de disposer d'employés qualifiés capables à la fois de mettre en œuvre techniquement les modifications des paramètres de partage et de justifier les conséquences de la modification de certains paramètres afin de rédiger des politiques de travail avec O365 convenues avec les informations. unités de sécurité et commerciales
- Il est important pour la sécurité de l'information de pouvoir réaliser automatiquement, quotidiennement, voire en temps réel, un audit des accès aux données, des violations des politiques O365 convenues avec les services informatiques et commerciaux et une analyse de l'exactitude des accès accordés. , ainsi que de voir les attaques sur chacun des services dans leur locataire O365
Source: habr.com