Office 365&Microsoft Teams - jednostavnost suradnje i utjecaj na sigurnost

U ovom članku želimo pokazati kako izgleda rad s Microsoft Teamsom sa stajališta korisnika, IT administratora i osoblja za informacijsku sigurnost.

Prvo, razjasnimo po čemu se Teams razlikuje od većine drugih Microsoftovih proizvoda u njihovoj ponudi Office 365 (O365, skraćeno).

Teams je samo klijent i nema vlastitu aplikaciju u oblaku. I čuva podatke kojima upravlja u raznim O365 aplikacijama.

Pokazat ćemo vam što se događa "ispod haube" kada korisnici rade u timovima, SharePoint Online (u daljnjem tekstu SPO) i OneDrive.

Ako želite prijeći na praktični dio osiguravanja sigurnosti korištenjem Microsoftovih alata (1 sat ukupnog vremena tečaja), preporučujemo slušanje našeg tečaja Office 365 Sharing Audit, koji je dostupan na poveznici. Ovaj tečaj također pokriva postavke dijeljenja u O365, koje se mogu promijeniti samo putem PowerShell-a.

Upoznajte interni projektni tim Acme Co.

Ovako izgleda ovaj tim u timovima, nakon što ga je vlasnica ovog tima, Amelia, izradila i odobrila odgovarajući pristup njegovim članovima:

Tim počinje s radom

Linda implicira da će datoteci s planom isplate bonusa postavljenoj na kanalu koji je stvorila pristupiti samo James i William, s kojima su o tome razgovarali.

James pak šalje poveznicu za pristup ovoj datoteci djelatnici HR-a, Emmi, koja nije dio tima.

William šalje ugovor s osobnim podacima treće strane drugom članu tima u chatu MS Teams:

Penjemo se ispod haube

Zoey, uz pomoć Amelije, sada može dodati ili ukloniti bilo koga iz tima u bilo kojem trenutku:

Linda je, postavljajući dokument s kritičnim podacima namijenjen samo za dvoje svojih kolega, pogriješila s vrstom kanala prilikom izrade i datoteka je postala dostupna svim članovima tima:

Srećom, postoji Microsoftova aplikacija za O365 u kojoj možete (koristeći je potpuno u druge svrhe) brzo vidjeti kojim kritičnim podacima imaju pristup apsolutno svi korisnici?, koristeći za test korisnika koji je član samo najopćenitije sigurnosne grupe.

Čak i ako se datoteke nalaze unutar privatnih kanala, to možda nije jamstvo da će samo određeni krug ljudi imati pristup njima.

U primjeru s Jamesom, on je dao poveznicu do Emmine datoteke, koja čak nije ni član Tima, a kamoli pristup Privatnom kanalu (ako ga ima).

Najgora stvar u ovoj situaciji je što informacije o tome nećemo vidjeti nigdje u sigurnosnim grupama u Azure AD-u, budući da su mu prava pristupa dodijeljena izravno.

PD datoteka koju je William poslao bit će dostupna Margaret u bilo kojem trenutku, a ne samo dok razgovara na mreži.

Penjemo se do struka

Shvatimo dalje. Prvo, da vidimo što se točno događa kada korisnik kreira novi tim u MS Teams:

• Nova Office 365 sigurnosna grupa stvorena je u Azure AD, koja uključuje vlasnike tima i članove tima
• Nova timska stranica se stvara u SharePoint Online (u daljnjem tekstu SPO)
• Tri nove lokalne (vrijede samo u ovoj usluzi) grupe stvorene su u SPO: Vlasnici, Članovi, Posjetitelji
• Promjene se rade i na Exchange Online.

MS Teams podaci i gdje žive

Teams nije skladište podataka ili platforma. Integriran je sa svim Office 365 rješenjima.

• O365 nudi mnogo aplikacija i proizvoda, ali podaci se uvijek pohranjuju na sljedećim mjestima: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
• Podaci koje dijelite ili primate putem MS Teamsa pohranjuju se na tim platformama, a ne unutar samog Teamsa
• U ovom slučaju, rizik je rastući trend prema suradnji. Svatko tko ima pristup podacima na SPO i OD platformama može ih učiniti dostupnima bilo kome unutar ili izvan organizacije
• Svi podaci tima (isključujući sadržaj privatnih kanala) prikupljaju se na SPO stranici, kreirani automatski prilikom kreiranja tima
• Za svaki kreirani kanal automatski se stvara podmapa u mapi Dokumenti na ovom SPO mjestu:
  • datoteke u kanalima učitavaju se u odgovarajuće podmape mape dokumenata na web mjestu SPO timova (pod istim nazivom kao kanal)
  • E-poruke poslane na kanal pohranjuju se u podmapu "Poruke e-pošte" u mapi kanala

• Kada se kreira novi privatni kanal, kreira se zasebna SPO stranica za pohranu njegovog sadržaja, s istom strukturom kao što je gore opisana za obične kanale (važno - za svaki privatni kanal kreira se vlastita posebna SPO stranica)
• Datoteke poslane putem chatova spremaju se na OneDrive račun korisnika pošiljatelja (u mapi "Microsoft Teams Chat Files") i dijele se sa sudionicima chata
• Sadržaj čavrljanja i dopisivanja pohranjuje se u korisničkim i timskim poštanskim sandučićima u skrivenim mapama. Trenutno ne postoji način da im se dodatno pristupi.

Ima vode u karburatoru, ima curenja u kaljuži

Ključne točke koje je važno zapamtiti u kontekstu sigurnost informacija:

• Kontrola pristupa i razumijevanje tko može dobiti prava na važne podatke prenosi se na razinu krajnjeg korisnika. Nije osigurano potpuna centralizirana kontrola ili nadzor.
• Kada netko podijeli podatke o tvrtki, vaše mrtve točke vidljive su drugima, ali ne i vama.

Ne vidimo Emmu na popisu ljudi koji su dio tima (putem sigurnosne grupe u Azure AD), ali ima pristup određenoj datoteci, poveznicu na koju joj je poslao James.

Isto tako, nećemo znati za njezinu mogućnost pristupa datotekama s Teams sučelja:

Postoji li neki način da dobijemo informaciju o tome kojem objektu Emma ima pristup? Možemo, ali samo ispitivanjem prava pristupa svemu ili konkretnom objektu u SPO-u u koji sumnjamo.

Nakon što smo ispitali takva prava, vidjet ćemo da Emma i Chris imaju prava na objekt na razini SPO.

Chris? Ne poznajemo nikakvog Chrisa. Odakle je došao?

A on nam je “došao” iz “lokalne” SPO sigurnosne grupe, u kojoj se, pak, već nalazi sigurnosna grupa Azure AD, s članovima Tima za “kompenzacije”.

Limenka, Microsoft Cloud App Security (MCAS) moći će rasvijetliti pitanja koja nas zanimaju, pružajući potrebnu razinu razumijevanja?

Jao, ne... Iako ćemo moći vidjeti Chrisa i Emmu, nećemo moći vidjeti određene korisnike kojima je odobren pristup.

Razine i načini pružanja pristupa u O365 - IT izazovi

Najjednostavniji proces omogućavanja pristupa podacima na skladištima datoteka unutar perimetra organizacije nije posebno kompliciran i praktički ne pruža mogućnosti zaobilaženja dodijeljenih prava pristupa.

O365 također ima mnogo mogućnosti za suradnju i dijeljenje podataka.

• Korisnicima nije jasno zašto ograničavati pristup podacima ako jednostavno mogu dati poveznicu na datoteku dostupnu svima, jer nemaju osnovno znanje iz područja informacijske sigurnosti ili zanemaruju rizike, stvarajući pretpostavke o maloj vjerojatnosti njihove pojava
• Kao rezultat toga, kritične informacije mogu napustiti organizaciju i postati dostupne širokom krugu ljudi.
• Osim toga, postoje mnoge mogućnosti za pružanje redundantnog pristupa.

Microsoft je u O365 ponudio vjerojatno previše načina za promjenu popisa kontrole pristupa. Takve postavke dostupne su na razini stanara, web-mjesta, mapa, datoteka, samih objekata i poveznica na njih. Konfiguriranje postavki mogućnosti dijeljenja važno je i ne smije se zanemariti.

Nudimo vam mogućnost pohađanja besplatnog, otprilike jednoipolsatnog video tečaja o konfiguraciji ovih parametara, čija se poveznica nalazi na početku ovog članka.

Bez razmišljanja možete blokirati sva vanjska dijeljenja datoteka, ali tada:

• Neke od mogućnosti platforme O365 ostat će neiskorištene, posebice ako su ih neki korisnici navikli koristiti kod kuće ili na prethodnom poslu
• “Napredni korisnici” će “pomoći” drugim zaposlenicima da prekrše pravila koja ste postavili na druge načine

Postavljanje opcija dijeljenja uključuje:

• Razne konfiguracije za svaku aplikaciju: OD, SPO, AAD i MS Teams (neke konfiguracije može napraviti samo administrator, neke samo korisnici)
• Konfiguracije postavki na razini stanara i na razini svake specifične stranice

Što to znači za informacijsku sigurnost?

Kao što smo vidjeli gore, potpuna autoritativna prava pristupa podacima ne mogu se vidjeti u jednom sučelju:

Dakle, da biste razumjeli tko ima pristup SVAKOJ određenoj datoteci ili mapi, morat ćete samostalno izraditi matricu pristupa, prikupljajući podatke za nju, uzimajući u obzir sljedeće:

• Članovi timova vidljivi su u Azure AD-u i timovima, ali ne i u SPO-u
• Vlasnici tima mogu imenovati suvlasnike, koji mogu samostalno proširivati ​​popis tima
• Timovi mogu uključivati ​​i VANJSKE korisnike – “Gosti”
• Veze predviđene za dijeljenje ili preuzimanje nisu vidljive u Teams-u ili Azure AD-u – samo u SPO-u i samo nakon zamornog klikanja kroz gomilu veza
• Pristup samo SPO web-mjestu nije vidljiv u timovima

Nedostatak centralizirane kontrole znači da ne možete:

• Pogledajte tko ima pristup kojim resursima
• Pogledajte gdje se nalaze kritični podaci
• Ispunite regulatorne zahtjeve koji zahtijevaju privatnost na prvom mjestu u planiranju usluga
• Otkrijte neobično ponašanje u vezi s kritičnim podacima
• Ograničite područje napada
• Odaberite učinkovit način smanjenja rizika na temelju njihove procjene

Rezime

Kao zaključak možemo reći da

• Za IT odjele organizacija koje se odluče za rad s O365, važno je imati kvalificirane zaposlenike koji mogu tehnički implementirati promjene u postavkama dijeljenja i opravdati posljedice promjene određenih parametara kako bi napisali pravila za rad s O365 koja su usuglašena s informacijama sigurnosne i poslovne jedinice
• Za informacijsku sigurnost važno je imati mogućnost automatske dnevne, pa čak i realne vremenske revizije pristupa podacima, kršenja O365 politika dogovorenih s IT i poslovnim odjelima te analizu ispravnosti odobrenog pristupa, kao i vidjeti napade na svaku od usluga u njihovom korisniku O365

Izvor: www.habr.com