Dalam artikel ini, kami ingin menunjukkan seperti apa bekerja dengan Microsoft Teams dari sudut pandang pengguna, administrator TI, dan staf keamanan informasi.
Pertama, mari kita perjelas tentang perbedaan Teams dari sebagian besar produk Microsoft lainnya dalam penawaran Office 365 (disingkat O365).
Teams hanya bersifat klien dan tidak memiliki aplikasi cloud sendiri. Dan ia menampung data yang dikelolanya di berbagai aplikasi O365.
Kami akan memperlihatkan kepada Anda apa yang terjadi "di balik terpal" saat pengguna bekerja di Teams, SharePoint Online (selanjutnya disebut SPO) dan OneDrive.
Jika Anda ingin beralih ke bagian praktis dalam memastikan keamanan menggunakan alat Microsoft (1 jam dari total waktu kursus), kami sangat menyarankan untuk mendengarkan kursus Audit Berbagi Office 365 kami, yang tersedia Kursus ini juga mencakup pengaturan berbagi di O365, yang hanya dapat diubah melalui PowerShell.
Temui Tim Proyek Internal Acme Co.
Inilah tampilan Tim ini di Teams, setelah dibuat dan akses yang sesuai diberikan kepada anggotanya oleh Pemilik Tim ini, Amelia:
Tim mulai bekerja
Linda menyiratkan bahwa file dengan rencana pembayaran bonus yang ditempatkan di Saluran yang dia buat hanya akan diakses oleh James dan William, dengan siapa mereka mendiskusikannya.
James, pada gilirannya, mengirimkan tautan untuk mengakses file ini ke karyawan HR, Emma, yang bukan bagian dari Tim.
William mengirimkan perjanjian dengan data pribadi pihak ketiga ke anggota Tim lainnya di obrolan MS Teams:
Kami naik ke bawah tenda
Zoey, dengan bantuan Amelia, kini dapat menambah atau menghapus siapa pun dari Tim kapan saja:
Linda, yang memposting dokumen dengan data penting yang dimaksudkan untuk digunakan hanya oleh dua rekannya, membuat kesalahan dengan jenis Saluran saat membuatnya, dan file tersebut tersedia untuk semua anggota Tim:
Untungnya, ada aplikasi Microsoft untuk O365 di mana Anda dapat (menggunakannya sepenuhnya untuk tujuan lain) dengan cepat melihatnya data penting apa yang benar-benar dapat diakses oleh semua pengguna?, untuk pengujian menggunakan pengguna yang merupakan anggota grup keamanan paling umum saja.
Meskipun file berada di dalam Saluran Pribadi, hal ini mungkin tidak menjamin bahwa hanya kalangan tertentu saja yang dapat mengaksesnya.
Pada contoh James, dia memberikan link ke file Emma yang bahkan bukan anggota Tim, apalagi akses ke Channel Pribadi (jika ada).
Hal terburuk tentang situasi ini adalah kami tidak akan melihat informasi tentang hal ini di mana pun di grup keamanan di Azure AD, karena hak akses diberikan secara langsung.
File PD yang dikirimkan William akan tersedia bagi Margaret kapan saja, dan tidak hanya saat mengobrol online.
Kami naik ke pinggang
Mari kita cari tahu lebih jauh. Pertama, mari kita lihat apa yang sebenarnya terjadi ketika pengguna membuat Tim baru di MS Teams:
- Grup keamanan Office 365 baru dibuat di Azure AD, yang mencakup pemilik tim dan anggota tim
- Situs Tim baru sedang dibuat di SharePoint Online (selanjutnya disebut SPO)
- Tiga grup lokal baru (hanya valid di layanan ini) dibuat di SPO: Pemilik, Anggota, Pengunjung
- Perubahan juga dilakukan pada Exchange Online.
Data MS Teams dan lokasinya
Tim bukanlah gudang data atau platform. Ini terintegrasi dengan semua solusi Office 365.
- O365 menawarkan banyak aplikasi dan produk, namun data selalu disimpan di tempat berikut: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Data yang Anda bagikan atau terima melalui MS Teams disimpan di platform tersebut, bukan di dalam Teams itu sendiri
- Dalam hal ini, risikonya adalah meningkatnya tren kolaborasi. Siapa pun yang memiliki akses ke data di platform SPO dan OD dapat menyediakannya bagi siapa pun di dalam atau di luar organisasi
- Semua data Tim (tidak termasuk konten saluran pribadi) dikumpulkan di situs SPO, dibuat secara otomatis saat membuat Tim
- Untuk setiap Saluran yang dibuat, subfolder secara otomatis dibuat di folder Dokumen di situs SPO ini:
- file di Saluran diunggah ke subfolder yang sesuai dari folder Dokumen situs Tim SPO (dinamai sama dengan Saluran)
- Email yang dikirim ke Saluran disimpan dalam subfolder “Pesan Email” pada folder Saluran
- Ketika Saluran Pribadi baru dibuat, situs SPO terpisah dibuat untuk menyimpan kontennya, dengan struktur yang sama seperti dijelaskan di atas untuk Saluran reguler (penting - untuk setiap Saluran Pribadi, situs SPO khusus dibuat)
- File yang dikirim melalui obrolan disimpan ke akun OneDrive pengguna pengirim (di folder "File Obrolan Microsoft Teams") dan dibagikan dengan peserta obrolan
- Konten obrolan dan korespondensi masing-masing disimpan di kotak surat pengguna dan Tim, dalam folder tersembunyi. Saat ini tidak ada cara untuk mendapatkan akses tambahan ke sana.
Ada air di karburator, ada kebocoran di lambung kapal
Poin-poin penting yang penting untuk diingat dalam konteks informasi keamanan:
- Kontrol akses, dan pemahaman tentang siapa yang dapat diberikan hak atas data penting, ditransfer ke tingkat pengguna akhir. Tidak tersedia kontrol atau pemantauan terpusat penuh.
- Saat seseorang membagikan data perusahaan, titik buta Anda dapat dilihat oleh orang lain, namun tidak oleh Anda.
Kami tidak melihat Emma dalam daftar orang yang menjadi bagian dari Tim (melalui grup keamanan di Azure AD), namun dia memiliki akses ke file tertentu, tautan yang dikirimkan James kepadanya.
Demikian pula, kita tidak akan mengetahui kemampuannya mengakses file dari antarmuka Teams:
Adakah cara agar kita bisa mendapatkan informasi tentang objek apa yang dapat diakses Emma? Ya, bisa, tetapi hanya dengan memeriksa hak akses terhadap segala sesuatu atau objek tertentu di SPO yang kami curigai.
Setelah mengkaji hak-hak tersebut, kita akan melihat bahwa Emma dan Chris memiliki hak atas objek tersebut di tingkat SPO.
Kris? Kami tidak mengenal Chris. Dari mana dia datang?
Dan dia “datang” kepada kami dari grup keamanan SPO “lokal”, yang, pada gilirannya, sudah mencakup grup keamanan Azure Active Directory, dengan anggota Tim “Kompensasi”.
Bisa, Keamanan Aplikasi Cloud Microsoft (MCAS) akan mampu menjelaskan isu-isu yang menarik minat kita, memberikan tingkat pemahaman yang diperlukan?
Sayangnya, tidak... Meskipun kami dapat melihat Chris dan Emma, kami tidak akan dapat melihat pengguna tertentu yang telah diberikan akses.
Tingkat dan metode penyediaan akses di O365 - tantangan TI
Proses paling sederhana dalam menyediakan akses ke data pada penyimpanan file dalam perimeter organisasi tidak terlalu rumit dan praktis tidak memberikan peluang untuk melewati hak akses yang diberikan.
O365 juga memiliki banyak peluang untuk berkolaborasi dan berbagi data.
- Pengguna tidak mengerti mengapa membatasi akses ke data jika mereka dapat dengan mudah memberikan tautan ke file yang tersedia untuk semua orang, karena mereka tidak memiliki keahlian dasar di bidang keamanan informasi, atau mereka mengabaikan risiko, membuat asumsi tentang rendahnya kemungkinan mereka. kejadian
- Akibatnya, informasi penting mungkin meninggalkan organisasi dan tersedia bagi banyak orang.
- Selain itu, ada banyak peluang untuk memberikan akses berlebihan.
Microsoft di O365 mungkin telah menyediakan terlalu banyak cara untuk mengubah daftar kontrol akses. Pengaturan tersebut tersedia di tingkat penyewa, situs, folder, file, objek itu sendiri, dan tautan ke sana. Mengonfigurasi pengaturan kemampuan berbagi adalah hal yang penting dan tidak boleh diabaikan.
Kami memberikan kesempatan untuk mengikuti kursus video gratis sekitar satu setengah jam tentang konfigurasi parameter ini, tautannya disediakan di awal artikel ini.
Tanpa berpikir dua kali, Anda dapat memblokir semua berbagi file eksternal, tetapi kemudian:
- Beberapa kemampuan platform O365 akan tetap tidak digunakan, terutama jika beberapa pengguna sudah terbiasa menggunakannya di rumah atau di pekerjaan sebelumnya.
- “Pengguna tingkat lanjut” akan “membantu” karyawan lain melanggar aturan yang Anda tetapkan melalui cara lain
Menyiapkan opsi berbagi meliputi:
- Berbagai konfigurasi untuk setiap aplikasi: OD, SPO, AAD dan MS Teams (ada konfigurasi yang hanya bisa dilakukan oleh administrator, ada pula yang hanya bisa dilakukan oleh pengguna sendiri)
- Konfigurasi pengaturan di tingkat penyewa dan di tingkat setiap situs tertentu
Apa artinya ini bagi keamanan informasi?
Seperti yang kita lihat di atas, hak akses data otoritatif penuh tidak dapat dilihat dalam satu antarmuka:
Jadi, untuk memahami siapa yang memiliki akses ke SETIAP file atau folder tertentu, Anda perlu membuat matriks akses secara mandiri, mengumpulkan data untuk itu, dengan mempertimbangkan hal-hal berikut:
- Anggota Teams terlihat di Azure Active Directory dan Teams, namun tidak di SPO
- Pemilik Tim dapat menunjuk Rekan Pemilik, yang dapat memperluas daftar Tim secara mandiri
- Tim juga dapat menyertakan pengguna EKSTERNAL – “Tamu”
- Tautan yang disediakan untuk berbagi atau mengunduh tidak terlihat di Teams atau Azure Active Directory - hanya di SPO, dan hanya setelah mengklik banyak tautan secara membosankan
- Akses situs SPO saja tidak terlihat di Teams
Kurangnya kontrol terpusat berarti Anda tidak bisa:
- Lihat siapa yang memiliki akses ke sumber daya apa
- Lihat di mana data penting berada
- Memenuhi persyaratan peraturan yang memerlukan pendekatan yang mengutamakan privasi dalam perencanaan layanan
- Deteksi perilaku yang tidak biasa terkait data penting
- Batasi area serangan
- Pilih cara yang efektif untuk mengurangi risiko berdasarkan penilaian mereka
Ringkasan
Sebagai kesimpulan, kita dapat mengatakan demikian
- Untuk departemen TI di organisasi yang memilih untuk bekerja dengan O365, penting untuk memiliki karyawan yang memenuhi syarat yang secara teknis dapat menerapkan perubahan dalam pengaturan berbagi dan membenarkan konsekuensi dari perubahan parameter tertentu untuk menulis kebijakan untuk bekerja dengan O365 yang disepakati dengan informasi keamanan dan unit bisnis
- Penting bagi keamanan informasi untuk dapat melakukan audit akses data secara otomatis setiap hari, atau bahkan real-time, pelanggaran kebijakan O365 yang disepakati dengan departemen TI dan bisnis, serta analisis kebenaran akses yang diberikan. , serta melihat serangan pada setiap layanan di penyewa O365 mereka
Sumber: www.habr.com