In questo articolo vorremmo mostrare come funziona con Microsoft Teams dal punto di vista degli utenti, degli amministratori IT e del personale addetto alla sicurezza delle informazioni.
Innanzitutto, chiariamo in che modo Teams è diverso dalla maggior parte degli altri prodotti Microsoft nella loro offerta Office 365 (O365 in breve).
Teams è solo un client e non dispone di una propria applicazione cloud. E ospita i dati che gestisce in varie applicazioni O365.
Ti mostreremo cosa succede "dietro le quinte" quando gli utenti lavorano in Teams, SharePoint Online (di seguito denominato SPO) e OneDrive.
Se desideri passare alla parte pratica relativa alla garanzia della sicurezza utilizzando gli strumenti Microsoft (1 ora del tempo totale del corso), ti consigliamo vivamente di ascoltare il nostro corso Office 365 Sharing Audit, disponibile Questo corso copre anche le impostazioni di condivisione in O365, che possono essere modificate solo tramite PowerShell.
Incontra il team di progetto interno di Acme Co..
Questo è l'aspetto del team in Teams, dopo che è stato creato e dopo che l'accesso appropriato è stato concesso ai suoi membri dal proprietario di questo team, Amelia:
La squadra inizia a lavorare
Linda lascia intendere che il file con il piano di pagamento del bonus inserito nel Canale da lei creato sarà accessibile solo a James e William, con i quali ne hanno discusso.
James, a sua volta, invia un collegamento per accedere a questo file a una dipendente delle risorse umane, Emma, che non fa parte del Team.
William invia un accordo con i dati personali di terzi a un altro membro del Team nella chat di MS Teams:
Saliamo sotto il cofano
Zoey, con l'aiuto di Amelia, ora può aggiungere o rimuovere chiunque dal Team in qualsiasi momento:
Linda, pubblicando un documento con dati critici destinati all'uso solo da due dei suoi colleghi, ha commesso un errore con il tipo di canale durante la creazione e il file è diventato disponibile a tutti i membri del team:
Fortunatamente esiste un'applicazione Microsoft per O365 in cui è possibile (utilizzandola completamente per altri scopi) vedere rapidamente a quali dati critici hanno accesso assolutamente tutti gli utenti?, utilizzando per il test un utente membro solo del gruppo di sicurezza più generale.
Anche se i file si trovano all'interno di canali privati, ciò potrebbe non garantire che solo una determinata cerchia di persone possa accedervi.
Nell'esempio di James, ha fornito un collegamento al file di Emma, che non è nemmeno un membro del Team, per non parlare dell'accesso al Canale Privato (se lo fosse).
La cosa peggiore di questa situazione è che non vedremo informazioni al riguardo da nessuna parte nei gruppi di sicurezza di Azure AD, poiché i diritti di accesso gli vengono concessi direttamente.
Il file PD inviato da William sarà a disposizione di Margaret in qualsiasi momento e non solo durante le chat online.
Saliamo fino alla vita
Scopriamolo ulteriormente. Innanzitutto, vediamo cosa succede esattamente quando un utente crea un nuovo Team in MS Teams:
- Viene creato un nuovo gruppo di sicurezza di Office 365 in Azure AD, che include proprietari e membri del team
- È in corso la creazione di un nuovo sito del team in SharePoint Online (di seguito denominato SPO)
- In SPO vengono creati tre nuovi gruppi locali (validi solo in questo servizio): Proprietari, Membri, Visitatori
- Sono state apportate modifiche anche a Exchange Online.
Dati di MS Teams e dove si trovano
Teams non è un data warehouse o una piattaforma. È integrato con tutte le soluzioni Office 365.
- O365 offre molte applicazioni e prodotti, ma i dati vengono sempre archiviati nei seguenti luoghi: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- I dati che condividi o ricevi tramite MS Teams vengono archiviati su tali piattaforme, non all'interno di Teams stesso
- In questo caso il rischio è la crescente tendenza alla collaborazione. Chiunque abbia accesso ai dati nelle piattaforme SPO e OD può renderli disponibili a chiunque all'interno o all'esterno dell'organizzazione
- Tutti i dati del Team (escluso il contenuto dei canali privati) vengono raccolti nel sito SPO, creato automaticamente al momento della creazione di un Team
- Per ogni Canale creato, viene creata automaticamente una sottocartella nella cartella Documenti di questo sito SPO:
- i file nei Canali vengono caricati nelle sottocartelle corrispondenti della cartella Documenti del sito SPO Teams (con lo stesso nome del Canale)
- Le e-mail inviate al Canale vengono archiviate nella sottocartella "Messaggi e-mail" della cartella Canale
- Quando viene creato un nuovo canale privato, viene creato un sito SPO separato per archiviarne i contenuti, con la stessa struttura descritta sopra per i canali normali (importante: per ciascun canale privato viene creato il proprio sito SPO speciale)
- I file inviati tramite chat vengono salvati nell'account OneDrive dell'utente mittente (nella cartella "File di chat di Microsoft Teams") e vengono condivisi con i partecipanti alla chat
- I contenuti della chat e della corrispondenza vengono archiviati rispettivamente nelle caselle di posta dell'utente e del team, in cartelle nascoste. Al momento non esiste alcun modo per ottenere ulteriore accesso ad essi.
C'è acqua nel carburatore, c'è una perdita nella sentina
Punti chiave che è importante ricordare nel contesto informazioni di sicurezza:
- Il controllo degli accessi e la comprensione di chi può ottenere i diritti sui dati importanti vengono trasferiti al livello dell'utente finale. Non fornito controllo o monitoraggio completamente centralizzato.
- Quando qualcuno condivide i dati aziendali, i tuoi punti ciechi sono visibili agli altri, ma non a te.
Non vediamo Emma nell'elenco delle persone che fanno parte del Team (tramite un gruppo di sicurezza in Azure AD), ma ha accesso a un file specifico, il collegamento a cui James le ha inviato.
Allo stesso modo, non sapremo della sua capacità di accedere ai file dall'interfaccia di Teams:
C'è un modo per ottenere informazioni su a quale oggetto Emma ha accesso? Sì, è possibile, ma solo esaminando i diritti di accesso a tutto o un oggetto specifico nell'SPO su cui nutriamo sospetti.
Dopo aver esaminato tali diritti, vedremo che Emma e Chris hanno diritti sull'oggetto a livello SPO.
Chris? Non conosciamo nessun Chris. Da dove viene?
E lui è “venuto” da noi dal gruppo di sicurezza SPO “locale”, che a sua volta comprende già il gruppo di sicurezza Azure AD, con membri del team “Compensazioni”.
forse Microsoft Cloud App Security (MCAS) sarà in grado di far luce sulle questioni che ci interessano, fornendo il necessario livello di comprensione?
Purtroppo no... Anche se potremo vedere Chris ed Emma, non potremo vedere gli utenti specifici a cui è stato concesso l'accesso.
Livelli e modalità di fornitura dell'accesso in O365 - Sfide IT
Il processo più semplice per fornire l'accesso ai dati sugli archivi di file all'interno del perimetro delle organizzazioni non è particolarmente complicato e praticamente non offre opportunità per aggirare i diritti di accesso concessi.
O365 ha anche molte opportunità di collaborazione e condivisione di dati.
- Gli utenti non capiscono perché limitare l'accesso ai dati se possono semplicemente fornire un collegamento a un file accessibile a tutti, perché non hanno competenze di base nel campo della sicurezza informatica, o trascurano i rischi, facendo supposizioni sulla bassa probabilità del loro occorrenza
- Di conseguenza, le informazioni critiche potrebbero lasciare l’organizzazione e diventare disponibili a un’ampia gamma di persone.
- Inoltre, esistono molte opportunità per fornire un accesso ridondante.
Microsoft in O365 ha fornito probabilmente troppi modi per modificare gli elenchi di controllo degli accessi. Tali impostazioni sono disponibili a livello di tenant, siti, cartelle, file, oggetti stessi e collegamenti ad essi. La configurazione delle impostazioni delle funzionalità di condivisione è importante e non deve essere trascurata.
Offriamo la possibilità di seguire un videocorso gratuito di circa un'ora e mezza sulla configurazione di questi parametri, il cui collegamento è fornito all'inizio di questo articolo.
Senza pensarci due volte, puoi bloccare tutta la condivisione di file esterni, ma poi:
- Alcune funzionalità della piattaforma O365 rimarranno inutilizzate, soprattutto se alcuni utenti sono abituati a utilizzarle a casa o in un precedente lavoro
- Gli "utenti avanzati" "aiuteranno" gli altri dipendenti a infrangere le regole impostate con altri mezzi
La configurazione delle opzioni di condivisione include:
- Varie configurazioni per ogni applicazione: OD, SPO, AAD e MS Teams (alcune configurazioni possono essere effettuate solo dall'amministratore, altre possono essere effettuate solo dagli utenti stessi)
- Configurazioni delle impostazioni a livello di tenant e a livello di ciascun sito specifico
Cosa significa questo per la sicurezza delle informazioni?
Come abbiamo visto sopra, i diritti di accesso autorevoli completi ai dati non possono essere visti in un’unica interfaccia:
Pertanto, per capire chi ha accesso a OGNI file o cartella specifica, sarà necessario creare autonomamente una matrice di accesso, raccogliendo i dati per essa, tenendo conto di quanto segue:
- I membri dei team sono visibili in Azure AD e Teams, ma non in SPO
- I proprietari del team possono nominare comproprietari, che possono espandere l'elenco del team in modo indipendente
- I team possono includere anche utenti ESTERNI – “Ospiti”
- I collegamenti forniti per la condivisione o il download non sono visibili in Teams o Azure AD, solo in SPO e solo dopo aver fatto noiosamente clic su numerosi collegamenti
- L'accesso solo al sito SPO non è visibile in Teams
Mancanza di controllo centralizzato significa che non puoi:
- Scopri chi ha accesso a quali risorse
- Scopri dove si trovano i dati critici
- Soddisfa i requisiti normativi che richiedono un approccio incentrato sulla privacy nella pianificazione dei servizi
- Rileva comportamenti insoliti relativi ai dati critici
- Limitare l'area di attacco
- Scegliere un modo efficace per ridurre i rischi in base alla loro valutazione
Riassunto
In conclusione possiamo dire questo
- Per i dipartimenti IT delle organizzazioni che scelgono di lavorare con O365, è importante disporre di dipendenti qualificati che possano sia implementare tecnicamente le modifiche nelle impostazioni di condivisione sia giustificare le conseguenze della modifica di determinati parametri al fine di scrivere politiche per lavorare con O365 concordate con le informazioni sicurezza e business unit
- È importante per la sicurezza delle informazioni poter effettuare in modo automatico quotidiano, o anche in tempo reale, un audit sugli accessi ai dati, sulle violazioni delle policy O365 concordate con i dipartimenti IT e aziendali e un'analisi sulla correttezza degli accessi concessi , oltre a vedere attacchi a ciascuno dei servizi nel loro tenante O365
Fonte: habr.com