Neste artigo, gostaríamos de mostrar como é trabalhar com o Microsoft Teams do ponto de vista dos usuários, administradores de TI e equipe de segurança da informação.
Primeiro, vamos deixar claro como o Teams é diferente da maioria dos outros produtos da Microsoft em sua oferta do Office 365 (abreviadamente O365).
O Teams é apenas um cliente e não possui seu próprio aplicativo em nuvem. E hospeda os dados que gerencia em vários aplicativos do O365.
Mostraremos o que está acontecendo “nos bastidores” quando os usuários trabalham no Teams, no SharePoint Online (doravante denominado SPO) e no OneDrive.
Se você quiser passar para a parte prática de garantir a segurança usando ferramentas Microsoft (1 hora do tempo total do curso), recomendamos ouvir nosso curso Office 365 Sharing Audit, disponível Este curso também aborda configurações de compartilhamento no O365, que só podem ser alteradas por meio do PowerShell.
Conheça a equipe de projeto interno da Acme Co.
Esta é a aparência desta Equipe no Teams, depois de criada e o acesso apropriado concedido aos seus membros pela Proprietária desta Equipe, Amélia:
A equipe começa a trabalhar
Linda dá a entender que o arquivo com o plano de pagamento de bônus colocado no Canal que ela criou só será acessado por James e William, com quem discutiram o assunto.
James, por sua vez, envia um link de acesso a esse arquivo para uma funcionária de RH, Emma, que não faz parte da Equipe.
William envia um acordo com os dados pessoais de um terceiro para outro membro da Equipe no chat do MS Teams:
Subimos sob o capô
Zoey, com a ajuda de Amelia, agora pode adicionar ou remover qualquer pessoa da equipe a qualquer momento:
Linda, ao postar um documento com dados críticos destinado ao uso apenas por dois de seus colegas, cometeu um erro com o tipo de Canal ao criá-lo, e o arquivo ficou disponível para todos os membros da Equipe:
Felizmente, existe um aplicativo da Microsoft para O365 no qual você pode (usando-o completamente para outros fins) ver rapidamente a quais dados críticos absolutamente todos os usuários têm acesso?, usando para o teste um usuário que seja membro apenas do grupo de segurança mais geral.
Mesmo que os arquivos estejam localizados dentro de Canais Privados, isso pode não ser uma garantia de que apenas um determinado círculo de pessoas terá acesso a eles.
No exemplo de James, ele forneceu um link para o arquivo de Emma, que nem é membro da Equipe, muito menos acesso ao Canal Privado (se for um).
O pior desta situação é que não veremos informações sobre isso em nenhum lugar dos grupos de segurança do Azure AD, uma vez que os direitos de acesso são concedidos diretamente a ele.
O arquivo PD enviado por William estará disponível para Margaret a qualquer momento, e não apenas durante um bate-papo online.
Subimos até a cintura
Vamos descobrir mais. Primeiro, vamos ver o que exatamente acontece quando um usuário cria uma nova equipe no MS Teams:
- Um novo grupo de segurança do Office 365 é criado no Azure AD, que inclui proprietários e membros da equipe
- Um novo site de equipe está sendo criado no SharePoint Online (doravante denominado SPO)
- Três novos grupos locais (válidos apenas neste serviço) são criados no SPO: Proprietários, Membros, Visitantes
- Mudanças também estão sendo feitas no Exchange Online.
Dados do MS Teams e onde eles residem
O Teams não é um data warehouse ou plataforma. Está integrado com todas as soluções do Office 365.
- O365 oferece muitos aplicativos e produtos, mas os dados são sempre armazenados nos seguintes locais: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Os dados que você compartilha ou recebe por meio do MS Teams são armazenados nessas plataformas, e não no próprio Teams
- Neste caso, o risco é a tendência crescente para a colaboração. Qualquer pessoa com acesso aos dados nas plataformas SPO e OD pode disponibilizá-los para qualquer pessoa dentro ou fora da organização
- Todos os dados do Time (excluindo o conteúdo dos canais privados) são coletados no site do SPO, criado automaticamente ao criar um Time
- Para cada Canal criado, uma subpasta é criada automaticamente na pasta Documentos deste site do SPO:
- os arquivos nos Canais são carregados nas subpastas correspondentes da pasta Documentos do site SPO Teams (com o mesmo nome do Canal)
- Os e-mails enviados para o Canal são armazenados na subpasta “Mensagens de E-mail” da pasta do Canal
- Quando um novo Canal Privado é criado, um site SPO separado é criado para armazenar seu conteúdo, com a mesma estrutura descrita acima para Canais regulares (importante - para cada Canal Privado é criado seu próprio site SPO especial)
- Os arquivos enviados por meio de bate-papos são salvos na conta OneDrive do usuário remetente (na pasta "Arquivos de bate-papo do Microsoft Teams") e compartilhados com os participantes do bate-papo
- O conteúdo do bate-papo e da correspondência é armazenado nas caixas de correio do usuário e da equipe, respectivamente, em pastas ocultas. Atualmente não há como obter acesso adicional a eles.
Há água no carburador, há vazamento no porão
Pontos-chave que são importantes lembrar no contexto segurança da informação:
- O controle de acesso e a compreensão de quem pode receber direitos sobre dados importantes são transferidos para o nível do usuário final. Não fornecido controle ou monitoramento totalmente centralizado.
- Quando alguém compartilha dados da empresa, seus pontos cegos ficam visíveis para outras pessoas, mas não para você.
Não vemos Emma na lista de pessoas que fazem parte da Equipe (através de um grupo de segurança no Azure AD), mas ela tem acesso a um arquivo específico, cujo link foi enviado por James.
Da mesma forma, não saberemos sobre sua capacidade de acessar arquivos na interface do Teams:
Existe alguma maneira de obtermos informações sobre a qual objeto Emma tem acesso? Sim, podemos, mas apenas examinando os direitos de acesso a tudo ou a um objeto específico no SPO sobre o qual temos suspeitas.
Tendo examinado tais direitos, veremos que Emma e Chris têm direitos sobre o objeto no nível SPO.
Cris? Não conhecemos nenhum Chris. De onde ele veio?
E ele “veio” até nós do grupo de segurança “local” do SPO, que, por sua vez, já inclui o grupo de segurança do Azure AD, com membros da Equipe de “Compensações”.
Talvez Segurança de Aplicativos em Nuvem da Microsoft (MCAS) será capaz de lançar luz sobre as questões que nos interessam, proporcionando o nível de compreensão necessário?
Infelizmente, não... Embora possamos ver Chris e Emma, não poderemos ver os usuários específicos aos quais foi concedido acesso.
Níveis e métodos de fornecimento de acesso no O365 – Desafios de TI
O processo mais simples de fornecer acesso a dados em armazenamentos de arquivos dentro do perímetro das organizações não é particularmente complicado e praticamente não oferece oportunidades para contornar os direitos de acesso concedidos.
O365 também oferece muitas oportunidades de colaboração e compartilhamento de dados.
- Os usuários não entendem por que restringir o acesso aos dados se podem simplesmente fornecer um link para um arquivo disponível para todos, porque não possuem conhecimentos básicos na área de segurança da informação, ou negligenciam os riscos, fazendo suposições sobre a baixa probabilidade de seus ocorrência
- Como resultado, informações críticas podem sair da organização e ficar disponíveis para uma ampla gama de pessoas.
- Além disso, existem muitas oportunidades para fornecer acesso redundante.
A Microsoft no O365 provavelmente forneceu muitas maneiras de alterar as listas de controle de acesso. Essas configurações estão disponíveis no nível do locatário, sites, pastas, arquivos, próprios objetos e links para eles. Definir as configurações dos recursos de compartilhamento é importante e não deve ser negligenciado.
Oferecemos a oportunidade de fazer um vídeo curso gratuito de aproximadamente uma hora e meia sobre a configuração desses parâmetros, cujo link é fornecido no início deste artigo.
Sem pensar duas vezes, você pode bloquear todo o compartilhamento externo de arquivos, mas então:
- Algumas das capacidades da plataforma O365 permanecerão sem utilização, especialmente se alguns utilizadores estiverem habituados a utilizá-las em casa ou num trabalho anterior
- “Usuários avançados” irão “ajudar” outros funcionários a quebrar as regras que você definiu por outros meios
A configuração de opções de compartilhamento inclui:
- Várias configurações para cada aplicação: OD, SPO, AAD e MS Teams (algumas configurações só podem ser feitas pelo administrador, outras só podem ser feitas pelos próprios usuários)
- Configurações de configurações no nível do locatário e no nível de cada site específico
O que isso significa para a segurança da informação?
Como vimos acima, os direitos completos de acesso aos dados não podem ser vistos em uma única interface:
Assim, para entender quem tem acesso a CADA arquivo ou pasta específica, será necessário criar de forma independente uma matriz de acesso, coletando dados para a mesma, levando em consideração o seguinte:
- Os membros das equipes são visíveis no Azure AD e no Teams, mas não no SPO
- Os proprietários da equipe podem nomear coproprietários, que podem expandir a lista da equipe de forma independente
- As equipes também podem incluir usuários EXTERNOS – “Convidados”
- Os links fornecidos para compartilhamento ou download não são visíveis no Teams ou no Azure AD - apenas no SPO e somente após cliques tediosos em vários links
- O acesso somente ao site SPO não é visível no Teams
Falta de controle centralizado significa que você não pode:
- Veja quem tem acesso a quais recursos
- Veja onde os dados críticos estão localizados
- Atenda aos requisitos regulatórios que exigem uma abordagem que prioriza a privacidade no planejamento de serviços
- Detecte comportamento incomum em relação a dados críticos
- Limitar área de ataque
- Escolha uma forma eficaz de reduzir os riscos com base na sua avaliação
Resumo
Como conclusão, podemos dizer que
- Para os departamentos de TI das organizações que optam por trabalhar com o O365, é importante ter funcionários qualificados que possam implementar tecnicamente alterações nas configurações de compartilhamento e justificar as consequências da alteração de determinados parâmetros, a fim de escrever políticas para trabalhar com o O365 que sejam acordadas com as informações. unidades de segurança e negócios
- É importante para a segurança da informação poder realizar diariamente de forma automática, ou mesmo em tempo real, uma auditoria dos acessos aos dados, das violações das políticas do O365 acordadas com os departamentos de TI e de negócio e uma análise da correcção do acesso concedido. , bem como ver ataques a cada um dos serviços em seu locatário O365
Fonte: habr.com