I den här artikeln vill vi visa hur arbetet med Microsoft Teams ser ut ur användares, IT-administratörers och informationssäkerhetspersonals synvinkel.
Låt oss först vara tydliga med hur Teams skiljer sig från de flesta andra Microsoft-produkter i deras Office 365 (O365 för kort) erbjudande.
Teams är endast en klient och har ingen egen molnapplikation. Och den är värd för data den hanterar över olika O365-applikationer.
Vi visar dig vad som händer "under huven" när användare arbetar i Teams, SharePoint Online (nedan kallat SPO) och OneDrive.
Om du vill gå vidare till den praktiska delen av att säkerställa säkerhet med hjälp av Microsoft-verktyg (1 timme av den totala kurstiden), rekommenderar vi starkt att du lyssnar på vår Office 365 Sharing Audit-kurs, tillgänglig Den här kursen täcker även delningsinställningar i O365, som endast kan ändras via PowerShell.
Möt Acme Co.s interna projektteam.
Så här ser detta team ut i Teams efter att det har skapats och lämplig åtkomst har beviljats dess medlemmar av ägaren till detta team, Amelia:
Teamet börjar jobba
Linda antyder att filen med bonusbetalningsplanen placerad i kanalen hon skapade endast kommer att nås av James och William, som de diskuterade det med.
James skickar i sin tur en länk för att komma åt den här filen till en HR-anställd, Emma, som inte är en del av teamet.
William skickar ett avtal med en tredje parts personuppgifter till en annan Teammedlem i MS Teams chatt:
Vi klättrar under huven
Zoey, med hjälp av Amelia, kan nu lägga till eller ta bort vem som helst från teamet när som helst:
Linda, som postade ett dokument med kritiska data avsedd att endast användas av två av hennes kollegor, gjorde ett misstag med kanaltypen när hon skapade den, och filen blev tillgänglig för alla teammedlemmar:
Lyckligtvis finns det en Microsoft-applikation för O365 där du (använder den helt för andra ändamål) snabbt kan se vilken kritisk data har absolut alla användare tillgång till?, använder för testet en användare som endast är medlem i den mest allmänna säkerhetsgruppen.
Även om filerna finns i privata kanaler, är det kanske inte en garanti för att endast en viss krets av människor har tillgång till dem.
I exemplet med James gav han en länk till Emmas fil, som inte ens är medlem i teamet, än mindre tillgång till den privata kanalen (om det vore en sådan).
Det värsta med den här situationen är att vi inte kommer att se information om detta någonstans i säkerhetsgrupperna i Azure AD, eftersom åtkomsträttigheterna tilldelas det direkt.
PD-filen som skickas av William kommer att vara tillgänglig för Margaret när som helst, och inte bara när hon chattar online.
Vi klättrar upp till midjan
Låt oss ta reda på det ytterligare. Låt oss först se exakt vad som händer när en användare skapar ett nytt team i MS Teams:
- En ny Office 365-säkerhetsgrupp skapas i Azure AD, som inkluderar teamägare och teammedlemmar
- En ny Team-webbplats skapas i SharePoint Online (nedan kallat SPO)
- Tre nya lokala (gäller endast i denna tjänst) grupper skapas i SPO: Ägare, Medlemmar, Besökare
- Ändringar görs även i Exchange Online.
MS Teams data och var den bor
Teams är inte ett datalager eller plattform. Den är integrerad med alla Office 365-lösningar.
- O365 erbjuder många applikationer och produkter, men data lagras alltid på följande platser: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Data som du delar eller tar emot via MS Teams lagras på dessa plattformar, inte inom Teams själva
- I det här fallet är risken den växande trenden mot samarbete. Alla som har tillgång till data i SPO- och OD-plattformarna kan göra den tillgänglig för alla inom eller utanför organisationen
- All teamdata (exklusive innehållet i privata kanaler) samlas in på SPO-webbplatsen, skapas automatiskt när ett team skapas
- För varje skapad kanal skapas automatiskt en undermapp i mappen Dokument på denna SPO-webbplats:
- filer i kanaler laddas upp till motsvarande undermappar i mappen Dokument på SPO Teams-webbplatsen (med samma namn som kanalen)
- E-postmeddelanden som skickas till kanalen lagras i undermappen "E-postmeddelanden" i kanalmappen
- När en ny privat kanal skapas skapas en separat SPO-webbplats för att lagra dess innehåll, med samma struktur som beskrivs ovan för vanliga kanaler (viktigt - för varje privat kanal skapas en egen speciell SPO-sida)
- Filer som skickas via chattar sparas på den avsändande användarens OneDrive-konto (i mappen "Microsoft Teams Chat Files") och delas med chattdeltagare
- Chatt- och korrespondensinnehåll lagras i användar- respektive teampostlådor i dolda mappar. Det finns för närvarande inget sätt att få ytterligare tillgång till dem.
Det är vatten i förgasaren, det är en läcka i länsen
Nyckelpunkter som är viktiga att komma ihåg i sammanhanget informationssäkerhet:
- Åtkomstkontroll, och förståelse för vem som kan beviljas rättigheter till viktig data, överförs till slutanvändarnivån. Ej tillhandahållen fullständig centraliserad kontroll eller övervakning.
- När någon delar företagsdata är dina döda vinklar synliga för andra, men inte för dig.
Vi ser inte Emma i listan över personer som ingår i Teamet (via en säkerhetsgrupp i Azure AD), men hon har tillgång till en specifik fil, länken som James skickade henne till.
På samma sätt kommer vi inte att veta om hennes förmåga att komma åt filer från Teams-gränssnittet:
Finns det något sätt vi kan få information om vilket föremål Emma har tillgång till? Ja, vi kan, men bara genom att undersöka åtkomsträttigheterna till allt eller ett specifikt objekt i SPO som vi har misstankar om.
Efter att ha granskat sådana rättigheter kommer vi att se att Emma och Chris har rättigheter till objektet på SPO-nivå.
Chris? Vi känner ingen Chris. Var kom han ifrån?
Och han "kom" till oss från den "lokala" SPO-säkerhetsgruppen, som i sin tur redan inkluderar Azure AD-säkerhetsgruppen, med medlemmar i "Compensations"-teamet.
kanske Microsoft Cloud App Security (MCAS) kommer att kunna belysa de frågor som intresserar oss, ge den nödvändiga nivån av förståelse?
Ack, nej... Även om vi kommer att kunna se Chris och Emma, kommer vi inte att kunna se de specifika användare som har beviljats åtkomst.
Nivåer och metoder för att ge åtkomst i O365 - IT-utmaningar
Den enklaste processen att ge tillgång till data på fillagringar inom organisationens omkrets är inte särskilt komplicerad och ger praktiskt taget inga möjligheter att kringgå de beviljade åtkomsträttigheterna.
O365 har också många möjligheter till samarbete och delning av data.
- Användare förstår inte varför begränsa åtkomsten till data om de helt enkelt kan tillhandahålla en länk till en fil som är tillgänglig för alla, eftersom de inte har grundläggande expertis inom informationssäkerhetsområdet, eller de försummar risker och gör antaganden om den låga sannolikheten för deras förekomst
- Som ett resultat kan kritisk information lämna organisationen och bli tillgänglig för ett brett spektrum av människor.
- Dessutom finns det många möjligheter att ge redundant åtkomst.
Microsoft i O365 har antagligen tillhandahållit för många sätt att ändra åtkomstkontrollistor. Sådana inställningar är tillgängliga på hyresgästnivå, webbplatser, mappar, filer, objekt och länkar till dem. Att konfigurera inställningarna för delningsmöjligheter är viktigt och bör inte försummas.
Vi erbjuder möjligheten att ta en gratis, cirka en och en halv timmes videokurs om konfigurationen av dessa parametrar, vars länk finns i början av denna artikel.
Utan att tänka två gånger kan du blockera all extern fildelning, men då:
- Vissa av funktionerna i O365-plattformen kommer att förbli oanvända, särskilt om vissa användare är vana vid att använda dem hemma eller på ett tidigare jobb
- "Avancerade användare" kommer att "hjälpa" andra anställda att bryta reglerna du anger på andra sätt
Att ställa in delningsalternativ inkluderar:
- Olika konfigurationer för varje applikation: OD, SPO, AAD och MS Teams (vissa konfigurationer kan endast göras av administratören, vissa kan endast göras av användarna själva)
- Inställningskonfigurationer på hyresgästnivå och på nivån för varje specifik plats
Vad betyder detta för informationssäkerheten?
Som vi såg ovan kan fullständiga auktoritativa dataåtkomsträttigheter inte ses i ett enda gränssnitt:
För att förstå vem som har åtkomst till VARJE specifik fil eller mapp måste du alltså skapa en åtkomstmatris på egen hand och samla in data för den, med hänsyn till följande:
- Teammedlemmar är synliga i Azure AD och Teams, men inte i SPO
- Lagägare kan utse delägare, som kan utöka teamlistan självständigt
- Lag kan också inkludera EXTERNA användare – "Gäster"
- Länkar som tillhandahålls för delning eller nedladdning är inte synliga i Teams eller Azure AD - endast i SPO, och endast efter tråkig klickning genom massor av länkar
- Endast åtkomst till SPO-webbplatsen är inte synlig i Teams
Brist på centraliserad kontroll betyder att du inte kan:
- Se vem som har tillgång till vilka resurser
- Se var kritisk data finns
- Uppfyll regulatoriska krav som kräver en integritetsstrategi för tjänsteplanering
- Upptäck ovanligt beteende när det gäller kritiska data
- Begränsa attackområdet
- Välj ett effektivt sätt att minska riskerna baserat på deras bedömning
Sammanfattning
Som en slutsats kan vi säga det
- För IT-avdelningar i organisationer som väljer att arbeta med O365 är det viktigt att ha kvalificerade medarbetare som både tekniskt kan implementera förändringar i delningsinställningar och motivera konsekvenserna av att ändra vissa parametrar för att kunna skriva policyer för att arbeta med O365 som är överenskomna med information säkerhets- och affärsenheter
- Det är viktigt för informationssäkerheten att automatiskt dagligen, eller till och med i realtid, kunna genomföra en revision av dataåtkomst, överträdelser av O365-policyer överenskomna med IT- och affärsavdelningar och en analys av riktigheten av den beviljade åtkomsten , samt att se attacker på var och en av tjänsterna i deras hyresgäst O365
Källa: will.com