Get best of the week

Equipos de Office 365 y Microsoft: conveniencia de colaboración e impacto en la seguridad



En este artículo, nos gustaría mostrar cómo se ve trabajar con Microsoft Teams desde el punto de vista de los usuarios, los administradores de TI y los empleados de IS.

En primer lugar, aclaremos la diferencia entre Teams y la mayoría de los demás productos de Microsoft en su oferta de Office 365 (en adelante, para abreviar: O365).

Teams es solo un cliente que no tiene su propia aplicación en la nube. Y coloca los datos que administra en varias aplicaciones de O365.

Mostraremos lo que sucede "bajo el capó" cuando los usuarios trabajan en Teams, SharePoint Online (en adelante SPO) y OneDrive.

Si desea ahora pasar a la parte práctica de proporcionar seguridad utilizando las herramientas de Microsoft (1 hora del tiempo total del curso), le recomendamos escuchar nuestro curso de Auditoría de uso compartido de Office 365, disponible aquí. Este curso cubre, entre otras cosas, la configuración de uso compartido en O365, que solo se puede editar a través de PowerShell.

Conozca al equipo de proyecto interno de Acme Co.




Así es como se ve este Equipo en Equipos, después de su creación y el acceso apropiado a sus miembros por parte del Propietario de este Equipo - Amelia:



El equipo comienza a trabajar


Linda implica que solo James y William con quienes discutieron esto contactarán el archivo con el plan de pago de bonificación colocado en su canal.



James, a su vez, dirige un enlace para acceder a este archivo a una empleada del departamento de recursos humanos, Emma, ​​que no forma parte del equipo.



William envía un contrato con los datos personales de un tercero a otro miembro del Equipo a través del chat de MS Teams:



Subimos bajo el capó


Zoey, con la mano ligera de Amelia, ahora puede agregar a cualquier persona al Equipo en cualquier momento, o eliminarlo:



Linda, al presentar un documento con datos críticos destinados a ser utilizados por solo dos de sus colegas, se equivocó con el tipo de Canal al crearlo, y el archivo se convirtió accesible para todos los miembros del Equipo:



Afortunadamente, existe una aplicación de Microsoft para O365, en la que puede (utilizándola completamente para otros fines) ver rápidamente a qué datos críticos tienen acceso todos los usuarios , para probar a un usuario que está incluido solo en el grupo de seguridad más común .

Incluso si los archivos se encuentran dentro de los Canales privados (Canales privados), esto puede no ser una garantía de que solo un cierto círculo de personas tendrá acceso a ellos.

En el ejemplo con James, proporcionó un enlace al archivo de Emma, ​​que ni siquiera está incluido en el Comando, sin mencionar el acceso al Canal Privado (si fuera uno).

En esta situación, lo peor es que no veremos información sobre esto en ningún lugar de los grupos de seguridad en Azure AD, ya que se le otorgan derechos de acceso directamente.

El archivo PDN enviado por William estará disponible para Margaret en cualquier momento, no solo durante el chat en línea.

Subimos hasta la cintura


Entendemos más. Primero, veamos qué sucede exactamente cuando un usuario crea un nuevo Equipo en MS Teams:



  • Se está creando un nuevo grupo de seguridad de Office 365 en Azure AD, incluidos los propietarios y miembros del equipo
  • El sitio del nuevo equipo se crea en SharePoint Online (en adelante, SPO)
  • Se crean tres nuevos grupos locales (activos solo en este servicio) en SPO: Propietarios, Miembros, Visitantes
  • Los cambios se realizan en Exchange Online

Datos de los equipos de MS y dónde viven


Teams no es un almacén de datos o plataforma. Está integrado con todas las soluciones de Office 365.



  • O365 ofrece muchas aplicaciones y productos, pero los datos siempre se almacenan en los siguientes lugares: SharePoint Online (SPO), OneDrive (en adelante, OD), Exchange Online, Azure AD
  • Los datos que comparte o recibe a través de MS Teams se almacenan en estas plataformas y no dentro de Teams.
  • En este caso, el riesgo es una tendencia creciente para la colaboración. Cualquier persona que tenga acceso a los datos en las plataformas SPO y OD puede ponerlos a disposición de cualquier persona, tanto dentro como fuera de la organización.
  • ( ) SPO,
  • Documents SPO:
    • Documents SPO ( , )
    • Email-, , “Email Messages”

  • , SPO, , ( — SPO)
  • , , OneDrive ( “Microsoft Teams Chat Files”),
  • El chat y el contenido del chat se almacenan en los buzones del usuario y del equipo, respectivamente, en carpetas ocultas. Ahora no hay forma de obtener acceso adicional a ellos.

Agua en el carburador, flujo en la bodega


Los puntos principales que es importante recordar en términos de seguridad de la información :

  • El control de acceso y la comprensión de a quién se pueden otorgar derechos sobre datos importantes se transfieren al nivel del usuario final. No existe un control o monitoreo centralizado completo .
  • Cuando alguien comparte datos de la empresa, sus "puntos ciegos" son visibles para otros, pero no para usted.



En la lista de personas que forman parte del Equipo (a través del grupo de seguridad en Azure AD), no vemos a Emma, ​​pero ella tiene acceso a un archivo específico, un enlace al que James la envió.



Del mismo modo, no descubriremos su capacidad para acceder a los archivos desde la interfaz de los equipos:



¿podemos obtener de alguna manera información sobre a qué objeto tiene acceso Emma? Sí, podemos, pero solo estudiando los derechos de acceso a todo o a un objeto específico en la SPO, por lo cual tenemos sospechas.

Después de estudiar tales derechos, veremos que Emma y Chris tienen derechos sobre el objeto a nivel de SPO.



Chris? No conocemos a ningún Chris. ¿De donde vino el?

Y él "vino" a nosotros desde el grupo de seguridad "local" SPO, que ya, a su vez, incluye el grupo de seguridad de Azure AD, con miembros del equipo de compensaciones.



¿Quizás Microsoft Cloud App Security (MCAS) puede arrojar luz sobre cuestiones de interés para nosotros al proporcionar el nivel adecuado de comprensión?

Por desgracia, no ... A pesar de que podemos ver a Chris y Emma, ​​no podemos ver a los usuarios específicos a los que se les otorga acceso.

Niveles de acceso y técnicas de O365: desafíos de TI


El proceso más simple de proporcionar acceso a los datos en el almacenamiento de archivos dentro del perímetro de las organizaciones no es particularmente complicado y prácticamente no brinda oportunidades para eludir los derechos de acceso otorgados.



O365 tiene muchas oportunidades para colaboración y acceso a datos.

  • , , , , , ,
  • ,

Microsoft en O365 probablemente ha proporcionado demasiadas formas de modificar las listas de control de acceso. Dichas configuraciones son a nivel de inquilino, sitios, carpetas, archivos, los propios objetos y enlaces a ellos. La configuración de accesibilidad es importante y no se debe descuidar.

Brindamos la oportunidad de tomar un curso de video gratuito de aproximadamente una hora y media sobre la configuración de estos parámetros, cuyo enlace se encuentra al comienzo de este artículo.

Sin pensarlo dos veces, puede bloquear todo el intercambio de archivos externos, pero luego:

  • Algunas de las características de la plataforma O365 permanecerán sin usar, especialmente si algunos usuarios están acostumbrados a usarlas en casa o en un trabajo anterior
  • Los "usuarios avanzados" "ayudarán" a otros empleados a violar sus reglas por otros medios

La configuración de las capacidades para compartir incluye:

  • Diferentes configuraciones para cada aplicación: OD, SPO, AAD y equipos de MS (parte de la configuración solo puede ser realizada por el administrador, parte - solo por los propios usuarios)
  • Configuraciones de configuración a nivel de inquilino y a nivel de cada sitio específico

¿Qué significa esto para IB?


Como vimos anteriormente, los derechos de acceso a los datos totalmente confiables no se pueden ver en una sola interfaz: por lo



tanto, para comprender quién tiene acceso a CADA archivo o carpeta específico, deberá crear de forma independiente una matriz de acceso, recolectando datos para ello, teniendo en cuenta lo siguiente:

  • Miembros del equipo visibles en Azure AD y equipos, pero no en SPO
  • Los propietarios del equipo pueden designar copropietarios que pueden expandir la lista del equipo por su cuenta
  • Los EQUIPOS también pueden incluir usuarios EXTERNOS - "Invitados"
  • Los enlaces proporcionados para compartir o descargar no están visibles en Teams o en Azure AD, solo en SPO y solo después de tediosos clics
  • El acceso solo al sitio SPO no está visible en Teams

La falta de control centralizado significa que no puede:

  • Vea quién tiene acceso a qué recursos
  • Vea dónde están los datos críticos
  • Cumplir con los requisitos de las regulaciones que requieren un enfoque para la planificación de servicios con un enfoque en la confidencialidad del acceso en su núcleo
  • Detecta comportamientos anormales con respecto a datos críticos
  • Limitar el área de ataque
  • Elija una forma efectiva de reducir el nivel de riesgo, en función de su evaluación

Resumen


Como conclusión, podemos decir que

  • , O365, , , , - O365
  • , , , - O365 , O365

More articles:


All Articles