Get best of the week

Office 365 & Microsoft Teams - Kemudahan Kolaborasi dan Dampak pada Keamanan



Dalam artikel ini, kami ingin menunjukkan bagaimana bekerja dengan Tim Microsoft terlihat dari sudut pandang pengguna, administrator TI, dan karyawan IS.

Pertama-tama, mari kita perjelas perbedaan antara Tim dan sebagian besar produk Microsoft lainnya dalam penawaran Office 365 mereka (selanjutnya, untuk singkatnya - O365).

Tim hanya klien yang tidak memiliki aplikasi cloud sendiri. Dan itu menempatkan data yang dikelola di berbagai aplikasi O365.

Kami akan menunjukkan apa yang terjadi "di balik tudung" ketika pengguna bekerja di Tim, SharePoint Online (selanjutnya SPO) dan OneDrive.

Jika Anda ingin sekarang beralih ke bagian praktis tentang memberikan keamanan menggunakan alat Microsoft (1 jam dari total waktu kursus), kami sangat menyarankan mendengarkan kursus Audit Berbagi Office 365 kami, tersedia di sini. Kursus ini mencakup, antara lain, pengaturan berbagi di O365, yang hanya dapat diedit melalui PowerShell.

Temui Tim Proyek Internal Acme Co.




Beginilah tampilan Tim ini di Tim, setelah pembentukannya dan penyediaan akses yang sesuai untuk para anggotanya oleh Pemilik Tim ini - Amelia:



Tim mulai bekerja


Linda menyiratkan bahwa hanya James dan William dengan siapa mereka mendiskusikan hal ini akan menghubungi file dengan rencana pembayaran bonus yang ditempatkan di Channel-nya.



James, pada gilirannya, mengarahkan tautan untuk mengakses file ini ke karyawan departemen sumber daya manusia, Emma, ​​yang bukan bagian dari Tim.



William mengirim kontrak dengan data pribadi pihak ketiga ke anggota Tim lain melalui obrolan Tim MS:



Kami memanjat di bawah tenda


Zoey, dengan tangan ringan Amelia, sekarang dapat menambahkan siapa saja ke Tim kapan saja, atau menghapusnya:



Linda, meletakkan dokumen dengan data penting yang dimaksudkan untuk digunakan hanya oleh dua rekannya, salah dengan jenis Saluran saat membuatnya, dan file menjadi dapat diakses oleh semua anggota Tim:



Untungnya, ada aplikasi Microsoft untuk O365, di mana Anda dapat (menggunakannya sepenuhnya untuk tujuan lain) dengan cepat melihat data penting yang dapat diakses oleh semua pengguna , menggunakan untuk menguji pengguna yang hanya termasuk dalam grup keamanan paling umum. .

Bahkan jika file-file tersebut berada di dalam Saluran Pribadi (Saluran Pribadi) - ini mungkin bukan jaminan bahwa hanya lingkaran orang tertentu yang akan memiliki akses ke file tersebut.

Dalam contoh dengan James, ia memberikan tautan ke file Emma, ​​yang bahkan tidak termasuk dalam Command, belum lagi akses ke Saluran Pribadi (jika itu salah satu).

Dalam situasi ini, hal terburuknya adalah kita tidak akan melihat informasi tentang ini di mana pun di grup keamanan di Azure AD, karena hak akses diberikan kepadanya secara langsung.

File PDN yang dikirim oleh William akan tersedia untuk Margaret kapan saja, tidak hanya saat sedang mengobrol online.

Kami naik ke pinggang


Kami mengerti lebih jauh. Pertama, mari kita lihat apa yang sebenarnya terjadi ketika pengguna membuat Tim baru di Tim MS:



  • Grup keamanan Office 365 baru sedang dibuat di Azure AD, termasuk pemilik dan anggota Tim
  • Situs Tim baru dibuat di SharePoint Online (selanjutnya - SPO)
  • Tiga grup lokal baru (hanya aktif dalam layanan ini) dibuat di SPO: Pemilik, Anggota, Pengunjung
  • Perubahan dibuat di Exchange Online

Data Tim MS dan di mana mereka tinggal


Tim bukan gudang data atau platform. Ini terintegrasi dengan semua solusi Office 365.



  • O365 menawarkan banyak aplikasi dan produk, tetapi data selalu disimpan di tempat-tempat berikut: SharePoint Online (SPO), OneDrive (selanjutnya - OD), Exchange Online, Azure AD
  • Data yang Anda bagikan atau terima melalui Tim MS disimpan di platform ini, dan bukan di dalam Tim itu sendiri
  • Dalam hal ini, risiko adalah tren yang berkembang untuk kolaborasi. Siapa pun yang memiliki akses ke data pada platform SPO dan OD dapat membuatnya tersedia untuk siapa saja, baik di dalam maupun di luar organisasi.
  • ( ) SPO,
  • Documents SPO:
    • Documents SPO ( , )
    • Email-, , “Email Messages”

  • , SPO, , ( — SPO)
  • , , OneDrive ( “Microsoft Teams Chat Files”),
  • Obrolan dan konten obrolan disimpan di kotak surat pengguna dan Tim, masing-masing, di folder tersembunyi. Sekarang tidak ada cara untuk mendapatkan akses tambahan ke mereka.

Air di karburator, mengalir di palka


Poin-poin utama yang penting untuk diingat dalam hal keamanan informasi :

  • Kontrol akses, dan pemahaman tentang siapa yang dapat diberikan hak atas data penting, ditransfer ke tingkat pengguna akhir. Tidak ada kontrol atau pemantauan terpusat penuh .
  • Ketika seseorang membagikan data perusahaan, "blind spot" Anda terlihat oleh orang lain, tetapi tidak bagi Anda.



Dalam daftar orang yang merupakan bagian dari Tim (melalui grup keamanan di Azure AD), kami tidak melihat Emma, ​​tetapi dia memiliki akses ke file tertentu, tautan yang dikirim James kepadanya.



Dengan cara yang sama, kita tidak akan mencari tahu tentang kemampuannya untuk mengakses file dari antarmuka Tim:



Bisakah kita entah bagaimana mendapatkan informasi tentang objek yang memiliki akses Emma? Ya, kami bisa, tetapi hanya dengan mempelajari hak akses untuk semuanya atau ke objek tertentu dalam SPO, yang kami curigai.

Setelah mempelajari hak-hak tersebut, kita akan melihat bahwa Emma dan Chris memiliki hak atas objek di tingkat SPO.



Chris? Kami tidak kenal Chris. Dari mana dia datang?

Dan dia "datang" kepada kita dari kelompok keamanan "lokal" SPO, yang sudah, pada gilirannya, termasuk kelompok keamanan AD Azure, dengan anggota Tim Kompensasi.



Mungkin Microsoft Cloud App Security (MCAS) dapat menjelaskan masalah yang menarik bagi kami dengan memberikan tingkat pemahaman yang tepat?

Sayangnya, tidak ... Terlepas dari kenyataan bahwa kita dapat melihat Chris dan Emma, ​​kita tidak dapat melihat pengguna tertentu yang diberikan akses.

Tingkat dan Teknik Akses O365 - Tantangan TI


Proses paling sederhana untuk menyediakan akses ke data penyimpanan file dalam perimeter organisasi tidak terlalu rumit dan secara praktis tidak memberikan peluang untuk memintas hak akses yang diberikan.



O365 memiliki banyak peluang untuk kolaborasi dan akses data.

  • , , , , , ,
  • ,

Microsoft di O365 mungkin telah menyediakan terlalu banyak cara untuk memodifikasi daftar kontrol akses. Pengaturan tersebut berada pada tingkat penyewa, situs, folder, file, objek itu sendiri dan tautan ke sana. Mengkonfigurasi pengaturan aksesibilitas adalah penting dan tidak boleh diabaikan.

Kami memberikan kesempatan untuk mengambil kursus video gratis, sekitar satu setengah jam tentang konfigurasi parameter ini, tautan yang diberikan di awal artikel ini.

Tanpa berpikir dua kali, Anda dapat memblokir semua berbagi file eksternal, tetapi kemudian:

  • Beberapa fitur platform O365 akan tetap tidak digunakan, terutama jika beberapa pengguna terbiasa menggunakannya di rumah atau di pekerjaan sebelumnya.
  • “Pengguna mahir” akan “membantu” karyawan lain untuk melanggar aturan Anda dengan cara lain

Konfigurasi kemampuan berbagi meliputi:

  • Konfigurasi berbeda untuk setiap aplikasi: OD, SPO, AAD, dan Tim MS (bagian dari konfigurasi hanya dapat dilakukan oleh administrator, sebagian - hanya oleh pengguna sendiri)
  • Konfigurasi konfigurasi di tingkat penyewa dan di tingkat setiap situs tertentu

Apa artinya ini bagi IB


Seperti yang kita lihat di atas, hak akses penuh yang dapat diandalkan untuk data tidak dapat dilihat dalam satu antarmuka:



Dengan demikian, untuk memahami siapa yang memiliki akses ke SETIAP file atau folder tertentu, Anda perlu secara mandiri membuat matriks akses, mengumpulkan data untuknya, dengan mempertimbangkan hal-hal berikut:

  • Anggota Tim Terlihat dalam Azure AD dan Tim, tetapi Tidak di SPO
  • Pemilik Tim dapat menunjuk Pemilik Bersama yang dapat memperluas daftar Tim sendiri
  • TIM juga dapat mencakup pengguna EKSTERNAL - “Tamu”
  • Tautan yang disediakan untuk berbagi atau mengunduh tidak terlihat di Tim atau di Azure AD - hanya di SPO, dan hanya setelah klik-tayang yang membosankan
  • Akses hanya ke situs SPO tidak terlihat di Tim

Kurangnya kontrol terpusat berarti Anda tidak dapat:

  • Lihat siapa yang memiliki akses ke sumber daya mana
  • Lihat di mana data penting
  • Memenuhi persyaratan peraturan yang memerlukan pendekatan untuk merencanakan layanan dengan fokus pada kerahasiaan akses pada intinya
  • Mendeteksi perilaku abnormal terkait data penting
  • Batasi area serangan
  • Pilih cara yang efektif untuk mengurangi tingkat risiko, berdasarkan penilaian mereka

Ringkasan


Sebagai kesimpulan, kita bisa mengatakan itu

  • , O365, , , , - O365
  • , , , - O365 , O365

More articles:


All Articles