Get best of the week

Office 365 e Microsoft Teams - Conveniência de colaboração e impacto na segurança



Neste artigo, gostaríamos de mostrar como é o trabalho com o Microsoft Teams do ponto de vista de usuários, administradores de TI e funcionários de SI.

Primeiro, vamos esclarecer a diferença entre as equipes e a maioria dos outros produtos da Microsoft em sua oferta do Office 365 (daqui em diante, por uma questão de brevidade - O365).

O Teams é apenas um cliente que não possui seu próprio aplicativo em nuvem. E coloca os dados que gerencia em vários aplicativos do O365.

Mostraremos o que acontece "sob o capô" quando os usuários trabalham no Teams, SharePoint Online (doravante SPO) e OneDrive.

Se você deseja agora avançar para a parte prática de fornecer segurança usando as ferramentas da Microsoft (1 hora fora do tempo total do curso), é altamente recomendável ouvir nosso curso de Auditoria de Compartilhamento do Office 365, disponível aqui. Este curso abrange, entre outras coisas, as configurações de compartilhamento no O365, que são editáveis ​​apenas através do PowerShell.

Conheça a equipe interna de projetos da Acme Co.




É assim que esta Equipe se apresenta nas Equipes, após a sua criação e o fornecimento de acesso adequado aos seus membros pelo Proprietário desta Equipe - Amelia:



A equipe começa a trabalhar


Linda implica que apenas James e William com quem eles discutiram isso entrarão em contato com o arquivo com o plano de pagamento de bônus que ela criou no canal que criou.



James, por sua vez, direciona um link para acessar esse arquivo para uma funcionária do departamento de recursos humanos, Emma, ​​que não faz parte da equipe.



William envia um contrato com dados pessoais de terceiros para outro membro da equipe por meio do bate-papo do MS Teams:



Subimos sob o capô


Zoey, com a mão leve de Amelia, agora pode adicionar alguém à Equipe a qualquer momento ou removê-la:



Linda, apresentando um documento com dados críticos destinados a serem usados ​​por apenas dois de seus colegas, confundiu-se com o tipo de canal ao criá-lo, e o arquivo tornou-se acessível a todos os membros da equipe:



Felizmente, existe um aplicativo da Microsoft para o O365, no qual você pode (usando-o completamente para outros fins) ver rapidamente quais dados críticos todos os usuários têm acesso , usando para testar um usuário incluído apenas no grupo de segurança mais comum .

Mesmo que os arquivos estejam localizados dentro dos Canais Privados (Canais Privados) - isso pode não ser uma garantia de que apenas um determinado círculo de pessoas terá acesso a eles.

No exemplo com James, ele forneceu um link para o arquivo Emma, ​​que nem sequer está incluído no Comando, para não mencionar o acesso ao Canal Privado (se fosse um).

Nessa situação, a pior parte é que não veremos informações sobre isso em nenhum lugar nos grupos de segurança no Azure AD, pois os direitos de acesso são concedidos diretamente a ele.

O arquivo PDN enviado por William estará disponível para Margaret a qualquer momento, não apenas enquanto estiver trabalhando no bate-papo online.

Subimos até a cintura


Nós entendemos mais. Primeiro, vamos ver o que exatamente acontece quando um usuário cria uma nova equipe no MS Teams:



  • Um novo grupo de segurança do Office 365 está sendo criado no Azure AD, incluindo proprietários e membros da equipe
  • O site da nova equipe é criado no SharePoint Online (doravante - SPO)
  • Três novos grupos locais (ativos somente neste serviço) são criados no SPO: Proprietários, Membros, Visitantes
  • As alterações são feitas no Exchange Online

Dados das equipes da MS e onde vivem


O Teams não é um armazém ou plataforma de dados. Está integrado a todas as soluções do Office 365.



  • O O365 oferece muitos aplicativos e produtos, mas os dados são sempre armazenados nos seguintes locais: SharePoint Online (SPO), OneDrive (doravante - OD), Exchange Online, Azure AD
  • Os dados que você compartilha ou recebe através do MS Teams são armazenados nessas plataformas, e não dentro do próprio Teams
  • Nesse caso, o risco é uma tendência crescente de colaboração. Qualquer pessoa que tenha acesso aos dados nas plataformas SPO e OD pode disponibilizá-los para qualquer pessoa, dentro e fora da organização.
  • ( ) SPO,
  • Documents SPO:
    • Documents SPO ( , )
    • Email-, , “Email Messages”

  • , SPO, , ( — SPO)
  • , , OneDrive ( “Microsoft Teams Chat Files”),
  • O bate-papo e o conteúdo do bate-papo são armazenados nas caixas de correio do usuário e da equipe, respectivamente, em pastas ocultas. Agora não há como obter acesso adicional a eles.

Água no carburador, fluxo no porão


Os principais pontos importantes a serem lembrados em termos de segurança da informação :

  • O controle de acesso e a compreensão de quem pode receber direitos sobre dados importantes são transferidos para o nível do usuário final. Não há controle ou monitoramento centralizado completo .
  • Quando alguém compartilha dados da empresa, seus “pontos cegos” ficam visíveis para outras pessoas, mas não para você.



Na lista de pessoas que são membros da equipe (por meio do grupo de segurança no Azure AD), não vemos Emma, ​​mas ela tem acesso a um arquivo específico, um link para o qual James a enviou.



Da mesma forma, não descobriremos sobre sua capacidade de acessar arquivos a partir da interface do Teams: De



alguma forma, podemos obter informações sobre a qual objeto Emma tem acesso? Sim, podemos, mas apenas estudando os direitos de acesso a tudo ou a um objeto específico no SPO, para o qual temos suspeitas.

Tendo estudado esses direitos, veremos que Emma e Chris têm direitos sobre o objeto no nível da SPO.



Chris? Não conhecemos nenhum Chris. De onde ele veio?

E ele "veio" para nós do grupo de segurança "local" SPO, que já por sua vez inclui o grupo de segurança do Azure AD, com membros da Equipe de Compensações.



Talvez o Microsoft Cloud App Security (MCAS) possa esclarecer questões de interesse para nós, fornecendo o nível certo de entendimento?

Infelizmente, não ... Apesar de podermos ver Chris e Emma, ​​não podemos ver os usuários específicos que têm acesso concedido.

Níveis de acesso e técnicas do O365 - Desafios de TI


O processo mais simples de fornecer acesso aos dados nos armazenamentos de arquivos no perímetro das organizações não é particularmente complicado e praticamente não oferece oportunidades para ignorar os direitos de acesso concedidos.



O365 tem muitas oportunidades para colaboração e acesso a dados.

  • , , , , , ,
  • ,

A Microsoft na O365 provavelmente forneceu muitas maneiras de modificar as listas de controle de acesso. Essas configurações estão no nível do inquilino, sites, pastas, arquivos, os próprios objetos e links para eles. Definir configurações de acessibilidade é importante e não deve ser negligenciado.

Oferecemos a oportunidade de fazer um curso de vídeo gratuito de cerca de uma hora e meia sobre a configuração desses parâmetros, cujo link é fornecido no início deste artigo.

Sem pensar duas vezes, você pode bloquear todo o compartilhamento de arquivos externos, mas depois:

  • Alguns dos recursos da plataforma O365 permanecerão sem uso, especialmente se alguns usuários estiverem acostumados a usá-los em casa ou em um trabalho anterior
  • "Usuários avançados" ajudará outros funcionários a violar suas regras por outros meios

A configuração dos recursos de compartilhamento inclui:

  • Configurações diferentes para cada aplicativo: OD, SPO, AAD e MS Teams (parte da configuração pode ser feita apenas pelo administrador, parte - somente pelos próprios usuários)
  • Definições de configuração no nível do inquilino e no nível de cada site específico

O que isso significa para o IB


Como vimos acima, os direitos de acesso confiáveis ​​completos aos dados não podem ser vistos em uma única interface:



Portanto, para entender quem tem acesso a CADA arquivo ou pasta específica, será necessário criar independentemente uma matriz de acesso, coletando dados para ele, levando em consideração o seguinte:

  • Membros da equipe visíveis no Azure AD e equipes, mas não no SPO
  • Os Proprietários da Equipe podem designar Co-Proprietários que podem expandir a lista da Equipe por conta própria.
  • As equipes também podem incluir usuários externos - "Convidados"
  • Os links fornecidos para compartilhamento ou download não são visíveis no Teams ou no Azure AD - apenas no SPO e somente após cliques tediosos
  • O acesso apenas ao site SPO não é visível nas equipes

A falta de controle centralizado significa que você não pode:

  • Veja quem tem acesso a quais recursos
  • Veja onde estão os dados críticos
  • Atenda aos requisitos das regulamentações que exigem uma abordagem para o planejamento de serviços com foco na confidencialidade do acesso em sua essência
  • Detectar comportamento anormal em relação a dados críticos
  • Limitar a área de ataque
  • Escolha uma maneira eficaz de reduzir o nível de risco, com base em sua avaliação

Sumário


Como conclusão, podemos dizer que

  • , O365, , , , - O365
  • , , , - O365 , O365

More articles:


All Articles