איך להקשיח Microsoft Teams (זהויות ופוליסי)

בתקופה האחרונה נשאלתי רבות לגבי האפשרויות השונות של אבטחת מידע סביב Microsoft Teams, ובין היתר עלו שאלות רבות, כמו, איך ניתן לעקוב אחר פעולות משתמשים? מה אפשר לבצע עם הקשחות? ואיך ניתן להקשיח ולאפשר פרודוטיביות? מהן ההמלצות?

הגנה על Microsoft Teams יכולה להיעשות בשכבות שונות, החל מהגנה על גישה, דרך ביצוע Compliance, והגנה מפני קבצים וקישורים חשודים ועד הקשחה ברמת הבורג של פעולות ואפשרויות משתמשים בתוך הממשק.

ישנן אינספור אפשרויות להגנה והקשחה של Microsoft Teams, אך חשוב לצד ההקשחה לשמור על הפרוקודטיביות והיכולות של Microsoft Teams.

ברגע שמפעילים ועובדים עם Microsoft Teams ישנם מאחורי הקלעים שירותי ענן, רכיבים ואפליקציות נוספות שהם נגישים למידע, ולכן החדשות הטובות הם שברגע שמבצעים הגנה בשכבות ומשולבת של Microsoft Teams אנו למעשה מבצעים הגנה על כל אותן שכבות נוספות בגישה מתוך Microsoft Teams.

דגשים בהגנה על Microsoft Teams

פרודוקטיביות משתמשים בממשק Microsoft Teams חייבת להיות חלק חשוב בתכנון והקשחה, שכן ביצוע הקשחות מחמירות עלול לפגוע ביכולות של הכלים.

הגנה על Microsoft Teams נעשית ע"י מספר שכבות הגנה:

הגנה באמצעות ניהול זהויות וגישה מבוסס Azure AD מספק אוטנטיקציה ואוטריזציה מול הממשקים השונים של Microsoft Teams כולל אפשרויות למידול הרשאות, ניהול גישה מותנה, אכיפת SSO וכן הלאה.

הגנה על המידע באמצעות Microsoft Information Protection וביצוע הצפנות, תיוגים וסיווג של המידע לפי מדיניות, תנאים ומעקב אחר נתיב המידע בכל עת במטרה למנוע זליגת מידע.

הגנה מפני התקפות מתקדמות באמצעות יכולות Threat Protection המאפשרות הגנה מפני קבצים וקישורים זדוניים.

ציות ורגולציה על גבי אפשרויות Security and Compliance של Microsoft 365 מאפשרי להחיל מדיניות לנהלים שונים במטרה לשמור על המידע ולמנוע שימוש זדוני במידע.

מדיניות Governance היא מערכת מדיניות, תפקידים, אחריות ותהליכים האוכפים את האופן בו צוותים טכנולוגיים שמבצעים פעולות שונות במטרה לאפשר הנגשה של טכנולוגיות.

הקשחת Teams לרכיבי Teams וכן לרכיבים הנלווים לטובת אכיפת מדיניות של משתמשים בפעולות שניתנות לביצוע Microsoft Teams ביומיום, למשל הוספת אפליקציות או העברת קבצים זדוניים.

כאשר משלבים יחד את כל הדגשים בהגנה סביב Microsoft Teams אנו מקבלים מערך אבטחה המאפשר שלושה מאפיינים חשובים:

  • מעקב ניטור אחר פעולות חשודות
  • הגנה מפני בעיות אבטחה
  • אכיפת מדיניות וניהול סיכונים במקרה של בעיות אבטחה

איך להגן על Microsoft Teams

הגנה על Microsoft Teams מצריכה מספר הגנה על גבי מספר שכבות הגנה כאשר כל שכבה מבצעת הגנה על מנגנון מסוים, ויחדיו יוצרים מבנה אבטחה משולב.

ניהול זהויות וגישה

הגישה אל Microsoft Teams מתבססת על Azure AD כפלטפורמת ניהול הזהויות והגישה, ולכן המדיניות מתבססת על עקרונות רבים של אימות למי שניגש אל Microsoft Teams באמצעות Azure MFA ואף הרחבה אל Azure PasswordLess.

לצד אימות חייבים לוודא אוטוריזציה של הגישה ולתת הרשאות ספציפיות לגישה של אדמינים, משתמשים, ספקים וכאלה שצריכים לצרוך מידע מתוך Microsoft Teams באמצעות Azure PIM ויכולות הקשחה מובנות של Microsoft Teams.

חשבונות בעלי הרשאות הם חלק מתוך ניהול הגישה והזהויות וחייבים במידול הרשאות מבוסס RBAC במטרה לאפשר רק לאדמינים ומשתמשים נדרשים לבצע פעולות ספציפיות, וכאן נכנס Azure Roles and Permissions.

ניהול הגישה והזהויות מול Microsoft Teams צריך להיעשות במקביל לרכיבים הנלווים שאיתם עובד Microsoft Teams בכדי להחיל את כלל המדיניות של אימות אוטוריזציה מול רכיבים, כמו, SharePoint Online, Office 365 Groups, ODfB וכן הלאה.

יכולות הגנה קיימות שניתנות לאכיפה בניהול זהויות וגישה מול Microsoft Teams:

  • Azure AD
  • Azure MFA
  • Passwordless
  • Azure PIM
  • Roles and administrators
  • Identity Protection
  • Azure B2C/B2B

הקשחת Teams

אולי החלק הכי קל שניתן להתחיל ממנו הוא הקשחת Microsoft Teams ברמת הרכיב, והכוונה להקשחות אשר משפיעות על הפעולות היומיומיות של משתמשים בתוך הקבוצות, הערוצים ובאופן שבו משתפים את המידע.

טיפ: לא מומלץ להקשיח יתר על המידע מכיוון שעלול לגרום לבעיות בפעולות הפשוטות של משתמשי הקצה

אפשרויות הקשחה ברמת הרכיב נחלקות לאפשרויות הבאות:

Teams Policy מאפשר לשלוט באיזה הגדרות או תכונות יהיו זמינות למשתמשי קצה כאשר הם משתמשים בצוותים, בערוצים ובאפשרויות הקיימות של טאבים.

Meeting policies מאפשר לשלוט ביכולות והתכונות הקיימות כאשר מבצעים פגישות Teams, כגון, מה ניתן לשתף, האם אורחים יכולים להצטרף, האם אפשר לבצע פגישות פרטיות ויכולות נוספות.

Live Event Policies מאפשר להגביל את האפשרויות הבודדות של יצירת פגישות Teams Online, והשאלה כמה משתמשים נדרשים להעביר פגישות ענקיות?

Messaging Policies הוא מעניין בגלל שהוא מתחיל לגעת בדברים הקטנים שמשתמשי קצה יכולים להעשות ביומיום, כמו, למחוק הודעות, להסיר משתמשים מתוך group chats ועוד.

Permissions Polices בתוך Teams Apps מכיל גם כן הגדרות בודדות אך אחת מהן חשובה מאוד והיא האפשרות של משתמש להתקין כל אפליקציה מתוך החנות, וגם כאלה שיכולות לסרוק את כל המידע בארגון.

למרות שהאפליקציות נבדקות ע"י Microsoft ואמינות עדיין ישנם כאלה שיכולות לבצע אנליטיקות מאחורי הקלעים.

גישה לאוחרים Guest Access מופעלת בדיפולט ומאפשרת לאוחרים חיצוניים שהוזמנו לבצע פעולות מסוימות, והשאלה היא האם משתמש עלול לאפשר גישה של אורח לקבוצה המכילה תוכן רגיש? בהחלט קיים ומתרחש.

המטרה בהקשחת Microsoft Teams ברמת הרכיב צריכה להיעשות בזהירות בכדי לא לפגוע בערך והיכולות ולכן מומלץ לעבוד עם פוליסי שונים לקבוצות משתמשים אשר לא עולה על 2-3 קטגוריות הקשחה.

הגנה מבוססת Threat Protection

הגנה מבוססת Threat Protection מול Microsoft Teams מצריכה הגדרות מול רכיבים נלווים בגלל שקישורים וקבצים נשמרים בתוך SharePoint Online ולכן חלק מאותן הגדרות צריכות להיעשות על רכיבים אלה, ולכן מדובר על הגנה של Office 365 Apps.

הגנה על Office 365 Apps נחלקת למספר קטגוריות ובהגנה מול Microsoft Teams היא מצריכה הגנה מול על SharePoint Online ועל OneDrive for Business, ובכדי למנוע מצבים בהם מעלים קבצים נגועים או קישורים המובילים לסיכונים שונים: פישינג, גניבת זהויות וכן הלאה.

הגנה על תפקידי הענן SharePoint Online, OneDrive for Business, Teams נעשית ע"י מספר הגדרות:

אקטיבציה של Office ATP לאפליקציות SharePoint Online, OneDrive for Business, Teams

הגנה על קישורים באמצעות הגדרת פוליסי Safe Links

מניעה והורדה של סנכרון קבצים נגועים לפי DisallowInfectedFileDownload

יצירת Alert מבוססת Detected malware

טיפ: חשוב מאוד לוודא הגדרה של רכיבי הגנה נוספים שהוזכרו קודם ולכן וזאת על מנת שהמנגנון הגנה על Office 365 Apps יבצע את אותן פעולות כמו שמתבצעות בהגנה על הדואר.

ללא הגדרה של רכיבים אלה מנגנון הגנה על Office 365 Apps לא יעבוד בצורה טובה ואינו יתפוס מקרים רבים של קבצים וקישורים זדוניים ובעיקר מול Microsoft Teams.

הרכיבים העיקריים הם:

  • Protection from malicious URLs and files in email and Office documents
  • Advanced anti-phishing protection

הסיבה לכך בגלל שהם מבוססים על Office 365 ATP

איך מגדירים

ביצוע הגדרות של Office 365 ATP והגדרות נוספות אינן פעולות מסובכות אך ישנם מספר דגשים חשובים מאוד שבלעדיהם אין אפשרות לזהות או למנוע גישה לקבצים או קישורים זדוניים, בשורה התחתונה המנגנון אינו עובד כראוי.

אקטיבציה של Office ATP – בממשק https://protection.office.com ניגש אל Threat Policy או Policy ושם נבחר באפשרות: ATP Safe Attachment

בהגדרות ATP Safe Attachment נבחר באפשרות:

Turn on ATP for SharePoint, OneDrive, and Microsoft Teams

הגנה על קישורים – בשלב הבא הוא הגדרת פוליסי לקישורים באמצעות Safe Links לפי ההגדרות הבאות:

Use Safe Links in Office 365 Apps
URL will be rewritten
Safe attachments URL Scanning

מניעה והורדה של סנכרון קבצים

כאן הדברים יותר מעניינים ובאופן אוטומטי Microsoft Teams מושפע ממנו מכיוון שהקבצים נשמרים על גבי SharePoint Online.

קבצים נגועים אשר מסונכרנים מול SharePoint Online מזוהים ע"י מספר מנגנוני Virus Detection ונבדקים בזמן או לאחר העלאה של הקבצים אל SharePoint Online.

מה קורה עם קובץ נגוע? קובץ אשר נסרק ומזוהה עם תוכן נגוע מקבל תיוג ומאפיין של Infected File, והחל מרגע זה הקובץ אינו זמין לשימוש כמו קובץ רגיל, כלומר אין אפשרות לבצע הורדה ולעיתים אינו מאפשר פתיחה של הקובץ, וכמובן במקרים חריגים הקובת עובר אל Quarantine.

תהליך זיהוי קובץ נגוע נעשה באופן הבא:

  • קובץ נגוע מסונכרן אל SharePoint Online
  • קובץ נסרק ע"י מספר מנגנוני AV
  • קובץ מתויג ומקבל מאפיין של קובץ נגוע וkלאחר מכן חלים עליו מגבלות

יש להגדיר את SharePoint Online במצב הבא:

Set-SPOTenant -DisallowInfectedFileDownload $true

פרטים נוספים במאמר הבא https://eshlomo.blog/2019/08/spo-1/

יצירת Alert מבוסס Detected malware – מנגנון התראות של Office 365 מאפשר להתריע על מצבים שונים בהם ישנו זיהוי של בעיה או סיכון מסוים, אחד מאותם חוקים שניתן להגדיר במנגנון Alert הוא זיהוי של קובץ Malware.

בממשק Alert ניצור New Alert Policy ונגדיר לפי ההגדרות הבאות:

סימולציה של קבצים וקישורים

והכי כיף לסמלץ אז את הסימולציה ניתן לבצע מול Microsoft Teams ומול SharePoint Online בדרכים שונות, התרחיש המסוים הוא ספציפי בלבד.

בממשק Teams נעלה קובץ Malware אל שיחת Chat מול משתמש ספציפי או נעלה קובץ Malware אל קבוצה ספציפית בכדי לבדוק הגנה על קבצים, בנוסף נעתיק קישור זדוני לטובת פישינג אל אותם משתמשים וקבוצות בכדי לבדוק הגנה על קבצים

טיפ: אפשר לבצע בדיקה גם מול קובץ עם Macro Less 

בדוגמה הספציפית העליתי מספר קבצים נגועים של PowerPoint ושל Word ונוספים

בסמוך להעלאת הקבצים (בסביבות 2-3 דקות) קיבלתי התראה מתוך Office 365 Alert ולאחר מכן הקובץ עבר ATP Detonation ומאותו רגע אינו זמין יותר למשתמש

לאחר מכן ניתן לקבל מלא מידע לגבי הקובץ הזדוני ומשם לבצע תחקור ברמת הבורג

כמובן שאת הקובץ לא היה ניתן לפתוח מתוך Teams בשופ אופן מכיוון שהקובץ נמצא במצב Quarantine

בממשק Quarantine נוכל לבדוק את הקובץ ולהמשיך בתחקור

מכיוון שהקובץ נכנס להסגר העליתי קובץ נוסף עם Malware והפעם מזופזפ והתוצאה היתה זהה אך עם התנהגות אחרת:

  • הקובץ נגיש בממשק SharePoint Online בלבד
  • הקובץ אינו ניתן לפתיחה
  • הקובץ אינו ניתן להורדה

2 Responses

  1. 09/09/2020

    […] שבהן ניתן להגן, להקשיח ולמנוע בעיות אבטחה הוא המאמר של איך להקשיח Microsoft Teams וחלוקה לפי שכבות הגנה […]

  2. 09/09/2020

    […] Risks), ובאחד המאמרים שהעליתי לאחרונה ישנו הסבר כללי על איך להקשיח Microsoft Teams וחלוקה לפי שכבות הגנה […]

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.