Насколько безопасна корпоративная платформа Microsoft Teams для вашей компании и как её архитектура защищает внутренние данные бизнеса? Можно ли безопасно использовать Microsoft Teams, какую роль здесь играют Office 365 и Azure Active Directory и какие сервисы Microsoft 365 смогут дополнить защиту организации — все эти вопросы разберём ниже.
- Введение
- Безопасность, обеспечиваемая архитектурой
- Платформа безопасности Teams
- Хранение данных в Teams
- Teams в ролях
- История эксплуатации уязвимости в Teams
- Продукты, дополняющие защиту Teams
- 7.1. Microsoft Secure Score
- 7.2. Multi-Factor Authentication
- 7.3. Conditional Access
- 7.4. Privileged Identity Management
- 7.5. Guest Access
- 7.6. Access Review
- 7.7. Microsoft Cloud App Security
- 7.8. Intune
- 7.9. Microsoft Defender для Office 377
- 7.10. Data Leak Prevention
- 7.11. Communication Compliance
- 7.12. Information Barriers
- 7.13. eDiscovery
- 7.14. Legal Hold
- 7.15. Retention Policies
- 7.16. Sensitivity Labels
- 7.17. Compliance Recording
- Как безопасно использовать Microsoft Teams
- Выводы
Введение
Microsoft Teams — один из основных продуктов в портфеле облачных приложений Microsoft Office 365. Он тесно интегрирован с приложениями SharePoint Online, OneDrive для бизнеса и Exchange Online. Это позволяет пользователям обмениваться файлами, мгновенными сообщениями и проводить видеоконференции, объединяя до 1000 участников.
В 2020 году миллионам организаций по всему миру пришлось адаптировать методы работы и изменять бизнес-архитектуру, чтобы сделать возможной удалённую работу большинства сотрудников. Такой формат сам по себе стал новым вызовом для всех, и задачи, которые пришлось решать в первую очередь, — это совместная работа и общение сотрудников. Эти два процесса — ключ к успеху команды: мы общаемся, чтобы делиться идеями, помогать коллегам и развивать бизнес. От стратегических сессий до «разговоров у кулера».
Всё это вызвало взрывной рост инструментов для совместной работы и видео-конференц-связи. В настоящее время Microsoft лидирует на рынке, за ней следуют Cisco, Google и Slack. С момента запуска в 2017 году Teams стало самым быстрорастущим приложением Microsoft. Teams ежедневно используют 250 миллионов пользователей — это на 72 % больше, чем в апреле 2021 г. Руководство Microsoft поделилось этими данными в рамках отчёта о доходах компании за 4 квартал 2021 финансового года.
Итак, Teams — самое популярное приложение для совместной работы и видеоконференций во всём мире, но насколько оно безопасно для вашего бизнеса? Мы разберёмся, как архитектура Teams обеспечивает безопасность, почему Office 365 и Azure Active Directory являются платформой безопасности, где хранятся данные Teams, какие сервисы Microsoft 365 дополняют защиту и как безопасно использовать Teams.
Безопасность, обеспечиваемая архитектурой
Microsoft Teams построен на основе Microsoft 365 и Office 365 — облаков корпоративного уровня. Это даёт широкие возможности обеспечения безопасности и соответствия требованиям. Соблюдение Microsoft нормативных требований непрерывно подтверждается внешними аудитами. Это позволяет поддерживать самый большой на рынке портфель аудитов как по количеству, так и по объёму оцениваемых параметров. Так, подтверждено соответствие Microsoft Teams глобальным и локальным нормативным стандартам безопасности: ISO 27001:2013, ISO 27017:2015, ISO 27018:2019, SSAE16 SOC 1, SOC 2 и SOC 3, NIST CSF, HIPAA, EU ENISA IAF, Типовым положениям ЕС (EUMC) и другим.
Благодаря таким строгим требованиям клиенты Microsoft 365 или Office 365 владеют своими данными и управляют ими. Корпорация Microsoft защищает конфиденциальность и секретность данных и не использует их для каких-либо целей, кроме предоставления сервисов. Она не имеет доступа к загружаемым файлам, а также не анализирует электронную почту или пользователей в рекламных и других целях, что закрепляется договорными обязательствами.
Приложение Teams построено в соответствии с жизненным циклом разработки защищённых информационных систем Microsoft. На первом этапе создаётся модель угроз, и в дальнейшем каждый компонент по мере его проектирования тестируется в соответствии с данной моделью. Улучшения, связанные с обеспечением безопасности, интегрированы в процесс разработки исходного кода. Переполнения буфера и другие угрозы безопасности обнаруживаются средствами разработки на этапе сборки, прежде чем код будет добавлен в окончательную версию продукта.
В Teams на уровне архитектуры заложено снижение таких рисков, как:
- Атаки с использованием скомпрометированного ключа.
- Атаки типа «отказ в обслуживании» (DoS).
- Прослушивание.
- Подделка удостоверения (IP-спуфинг).
- Атаки типа «внедрённый посредник» (Man-in-the-Middle, MitM).
- Атаки с воспроизведением RTP (Real-time Transport Protocol — протокол для передачи трафика реального времени).
- Нежелательные сообщения.
- Вредоносные программы.
Безусловно, невозможно спроектировать защиту ото всех угроз. Однако подход к процессу разработки, в который изначально заложены принципы безопасного проектирования, и принятые в отрасли стандарты безопасности — основополагающие компоненты архитектуры Teams.
Платформа безопасности Teams
Teams использует интеграцию с другими продуктами Microsoft, чтобы соответствовать предъявляемым требованиям по безопасности. Так, двухфакторная аутентификация и единый вход обеспечиваются Azure Active Directory с использованием протокола OAuth 2.0. Это означает, что безопасность учётной записи не связана с конкретным устройством, что особенно важно для сотрудников использующих приложение на мобильных устройствах и ноутбуках.
Teams шифрует все данные при передаче и хранении, чтобы защитить их от несанкционированного доступа.
Данные, передаваемые клиентами в облачные сервисы, защищены TLS 1.2, который проверяет подлинность серверов, куда загружается информация. Для обмена ключами используются алгоритмы FIPS 140–2. Соединения между серверами Microsoft 365 и Office 365 основаны на протоколе Mutual TLS для взаимной проверки подлинности. Всё это делает практически невозможной дешифровку передаваемых данных.
Мультимедийный трафик (аудио, видео и демонстрация экрана) собраний, в которых участвуют трое и более абонентов, обрабатывается облачными серверами и шифруется с использованием протокола SRTP, который обеспечивает конфиденциальность, проверку подлинности и защиту от атак с воспроизведением RTP-пакетов. Однако имеется существенная разница между собраниями и вызовами один на один, которые маршрутизируются непосредственно между двумя конечными точками. Они не проходят через облачные серверы, что затрудняет управление ключами. Сейчас криптографические ключи таких вызовов согласовываются по проприетарному протоколу сигнализации вызовов Teams, который использует зашифрованный канал UDP/TCP TLS 1.2 и AES-256 (в режиме GCM). В сентябре 2021 года ожидается обновление Teams для ПК и мобильных устройств, которое позволит обеспечить End-to-End Encryption (E2EE) — шифрование вызовов один на один на основе обновлённых политик.
Хранящиеся в SharePoint Online, OneDrive для бизнеса и OneNote файлы защищены протоколами шифрования этих приложений. Так, в SharePoint и OneDrive для бизнеса применяется шифрование на уровне тома с помощью BitLocker, дополненное сервисным шифрованием с использованием Distributed Key Manager (DKM). Также вы можете использовать свой собственный ключ (Customer Key) сервисного шифрования для дополнительной защиты от доступа неавторизованных систем или персонала. С использованием ключа клиента шифруются:
- Сообщения чата Teams (чаты один на один, групповые чаты, чаты собраний и общение в каналах).
- Медиасообщения Teams (изображения, фрагменты кода, видео и изображения вики).
- Записи звонков и собраний, размещённые в хранилище Teams.
- Уведомления в чате Teams.
- Телеметрия Teams.
Альтернативно вы можете настроить шифрование с двойным ключом (DKE) для особо значимых данных.
И здесь мы подходим к следующему важному аспекту.
Хранение данных в Teams
Информация является ключевым активом любой организации, поэтому важно, чтобы рабочие инструменты обеспечивали безопасность данных и защищали их целостность.
Все данные, которыми вы обмениваетесь в Teams, будь то файл или сообщение, хранятся в облачных службах Office 365, которые в свою очередь являются частью глобального облака Microsoft. Оно располагается в центрах обработки данных в 63 глобальных регионах, что позволяет хранить данные Teams в зависимости от местонахождения вашей организации. Данные российских организаций размещаются в Австрии (Вена), Финляндии (Хельсинки), Франции (Париж, Марсель), Ирландии (Дублин) или Нидерландах (Амстердам). Эти государства приняли 108-ю Конвенцию Совета Европы и с точки зрения российского законодательства обеспечивают адекватную защиту персональных данных. Это позволяет осуществлять трансграничную передачу последних в указанные страны, не нарушая при этом Федеральный закон «О персональных данных» № 152-ФЗ.
Так, файлы хранятся в SharePoint Online или OneDrive для бизнеса, записи собраний — в OneDrive для бизнеса или Stream, данные календаря и голосовая почта хранятся в почтовом ящике пользователя, а сообщения в командах и каналах — в групповом почтовом ящике Exchange Online.
Таблица 1. Хранилища данных Microsoft Teams
Тип данных | Первичное хранилище | Вторичное хранилище |
Чаты | Azure Cosmos DB | Скрытый файл в пользовательском ящике Exchange |
Файлы в чатах | OneDrive для бизнеса | Нет |
Записи собраний в чатах | Azure Media Services (BLOB) | OneDrive для бизнеса |
Сообщения в каналах | Групповой ящик Exchange | Нет |
Файлы в каналах | SharePoint Online | Нет |
Записи собраний в каналах | Azure Media Services (BLOB) | SharePoint Online |
Изображения | Azure Media Services (BLOB) | Скрытый файл в пользовательском ящике Exchange |
Голосовая почта | Пользовательский ящик Exchange | Нет |
Стенограмма голосовой почты | Пользовательский ящик Exchange | Нет |
Календарь | Пользовательский ящик Exchange | Нет |
Адресная книга | Пользовательский ящик Exchange | Нет |
Наконец, пользователям Teams автоматически назначается один из двух уровней безопасности в зависимости от их роли в команде.
Teams в ролях
Владельцы — это пользователи, которые создают команды. Участниками же становятся все, кого владельцы добавляют в свои команды. По умолчанию владельцы могут ограничивать действия участников: какой контент им разрешено просматривать, могут ли они создавать каналы или добавлять новых участников. Это даёт владельцам определённый уровень контроля над организацией работы и обменом данными в командах. По умолчанию все пользователи организации могут создавать команды, становясь их владельцами. Однако ИТ-администраторы могут делегировать права на создание и управление командами определённым пользователям, что даёт возможность более жёстко контролировать данный процесс.
Как мы успели убедиться, Teams имеет множество встроенных функций безопасности, которые администраторы могут легко настроить в соответствии с требованиями своей организации. Но, как и любой другой сложный программный продукт, Teams не защищён от уязвимостей на сто процентов.
История эксплуатации уязвимости в Teams
В марте 2020 года компания CyberArk обнаружила уязвимость в Teams. Представьте себе следующий сценарий: злоумышленник отправляет жертве GIF-изображение и получает контроль над учётной записью жертвы. Эта уязвимость потенциально могла привести к захвату всех учётных записей Microsoft Teams в организации.
Исследователи изучили реализацию использования токенов доступа в Teams для предоставления пользователям возможности просматривать прикреплённые изображения. Им удалось обнаружить, что, прикрепив к сообщению специально созданный вредоносный GIF-файл, они могут захватить необходимые токены и выполнять различные действия через интерфейсы API Teams от имени жертвы. При этом жертва будет видеть присланную ей картинку и никогда не узнает, что была атакована. Самая большая опасность обнаруженной уязвимости заключалась в том, что она могла распространяться автоматически, подобно вирусу-червю.
После того как CyberArk обнаружила уязвимость, Microsoft исправила её, прежде чем злоумышленники смогли ею воспользоваться.
В марте 2021 года Microsoft запустила программу вознаграждений «Microsoft Applications Bounty Program», цель которой — привлечь исследователей со всего мира для выявления уязвимостей, которые ранее не были известны, в последних версиях приложений Microsoft Teams Desktop и Microsoft Teams Mobile. Вознаграждение за обнаруженную, описанную и продемонстрированную уязвимость может достигать 30 000 долларов США.
Продукты, дополняющие защиту Teams
В Teams может находиться много значимой информации компании, как с точки зрения файлов, которыми обмениваются пользователи, так и в отношении конфиденциальных данных в чатах. Порой необходимо дополнить базовую защиту точечными инструментами. Существует множество продуктов, поэтому важно учитывать потребности вашей организации при их выборе. Чтобы облегчить вам работу, мы собрали продукты Microsoft, дополняющие защиту Teams.
Microsoft Secure Score
Оценка безопасности проводит непрерывный скоринг вашего тенанта Microsoft 365 и готовит рекомендации, следуя которым вы усиливаете защиту вашей организации от угроз. Из единой панели центра безопасности вы можете отслеживать такие цифровые активы, как учётные записи, приложения и устройства Microsoft 365.
Secure Score помогает:
- Получить оценку текущего состояния безопасности организации.
- Повысить уровень безопасности за счёт следования предлагаемым рекомендациям.
- Определить потенциальное влияние реализации каждой рекомендации в вашей инфраструктуре на пользователей и процессы.
- Сравнить свой уровень безопасности с эталонными показателями и установить ключевые показатели эффективности (KPI).
Вы можете анализировать текущие показатели и сравнивать их с результатами аналогичных организаций. Microsoft Secure Score интегрируется с продуктами Microsoft и других производителей для реализации рекомендаций. Используйте эти метрики, чтобы наглядно продемонстрировать прогресс в улучшении защиты. Для Microsoft Teams доступны отдельные рекомендации по безопасности, и администраторам рекомендуется их отслеживать.
Multi-Factor Authentication
Многофакторная аутентификация — это протокол безопасности, который требует от пользователя предоставления двух или более подтверждений, прежде чем их учётной записи будет разрешён доступ. Вторым фактором может выступать что-то, что пользователь знает (например, PIN-код), что-то, что есть у пользователя (например, приложение для аутентификации) или какие-либо биометрические данные (такие как отпечаток пальца). Эта стратегия эффективна, телеметрия Microsoft показывает, что 99,9 % взломов учётных записей могут быть остановлены простым использованием MFA.
Политики MFA — строгий инструмент, который может быть неудобен, когда легитимные пользователи просто выполняют свою работу. Условный доступ Azure AD помогает настроить процесс проверки подлинности таким образом, чтобы избежать подобных проблем.
Conditional Access
Политики условного доступа применяются с целью дать пользователям возможность работать продуктивно где угодно и когда угодно, не снижая уровня защиты организации. Они дополняют процесс проверки подлинности дополнительными критериями, чтобы вы могли использовать подробную информацию о пользователе, не ограничиваясь ролевой моделью. Помимо того, является ли пользователь администратором, вы можете учитывать при принятии решения местоположение пользователя, его устройства, протокол аутентификации и другие факторы. Например, вы можете отклонить все запросы поступающие из Непала, разрешить все запросы из вашего офиса и потребовать MFA для всех остальных. Более того, вы можете создать несколько политик, которые работают вместе, чтобы устанавливать ограничения именно там, где они нужны.
Microsoft Teams поддерживается как отдельное облачное приложение в политиках условного доступа Azure Active Directory. Политики условного доступа применяются к Microsoft Teams, когда пользователь входит в систему. Однако без правильных политик в других приложениях, таких как Exchange Online, SharePoint Online или OneDrive для бизнеса, пользователи сохранят прямой доступ к ресурсам данных приложений.
В отдельных случаях даже перечисленных мер может быть недостаточно — например, когда аутентификацию запрашивает администратор с высокими привилегиями, имеющий доступ к особо значимым системам.
Privileged Identity Management
Вот почему для учётных записей с привилегированной ролью, например Global Administrator Azure AD, рекомендуется использовать Azure AD PIM (Privileged Identity Management). PIM помогает контролировать привилегированный доступ к ресурсам Azure AD, Azure и другим веб-службам Microsoft. Повышение привилегий производится только после утверждения запроса группой авторизованных пользователей, ограничивается по времени (Just-in-Time) и распространяется на конкретные ресурсы. В любом случае вся активность изменения привилегий регистрируется и подлежит аудиту. Поэтому запросы и утверждения привилегированного доступа могут оперативно просматриваться и предоставляться для внутренних аудитов и расследований.
Все перечисленные инструменты обеспечивают безопасность внутренних пользователей. А что делать, если необходимо взаимодействовать со внешними пользователями?
Guest Access
Вы можете встраивать в свои бизнес-процессы людей, которые не являются сотрудниками вашей организации. Это могут быть консультанты, поставщики или партнёры, с которыми вы хотите общаться в чатах или совместно работать над документами и другими ресурсами.
Раньше для такого взаимодействия вам бы потребовалось создать учётные записи для внешних пользователей, идентичные учётным записям ваших сотрудников. Такой подход усложняет контроль и управление большим количеством различных учётных записей, прав и политик, что снижает уровень безопасности.
Гостевой доступ позволяет пользователям пригласить любого, у кого есть адрес электронной почты, для совместной работы в командах Microsoft Teams. Это идеальный способ предоставить внешним пользователям необходимый уровень взаимодействия без необходимости полного членства в команде. Возможности гостей ограничены по сравнению с членами команды. Они могут участвовать только в совместной деятельности, такой как присоединение к существующему чату или каналу, публикация сообщений, доступ к файлам каналов и отправка файлов в чатах. Ограниченная функциональность и отдельный набор политик гостевого доступа гарантируют, что контроль над Teams и его ресурсами останется исключительно в руках администраторов.
Access Review
Технически, гостевые пользователи — это отдельные учётные записи в вашей Azure AD, которые создаются, когда сотрудник предоставляет доступ к документу внешнему пользователю или приглашает внешнего пользователя стать членом команды Microsoft Teams. После создания такой учётной записи она может оставаться в вашей Azure AD неограниченно долго. Это — потенциальная угроза безопасности в случае компрометации учётной записи гостя, поскольку гостевые пользователи имеют доступ к данным вашей компании, пусть и ограниченный. Безусловно, вы можете потребовать, чтобы гостевые пользователи применяли двухфакторную аутентификацию, и это является лучшим первым шагом, который вы можете сделать.
С помощью инструмента Access Review вы можете выстроить процесс, в котором сами сотрудники или назначенные рецензенты периодически проверяют список внешних пользователей, имеющих гостевой доступ. В рамках проверки можно легко удалить доступ для внешних пользователей, если он больше не нужен.
Мы рассмотрели основные административные инструменты защиты, давайте теперь посмотрим, какие продукты Microsoft дополняют защиту Teams.
Microsoft Cloud App Security
С распространением модели «программное обеспечение как услуга» (SaaS) возникла новая проблема. Инфраструктура, лежащая в основе такого ПО, находится вне контроля ИТ-служб. Недостаточная гибкость управления доступом и данными создаёт дополнительные риски, не говоря уж о непрозрачной безопасности SaaS-приложений.
Один из подходов — решение проблем индивидуально для каждого приложения с помощью доступных административных элементов. Проблема этого подхода — в том, что SaaS-приложения не всегда управляются централизованно. Здесь на помощь приходит брокер безопасности облачного доступа (CASB). Как понятно из названия, брокеры CASB выполняют роль привратника, который в реальном времени регулирует доступ пользователей в организации к используемым облачным ресурсам, независимо от местонахождения пользователей и типа используемых ими устройств.
Microsoft Cloud App Security, являясь таким брокером, собирает данные журналов сетевых устройств и прокси-серверов, облачных сервисов и провайдеров учётных данных. Это обеспечивает наглядность и контроль перемещения данных, даёт широкие возможности визуализации и обеспечивает сложную аналитику для идентификации и устранения киберугроз в любых облачных службах, не только Microsoft.
Брокеры CASB помогают решить проблемы безопасности при использовании облачных служб в организации, обеспечивая обнаружение и контроль используемых приложений и «теневого ИТ», оценку их безопасности, мониторинг действий пользователей и обнаружение аномального поведения, контроль доступа к ресурсам, классификацию конфиденциальной информации и предотвращение её утечек, защиту от вредоносных объектов.
В моделях SaaS и IaaS брокеры CASB контролируют использование ресурсов облачных служб на уровне API и расширяют возможности контроля приложений, выполняющихся в этих облаках.
Intune
Сотрудники компаний нуждаются в свободном доступе к своей рабочей электронной почте и документам из любого места и с практически любого устройства. В своей работе они используют большое количество разнообразных мобильных устройств. Это могут быть личные или корпоративные смартфоны, планшеты, ноутбуки и ПК.
Intune — связующее звено между мобильными устройствами, приложениями и данными компании. Эта служба предоставляет набор инструментов для управления сложной мобильной средой, даже за пределами вашей корпоративной сети. Сочетание управления мобильными устройствами (MDM) и мобильными приложениями (MAM) обеспечивает гибкость, необходимую для обеспечения безопасности без ограничения возможностей пользователей.
Intune предоставляет администраторам полный контроль над устройствами и приложениями, а также позволяет оценивать риски при доступе к корпоративной информации. Контролируя корпоративные устройства, такие как мобильные телефоны, планшеты и ноутбуки, вы также можете настроить политики для управления приложениями. Например, можно использовать биометрические данные для доступа к Outlook или запретить отправку электронных писем адресатам за пределами вашей организации. Intune также позволяет сотрудникам использовать личные устройства, обеспечивая контроль и защиту корпоративных данных, изолируя корпоративные данные от личных и шифруя их при необходимости.
Microsoft Defender для Office 365
Помимо использования уязвимостей программного обеспечения наиболее частым способом проникновения злоумышленников остаются попытки прямого взаимодействия с пользователями в надежде на недостаточную осведомлённость и цифровую гигиену. Это могут быть как массовые рассылки фишинговых URL или вредоносных вложений, так и атаки направленные на конкретного пользователя. Microsoft Defender для Office 365 обеспечивает защиту от неизвестных угроз для Microsoft Teams, Exchange, SharePoint и OneDrive.
Каждое вложение в электронное письмо или загружаемый файл проверяется в облачной песочнице на наличие вредоносных функций. Администраторы могут настроить политики обработки подозрительных вложений, чтобы предотвратить их распространение, открытие и любые другие действия с ними.
Каждая ссылка проверяется каждый раз в момент щелчка по ней, что позволяет защититься от переадресации на другие URL-адреса или подмены изначально безопасного содержимого вредоносным.
Защита от фишинга с помощью машинного обучения обнаруживает попытки злоумышленников выдать себя за легитимных пользователей или домены, а симулятор атак позволяет запускать реалистичные сценарии (целевые фишинговые атаки или атаки с «распылением» пароля) в вашей организации для обучения пользователей и выявления потенциальных уязвимостей.
Data Leak Prevention
Политики DLP доступны для основных служб Office 365: Exchange Online, OneDrive для бизнеса, SharePoint Online и Teams. Они помогают гарантировать, что ваши пользователи не передадут конфиденциальные данные посторонним. Конфиденциальность данных может определяться как нормативными актами (например, если это данные о здоровье пациентов), так и внутренними регламентами (скажем, для финансовой информации или коммерческой тайны).
Каждая политика позволяет определить область действия — проще говоря, то, на какие приложения Office 365 она будет распространена. Условия политик определяют, какое содержимое будет обнаруживаться и при каких обстоятельствах. Действия, в свою очередь, служат для реагирования на факты утечек. Вы можете просто мониторить все попытки утечки или же пресекать их, одновременно обучая пользователей с помощью подсказок.
Для Microsoft Teams доступна защита информации в сообщениях и документах, которыми обмениваются пользователи.
Communication Compliance
В продолжение разговора о политиках обмена сообщениями стоит упомянуть о «Соответствии требованиям общения», или Communication Compliance. Это набор элементов управления, предназначенный для выявления, анализа и принятия мер в случае нарушения требований к общению сотрудников. Он контролирует входящую и исходящую электронную почту Exchange Online, общение в Microsoft Teams и Skype для бизнеса, а также сообщения на сторонних платформах (например, Facebook или Twitter). Эти политики позволяют не только пресекать нарушение требований к общению, но и давать подсказки пользователям для исправления несоответствующего поведения.
Microsoft предоставляет интеллектуальные настраиваемые шаблоны, такие как «защита от преследований» или «ненормативная лексика». Могут быть использованы встроенные или пользовательские классификаторы, позволяющие обнаруживать определённые типы общения для любых каналов связи.
Процесс проверки происходит в программном клиенте, а не в почтовом ящике — это позволяет реагировать на нарушение ещё до отправки сообщения, а также запускать потоки Power Automate в качестве элемента политики (например, автоматически уведомлять руководителя нарушителя).
Иногда бывает недостаточно требований к общению и может понадобиться исключить возможность общения между отдельными сотрудниками или подразделениями.
Information Barriers
Наборы политик, которые ограничивают общение и взаимодействие между группами пользователей для исключения конфликта интересов или защиты информации, носят название «информационных барьеров». Такой подход продиктован требованиями бизнеса (особенно финансовых компаний) и известен как «Стена этики». Например, компании не разрешают линейным сотрудникам общаться с топ-менеджерами или устанавливают ограничения на совместный доступ к файлам и информации для определённых отделов.
Также информационные барьеры позволяют устанавливать политики разграничивающие области поиска и обнаружения электронных данных, eDiscovery.
eDiscovery
Как мы видели ранее, данные пользователей размещаются в различных сервисах Microsoft 365. Это удобно для пользователей, но когда возникают вопросы поиска электронных данных в процессе внутреннего расследования или аудита соответствия требованиям, такое разнообразие источников и типов данных создаёт трудности.
Microsoft предлагает инструмент eDiscovery, который помогает идентифицировать, собирать и обрабатывать электронные данные. Возможности eDiscovery включают в себя управление делами, поиск, анализ, сохранение и экспорт данных, в том числе данных Microsoft Teams. Это могут быть чаты, сообщения и файлы, а также специальные сводки, фиксирующие все события, произошедшие на собрании или звонке.
Legal Hold
В ходе внутреннего расследования или судебного производства вам может потребоваться, чтобы все данные, связанные с пользователем или командой, были сохранены в неизменном виде для использования в качестве юридических доказательств. Вы можете сделать это поместив почтовый ящик пользователя или команду Teams в режим юридического удержания. Этот режим гарантирует, что даже если конечные пользователи удаляют или редактируют сообщения, исходные копии этого контента сохранятся и будут доступны через поиск eDiscovery.
Retention Policies
У каждой организации могут быть свои причины, по которым от них требуется хранить данные в течение определённого времени. Это могут быть электронные письма, документы, контракты и другая информация. Хранение данных выглядит непростой задачей, поскольку имеется множество противоречий: какие данные хранить и как долго, что с ними делать после истечения срока хранения?
Возьмём для примера финансовые отчёты. Правительство может обязать вас хранить всю финансовую отчётность в течение пяти лет. Таким образом, вам необходимо хранить все ваши клиентские контракты и другую финансовую документацию, а также все квитанции на канцелярские товары, документы и даже кофе. Согласитесь, вы не будете обращаться с этими данными одинаково. Информацию о закупке канцелярии и кофе можно автоматически удалить по истечении срока, а контракты с важными финансовыми данными лучше поместить в архив и определить, кто имеет право доступа к этим документам.
Политики хранения Microsoft Teams позволяют гарантировать сохранение данных для соблюдения нормативных, юридических, деловых или других требований, а также гарантированно удалять информацию при необходимости. Вы можете использовать политики хранения, чтобы хранить данные в течение определённого периода времени, а по его истечении удалить их.
Sensitivity Labels
Для применения политик хранения используются специальные неотъемлемые метки данных. Эти же метки могут быть использованы для защиты доступа к конфиденциальным корпоративным сведениям. Основная причина появления меток конфиденциальности — необходимость свободно обмениваться документами и совместно работать над ними, сохраняя безопасность данных. Маркировка и шифрование данных являются основными элементами и определяют, что авторизованные пользователи могут делать с содержимым.
Вы можете дать названия меткам конфиденциальности Office 365 на основе собственной таксономии или использовать стандартный набор меток, таких как частные и общедоступные данные, конфиденциальная информация и т. д. Преимущество использования простых терминов заключается в том, что пользователи смогут понять, с каким типом значимой информации они работают.
Помимо защиты непосредственно файлов метки конфиденциальности можно применять для данных в контейнерах, таких как команды Teams. Например, метки, которые определяют конфиденциальность команд, управляют гостевым и внешним доступом, а также доступом с некорпоративных устройств.
Compliance Recording
Запись звонков — не только инструмент сбора информации о клиентах и их покупках или анализа качества работы колл-центра. Иногда эта технология необходима для соблюдения нормативных требований. Запись разговоров гарантирует, что вы готовы соблюдать нормативные требования и решать юридические вопросы, чтобы избежать потенциальных претензий.
К сожалению, штатные возможности Teams для звонков и записи ограничены. Вы легко можете записывать собрания или трансляции и даже осуществлять автоматическую стенографию данных записей, но в Teams нет встроенного инструмента для автоматизированной записи всех разговоров ваших сотрудников. Однако для Teams разработаны и открыты Compliance Recording API, что позволит вам осуществить интеграцию со сторонним сертифицированным продуктом. Например, это может быть AudioCodes SmartTAP 360°, Verint или NICE.
Как безопасно использовать Microsoft Teams
Давайте начнём с основ. Вам необходимо убедиться, что только авторизованные пользователи могут получить доступ к платформе Teams вашей организации. Именно «пользователи», а не «сотрудники», потому что это правило распространяется на всех гостевых пользователей.
- Убедитесь, что включена многофакторная аутентификация Teams через Azure Active Directory. Настройте рекомендуемые политики безопасности, включая политики условного доступа и оценку рисков доступа.
Далее желательно обеспечить контроль над мобильными устройствами пользователей и определить критерии доверия к устройствам:
- Зарегистрируйте мобильные устройства пользователей в Azure AD и ограничьте доступ с неуправляемых устройств. Это особенно важно для организаций с большим количеством удалённых сотрудников, которые используют личные устройства. Неуправляемые персональные устройства обычно не имеют таких же строгих мер безопасности, как корпоративные. Поэтому в случае их потери или кражи злоумышленник может легко получить доступ к любым данным, загруженным на устройство.
- Ограничьте доступ к Microsoft Teams с недоверенных корпоративных устройств с помощью Intune. Даже более строгие правила для корпоративных устройств не гарантируют безопасности, если на устройстве уже имеются вредоносные программы или оно давно не обновлялось. В качестве примеров критериев доверия можно привести операционную систему и наличие критически важных обновлений, отсутствие активных угроз в виде вирусов или доступ из разрешённых стран.
Защитите ваши данные от утечек и несанкционированного доступа:
- Настройте политики DLP и метки конфиденциальности. Тем самым вы сможете обучить ваших пользователей аккуратному обращению с конфиденциальными сведениями и одновременно с этим защитите информацию от целенаправленных или случайных утечек.
- Изучите «теневое ИТ» вашей организации и оцените риски с помощью Microsoft Cloud App Security. Проведите «тонкую настройку» политик безопасности в соответствии с требованиями вашей организации.
Выводы
Изо всех приложений для совместной работы Microsoft Teams — одно из самых безопасных. Злоумышленники применяют всё более изощрённые средства и методы для атак даже на самые защищённые системы, но компания Microsoft реализует все возможные меры для упреждения этих угроз. Эти меры включают в себя поиск уязвимостей и непрерывное обновление продуктов, повышение осведомлённости пользователей, а также информирование администраторов о мерах смягчения рисков.
В Teams размещаются данные компании, в том числе и конфиденциальные. Для защиты этих данных крайне важно следовать передовым практикам, о которых мы рассказали в этой статье, и консультироваться с экспертами в области информационной безопасности.
Что стоит сделать прямо сейчас? Обязательно включите многофакторную аутентификацию пользователей Teams. Даже если вы используете бесплатную версию Azure AD, это обеспечит базовый уровень безопасности. В зависимости от потенциальных угроз, актуальных для вашей организации, рекомендуем внедрить точечные инструменты безопасности, описанные выше, для создания дополнительной защиты там, где это необходимо. Взаимодействуя, эти инструменты формируют надёжную цифровую защиту вашей организации.