Microsoft Teams, как часть служб Microsoft 365 и Office 365, следует всем передовым методам и процедурам безопасности, таким как безопасность на уровне служб с помощью многоуровневой защиты, пользовательские элементы управления в службе, усиление безопасности и передовые методы работы. Несмотря на это, сохраняется также и ряд уязвимостей в использовани Teams.

В этом блоге мы расскажем о том, что такое MS Teams, о преимуществах и рисках, о нескольких способах его использования и (что наиболее важно) о том, как использовать приложение безопасно.

Что такое Microsoft Teams?

Было сложно разобрать, что такое MS Teams и как сервис можно использовать. Некоторые считают, что это просто инструмент для переписки, другие держат за более продвинутую версию Skype для бизнеса. Microsoft Teams тем временем намного мощнее.

Microsoft Teams по сути является конкурентом Slack. Teams сочетает в себе постоянный чат на рабочем месте, видеовстречи, хранение файлов и совместную работу, а также интеграцию приложений. Он имеет целый ряд функций и интеграций, позволяющих удаленным командам (или даже локальным командам) работать в тесном контакте и более легко сотрудничать.

MS Teams доступен для большинства лицензий Office 365, что делает его широко используемым в корпоративных условиях.

MS Teams не является хранилищем данных. Teams — это внешний интерфейс, который находится поверх инфраструктуры и хранилищ данных Office 365 и помогает пользователям легко общаться, получать доступ и обмениваться данными. Когда создается новая команда, в Azure AD создается новая группа безопасности с членами группы. В Exchange Online создается новый скрытый почтовый ящик, в SharePoint Online создается новый сайт, а файлы, которыми обмениваются через частные чаты, загружаются в OneDrive.

Все это происходит автоматически, без ведома пользователя.

Безопасность в облаке

До появления облачных вычислений вы полагались на брандмауэр вашей компании в качестве безопасного периметра. Вы запустили свои серверы приложений, файловые серверы, Exchange Server, SharePoint Server и, возможно, Skype для бизнеса Server за брандмауэром в своем центре обработки данных. Ваша цель состояла в том, чтобы держать хорошие вещи и плохие вещи вне, и ключевой опорой безопасности была конфигурация брандмауэра.

Какую работу выполняли ваши пользователи внутри брандмауэра? Два основных вида:

  • общение по телефону, сообщение, приватный чат, групповой чат и электронная почта
  • работа с файлами  , такими как документы, электронные таблицы, презентации и изображения

Для большинства из нас это составляет около 95% рабочего дня.

С появлением облачных сервисов, таких как Microsoft Office 365, пользователи могут общаться и работать с файлами за пределами центра обработки данных. Вместо того, чтобы запускать собственные серверы и брандмауэр, компании подписываются на облачные службы для таких продуктов, как OneDrive, Exchange, SharePoint, Office 365 и Skype для бизнеса. В этом сценарии нет брандмауэра, и мы должны сосредоточиться на защите людей, а не периметра. Это начинается с защиты самого важного аспекта этого пользователя — его учетных данных. Надежные пароли и многофакторная аутентификация теперь являются основными минимальными требованиями. Отсюда мы можем использовать облачные службы безопасности, которые гарантируют, что пользователи подключаются только из определенных известных мест и на утвержденных устройствах. Это лучшая безопасность, чем брандмауэр и простое имя пользователя и пароль.

Но безопасность Microsoft Teams идет гораздо дальше.

Безопасны ли в общем целом Microsoft Teams?

Teams разработан вокруг  четырех основных функций:

  1. Общение
  2. Встреча
  3. Вызов
  4. Сотрудничество

Все четыре из этих функций согласуются с упомянутым выше общением с коллегами. Четвертый, совместная работа, совпадает с работой над файлами. Другими словами, Teams объединяет общение и обмен файлами, а суть безопасности Microsoft Teams заключается в обеспечении того, чтобы общение и обмен файлами происходили только между известными авторизованными пользователями, которые должны иметь доступ к данным.

Итак, безопасны ли Microsoft Teams?

Короткий ответ: «Да, это безопасно».

Microsoft Teams предназначена для обеспечения безопасности, но, как и двери и окна в вашем доме, вам необходимо использовать замки таким образом, чтобы обеспечить наилучший баланс между безопасностью и простотой использования.

Для администратора самым простым, но важным замком на входной двери является основная идентификация учетной записи пользователя. Одним из преимуществ всех приложений Microsoft 365, включая Teams, является то, что удостоверение пользователя находится в  Azure AD. Недавние улучшения в возможностях защиты удостоверений Azure AD — это большой шаг вперед в обеспечении безопасности для всех приложений, которые его используют. Такие функции, как настраиваемые параметры учетной записи MFA, параметры блокировки учетной записи и поддержка единого входа в приложениях, — это базовые возможности, которые стали очень эффективными столпами безопасности идентификации. Премиум-функции управления Azure AD, такие как Identity Protection, используют сигналы активности учетной записи AD для идентификации, обнаружения и исследования сложных угроз во всех облачных приложениях Microsoft, включая Teams.

Более продвинутые функции Azure AD Privileged Identity Management, такие как  условный доступ, также могут использовать эти сигналы для укрепления привилегированных удостоверений.

Как Teams справляется с распространенными угрозами безопасности

В этом разделе описаны наиболее распространенные угрозы безопасности службы Teams и способы устранения каждой угрозы корпорацией Майкрософт.

Атака со скомпрометированным ключом

Teams использует функции PKI в операционной системе Windows Server для защиты данных ключей, используемых для шифрования подключений TLS. Ключи, используемые для шифрования мультимедиа, передаются через соединения TLS.

Сетевая атака «отказ в обслуживании»

Распределенная атака типа «отказ в обслуживании» (DDOS) происходит, когда злоумышленник препятствует нормальному использованию и функционированию сети действительными пользователями. Используя атаку типа «отказ в обслуживании», злоумышленник может:

  • Отправлять неверные данные приложениям и службам, работающим в атакуемой сети, чтобы нарушить их нормальную работу.
  • Отправлять большой объем трафика, перегружая систему до тех пор, пока она не перестанет отвечать или будет медленно отвечать на законные запросы.
  • Скрыть доказательства нападения.
  • Запретить пользователям доступ к сетевым ресурсам.

Teams смягчает эти атаки, запуская защиту сети Azure от атак DDOS и регулируя запросы клиентов из одних и тех же конечных точек, подсетей и федеративных объектов.

Подслушивание

Подслушивание происходит, когда злоумышленник получает доступ к пути данных в сети и имеет возможность отслеживать и читать трафик. Подслушивание также называют сниффингом или снупингом. Если трафик представляет собой обычный текст, злоумышленник может прочитать трафик, когда злоумышленник получит доступ к пути. Примером может служить атака, осуществляемая путем управления маршрутизатором на пути передачи данных.

Teams использует взаимный TLS (MTLS) и OAuth между серверами (S2S) (среди других протоколов) для связи серверов в Microsoft 365 и Office 365, а также использует TLS от клиентов к службе. Весь трафик в сети шифруется.

Эти методы связи делают подслушивание трудным или невозможным в течение периода времени одного разговора. TLS аутентифицирует все стороны и шифрует весь трафик. Хотя TLS не предотвращает прослушивание, злоумышленник не может прочитать трафик, если шифрование не взломано.

Протокол Traversal Using Relays around NAT (TURN) используется для мультимедиа в реальном времени. Протокол TURN не требует шифрования трафика, а информация, которую он отправляет, защищена целостностью сообщения. Хотя он открыт для перехвата, отправляемая им информация, то есть IP-адреса и порт, может быть извлечена непосредственно путем просмотра исходного и конечного адресов пакетов. Служба Teams гарантирует, что данные действительны, проверяя целостность сообщения с помощью ключа, полученного из нескольких элементов, включая пароль TURN, который никогда не отправляется в открытом виде. SRTP используется для медиа-трафика и также шифруется.

Подмена личности (подмена IP-адреса)

Спуфинг происходит, когда злоумышленник идентифицирует, а затем использует IP-адрес сети, компьютера или сетевого компонента, не имея на это полномочий. Успешная атака позволяет злоумышленнику действовать так, как если бы злоумышленник был объектом, обычно идентифицируемым по IP-адресу.

TLS аутентифицирует все стороны и шифрует весь трафик. Использование TLS не позволяет злоумышленнику выполнить подмену IP-адреса для определенного соединения (например, взаимных соединений TLS). Злоумышленник все еще может подделать адрес сервера системы доменных имен (DNS). Однако, поскольку проверка подлинности в Teams выполняется с помощью сертификатов, у злоумышленника не будет достоверной информации, необходимой для подделки одной из сторон связи.

Атака «человек посередине»

Атака «человек посередине» происходит, когда злоумышленник перенаправляет связь между двумя пользователями через компьютер злоумышленника без ведома двух взаимодействующих пользователей. Злоумышленник может отслеживать и читать трафик, прежде чем отправить его предполагаемому получателю. Каждый пользователь в общении неосознанно отправляет трафик и получает трафик от злоумышленника, при этом думая, что он общается только с предполагаемым пользователем. Этот сценарий может произойти, если злоумышленник может изменить доменные службы Active Directory, чтобы добавить свой сервер в качестве доверенного сервера, или изменить конфигурацию DNS, или использовать другие средства, чтобы заставить клиентов подключаться через злоумышленника на пути к серверу.

Атаки «человек посередине» на мультимедийный трафик между двумя конечными точками, участвующими в совместном использовании аудио, видео и приложений Teams, предотвращаются с помощью безопасного транспортного протокола в реальном времени (SRTP) для шифрования мультимедийного потока. Криптографические ключи согласовываются между двумя конечными точками по проприетарному протоколу сигнализации (протокол Teams Call Signaling), который использует TLS 1.2 и AES-256 (в режиме GCM) зашифрованный канал UDP или TCP.

Атака воспроизведения транспортного протокола в реальном времени (RTP)

Атака воспроизведения происходит, когда действующая передача мультимедиа между двумя сторонами перехватывается и повторно передается в злонамеренных целях. Teams использует SRTP с безопасным сигнальным протоколом, который защищает передачи от повторных атак, позволяя получателю поддерживать индекс уже полученных пакетов RTP и сравнивать каждый новый пакет с пакетами, уже перечисленными в индексе.

Спам

Спам — это нежелательные коммерческие мгновенные сообщения или запросы на подписку на присутствие, такие как спам, но в форме мгновенных сообщений. Хотя само по себе это не компрометация сети, это как минимум раздражает, может снизить доступность ресурсов и производительность и, возможно, привести к компрометации сети. Например, пользователи спамят друг друга, отправляя запросы. Пользователи могут блокировать друг друга, чтобы предотвратить спам, но с федерацией, если злоумышленник устанавливает скоординированную спам-атаку, ее может быть трудно преодолеть, если вы не отключите федерацию от партнера.

Вирусы и черви

Вирус — это единица кода, целью которой является воспроизведение большего количества подобных единиц кода. Для работы вирусу нужен хост, такой как файл, электронная почта или программа. Подобно вирусу, червь — это единица кода, которая воспроизводит больше похожих единиц кода, но, в отличие от вируса, не нуждается в хосте. Вирусы и черви в основном проявляются во время передачи файлов между клиентами или при отправке URL-адресов от других пользователей. Если на вашем компьютере находится вирус, он может, например, использовать вашу личность и отправлять мгновенные сообщения от вашего имени. Стандартные передовые методы обеспечения безопасности клиентов, такие как периодическое сканирование на наличие вирусов, могут решить эту проблему.

Общие вопросы о безопасности Microsoft Teams

Безопасны ли Teams с точки зрения сети?

С сетевой точки зрения облачная служба Teams имеет встроенную защиту от  распространенных угроз безопасности для службы Teams , включая сетевые атаки типа «отказ в обслуживании», прослушивание, спуфинг и атаки «человек посередине».

Безопасность Microsoft Teams опирается на  протоколы безопасности транспортного уровня (TLS) и взаимного TLS (MTLS)  , чтобы обеспечить шифрование всех коммуникаций. Данные Teams, включая сообщения, файлы, собрания и другой контент, шифруются при передаче и хранении в центрах обработки данных Майкрософт.

MTLS  шифрует  трафик между серверами. TLS используется для обмена данными между клиентом и сервером (например, для обмена мгновенными сообщениями) и передачи сигналов. Медиа-потоки, такие как совместное использование аудио и видео, шифруются безопасным транспортным протоколом реального времени (SRTP)/TLS.

Где чаще всего упускают из виду уязвимости Microsoft Teams?

Как мы видели в случае с электронной почтой, во многих случаях конечный пользователь является наиболее уязвимым звеном в цепочке безопасности. Фишинговые атаки по электронной почте быстро растут и становятся очень изощренными. Хотя количество фишинговых атак в Microsoft Teams намного меньше, имели место нарушения с размещением вредоносных ссылок в сообщениях Teams (частных чатах и ​​сообщениях каналов). Аналогичным образом существует вероятность того, что вредоносные файлы будут загружены и попадут в ваше развертывание Teams, а затем на устройства конечных пользователей.

Точно так же, как Teams использует другие рабочие нагрузки Microsoft 365 для обеспечения фантастического взаимодействия, другие инструменты управления в экосистеме Microsoft 365 Security and Compliance можно использовать для дополнительной защиты самого приложения Teams.

Microsoft Advanced Threat Protection  (теперь называется Microsoft Defender для Office 365) предоставляет возможности безопасного вложения и безопасных ссылок для защиты от вредоносных файлов и вредоносных программ. Базовый план обслуживания (План 1) ATP предоставляет эту возможность и может быть приобретен как надстройка или включен в полную лицензию E5. Существуют также сторонние поставщики средств управления, которые обеспечивают различные уровни защиты от фишинга и вредоносных программ.

В чем важность мониторинга?

Ценность мониторинга заключается в том, что он помогает вам понять, что меняется в вашей среде, и может автоматически предупреждать об аномалиях.

Инструменты и технологии, такие как Microsoft Teams, просты в развертывании для вас и для использования вашими коллегами, но на этом ваша работа не заканчивается. Когда вы создаете базовый план и отслеживаете действия, вы видите изменения в том, кто и к чему имеет доступ, кто добавляет и удаляет данные и как эти данные используются. В случае инцидента, связанного с безопасностью, мониторинг с историей облегчает вам отслеживание назад во времени.

Распространяется ли безопасность Microsoft Teams на защиту конечных точек?

Как мы уже говорили, Teams обеспечивает безопасность как часть больших наборов Microsoft 365 и Azure. Он также предлагает  Enterprise Mobility + Security (EMS) — еще одну группу функций безопасности, таких как Azure AD, Intune, многофакторная проверка подлинности и  Endpoint Configuration Manager .

С помощью  Intune , входящей в состав EMS, вы можете гарантировать, что пользователи будут иметь доступ к вашим ресурсам Office 365 только с устройств, которые соответствуют указанным вами критериям соответствия. Например, вы можете исключить устройства, которые взломаны или не имеют антивирусной защиты.

Teams также  соблюдает политики условного доступа Azure Active Directory . Например, вы можете настроить политики, чтобы ограничить использование приложений Teams устройствами, совместимыми с Intune или присоединенными к вашему домену.

Резюме

Поскольку растет доля человек, рботающих удаленно, а Microsoft Teams развернуты и используются миллионами пользователей, важно понимать все области безопасности Microsoft Teams и настраивать их в соответствии с требованиями безопасности и управления. для вашей организации.

Эта статья была вводной и содержит обзор основных областей, необходимых для обеспечения безопасности Microsoft Teams. Команды могут быть дополнительно защищены с помощью расширенных функций идентификации Azure AD и периферийных решений Microsoft (или сторонних производителей), таких как защита конечных точек. Эти области требуют отдельного опыта для соответствующей настройки.

Microsoft Teams стала критически важной для обеспечения непрерывности бизнеса. Делайте все возможное, защищая Teams и максимизируя совместную работу пользователей, чтобы гарантировать непрерывность работы.

Еслм у вас остались вопросы и вы хотите внедрить инфраструктуру Microoft и купить лицензии в Казахстане, просто свяжитесь с нами. Мы в Fanetech помогаем бизнесам сохранять технологическое преимущество и исползовать возможности сервисов Microsoft на все 100%.

ru_RUРусский