Por Suhaas Kodagali - Director de Gestión de Productos
28 de octubre de 2024 4 Minuto de lectura
En incidentes recientes, el grupo de ransomware Black Basta ha estado utilizando los mensajes de chat de Microsoft Teams como canal de comunicación engañoso con los usuarios objetivo. En una nueva oleada de ataques de ransomware, el grupo Black Basta, cuyos miembros se han infiltrado en redes corporativas utilizando phishing, botnets de malware e ingeniería social, utiliza ahora Microsoft Teams para obtener acceso a los datos corporativos de una empresa.
El grupo es comúnmente conocido por utilizar correos electrónicos haciéndose pasar por personal del servicio de asistencia informática para ofrecer ayuda y luego engañar a los empleados para que les den acceso proporcionándoles credenciales o instalando herramientas de acceso remoto. Ahora, se hacen pasar por personal del servicio de asistencia informática en Microsoft Teams utilizando cuentas de usuario externas con nombres engañosos como "Help Desk". Al añadir usuarios a los chats con cuentas externas de inquilinos Entra ID fraudulentas, los atacantes se han hecho pasar por personal de soporte, administración o del servicio de asistencia técnica, utilizando nombres engañosos para engañar a los usuarios haciéndoles creer que están interactuando con representantes legítimos del servicio de asistencia técnica.
Este suceso es un duro recordatorio de cómo las herramientas de colaboración, si bien son esenciales para los flujos de trabajo modernos, también pueden exponer los datos sensibles a las ciberamenazas, especialmente cuando se trata de usuarios invitados o externos. Aprovechar una Cloud Access Security Broker (CASB) con capacidades avanzadas de Data Loss Prevention (DLP) puede ayudar a mitigar estos riesgos identificando y eliminando el contenido sensible en interacciones no autorizadas, reforzando en última instancia la seguridad de los datos de la empresa contra ataques de ransomware dirigidos. A continuación se explica cómo las políticas DLP basadas en CASB pueden ayudar a identificar y eliminar contenido sensible en Microsoft Teams, SharePoint y OneDrive, creando un entorno más seguro para la colaboración empresarial.
Capacidades clave de Skyhigh CASB para la seguridad de datos de Microsoft Teams
Con Skyhigh CASB, las organizaciones obtienen un control granular sobre el contenido sensible compartido en su entorno de Microsoft Teams, así como sobre la forma en que se colabora. Los administradores de seguridad pueden definir políticas de Data Loss Prevention (DLP) para identificar y eliminar los datos confidenciales compartidos con usuarios no autorizados. También pueden aplicar políticas en torno a la compartición con usuarios externos y revocar el acceso a usuarios externos según sea necesario, de modo que puedan mitigar los riesgos asociados a actores malintencionados o a la compartición inadvertida de datos.
Skyhigh CASB se integra perfectamente con Microsoft Teams, SharePoint y OneDrive para supervisar y aplicar controles DLP y de colaboración en todos los canales relevantes, incluidos los canales de Teams, los archivos de OneDrive y los sitios de SharePoint. Los administradores de seguridad pueden utilizar Skyhigh para aplicar controles de colaboración a varios niveles:
- Control de uso compartido basado en dominios
La colaboración externa, aunque plantea sus riesgos, puede ser una valiosa herramienta de productividad para trabajar con contratistas y socios. Los clientes de Skyhigh utilizan controles de uso compartido basados en dominios en los que pueden restringir el uso compartido sólo a dominios específicos, que son aprobados por el equipo de seguridad como socios, proveedores o contratistas autorizados. Así, si un empleado intenta invitar a una conversación de Teams a un usuario externo que no forma parte de esta lista preaprobada, Skyhigh revocará esta solicitud de uso compartido.
- Bloquear la compartición de datos sensibles con un usuario externo en un canal de Teams
Los administradores de seguridad pueden utilizar los controles de Skyhigh para bloquear el uso compartido de datos sensibles con usuarios externos. Cuando un usuario comparte datos sensibles en un canal de Teams que tiene un usuario externo, Skyhigh detecta la presencia de datos sensibles y también marca que el canal tiene usuarios de fuera de la empresa, y revoca el uso compartido de estos datos. El mismo control puede aplicarse también a nivel de usuario. Cuando se añade un usuario externo a un canal de Teams que contiene datos sensibles, entonces Skyhigh puede revocar el acceso del usuario externo. Al permitir a los administradores de seguridad fusionar los controles basados en la colaboración y los basados en el contenido en una única política, Skyhigh ofrece a los equipos de seguridad un control granular sobre la colaboración y el uso compartido de contenidos en Teams y otras aplicaciones de Office.
- Revoque la colaboración no autorizada con carácter retroactivo
Los controles de Skyhigh sobre el contenido y la colaboración se aplican casi en tiempo real, lo que garantiza altos niveles de protección de datos para los clientes. Sin embargo, Skyhigh también ofrece a los clientes la opción de aplicar estos controles de forma retroactiva mediante análisis a petición. Esto resulta útil cuando un nuevo cliente de Skyhigh desea asegurarse de que su despliegue de Teams se ajusta a las políticas de seguridad de la empresa. Pueden ejecutar sus políticas de contenido y colaboración de forma masiva en todos los canales y chats de Teams y aplicar las correcciones necesarias cuando se hayan infringido las políticas. Esto ayuda a los clientes a garantizar la protección completa de los datos confidenciales dentro de Teams y otras aplicaciones ofimáticas.
- Políticas avanzadas de protección de datos en Teams
Al aplicar controles basados en el contenido sobre los datos compartidos a través de Teams, Skyhigh proporciona a los clientes los controles más completos y granulares del sector. Además de las clasificaciones estándar listas para usar para los tipos de datos comunes, Skyhigh ofrece a los clientes acceso a controles avanzados de protección de datos, incluidas las huellas digitales estructuradas y no estructuradas y las capacidades de OCR. Así, si un cliente intenta exfiltrar datos de clientes en forma de una captura de pantalla, Skyhigh puede detectar la presencia de datos de clientes a partir de una huella digital de datos estructurados existente dentro de una imagen y bloquear el uso compartido de este archivo.
- Controles de colaboración en todas las aplicaciones de Office
Los controles de contenido y colaboración se han discutido en gran medida en el contexto de Microsoft Teams, ya que fue el método de exfiltración utilizado por el grupo Black Basta. Pero los controles de contenido y colaboración de Skyhigh pueden aplicarse en todas las aplicaciones de Office, incluidas Microsoft SharePoint, OneDrive y Exchange. Los equipos de seguridad rara vez buscan aplicar controles sólo en una aplicación. Normalmente definen los controles y los extienden a todas las apps que contienen datos corporativos sensibles. Así pues, Skyhigh ha diseñado los mismos controles de colaboración para que se apliquen al intercambio no autorizado de datos, ya sea en un canal de Teams o en un sitio de SharePoint o en un archivo de OneDrive o en un correo electrónico enviado a través de Microsoft Exchange.
Configuración de políticas de DLP para una protección eficaz de Microsoft Teams
Para configurar las políticas de DLP que protegen los entornos de Microsoft Teams, los administradores pueden seguir estos pasos:
- Defina los tipos específicos de datos sensibles (por ejemplo, números de tarjetas de crédito, números de la seguridad social) que requieren supervisión.
- Defina reglas en torno a la colaboración y defina los colaboradores externos autorizados.
- Aplique políticas de contenido y colaboración en todas las instancias de Teams, SharePoint y OneDrive para una cobertura completa de los datos.
- Revise y actualice periódicamente las políticas para adaptarlas a la evolución de los requisitos de seguridad, los nuevos tipos de datos y los colaboradores.
- Refuerce su postura de seguridad contra las amenazas de ransomware.
El ataque del ransomware Black Basta a Microsoft Teams subraya la necesidad de una sólida gobernanza y protección de los datos en las herramientas de colaboración empresarial. Con Skyhigh CASB, las organizaciones pueden gestionar con confianza la información confidencial, minimizar el riesgo de exposición a usuarios no autorizados y adelantarse a la evolución de las ciberamenazas.
Skyhigh CASB es su socio de confianza para la protección de datos en su entorno Microsoft Teams, ayudándole a proteger la información confidencial frente a grupos de ransomware y otros actores maliciosos.
Volver a Blogs