Attaque du ransomware Black Basta : 5 façons pour votre entreprise de collaborer en toute sécurité sur Microsoft Teams

Par Suhaas Kodagali - Directeur, Gestion des produits

28 octobre 2024 4 Lecture minute

Lors d'incidents récents, le groupe de ransomware Black Basta a utilisé les messages de chat de Microsoft Teams comme canal de communication trompeur avec les utilisateurs ciblés. Dans le cadre d'une nouvelle vague d'attaques par ransomware, le groupe Black Basta, dont les membres ont infiltré les réseaux d'entreprise en utilisant le phishing, les botnets de logiciels malveillants et l'ingénierie sociale, utilise désormais Microsoft Teams pour accéder aux données d'une entreprise.

Le groupe est généralement connu pour utiliser des courriels se faisant passer pour du personnel du service d'assistance informatique afin de proposer de l'aide, puis de tromper les employés pour leur donner accès en leur fournissant des informations d'identification ou en installant des outils d'accès à distance. Aujourd'hui, ils se font passer pour le personnel du service d'assistance informatique dans Microsoft Teams en utilisant des comptes d'utilisateurs externes avec des noms trompeurs tels que "Help Desk" (service d'assistance). En ajoutant des utilisateurs aux chats avec des comptes externes de locataires Entra ID frauduleux, les attaquants se sont fait passer pour du personnel d'assistance, d'administration ou de service d'aide, en utilisant des noms d'affichage trompeurs pour faire croire aux utilisateurs qu'ils interagissaient avec des représentants légitimes du service d'aide.

Cet événement nous rappelle brutalement que les outils de collaboration, bien qu'essentiels aux flux de travail modernes, peuvent également exposer des données sensibles à des cybermenaces, en particulier lorsque des utilisateurs invités ou externes sont impliqués. Tirer parti d'une solution Cloud Access Security Broker (CASB) dotée de fonctionnalités avancées Data Loss Prevention (DLP) peut contribuer à atténuer ces risques en identifiant et en supprimant les contenus sensibles dans les interactions non autorisées, renforçant ainsi la sécurité des données de l'entreprise contre les attaques ciblées de ransomware. Voici comment les politiques DLP basées sur les CASB peuvent aider à identifier et à supprimer le contenu sensible dans Microsoft Teams, SharePoint et OneDrive, créant ainsi un environnement plus sûr pour la collaboration au sein de l'entreprise.

Principales fonctionnalités CASB de Skyhigh pour la sécurité des données de Microsoft Teams

Avec Skyhigh CASB, les organisations obtiennent un contrôle granulaire sur le contenu sensible partagé dans leur environnement Microsoft Teams ainsi que sur la façon dont il est collaboré. Les administrateurs de sécurité peuvent définir des politiques Data Loss Prevention (DLP) pour identifier et supprimer les données sensibles partagées avec des utilisateurs non autorisés. Ils peuvent également appliquer des politiques de partage avec des utilisateurs externes et révoquer l'accès à ces derniers si nécessaire, afin de réduire les risques associés aux acteurs malveillants ou au partage de données par inadvertance.

Skyhigh CASB s'intègre de manière transparente à Microsoft Teams, SharePoint et OneDrive pour surveiller et appliquer les contrôles DLP et de collaboration sur tous les canaux pertinents, y compris les canaux Teams, les fichiers OneDrive et les sites SharePoint. Les administrateurs de sécurité peuvent utiliser Skyhigh pour appliquer des contrôles de collaboration à plusieurs niveaux :

• Contrôle du partage par domaine
  La collaboration externe, bien qu'elle présente des risques, peut être un outil de productivité précieux pour travailler avec des entrepreneurs et des partenaires. Les clients de Skyhigh utilisent des contrôles de partage basés sur le domaine qui leur permettent de restreindre le partage à des domaines spécifiques, approuvés par l'équipe de sécurité en tant que partenaires, vendeurs ou contractants autorisés. Ainsi, si un employé tente d'inviter un utilisateur externe qui ne fait pas partie de cette liste pré-approuvée à une conversation Teams, Skyhigh révoquera cette demande de partage.
• Bloquer le partage de données sensibles avec un utilisateur externe dans un canal Teams
  Les administrateurs de sécurité peuvent utiliser les contrôles de Skyhigh pour bloquer le partage de données sensibles avec des utilisateurs externes. Lorsqu'un utilisateur partage des données sensibles dans un canal Teams comportant un utilisateur externe, Skyhigh détecte la présence de données sensibles et signale également que le canal comporte des utilisateurs extérieurs à l'entreprise, et révoque le partage de ces données. Le même contrôle peut être appliqué au niveau de l'utilisateur. Lorsqu'un utilisateur externe est ajouté à un canal Teams contenant des données sensibles, Skyhigh peut révoquer l'accès de l'utilisateur externe. En permettant aux administrateurs de sécurité de fusionner les contrôles basés sur la collaboration et sur le contenu dans une seule politique, Skyhigh donne aux équipes de sécurité un contrôle granulaire sur la collaboration et le partage de contenu sur Teams et d'autres applications Office.
• Révoquer rétroactivement les collaborations non autorisées
  Les contrôles de Skyhigh sur le contenu et la collaboration sont appliqués en temps quasi réel, ce qui garantit aux clients des niveaux élevés de protection des données. Cependant, Skyhigh offre également aux clients la possibilité d'appliquer ces contrôles rétroactivement à l'aide d'analyses à la demande. Cette option est utile lorsqu'un nouveau client de Skyhigh souhaite s'assurer que son déploiement Teams s'aligne sur les politiques de sécurité de l'entreprise. Ils peuvent exécuter leurs politiques de contenu et de collaboration en masse sur tous les canaux et chats Teams et appliquer les remédiations nécessaires lorsque les politiques ont été violées. Cela permet aux clients de garantir une protection complète des données sensibles au sein de Teams et d'autres applications bureautiques.
• Politiques avancées de protection des données sur Teams
  Lors de l'application de contrôles basés sur le contenu sur les données partagées via Teams, Skyhigh fournit aux clients les contrôles les plus complets et les plus granulaires de l'industrie. Outre les classifications standard prêtes à l'emploi pour les types de données courants, Skyhigh permet aux clients d'accéder à des contrôles avancés de protection des données, y compris les empreintes digitales structurées et non structurées et les capacités d'OCR. Ainsi, si un client tente d'exfiltrer des données clients sous la forme d'une capture d'écran, Skyhigh peut détecter la présence de données clients à partir d'une empreinte structurée existante dans une image et bloquer le partage de ce fichier.
• Contrôles de collaboration dans les applications Office
  Les contrôles du contenu et de la collaboration ont été discutés principalement dans le contexte de Microsoft Teams, car c'est la méthode d'exfiltration utilisée par le groupe Black Basta. Mais les contrôles de contenu et de collaboration de Skyhigh peuvent être appliqués à toutes les applications Office, y compris Microsoft SharePoint, OneDrive et Exchange. Les équipes de sécurité cherchent rarement à appliquer des contrôles à une seule application. Elles définissent généralement les contrôles et les étendent à toutes les applications qui contiennent des données sensibles de l'entreprise. Skyhigh a donc conçu les mêmes contrôles de collaboration pour les appliquer au partage non autorisé de données, qu'il s'agisse d'un canal Teams, d'un site SharePoint, d'un fichier OneDrive ou d'un courriel envoyé via Microsoft Exchange.

Configuration des politiques DLP pour une protection efficace de Microsoft Teams

Pour configurer les politiques DLP qui protègent les environnements Microsoft Teams, les administrateurs peuvent suivre les étapes suivantes :

• Définissez les types spécifiques de données sensibles (numéros de cartes de crédit, numéros de sécurité sociale, etc.) qui nécessitent une surveillance.
• Définir les règles de collaboration et les collaborateurs externes autorisés.
• Appliquez des politiques de contenu et de collaboration aux instances Teams, SharePoint et OneDrive pour une couverture complète des données.
• Révisez et mettez régulièrement à jour les politiques pour les adapter à l'évolution des exigences de sécurité, aux nouveaux types de données et aux nouveaux collaborateurs.
• Renforcez votre sécurité contre les menaces de ransomware.

L'attaque du ransomware Black Basta sur Microsoft Teams souligne la nécessité d'une gouvernance et d'une protection robustes des données dans les outils de collaboration d'entreprise. Avec Skyhigh CASB, les organisations peuvent gérer en toute confiance les informations sensibles, minimiser le risque d'exposition aux utilisateurs non autorisés et garder une longueur d'avance sur les cyber-menaces en constante évolution.

Skyhigh CASB est votre partenaire de confiance pour la protection des données dans votre environnement Microsoft Teams, vous aidant à sécuriser les informations sensibles contre les groupes de ransomware et autres acteurs malveillants.

Retour à Blogs