Di Suhaas Kodagali - Direttore, Gestione prodotti
28 ottobre 2024 4 Minuti di lettura
Negli ultimi episodi, il gruppo di ransomware Black Basta ha utilizzato i messaggi di chat di Microsoft Teams come canale di comunicazione ingannevole con gli utenti presi di mira. In una nuova ondata di attacchi ransomware, il gruppo Black Basta, i cui membri si sono infiltrati nelle reti aziendali utilizzando il phishing, le botnet di malware e l'ingegneria sociale, sta ora utilizzando Microsoft Teams per ottenere l'accesso ai dati aziendali di una società.
Il gruppo è comunemente noto per utilizzare e-mail che si spacciano per personale dell'help desk IT per offrire assistenza e poi ingannare i dipendenti per consentire l'accesso fornendo credenziali o installando strumenti di accesso remoto. Ora, si spacciano per personale dell'help desk IT in Microsoft Teams utilizzando account utente esterni con nomi ingannevoli come "Help Desk". Aggiungendo utenti alle chat con account esterni provenienti da tenant Entra ID fraudolenti, gli aggressori si sono spacciati per personale di supporto, amministrazione o help-desk, utilizzando nomi di visualizzazione ingannevoli per far credere agli utenti di interagire con rappresentanti legittimi dell'help-desk.
Questo evento ci ricorda come gli strumenti di collaborazione, pur essendo essenziali per i flussi di lavoro moderni, possono anche esporre i dati sensibili alle minacce informatiche, soprattutto quando sono coinvolti utenti ospiti o esterni. Sfruttando una soluzione Cloud Access Security Broker (CASB) con funzionalità avanzate di Data Loss Prevention (DLP) può aiutare a mitigare questi rischi, identificando e rimuovendo i contenuti sensibili nelle interazioni non autorizzate, rafforzando in ultima analisi la sicurezza dei dati aziendali contro gli attacchi ransomware mirati. Ecco come le politiche DLP orientate al CASB possono aiutare a identificare e rimuovere i contenuti sensibili in Microsoft Teams, SharePoint e OneDrive, creando un ambiente più sicuro per la collaborazione aziendale.
Funzionalità chiave di Skyhigh CASB per la sicurezza dei dati di Microsoft Teams
Con Skyhigh CASB, le organizzazioni ottengono un controllo granulare sui contenuti sensibili condivisi nel loro ambiente Microsoft Teams e sulle modalità di collaborazione. Gli amministratori della sicurezza possono definire politiche Data Loss Prevention (DLP) per identificare e rimuovere i dati sensibili condivisi con utenti non autorizzati. Possono anche applicare le politiche di condivisione con gli utenti esterni e revocare l'accesso agli utenti esterni come richiesto, in modo da mitigare i rischi associati ad attori malintenzionati o alla condivisione involontaria dei dati.
Skyhigh CASB si integra perfettamente con Microsoft Teams, SharePoint e OneDrive per monitorare e applicare i controlli DLP e di collaborazione su tutti i canali rilevanti, compresi i canali Teams, i file OneDrive e i siti SharePoint. Gli amministratori della sicurezza possono utilizzare Skyhigh per applicare i controlli sulla collaborazione a più livelli:
- Controllo della condivisione basato sul dominio
La collaborazione esterna, pur presentando dei rischi, può essere un prezioso strumento di produttività per lavorare con appaltatori e partner. I clienti Skyhigh utilizzano controlli di condivisione basati sul dominio, dove possono limitare la condivisione solo a domini specifici, approvati dal team di sicurezza come partner, venditori o appaltatori autorizzati. Quindi, se un dipendente tenta di invitare a una conversazione in Teams un utente esterno che non fa parte di questo elenco pre-approvato, Skyhigh revocherà la richiesta di condivisione.
- Bloccare la condivisione di dati sensibili con un utente esterno in un canale Teams
Gli amministratori della sicurezza possono utilizzare i controlli di Skyhigh per bloccare la condivisione di dati sensibili con utenti esterni. Quando un utente condivide dati sensibili in un canale Teams con un utente esterno, Skyhigh rileva la presenza di dati sensibili e segnala anche che il canale ha utenti esterni all'azienda, e revoca la condivisione di questi dati. Lo stesso controllo può essere applicato anche a livello di utente. Quando un utente esterno viene aggiunto ad un canale Teams che contiene dati sensibili, Skyhigh può revocare l'accesso all'utente esterno. Consentendo agli amministratori della sicurezza di unire i controlli basati sulla collaborazione e sui contenuti in un'unica policy, Skyhigh offre ai team della sicurezza un controllo granulare sulla collaborazione e sulla condivisione di contenuti su Teams e altre applicazioni Office.
- Revoca retroattiva delle collaborazioni non autorizzate
I controlli di Skyhigh sui contenuti e sulla collaborazione vengono applicati in tempo quasi reale, garantendo ai clienti alti livelli di protezione dei dati. Tuttavia, Skyhigh offre ai clienti anche la possibilità di applicare questi controlli in modo retroattivo, utilizzando scansioni on-demand. Questo è utile quando un nuovo cliente Skyhigh vuole assicurarsi che la sua implementazione di Teams sia in linea con le politiche di sicurezza dell'azienda. Possono eseguire i loro criteri di contenuto e collaborazione in massa su tutti i canali e le chat di Teams e applicare le necessarie misure correttive laddove i criteri sono stati violati. Questo aiuta i clienti a garantire la protezione completa dei dati sensibili all'interno di Teams e di altre applicazioni per l'ufficio.
- Politiche avanzate di protezione dei dati su Teams
Quando applica controlli basati sui contenuti ai dati condivisi tramite Teams, Skyhigh offre ai clienti i controlli più completi e granulari del settore. Oltre alle classificazioni standard out-of-the-box per i tipi di dati più comuni, Skyhigh offre ai clienti l'accesso a controlli avanzati di protezione dei dati, tra cui il fingerprinting strutturato e non strutturato e le funzionalità OCR. Così, se un cliente tenta di esfiltrare i dati del cliente sotto forma di screenshot, Skyhigh può rilevare la presenza di dati del cliente da un'impronta strutturata esistente all'interno di un'immagine e bloccare la condivisione di questo file.
- Controlli di collaborazione nelle applicazioni Office
I controlli sui contenuti e sulla collaborazione sono stati discussi in gran parte nel contesto di Microsoft Teams, in quanto era il metodo di esfiltrazione utilizzato dal gruppo Black Basta. Ma i controlli sulla collaborazione e sui contenuti di Skyhigh possono essere applicati a tutte le applicazioni Office, tra cui Microsoft SharePoint, OneDrive ed Exchange. I team di sicurezza raramente cercano di applicare i controlli solo su un'applicazione. Di solito definiscono i controlli e li estendono a tutte le applicazioni che contengono dati aziendali sensibili. Quindi, Skyhigh ha progettato gli stessi controlli di collaborazione da applicare alla condivisione non autorizzata di dati, sia che si tratti di un canale Teams o di un sito SharePoint o di un file OneDrive o di un'e-mail inviata tramite Microsoft Exchange.
Impostazione dei criteri DLP per una protezione efficace di Microsoft Teams
Per configurare le politiche DLP che proteggono gli ambienti Microsoft Teams, gli amministratori possono seguire i seguenti passaggi:
- Definisca i tipi specifici di dati sensibili (ad esempio, numeri di carte di credito, numeri di previdenza sociale) che richiedono il monitoraggio.
- Definisce le regole della collaborazione e definisce i collaboratori esterni autorizzati.
- Applica i criteri di contenuto e collaborazione alle istanze di Teams, SharePoint e OneDrive per una copertura completa dei dati.
- Rivedere e aggiornare regolarmente le politiche per allinearsi ai requisiti di sicurezza in evoluzione, ai nuovi tipi di dati e ai collaboratori.
- Rafforzi la sua posizione di sicurezza contro le minacce Ransomware.
L'attacco ransomware Black Basta a Microsoft Teams sottolinea la necessità di una solida governance e protezione dei dati negli strumenti di collaborazione aziendale. Con Skyhigh CASB, le organizzazioni possono gestire con fiducia le informazioni sensibili, ridurre al minimo il rischio di esposizione agli utenti non autorizzati e rimanere al passo con le minacce informatiche in evoluzione.
Skyhigh CASB è il suo partner di fiducia per la protezione dei dati nell'ambiente Microsoft Teams, aiutandola a proteggere le informazioni sensibili da gruppi di ransomware e altri attori malintenzionati.
Torna ai blog