- I-on ang Proteksyon sa Link at pagsamahin ang Mga Ligtas na Link at ZAP para harangan ang mga nakakahamak na URL sa Mga Koponan.
- Patigasin ang pag-access ng bisita, pederasyon, at nangungupahan sa Entra ID sa pamamagitan ng pagpapatupad ng pinakamababang pribilehiyo.
- Ipatupad ang MFA na lumalaban sa phishing at sanayin ang mga user na makakita ng mga scam sa mga chat at meeting.
Microsoft Teams Isa na ito sa mga pangunahing tool sa pakikipagtulungan at, dahil dito, isa ring pokus ng interes para sa mga kriminal. Mga nakakahamak na link at file sa mga chat, channel at meeting ay naging karaniwang mga vector para sa pagnanakaw ng mga kredensyal, pagkalat malware at makipag-ugnayan sa mga organisasyon.
Sa artikulong ito, makakahanap ka ng kumpletong gabay sa pag-unawa sa mga pinakakaraniwang pag-atake sa loob ng Mga Koponan, kung paano ito i-configure nang secure, kung anong mga native at advanced na proteksyon ang umiiral, at anong mga kasanayan ang dapat mong gamitin. Pinagsasama namin ang mga opisyal na rekomendasyon, mga teknikal na hakbang at mga alituntunin sa kamalayan upang mabawasan mo ang mga panganib nang hindi nagpapabagal sa pakikipagtulungan.
Ang pagtaas ng mga pag-atake ng Teams at kung bakit gumagana ang mga ito
Naobserbahan ng kamakailang pananaliksik ang mga malakihang kampanya na naglalagay ng mga nakakahamak na dokumento at mga link nang direkta sa mga pag-uusap ng Mga Koponan. Kapag binuksan, Trojans at DLLs ay pinaandar may kakayahang kontrolin ang koponan, lumipat sa gilid at maninik sa mga komunikasyon sa pagitan ng mga kumpanya at sa mga ikatlong partido.
Ang mga pag-atake na ito ay umaandar para sa dalawang pangunahing dahilan: sa isang banda, ang umaatake ay karaniwang unang nakakakuha ng access sa Microsoft 365 (sa pamamagitan ng kredensyal na phishing o kompromiso sa email) at mula doon mag-log in sa Mga Koponan; sa kabilang banda, ang bukas na modelo ng pakikipagtulungan bilang default pinapadali ang pagbabahagi ng file at link at pagsasama-sama ng bisita, na nagpapataas sa surface ng pag-atake.
Higit pa sa mga attachment, sinasamantala ng mga cybercriminal ang chat mismo para makuha ang tiwala ng user. Sa pamamagitan ng social engineering, nagpapanggap sila bilang mga kasamahan o IT, humihingi sila ng mga MFA code, iniimbitahan kang magpatakbo ng mga tool, o "magpatunay" ng mga password sa mga pekeng website. Mayroon ding mga kaso ng vishing na sinasamantala ang integrated telephony.
Ang isa pang tunay na pattern na naobserbahan ay ang "mail bombing": binabad nila ang email ng libu-libong newsletter at, kaagad pagkatapos, nakikipag-ugnayan sila sa pamamagitan ng Mga Koponan na nagpapanggap bilang suporta upang ang user magpatakbo ng "cleanup" na fileAng "solusyon" na iyon ay nag-i-install ng malware. Ang implicit na tiwala na inilalagay ng maraming user sa Teams ay gumaganap sa mga kamay ng umaatake.
Ang masama pa nito, kapag nakompromiso ang isang lehitimong account, maaaring tuklasin ng attacker ang mga recording, file, history, at makipag-ugnayan sa ibang mga empleyado mula sa isang mukhang pinagkakatiwalaang source. Ang mga koponan ay itinuturing na isang mapagkakatiwalaang kapaligiran at samakatuwid ang sensitibong data ay kadalasang naa-access.
I-configure ang Mga Koponan at Entra para mabawasan ang mga panganib
Ang unang bagay ay suriin ang pandaigdigang pagsasaayos at iwanan ang ilang mga default na halaga. Pinaghihigpitan ang pagbabahagi ng file Kung hindi ito mahalaga, o ayusin ito ayon sa mga patakaran; kapag kailangan mo lang magpakita ng content, mas secure ang pagbabahagi ng screen kaysa sa pagpapadala ng mga file.
Sa admin center ng Mga Koponan, tingnan ang Mga Setting at patakaran, lalo na ang pag-access ng panauhinMaaari mo itong ganap na i-disable upang harangan ang mga komunikasyon sa phishing mula sa labas, o panatilihin itong aktibo at granular (pagmemensahe, mga pulong, at mga tawag) kung kinakailangan para sa iyong negosyo. Suriin ang epekto sa pagpapatakbo bago tumigas.
Tingnan din ang pakikipagtulungan ng B2B (Business-to-Business) sa Microsoft Enter ID: External Identities → Access sa pagitan ng mga nangungupahan. Tukuyin ang mga panuntunan sa pagpasok at paglabas Para sa mga kilalang nangungupahan, hinaharangan nito ang mga hindi kilalang nangungupahan bilang default at inilalapat ang prinsipyo ng pinakamaliit na pribilehiyo sa mga partikular na grupo na kailangang mag-collaborate.
Ang direktang koneksyon ng B2B para sa mga nakabahaging channel sa Teams ay nangangailangan ng pag-set up ng two-way na ugnayan ng tiwala sa pagitan ng mga admin. Mas mababa ang panganib dahil nangangailangan ito ng paunang koordinasyon, ngunit mahalagang mapanatili ang mga kontrol at pag-audit. Tandaan na ang mga patakarang ito ay naglilimita sa mga hindi kilalang aktor; hindi sila nagpoprotekta sa kanilang sarili kung ang panlabas (o panloob) na account ay nakompromiso na.
Tandaan na, mula noong Hulyo 2024, hinigpitan ng Microsoft ang komunikasyon mula sa mga test tenant para mabawasan ang pang-aabuso, bagama't patuloy silang ginagamit ng ilang mga umaatake dahil sa kanilang reputasyon. Kontrolin ang pederasyon at pag-access sa pagitan ng mga nangungupahan binabawasan ang surface area para sa mga nakakahamak na link na sumusubok na pumasok sa pamamagitan ng tiwala sa pagitan ng mga organisasyon.
Para sa mga pagpupulong, magpasya kung aling mga uri ng mga external na kalahok ang maaaring sumali (anonymous, authenticated external, mga bisita), kung sino ang direktang tumalon sa pulong at kung sino ang naghihintay sa kuwarto, at kung aling mga tungkulin sa pulong ang itatalaga mo. Pamahalaan ang mga pribilehiyo sa lobby at moderation pinipigilan ang mga pang-aabuso gaya ng pagpapadala ng mga nakakahamak na link sa real time.
Sa perimeter, tinitiyak nito ang kinakailangang koneksyon para sa serbisyo (UDP 3478-3481 at TCP 443) at inilalapat ang mga kontrol sa pag-access sa network at kondisyon. Intune (MDM/MAM), mga sumusunod na device, at MFA tumulong na isara ang pinto sa mga mapanganib na sesyon.
Pinagsama at advanced na mga teknolohiya ng proteksyon
Ang mga koponan ay nagsasama ng kapasidad ng Proteksyon ng Link Sinusuri nito ang mga URL na nakabahagi sa mga chat, channel, at pagpupulong, na inihahambing ang mga ito sa threat intelligence. Kung may nakita itong mapanganib na link, magpapakita ito ng malinaw na mga babala sa nagpadala at mga tatanggap.
Kasama sa karanasan ng nagpadala ang isang alerto na nagsasaad na ang link ay na-flag bilang nakakahamak at, depende sa bersyon ng kliyente, ang mga detalye ng dahilan (mas nagbibigay-kaalaman sa R3, generic sa R4). Maaaring i-edit o tanggalin ng user ang mensahe para tanggalin ang link. Makakakita ng babala ang tatanggap bago makipag-ugnayan, na may antas ng detalye depende sa iyong kliyente.
Upang i-on ang proteksyong ito mula sa admin center ng Teams, pumunta sa https://admin.teams.microsoft.com → Mga setting ng mensahe → Mga setting ng seguridad ng mensahe at paganahin I-scan ang mga mensahe para sa mga hindi ligtas na URL. Pagkatapos, i-save ang mga pagbabago upang mailapat ang mga ito sa nangungupahan.
Kung gusto mo i-automate ito sa pamamagitan ng PowerShell, maaari mong gamitin ang module ng Teams gamit ang command na ito:
Set-CsTeamsMessagingConfiguration -UrlReputationCheck "Enabled" -Identity GlobalMahalaga: Ang tampok na ito ay bahagi ng pangunahing proteksyon ng Mga Koponan at hindi hinaharangan ang nilalaman; nagpapakita ng mga babala. Para sa click-through na proteksyon, ang Microsoft Defender para sa Office 365 ay nagbibigay ng Mga Ligtas na Link at Ligtas na Attachment, pati na rin ang ZAP (Zero-hour Auto Purge) para sa Mga Koponan sa Plano 2.
Mga pangunahing pagkakaiba? Ang Safe Links ay kumikilos sa pag-click at hinaharangan ang URL batay sa mga setting ng Defender portal. Ang ZAP ay higit pa: nag-aalis ng nilalaman at mga URL awtomatikong batay sa patakaran, isang bagay na hindi ginagawa ng batayang proteksyon. Ang pagsasama-sama ng preemptive warning (base) sa click-to-lock at purge ay mainam.
Paganahin din ang "Mga Ligtas na Attachment" sa SharePoint, OneDrive, at Mga Koponan. Kapag ang isang file ay naiuri bilang nakakahamak, ito ay na-block mula sa iyong library: Ito ay nananatiling nakikita ngunit hindi mabubuksan, makopya, o maibahagi. (tinanggal lang). Makikita mo ang mga kasong ito sa mga ulat ng Defender, Explorer, at Quarantine (para sa mga administrator).
Sa ilalim, ang Mga Koponan ay idinisenyo alinsunod sa Security Development Lifecycle ng Microsoft, na may pagmomodelo ng pagbabanta, pagsubok, at pagbuo ng mga tool na nagpapagaan ng mga karaniwang bahid. Ang mga komunikasyon ay naka-encrypt bilang default gamit ang TLS at SRTP, kasama ang MTLS at OAuth para sa inter-service na trapiko, at SRTP/DTLS para sa media at E2EE sa one-to-one na mga tawag.
Laban sa interception, spoofing o man-in-the-middle attacks, ang paggamit ng TLS, pagpapatunay ng certificate (na may naaangkop na CRL at EKU) at SRTP media encryption napakahirap basahin ang trapiko. Sa mga tawag sa E2EE, nakukuha ng DTLS ang isang susi batay sa mga sertipiko ng kliyente, na hindi malinaw kahit sa Microsoft.
Para sa multimedia, TURN at karaniwang mga protocol ang ginagamit; Ang mga susi ay pinag-uusapan sa mga secure na channel. Sa mga tuntunin ng kakayahang magamit, Proteksyon ng Azure DDoS at humiling ng throttling pagaanin ang denial-of-service attacks. Ginagamit din ang mga algorithm na sumusunod sa FIPS para sa palitan ng susi.
Ang access ng user ay napatotohanan gamit ang Entra ID at OAuth (“Modern Authentication”), na may suporta para sa MFA at Conditional Access. Maaaring gumana ang mga administrator sa pamamagitan ng portal o PowerShell at ilapat ang mga granular na patakaran ayon sa koponan, app at pagmemensahe.
Pagtuklas, pagtugon, at pagsasanay: kung ano ang gagawin tungkol sa phishing ng Mga Koponan
Hindi lang dumarating ang phishing sa pamamagitan ng email: nagpapakilala rin ito bilang notification ng Mga Koponan ("mayroon kang hindi pa nababasang mensahe") upang humantong sa mga pekeng pahina sa pag-log in. Kung maglalagay ka ng mga kredensyal, ibibigay mo ang iyong account; at kung descargas mga attachment, maaari kang mag-install ng mga Trojan o ransomware.
Mga klasikong palatandaan na dapat bantayan: mga agarang tawag (“i-click ngayon o makaligtaan mo…”) at mga panlabas o “unang beses” na mensahe na na-flag ng Teams/Outlook. Mga pagkakamali sa gramatika, pangkaraniwang pagbati at ang mga domain na hindi tumutugma (microsof-t.com, micros0ft.com) ay isa pang malinaw na tagapagpahiwatig.
Nagpapakita ang Outlook ng mga banner kapag hindi nito ma-verify ang mga nagpadala. Kung makakita ka ng kahina-hinalang link, huwag buksan ito; mag-hover sa ibabaw At tingnan ang aktwal na URL. Kung makakita ka ng kakaibang IP o domain, huwag i-click ito. Kung pinipilit ka nila sa pamamagitan ng telepono o chat, ibaba ang tawag, suriin sa isang opisyal na channel, at bumalik sa kanila.
Bilang karagdagan sa mga signal, palakasin ang ecosystem: i-activate ang MFA para sa lahat ng access sa Microsoft 365, na inuuna ang mga pamamaraan na lumalaban sa phishing gaya ng Windows Kamusta para sa mga Negosyo, FIDO2 keys (YubiKey) o Passkeys. Pana-panahong suriin ang mga pahintulot sa mga device ng Teams (internal at bisita) at ipatupad ang Zero Trust.
Ang pagsasanay ay gumagawa ng pagkakaiba. Magpatupad ng mga programa ng kamalayan na may mga simulation at maiikling session upang matukoy ng mga user ang mga scam hindi lamang sa email, kundi pati na rin sa Mga koponan, voice call, at propesyonal na networkAng paggawa ng empleyado sa isang "firewall ng tao" ay kapansin-pansing binabawasan ang mga mapanganib na pag-click.
Kung pinaghihinalaan mo ang isang impeksyon, magpatakbo ng isang pag-scan gamit ang isang pinagkakatiwalaang solusyon sa anti-malware at ipatupad ang iyong mga pamamaraan sa pagtugon. Ang ilang mga gabay ay nagrerekomenda ng mga partikular na komersyal na tool; tinatasa ang paggamit nito sa loob ng patakaran ng korporasyon at, kung naaangkop, magsagawa ng buong pag-scan. Sa mga advanced na kapaligiran, maaari mong tukuyin ang mga kakaibang proseso sa Autoruns, alisin ang mga pagtitiyaga, at gumana Ligtas na mode, palaging sinusunod ang iyong mga IR runbook.
Upang palakasin ang visibility at kontrol sa pag-access, ang mga solusyon tulad ng 365 Permission Manager ay tumutulong sa pag-audit ng mga panloob at panlabas na pahintulot sa Mga Koponan at SharePoint. Pinapalawak ang proteksyon ng email sa Mga Koponan na may mga partikular na kakayahan ng ATP: pagharang ng mga link at file sa platform, at pagsubaybay na may sentralisadong pag-uulat at kuwarentenas.
Sa mga organisasyong naghahanap ng komprehensibong diskarte, pinagsasama ng mga platform tulad ng 365 Total Protection ang seguridad ng email (IA laban sa pagnanakaw ng kredensyal at malware) na may Mga depensa para sa mga mensahe at attachment sa Mga Koponan, pati na rin ang pag-archive at pagsunod para sa mga pag-uusap at file. Ang mga layunin: upang bawasan ang surface area, ihinto ang phishing campaign, at mapadali ang pag-audit at mga regulasyon.
Ang mga feature ng pagsunod sa Microsoft Purview (preservation, eDiscovery, paghahanap ng content, legal hold, auditing) at mga kontrol tulad ng Conditional Access ay kumpletuhin ang layered na diskarte. Nakasentro sa mga talaan at patakaran upang makapag-imbestiga, tumugon at magpakita ng pagsunod kung kinakailangan.
Ang pagdidisenyo ng iyong diskarte laban sa mga nakakahamak na link sa Mga Koponan ay nagsasangkot ng kumbinasyon ng maingat na pagsasaayos, proteksyon sa baseline na may mga alerto, pag-block ng pag-click at paglilinis, pinataas na pagsasanay, at disiplina sa pagpapatakbo. Gamit ang maayos na mga patakaran, matatag na MFA, at patuloy na pangangasiwa, Ang mga koponan ay maaaring maging isang ligtas na kapaligiran para sa pakikipagtulungan kahit na sa mga ikatlong partido.
Masigasig na manunulat tungkol sa mundo ng mga byte at teknolohiya sa pangkalahatan. Gustung-gusto kong ibahagi ang aking kaalaman sa pamamagitan ng pagsusulat, at iyon ang gagawin ko sa blog na ito, ipakita sa iyo ang lahat ng mga pinaka-kagiliw-giliw na bagay tungkol sa mga gadget, software, hardware, teknolohikal na uso, at higit pa. Ang layunin ko ay tulungan kang mag-navigate sa digital na mundo sa simple at nakakaaliw na paraan.