Một báo cáo mới từ Entro Labs đã chỉ ra rằng một trong năm trường hợp rò rỉ dữ liệu nhạy cảm trong các tổ chức lớn có nguồn gốc từ SharePoint. Vấn đề này không nằm ở lỗ hổng của SharePoint, mà xuất phát từ một tính năng tiện lợi mặc định: chế độ tự động đồng bộ của OneDrive. Khi OneDrive sao lưu các thư mục quan trọng như Desktop và Documents lên SharePoint Online một cách âm thầm, nó có thể biến các tệp cá nhân chứa bí mật thành kho tàng thông tin nhạy cảm của doanh nghiệp.

Nguyên nhân gốc rễ: Tính năng tự động đồng bộ của OneDrive

OneDrive for Business bao gồm tùy chọn Known Folder Move (KFM), một tính năng tự động chuyển hướng các thư mục quan trọng vào OneDrive và, qua đó, vào các thư viện tài liệu SharePoint. Tính năng này thường được bật mặc định trong nhiều thiết lập của doanh nghiệp.

Bất cứ thứ gì được lưu trữ trong các thư mục đó, kể cả các tệp tạm thời như JSON cấu hình, tệp .env, hoặc các bảng tính “nháp”, đều được sao chép lên đám mây mà người dùng không hề hay biết. Điều này tạo ra một nguy cơ tiềm ẩn về rủi ro bảo mật cho các thông tin nhạy cảm.

Cơ chế rò rỉ thông tin trong SharePoint

Khi các tệp đã nằm trong SharePoint, chúng tuân theo các quy tắc chia sẻ của nền tảng: chúng vẫn hiển thị với chủ sở hữu, có thể được chia sẻ với một nhóm, và luôn có thể truy cập bởi quản trị viên. Một tệp chứa mật khẩu hoặc khóa API bị đặt nhầm đột nhiên có thể truy cập được trên toàn bộ tenant. Điều này làm tăng khả năng rò rỉ dữ liệu nghiêm trọng.

Các tệp này, do người dùng tạo ra, di chuyển dễ dàng từ ổ đĩa cục bộ vào SharePoint. Tại đây, chỉ cần một quản trị viên hoặc một tài khoản dịch vụ bị xâm phạm có thể truy xuất chúng trong vài phút. Điều này mở rộng đáng kể “phạm vi ảnh hưởng” (blast radius) của bất kỳ tài khoản nào bị chiếm đoạt, gây ra những hậu quả khó lường về an toàn thông tin.

Các loại bí mật bị lộ

Entro Labs đã phân tích các bí mật bị lộ trên hàng chục môi trường doanh nghiệp và phát hiện ra rằng một số loại tệp nhất định chiếm ưu thế. Việc hiểu rõ các loại tệp này là cần thiết để phòng tránh rò rỉ dữ liệu.

• Bảng tính Excel: Hơn một nửa số bí mật bị lộ đến từ bảng tính Excel. Người dùng thường dán các token và mật khẩu bảo mật vào đây để tiện sử dụng.
• Tệp văn bản thuần túy: Các tệp như .txt, .json và .pem chiếm 18% các trường hợp bị lộ.
• Tệp khác: Ngay cả các script (.ps1), bản sao lưu SQL (.sql) và tài liệu Word (.docx) cũng được phát hiện chứa thông tin đăng nhập nhạy cảm.

Chiến lược giảm thiểu rủi ro bảo mật

Tính năng đồng bộ của OneDrive có thể cải thiện năng suất, nhưng nó cũng mở rộng đáng kể nguy cơ rò rỉ dữ liệu và phạm vi ảnh hưởng của bất kỳ tài khoản bị xâm nhập nào. Các đội ngũ bảo mật có thể thực hiện một số bước để giảm thiểu rủi ro bảo mật ngay lập tức:

1. Nâng cao nhận thức người dùng

Điều quan trọng là phải nâng cao nhận thức cho nhân viên, nhà thầu và các nhà phát triển bên thứ ba. Nhiều người lầm tưởng rằng các bí mật của họ được lưu trữ trên thư mục Desktop hoặc Documents không bao giờ rời khỏi máy tính của họ. Giáo dục về nguy cơ rò rỉ dữ liệu từ các vị trí này là thiết yếu.

2. Vô hiệu hóa Known Folder Move (KFM)

Vô hiệu hóa Known Folder Move ở những nơi không cần thiết. Quản trị viên có thể hạn chế hoặc tắt chế độ tự động đồng bộ cho Desktop và Documents thông qua Group Policy hoặc các cài đặt của Microsoft Intune. Các cài đặt cụ thể bao gồm DisableKnownFolderMove và DisablePersonalSync.

Ví dụ cấu hình Group Policy để vô hiệu hóa KFM có thể được tìm thấy trong:

User Configuration -> Policies -> Administrative Templates -> OneDrive -> Prevent users from moving their Windows known folders to OneDrive

Hoặc thông qua Microsoft Intune, cấu hình các chính sách thiết bị tương ứng để quản lý cài đặt đồng bộ OneDrive.

3. Triển khai công cụ quét bí mật

Triển khai các công cụ quét bí mật không chỉ giới hạn ở kho mã nguồn và các pipeline CI/CD mà còn mở rộng tìm kiếm trong các thư viện SharePoint để phát hiện thông tin đăng nhập bị lộ. Điều này giúp ngăn chặn các trường hợp rò rỉ dữ liệu trước khi chúng gây ra một vụ xâm nhập.

Nền tảng của Entro, ví dụ, có thể tích hợp trực tiếp với các môi trường SharePoint, cảnh báo cho các đội ngũ bảo mật về các bí mật bị lộ trước khi chúng có thể dẫn đến một cuộc tấn công. Thông tin chi tiết có thể tham khảo thêm tại blog của Entro Security.

Bằng cách hiểu rõ cách chế độ tự động đồng bộ mặc định của OneDrive có thể phản tác dụng, các tổ chức có thể ngăn chặn một bản sao lưu thông thường biến thành một vụ rò rỉ dữ liệu trên toàn tenant.