10 erros de segurança do SharePoint que você provavelmente comete

Considere o caso de Bradley Manning, o analista de inteligência das Forças Armadas americanas que foi acusado de vazar 250 mil documentos governamentais ao WikiLeaks. De acordo com um investigador das Forças Armadas, que testemunhou em uma audiência para determinar se Manning deveria ir a julgamento, um dos laptops do executivo continha uma planilha Excel com uma aba contendo múltiplos scripts Wget – criados para baixar grandes quantidades de arquivos – “direcionados a um servidor SharePoint” que armazenava documentos da prisão da Base Naval da Baía de Guantánamo, com relatou o site Wired.com. O investigador declarou também que “ele rodou os scripts para baixar os documentos, baixou os documentos publicados pelo WikiLeaks e descobriu que eram os mesmos”.

De forma parecida, muitos negócios que confiam no SharePoint para armazenar informações confidenciais – e até mesmo sigilosas – devem saber quem tem acesso a tais dados e por que. Qual a melhor forma de fazer isso? Comece evitando esses 10 erros muito comuns na segurança de SharePoint.

  1. Fraco treinamento de segurança. Segundo uma pesquisa com 100 usuários SharePoint, conduzida pela fornecedora de segurança Cryptzone, em novembro de 2011 durante o evento SharePoint Saturday, 92% concordaram que retirar informações do SharePoint tornavam-no menos seguro, mas 30% estão dispostos a fazê-lo se isso “ajudar no trabalho”. Obviamente, existe desconexão em muitos negócios entre segurança e produtividade. Preocupantes 34% dos entrevistados disseram, também, que nunca sequer consideraram as implicações de segurança relacionadas ao SharePoint.
  2. Barreiras de colaboração. Da mesma forma, a pesquisa descobriu que 45% dos usuários copiam, regularmente, dados confidenciais ou sigilosos do SharePoint para seus computadores e daí para pendrives ou emails para outras pessoas. Na maioria dos casos (55%), essas cópias facilitam o compartilhamento de informações com outros sem acesso aos documentos no SharePoint. Isso destaca a necessidade dos negócios de estabelecer políticas claras em relação a como informações são compartilhadas e então, monitorar o acesso e reforçar políticas de compliance.
  3. Supervisão incerta de segurança. Quem é responsável pela segurança do SharePoint? Em 69% dos negócios, a pesquisa da Cryptzone descobriu que a responsabilidade de gerenciamento de acesso caia sobre administradores internos de TI. Mas 22% dos entrevistados – o que incluiu usuários de SharePoint, administradores, desenvolvedores e arquitetos – não sabiam quem era responsável, o que sugere que existe uma falha na supervisão e, portanto, na responsabilidade de acesso nos negócios.
  4. Direito de acesso amplo demais. Quando se trata de acesso, geralmente, menos é mais. “Um dos problemas mais comuns que vemos com o SharePoint é que o usuário final tem privilegio de acesso amplo demais”, disse o analista-sênior do Enterprise Management Associates (EMA), Torsten Volk, por e-mail. “É muito trabalhoso criar papéis de usuário e mapeá-los no Active Directory”, e ainda mais trabalhoso mantê-los atualizados, revisados e removê-los após a saída dos funcionários. De acordo com Scott Crawford, diretor de pesquisas do EMA, esse desafio “fez surgir empresas como Aveksa, Varonis e outras” para analisar padrões de uso e determinar prováveis guardiões de dados.
  5. Sem observar observadores. Segundo a Cryptzone, 34% dos administradores de TI contaram que visualizam documentos sem autorização, incluindo detalhes de funcionários (34% dos entrevistados) e informações de salário (23%). Em outras palavras, é muito frequente que não se separe, de forma eficiente, os deveres dos vigias de segurança e os administradores de SharePoint.

  6. Falha de criptografia. Saído da caixa, o banco de dados SQL do SharePoint não é criptografado, mas adicionar criptografia pode ser difícil e causar problemas de desempenho. De acordo com Volk, do EMA, no entanto, “manter o conteúdo em plaintext deixa-o vulnerável a descoberta e exploração – e pode levantar questões de regulamentação em ambientes sujeitos a regulamentação de proteção de dados sigilosos”. Para ajudar, Volk disse que fornecedores de segurança como a CipherPoint podem garantir sigilo, o que também ajuda a manter a separação de deveres entre equipes de segurança e administradores de SharePoint.

  7. Indexação descuidada de pesquisa. Frequentemente, disse Volk, administradores de SharePoint usam uma conta de administração para a indexação de pesquisa, “o que faz com que resultados de buscas apareçam quando não são para todos”. Por mais que esses documentos não possam ser abertos, os resultados de pesquisas exibem duas linhas em prévia. De acordo com Crawford, “esse é um exemplo de algo muito comum em muitos outros aspectos de TI, quando contas administrativas são usadas sem necessidade em operações, resultando em maior exposição a riscos”.

  8. Fraca manutenção de Internet Information Services. “Microsoft IIS devem ser corrigidos com freqüência para serem seguros”, disse Volk, ainda assim, muitos negócios falham ao manter seu software de servidor SharePoint atualizado. “Manutenção de sistemas para segurança pode ser um desafio para muitas empresas, mas é um problema em especial para pequenas e médias empresas, que geralmente, simplesmente não têm pessoal, tempo ou experiência suficiente para administrar apropriadamente”, disse Crawford via email.

  9. Fraca segurança de endpoint. “O SharePoint Workspace agora permite que usuários sincronizem com bibliotecas SharePoint para que tenham acesso ao conteúdo SharePoint offline”, disse Volk. Mas o que acontece se esse endpoint for comprometido? Crawford recomenda ferramentas de segurança de endpoint mais fortes, incluindo criptografia de disco para prevenir que brechas em PC vazem segredos do SharePoint.

  10. Falha na detecção de vírus. Muitas empresas falham “na detecção de arquivos que são enviados às bibliotecas de conteúdo”, disse Volk. “Isso pode levar a disseminação de malware via SharePoint”. Da mesma forma, ele disse, muitas empresas também falham ao não considerarem os bancos de dados SharePoint em seus planos de recuperação de desastre.

Quando se trata de administrar SharePoint, Crawford disse que nem todos os tópicos acima “são, necessariamente, considerados erros”. Enquanto alguns são, “outros refletem os desafios da administração de um ambiente em que conteúdo – geralmente sigiloso – é compartilhado”, especialmente quando as ferramentas evolvidas não foram criadas exclusivamente pra isso. Em outras palavras, se seu negócio usa o SharePoint para armazenar informações sigilosas, ignorar fatores de segurança e monitoramento de acesso aos dados é arriscar alto demais.

Fonte: IT Web

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *