Які ризики безпеки існують у працівників, які використовують Dropbox?


17

Чи є якісь особливі проблеми щодо безпеки, які слід пам’ятати про загальне використання файлів Dropbox / версій / резервного копіювання, і чи існують конкретні параметри чи налаштування, які рекомендуються для обмеження ризику?


Ось детальний опис основних проблем безпеки та правових питань з Dropbox для корпоративного та приватного використання: blog.5ttt.org/dropbox

Відповіді:


7

Це залежить від вашого бізнесу та рівня вашої параної. Набагато безпечніше, хоча і дорожче, випускати ноутбуки з VPN-з'єднанням.

Справжній швидкий ...

Деякі ризики:

  • Колишні працівники потенційно мають доступ до бізнес-даних після припинення роботи. Ви як бізнес ОБОВ'ЯЗКОВО керуєте обліковими записами, якщо не хочете, щоб якийсь незадоволений працівник мав доступ до речей після звільнення ...
  • Ці сервіси обійдуть усі механізми автоматизованого зберігання документів, які у вас є, що додасть ще одну область для ручного покриття для зберігання документів.

Рекомендації:

  • Переконайтеся, що ви можете створити власні ключі шифрування для зберігання даних, а також, щоб ключ (и) не ділилися з постачальником послуг
  • Переконайтеся, що ваші дані зашифровані перед тим, як їх надсилати до сховища служби
  • Якщо ви збираєтесь дозволити приватним особам мати власний рахунок, то матимуть єдину контактну точку для вашої компанії. Координуйте всі акаунти через цю особу (або пару людей як проксі). Або переконайтеся, що постачальник підтримує бізнес-акаунти, під якими ви можете якось згрупувати працівників.

Справа про не контроль за рахунками колишніх працівників була корисною. Ми додамо видалення папок як частину будь-якого плану завершення.
davebug

Це також створює проблему для будь-якого бізнесу в ЄС, оскільки очевидні ризики потрапляння особистих даних у неконтрольоване середовище. Те саме стосується будь-якого американського бізнесу, який хоче зберегти сертифікацію Safe Harbor (щоб вони могли обробляти особисті дані ЄС).
Ватін

5

Я б тут дуже обережно ступав. Dropbox дозволяє розширити на жорсткому диску іншого комп'ютера.

Це розширення гірше, ніж ключ USB, тому що інфекції на одному ПК можуть потрапити на всі інші ПК, використовуючи цю спільну доступність набагато простіше, ніж за допомогою USB-ключа. Письменники вірусів / троянів / ботів не націлюються на Dropbox (поки що), але якщо вони вирішать, то ви отримаєте віртуальну розблоковану двері від комп'ютера, який контролюється компанією в захищеній мережі, до незахищеного комп'ютера в незахищеній мережі. Як звичайно, використовуючи звичайні операції, не можна просто пройти через ці двері та подивитися на інші речі на комп’ютері - видно лише предмети, що знаходяться в папці, і нові елементи можна створювати лише в цій області, але це припускаючи, що Сам додаток Dropbox не може бути порушено

Крім того, Dropbox вимагає великої безпеки, але що насправді можна довести? Можливо, хтось може підкрастися до цього вікна віддалено від зовсім іншого ПК та спробувати перенести заражені документи та програми на робочий ПК.

Очевидно, що сам протокол для протоколу використовує для спілкування зі своїми клієнтами - чи він зашифрований? Чи захищений він від переливів буфера? Людина в середині нападу? Нюхати? Повторити атаки? Чи можливо, використовуючи стандартний протокол, розміщувати файли всередині або навіть поза стандартною зоною випуску? Якщо протокол має переповнення буфера, чи можна компрометувати його таким чином, щоб забезпечити повний доступ до машини? Мережеві акції на машині?

Я не думаю, що ризик дуже високий, але завданий збиток може бути великим, тому це потрібно ретельно продумати.

-Адам


3
Внутрішньо Dropbox використовує rsync через виконуваний файл Python. Хоча я б загрожував здогадом, що використаний протокол не є стандартним.
Joel Lucsy

5

Параноїя ????

Чувак .. Відійди від мережі .. РОЗУМНО .. Руками подалі від клавіатури .. РОБІЙ ЗАРАЗ !!!

"Споживчі" рішення на основі хмарних файлів, наприклад Dropbox, не призначені для бізнесу та корпорацій. Microsoft сказала, що найкраще це з Skydrive, коли вони вийшли і сказали, що такі види продуктів не є і не повинні використовуватися для цілей бізнесу.

Є тисячі причин, чому це не переважає причин, чому слід.

Найбільша ПРАВОВА причина поза ризиками для безпеки (І Умови використання, які вказують, що треті сторони можуть мати доступ до конфіденційних файлів, отже, ніщо конфіденційне ніколи не повинно зберігатися на такій службі, що базується на споживачах .. ВСІМО.)це факт з такою послугою, як Dropbox. Дозвольте запитати це. Де зберігаються ці файли? Де розташовані ці сервери? Ви можете бути впевнені, що з найнижчим учасником конкурсу можна зателефонувати в щось, що називається Правилами та законами про експорт даних ... Якщо у вас є один крихітний файл, "Уряд Сполучених Штатів може вважати це ризиком або потенційним ризиком для безпеки США" (Може бути щось настільки маленькі, як електрична компонування до місця громадського збору, школи, тренажерного залу, паролів або імені користувача на зразок облікового запису Cisco, куди ви можете завантажувати програмне забезпечення з обмеженим експортом тощо) аж до секретних документів, ви порушуєте цей закон. Ви йдете до в'язниці, ви не проходите .. Я вважаю, що це стосується FTC та внутрішньої безпеки ..

Умови використання БД вказують (в основному), що якщо його встановлено на бізнес-ПК, (Dropbox припускає цю особу, оскільки особа, яка встановлює на бізнес-ПК, гарантує, що вона натискає TOU), що "уповноважена" особа робить це ДЛЯ ЦІЛЬКОЇ КОМПАНІЇ .. Період ... (Перший розділ іона Dropbox.com/terms)

Те, що не дозволяє мені використовувати це поза моїм серверним та робочим середовищем, - це просто етика ... У вас є такий споживчий продукт, як Skydrive, який великими літерами зазначає "Не діло! Не варто! Тому що вони не хочуть ризикувати даними клієнтів щодо бізнес-рівень, тому що вони знають, що це ризик! І тоді Flippin Dropbox, який використовує юридичні слова у своїх контрактах, такі як слово "речі", який патьоки випекає всю "річ безпеки" і діє так, як це не велика справа (хочете, ви хочете втратити прибуток і частки, що цінні? Напевно, ні ...) ....

Це велика справа .. Чим більше груп безпеки благає вас і я дотримуватися простих практик, тим більше великі команди, такі як випускні скриньки, і гроші .. для отримання прибутку, дійте так, як це не велика справа ...

Що робити, якщо ваш бізнес зберігає крихітний фрагмент одного номера кредитної картки, а також ім'я та термін придатності? Тепер скажіть, що на ПК, на якому встановлено клієнт, що впадає, було uhmm "потрапило в .." через патрон безпеки Dropbox ... За мною? Visa / Amex і т. Д. Великі банківські компанії, які мають державну підтримку (адже стандарти індустрії платіжних карток (PCI) говорять так. Ось хто ...) БУДЕ штрафувати вас ... отримайте це ... ви можете сісти. приголомшливих 500 000,00 доларів на нещасний випадок ... Достатньо викласти малий або середній бізнес із бізнесу, в якому вони перебувають ....

ТІЛЬКИ спосіб її обійти - локально зашифрувати ці дані за допомогою шифрованого сертифікованого PCI продукту. ПЕРЕД, ніж вони переходять у папку "спад", придбання ліцензії для всіх віддалених пристроїв, завантаження потрібного файлу та дешифрування його перед тим, як ви зможете використовувати це .. (Ні, це не здається, що це зовсім не забажає ...) (Або шифрує дані в мережі ваших серверів та клієнтів на шлюзі ...)

При цьому для менш ніж 20 доларів за користувача (приблизно 11 доларів за основний) ви можете отримати план серії Office365 E, сертифікований HIPAA, SOX, ISO та PCI .. (Dropbox, приховані на там сторінках чітко зазначено " в цей час ", їх немає ....)

Тож запитайте себе, хоч на думці малого ... Чи варто насправді ризикувати? і чи хочете ви вести бізнес з компанією, яка, на мою думку, крокує чи робить легку, ризики, пов’язані з використанням їх продукту….

Чи варто ризикувати вашою кар’єрою, якщо ви займаєтеся технологіями, і вам все-таки завгодно, і ви дозволяєте дозволити випадок? Чи вважаєте ви, що ви працевлаштовані після того, як ваше ім’я поруч з бричкою, і ви робите новини? Як CTO, я можу вам пообіцяти, що я не почув би свого виправдання за своє життя. Я б ніколи навіть не взяв інтерв'ю у когось із технологій, хто своїми діями чи рішеннями спричинив безладні дані в будь-якій мережі. Так, ми всі робимо помилки, тому ваша робота в галузі ІТ - це усунути будь-який ризик, великий чи малий, як можна краще. Не відкривати глибоку діру і кричати на Алісу ...) Це катастрофа для PR. для бізнесу, (якщо конкурент дізнався і витік, хто ти .. (ахне), що ти робив .. і збільшився відповідальність найняти когось, бо вони дозволили службі обміну файлами, яка публічно визнала і заявила, що вони не PCI, SOX , ISO,

Ну .. Це вам вирішити ... Чи варто кар’єри? Чи варто втратити дані вашої компанії чи клієнтів?

Для мене .. Це не ... Споживачі використовують споживчі товари, а не бізнес ... Період.


4

Оновлення (1,5 року пізніше): Dropbox стверджує, що тепер вони передають дані через протокол SSL і зберігають їх у контейнерах AES-256, до яких вони не можуть отримати доступ (без пароля).


2
Ця претензія виявилася брехнею. wired.com/threatlevel/2011/05/dropbox-ftc
Девід Сайкс

4

Dropbox нещодавно визнав, що вони не використовують SSL для передачі метаданих файлів між мобільними клієнтами та їх серверами. Вони роблять це спеціально, з міркувань продуктивності. Вони ніде не заявляють на своєму веб-сайті, що роблять це. Про це ви можете прочитати тут:

https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop


2

Я думаю, що вони працюють над версією, яку компанії можуть використовувати внутрішньо, з більшою безпекою, але тим часом файли не шифруються на їх серверах, тому вам доведеться їм довіряти.

Крім цього, я не бачу інших ризиків для безпеки, характерних для Dropbox (наприклад, витоку інформації).


Неправда - Dropbox шифрує всі блоки даних, що зберігаються на його серверах. Однак ключами повністю керує Dropbox і ділиться на різні облікові записи. Існує чимало інших проблем із безпекою, google для "Dropbox config.db" та інші (оскільки ви написали цю відповідь).
RichVel

1

Багато що буде залежати від політики у вашій компанії. Якщо це подобається тому, де я працюю - де весь розвиток, який я роблю, належить лікарні, а не мені - тоді я б переживав, що це простий засіб для того, щоб інтелектуальні активи компанії "скидалися".

Існує безліч систем управління документами, які дозволять вам налаштувати щось доступне лише внутрішньо або через контрольоване з'єднання.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.