Những rủi ro bảo mật nào với nhân viên sử dụng Dropbox?


17

Có bất kỳ mối quan tâm bảo mật cụ thể nào cần lưu ý khi sử dụng chia sẻ / sao chép / sao lưu tệp Dropbox trên toàn công ty và có các tùy chọn hoặc cài đặt cụ thể nào được khuyến nghị để hạn chế rủi ro không?


Dưới đây là mô tả chi tiết về một số vấn đề pháp lý và bảo mật cốt lõi với Dropbox cho mục đích sử dụng cá nhân và doanh nghiệp: blog.5ttt.org/dropbox

Câu trả lời:


7

Nó phụ thuộc vào doanh nghiệp của bạn và mức độ hoang tưởng của bạn. An toàn hơn nhiều, mặc dù đắt hơn, khi phát hành máy tính xách tay có kết nối VPN.

Nhanh thật...

Một số rủi ro:

  • Cựu nhân viên có khả năng truy cập dữ liệu kinh doanh sau khi việc làm đã bị chấm dứt. Bạn là doanh nghiệp PHẢI kiểm soát tài khoản nếu bạn không muốn một số nhân viên bất mãn có quyền truy cập vào mọi thứ sau khi bị sa thải ...
  • Các dịch vụ này sẽ bỏ qua mọi cơ chế lưu giữ tài liệu tự động mà bạn có tại chỗ có thêm một khu vực khác để bạn tự bảo vệ tài liệu để lưu giữ tài liệu

Khuyến nghị:

  • Đảm bảo rằng bạn có thể tạo (các) khóa mã hóa của riêng mình để lưu trữ dữ liệu và (các) khóa đó không được chia sẻ với nhà cung cấp dịch vụ
  • Đảm bảo dữ liệu của bạn được mã hóa TRƯỚC KHI nó được gửi đến kho lưu trữ của dịch vụ
  • Nếu bạn sẽ để cho các cá nhân có tài khoản riêng của họ thì có một điểm liên lạc duy nhất cho công ty của bạn. Phối hợp tất cả các tài khoản thông qua người này (hoặc một vài người làm proxy). Hoặc đảm bảo rằng nhà cung cấp hỗ trợ các tài khoản doanh nghiệp mà bằng cách nào đó bạn có thể nhóm nhân viên theo.

Quan điểm về việc không kiểm soát tài khoản của nhân viên cũ là hữu ích. Chúng tôi sẽ thêm không chia sẻ các thư mục như là một phần của bất kỳ kế hoạch chấm dứt nào.
daveorms

Nó cũng đặt ra một vấn đề cho bất kỳ doanh nghiệp EU nào, vì có những rủi ro rõ ràng cho dữ liệu cá nhân kết thúc trong môi trường không được kiểm soát. Điều tương tự cũng xảy ra với bất kỳ doanh nghiệp Mỹ nào muốn giữ chứng nhận che giấu an toàn (để họ có thể xử lý dữ liệu cá nhân của EU).
Vatine

5

Tôi sẽ bước đi rất cẩn thận ở đây. Dropbox cho phép mở rộng ổ cứng của máy tính khác.

Phần mở rộng đó tệ hơn khóa USB theo nghĩa là việc lây nhiễm trên một PC có thể xâm nhập vào tất cả các PC khác sử dụng chia sẻ đó dễ dàng hơn nhiều so với khóa USB. Người viết virus / trojan / bot không nhắm mục tiêu dropbox (nhưng) nếu họ quyết định, thì bạn đã có một cửa mở khóa ảo từ một công ty kiểm soát PC trên mạng an toàn đến một máy tính không bảo mật trên mạng không an toàn. Như là, bằng cách sử dụng các hoạt động bình thường, người ta không thể đi qua cánh cửa đó và nhìn vào những thứ khác trên máy tính - chỉ có thể nhìn thấy các vật phẩm trong hộp thả xuống và các vật phẩm mới chỉ có thể được tạo ra trong khu vực đó, nhưng giả sử rằng ứng dụng dropbox tự nó không thể bị xâm phạm.

Hơn nữa, Dropbox yêu cầu rất nhiều bảo mật, nhưng điều gì thực sự có thể chứng minh được với bạn? Có thể ai đó có thể lẻn vào cửa sổ đó từ xa từ một PC hoàn toàn khác và cố gắng đưa các tài liệu và chương trình bị nhiễm vào PC làm việc.

Rõ ràng có một dropbox giao thức tự sử dụng để giao tiếp với khách hàng của mình - nó có được mã hóa không? Có miễn dịch với tràn bộ đệm? Người đàn ông trong các cuộc tấn công giữa? Đánh hơi? Phát lại các cuộc tấn công? Có thể, bằng cách sử dụng giao thức tiêu chuẩn, đặt các tệp bên trong hoặc thậm chí bên ngoài khu vực dropbox tiêu chuẩn? Nếu giao thức có lỗi tràn bộ đệm, có thể thỏa hiệp nó theo cách cho phép truy cập đầy đủ vào máy không? Chia sẻ mạng trên máy?

Tôi không nghĩ rằng rủi ro là rất cao, nhưng thiệt hại có thể lan rộng, vì vậy đó là điều cần phải suy nghĩ cẩn thận.

-Adam


3
Nội bộ Dropbox sử dụng rsync thông qua một tệp thực thi Python. Mặc dù tôi rất ngạc nhiên khi đoán rằng giao thức được sử dụng không phải là tiêu chuẩn.
Joel Lucsy

5

Chứng hoang tưởng ????

Anh bạn .. Bước ra khỏi mạng .. TUYỆT VỜI .. Với tay ra khỏi Bàn phím .. HÃY NGAY BÂY GIỜ !!!

Các giải pháp "người tiêu dùng" dựa trên đám mây chia sẻ tệp như Dropbox, không dành cho Doanh nghiệp hoặc Tập đoàn. Microsoft đã nói điều đó tốt nhất với Skydrive khi họ ra mắt và nói rằng những loại sản phẩm này không phải và không nên được sử dụng cho mục đích kinh doanh.

Có hàng ngàn lý do tại sao không vượt trội hơn lý do tại sao một người nên.

Lý do HỢP PHÁP lớn nhất bên ngoài các rủi ro bảo mật (Và Điều khoản sử dụng quy định rằng các bên thứ 3 có thể có quyền truy cập vào các tệp bí mật do đó không nên lưu trữ bí mật trên một dịch vụ dựa trên người tiêu dùng như vậy .. EVER ..)là thực tế với một dịch vụ như Dropbox. Cho tôi hỏi cái này .. Những tập tin đó được lưu trữ ở đâu? Những máy chủ đó nằm ở đâu? Bạn có thể yên tâm, với người trả giá thấp nhất, hãy gọi một thứ gọi là Quy tắc và Luật xuất khẩu dữ liệu ... Nếu bạn có một tệp nhỏ, "Chính phủ Hoa Kỳ có thể coi là rủi ro hoặc rủi ro tiềm tàng đối với an ninh Hoa Kỳ" (Có thể là một điều gì đó nhỏ như bố trí điện đến nơi tập trung công cộng, trường học, phòng tập thể dục, mật khẩu hoặc tên người dùng cho một cái gì đó như tài khoản Cisco nơi bạn có thể tải xuống phần mềm hạn chế xuất khẩu, v.v.) cho đến các tài liệu được phân loại, bạn vi phạm luật đó. Bạn vào tù, bạn không vượt qua được .. Tôi tin bây giờ, điều đó được xử lý bởi FTC và An ninh Nội địa ..

Các điều khoản sử dụng DB xác định (về cơ bản) rằng nếu nó được cài đặt trên PC doanh nghiệp, (Dropbox giả sử người đó vì người cài đặt trên PC doanh nghiệp đảm bảo họ bằng cách nhấp qua TOU) rằng cá nhân "được ủy quyền" đang làm như vậy ĐỐI VỚI CÔNG TY ENTIRE .. Thời gian ... (Phần đầu tiên Dropbox.com/terms)

Điều ngăn tôi sử dụng điều này bên ngoài máy chủ và môi trường làm việc của tôi chỉ đơn giản là đạo đức ... Bạn có một sản phẩm tiêu dùng như Skydrive có chữ "Không kinh doanh .. Đừng vì họ không muốn mạo hiểm dữ liệu của khách hàng một cấp độ kinh doanh bởi vì họ BIẾT nó là một rủi ro! Và sau đó Flippin Dropbox, người sử dụng các từ hợp pháp trong các hợp đồng của họ, chẳng hạn như từ "công cụ", người đã vỗ về toàn bộ "điều bảo mật" và hành động như không có vấn đề gì lớn để mất lợi nhuận và cổ phiếu có giá trị? Có lẽ là không ...) ....

Đó là một vấn đề lớn .. Các nhóm bảo mật càng cầu xin bạn và tôi tuân theo các thực tiễn đơn giản, càng nhiều comps lớn như dropbox xuất hiện và kiếm tiền .. vì lợi nhuận, hãy hành động như không có vấn đề gì lớn ...

Điều gì sẽ xảy ra nếu doanh nghiệp của bạn lưu trữ một mẩu nhỏ của một số thẻ tín dụng và tên và ngày hết hạn? Bây giờ hãy nói PC mà máy khách dropbox được cài đặt là uhmm "đã vào được .." thông qua một lỗ hổng bảo mật Dropbox ... Theo tôi? Visa / Amex, v.v. một con số đáng kinh ngạc $ 500,000.00 M PERI SỰ CỐ ... Nó đủ để đưa một doanh nghiệp nhỏ hoặc vừa ra khỏi doanh nghiệp mà họ đang ở ....

Cách DUY NHẤT để giải quyết vấn đề đó là mã hóa cục bộ dữ liệu đó bằng sản phẩm mã hóa được chứng nhận PCI, TRƯỚC KHI đi đến dropbox, mua giấy phép cho tất cả các thiết bị từ xa của bạn, tải xuống tệp bạn cần và giải mã nó trước khi bạn có thể sử dụng nó .. (Không nghe có vẻ như không vui chút nào ...) (Hoặc mã hóa dữ liệu trên mạng máy chủ của bạn và máy khách tại cổng ...)

Với tất cả những điều đó, với ít hơn 20 đô la một người dùng (khoảng 11 đô la cho cơ bản), bạn có thể nhận được gói Office365 E, được chứng nhận HIPAA, SOX, ISO và PCI .. (Dropbox, ẩn trong đó có các trang rõ ràng " tại thời điểm này ", họ không ....)

Vì vậy, hãy tự hỏi, mặc dù trong tâm trí của bạn nhỏ ... Nó thực sự có giá trị rủi ro? và BẠN có muốn hợp tác với một công ty mà tôi nghĩ, bước nhẹ hoặc làm nhẹ đi, những rủi ro liên quan đến việc sử dụng sản phẩm của họ ....

Có đáng để mạo hiểm với sự nghiệp của bạn nếu bạn ở trong công nghệ và bạn bị làm phiền và bạn DID cho phép dropbox? Bạn có nghĩ rằng bạn có thể tuyển dụng được sau khi tên của bạn ở bên cạnh một breech và bạn làm cho tin tức? Là một CTO, tôi có thể hứa với bạn, không phải trong cuộc sống của tôi, tôi thậm chí sẽ không nghe thấy cái cớ đằng sau nó .. Tôi thậm chí sẽ không bao giờ phỏng vấn bất cứ ai trong công nghệ bằng hành động hoặc quyết định của chính họ, gây ra một lỗ hổng dữ liệu trên bất kỳ mạng có kích thước nào .. Vâng, tất cả chúng ta đều mắc sai lầm, đó là lý do tại sao công việc của bạn trong CNTT là loại bỏ mọi rủi ro, dù lớn hay nhỏ nhất có thể .. Không mở lỗ sâu và hét lên cho Alice ...) Đó là một thảm họa cho PR .. đối với một doanh nghiệp, (nếu một đối thủ cạnh tranh phát hiện ra và rò rỉ bạn là ai .. (thở hổn hển) những gì bạn đã làm .. và tăng trách nhiệm thuê ai đó vì họ cho phép một dịch vụ chia sẻ tệp công khai thừa nhận và tuyên bố họ không phải là PCI, SOX , ISO,

Chà .. Đó là để bạn quyết định ... Có đáng để làm nghề không? Có đáng để mất dữ liệu của công ty hoặc khách hàng của bạn?

Đối với tôi .. Không phải ... Người tiêu dùng sử dụng sản phẩm tiêu dùng, không phải doanh nghiệp ... Thời kỳ.


4

Một bản cập nhật (1,5 năm sau): Dropbox tuyên bố rằng họ truyền dữ liệu qua giao thức SSL và lưu trữ chúng trong AES-256-Container mà họ không thể tự truy cập (không có mật khẩu).


2
Yêu sách đó hóa ra là một lời nói dối. Wired.com/threatlevel/2011/05/dropbox-ftc
David Sykes

4

Dropbox gần đây đã thừa nhận rằng họ không sử dụng SSL để chuyển siêu dữ liệu tệp giữa các máy khách di động và máy chủ của họ. Họ làm điều này trên mục đích, vì lý do hiệu suất. Họ không nêu bất cứ nơi nào trên trang web của họ rằng họ làm điều này. Bạn có thể đọc nó ở đây:

https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop


2

Tôi nghĩ rằng họ đang làm việc trên một phiên bản để các công ty sử dụng nội bộ, bảo mật hơn, nhưng trong khi đó, các tệp không được mã hóa trên máy chủ của họ, vì vậy bạn phải tin tưởng họ.

Ngoài ra, tôi không thể thấy các rủi ro bảo mật khác cụ thể đối với Dropbox (như rò rỉ thông tin).


Không đúng - Dropbox mã hóa tất cả các khối dữ liệu được giữ trên các máy chủ của nó. Tuy nhiên, các khóa được quản lý hoàn toàn bởi Dropbox và được chia sẻ trên các tài khoản khác nhau. Có nhiều vấn đề bảo mật khác, google cho "Dropbox config.db" và các vấn đề khác (kể từ khi bạn viết câu trả lời này).
RichVel

1

Rất nhiều thứ sẽ phụ thuộc vào các chính sách tại chỗ của công ty bạn. Nếu nó giống như nơi tôi làm việc - nơi tất cả sự phát triển tôi làm thuộc về bệnh viện chứ không phải tôi - thì tôi lo lắng về việc đó là một phương tiện dễ dàng để tài sản trí tuệ của công ty "đi lang thang".

Có rất nhiều hệ thống quản lý tài liệu cho phép bạn thiết lập một cái gì đó chỉ có thể truy cập được trong nội bộ hoặc thông qua một kết nối có thể theo dõi.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.