Có bất kỳ mối quan tâm bảo mật cụ thể nào cần lưu ý khi sử dụng chia sẻ / sao chép / sao lưu tệp Dropbox trên toàn công ty và có các tùy chọn hoặc cài đặt cụ thể nào được khuyến nghị để hạn chế rủi ro không?
Câu trả lời:
Nó phụ thuộc vào doanh nghiệp của bạn và mức độ hoang tưởng của bạn. An toàn hơn nhiều, mặc dù đắt hơn, khi phát hành máy tính xách tay có kết nối VPN.
Nhanh thật...
Một số rủi ro:
Khuyến nghị:
Tôi sẽ bước đi rất cẩn thận ở đây. Dropbox cho phép mở rộng ổ cứng của máy tính khác.
Phần mở rộng đó tệ hơn khóa USB theo nghĩa là việc lây nhiễm trên một PC có thể xâm nhập vào tất cả các PC khác sử dụng chia sẻ đó dễ dàng hơn nhiều so với khóa USB. Người viết virus / trojan / bot không nhắm mục tiêu dropbox (nhưng) nếu họ quyết định, thì bạn đã có một cửa mở khóa ảo từ một công ty kiểm soát PC trên mạng an toàn đến một máy tính không bảo mật trên mạng không an toàn. Như là, bằng cách sử dụng các hoạt động bình thường, người ta không thể đi qua cánh cửa đó và nhìn vào những thứ khác trên máy tính - chỉ có thể nhìn thấy các vật phẩm trong hộp thả xuống và các vật phẩm mới chỉ có thể được tạo ra trong khu vực đó, nhưng giả sử rằng ứng dụng dropbox tự nó không thể bị xâm phạm.
Hơn nữa, Dropbox yêu cầu rất nhiều bảo mật, nhưng điều gì thực sự có thể chứng minh được với bạn? Có thể ai đó có thể lẻn vào cửa sổ đó từ xa từ một PC hoàn toàn khác và cố gắng đưa các tài liệu và chương trình bị nhiễm vào PC làm việc.
Rõ ràng có một dropbox giao thức tự sử dụng để giao tiếp với khách hàng của mình - nó có được mã hóa không? Có miễn dịch với tràn bộ đệm? Người đàn ông trong các cuộc tấn công giữa? Đánh hơi? Phát lại các cuộc tấn công? Có thể, bằng cách sử dụng giao thức tiêu chuẩn, đặt các tệp bên trong hoặc thậm chí bên ngoài khu vực dropbox tiêu chuẩn? Nếu giao thức có lỗi tràn bộ đệm, có thể thỏa hiệp nó theo cách cho phép truy cập đầy đủ vào máy không? Chia sẻ mạng trên máy?
Tôi không nghĩ rằng rủi ro là rất cao, nhưng thiệt hại có thể lan rộng, vì vậy đó là điều cần phải suy nghĩ cẩn thận.
-Adam
Chứng hoang tưởng ????
Anh bạn .. Bước ra khỏi mạng .. TUYỆT VỜI .. Với tay ra khỏi Bàn phím .. HÃY NGAY BÂY GIỜ !!!
Các giải pháp "người tiêu dùng" dựa trên đám mây chia sẻ tệp như Dropbox, không dành cho Doanh nghiệp hoặc Tập đoàn. Microsoft đã nói điều đó tốt nhất với Skydrive khi họ ra mắt và nói rằng những loại sản phẩm này không phải và không nên được sử dụng cho mục đích kinh doanh.
Có hàng ngàn lý do tại sao không vượt trội hơn lý do tại sao một người nên.
Lý do HỢP PHÁP lớn nhất bên ngoài các rủi ro bảo mật (Và Điều khoản sử dụng quy định rằng các bên thứ 3 có thể có quyền truy cập vào các tệp bí mật do đó không nên lưu trữ bí mật trên một dịch vụ dựa trên người tiêu dùng như vậy .. EVER ..)là thực tế với một dịch vụ như Dropbox. Cho tôi hỏi cái này .. Những tập tin đó được lưu trữ ở đâu? Những máy chủ đó nằm ở đâu? Bạn có thể yên tâm, với người trả giá thấp nhất, hãy gọi một thứ gọi là Quy tắc và Luật xuất khẩu dữ liệu ... Nếu bạn có một tệp nhỏ, "Chính phủ Hoa Kỳ có thể coi là rủi ro hoặc rủi ro tiềm tàng đối với an ninh Hoa Kỳ" (Có thể là một điều gì đó nhỏ như bố trí điện đến nơi tập trung công cộng, trường học, phòng tập thể dục, mật khẩu hoặc tên người dùng cho một cái gì đó như tài khoản Cisco nơi bạn có thể tải xuống phần mềm hạn chế xuất khẩu, v.v.) cho đến các tài liệu được phân loại, bạn vi phạm luật đó. Bạn vào tù, bạn không vượt qua được .. Tôi tin bây giờ, điều đó được xử lý bởi FTC và An ninh Nội địa ..
Các điều khoản sử dụng DB xác định (về cơ bản) rằng nếu nó được cài đặt trên PC doanh nghiệp, (Dropbox giả sử người đó vì người cài đặt trên PC doanh nghiệp đảm bảo họ bằng cách nhấp qua TOU) rằng cá nhân "được ủy quyền" đang làm như vậy ĐỐI VỚI CÔNG TY ENTIRE .. Thời gian ... (Phần đầu tiên Dropbox.com/terms)
Điều ngăn tôi sử dụng điều này bên ngoài máy chủ và môi trường làm việc của tôi chỉ đơn giản là đạo đức ... Bạn có một sản phẩm tiêu dùng như Skydrive có chữ "Không kinh doanh .. Đừng vì họ không muốn mạo hiểm dữ liệu của khách hàng một cấp độ kinh doanh bởi vì họ BIẾT nó là một rủi ro! Và sau đó Flippin Dropbox, người sử dụng các từ hợp pháp trong các hợp đồng của họ, chẳng hạn như từ "công cụ", người đã vỗ về toàn bộ "điều bảo mật" và hành động như không có vấn đề gì lớn để mất lợi nhuận và cổ phiếu có giá trị? Có lẽ là không ...) ....
Đó là một vấn đề lớn .. Các nhóm bảo mật càng cầu xin bạn và tôi tuân theo các thực tiễn đơn giản, càng nhiều comps lớn như dropbox xuất hiện và kiếm tiền .. vì lợi nhuận, hãy hành động như không có vấn đề gì lớn ...
Điều gì sẽ xảy ra nếu doanh nghiệp của bạn lưu trữ một mẩu nhỏ của một số thẻ tín dụng và tên và ngày hết hạn? Bây giờ hãy nói PC mà máy khách dropbox được cài đặt là uhmm "đã vào được .." thông qua một lỗ hổng bảo mật Dropbox ... Theo tôi? Visa / Amex, v.v. một con số đáng kinh ngạc $ 500,000.00 M PERI SỰ CỐ ... Nó đủ để đưa một doanh nghiệp nhỏ hoặc vừa ra khỏi doanh nghiệp mà họ đang ở ....
Cách DUY NHẤT để giải quyết vấn đề đó là mã hóa cục bộ dữ liệu đó bằng sản phẩm mã hóa được chứng nhận PCI, TRƯỚC KHI đi đến dropbox, mua giấy phép cho tất cả các thiết bị từ xa của bạn, tải xuống tệp bạn cần và giải mã nó trước khi bạn có thể sử dụng nó .. (Không nghe có vẻ như không vui chút nào ...) (Hoặc mã hóa dữ liệu trên mạng máy chủ của bạn và máy khách tại cổng ...)
Với tất cả những điều đó, với ít hơn 20 đô la một người dùng (khoảng 11 đô la cho cơ bản), bạn có thể nhận được gói Office365 E, được chứng nhận HIPAA, SOX, ISO và PCI .. (Dropbox, ẩn trong đó có các trang rõ ràng " tại thời điểm này ", họ không ....)
Vì vậy, hãy tự hỏi, mặc dù trong tâm trí của bạn nhỏ ... Nó thực sự có giá trị rủi ro? và BẠN có muốn hợp tác với một công ty mà tôi nghĩ, bước nhẹ hoặc làm nhẹ đi, những rủi ro liên quan đến việc sử dụng sản phẩm của họ ....
Có đáng để mạo hiểm với sự nghiệp của bạn nếu bạn ở trong công nghệ và bạn bị làm phiền và bạn DID cho phép dropbox? Bạn có nghĩ rằng bạn có thể tuyển dụng được sau khi tên của bạn ở bên cạnh một breech và bạn làm cho tin tức? Là một CTO, tôi có thể hứa với bạn, không phải trong cuộc sống của tôi, tôi thậm chí sẽ không nghe thấy cái cớ đằng sau nó .. Tôi thậm chí sẽ không bao giờ phỏng vấn bất cứ ai trong công nghệ bằng hành động hoặc quyết định của chính họ, gây ra một lỗ hổng dữ liệu trên bất kỳ mạng có kích thước nào .. Vâng, tất cả chúng ta đều mắc sai lầm, đó là lý do tại sao công việc của bạn trong CNTT là loại bỏ mọi rủi ro, dù lớn hay nhỏ nhất có thể .. Không mở lỗ sâu và hét lên cho Alice ...) Đó là một thảm họa cho PR .. đối với một doanh nghiệp, (nếu một đối thủ cạnh tranh phát hiện ra và rò rỉ bạn là ai .. (thở hổn hển) những gì bạn đã làm .. và tăng trách nhiệm thuê ai đó vì họ cho phép một dịch vụ chia sẻ tệp công khai thừa nhận và tuyên bố họ không phải là PCI, SOX , ISO,
Chà .. Đó là để bạn quyết định ... Có đáng để làm nghề không? Có đáng để mất dữ liệu của công ty hoặc khách hàng của bạn?
Đối với tôi .. Không phải ... Người tiêu dùng sử dụng sản phẩm tiêu dùng, không phải doanh nghiệp ... Thời kỳ.
Một bản cập nhật (1,5 năm sau): Dropbox tuyên bố rằng họ truyền dữ liệu qua giao thức SSL và lưu trữ chúng trong AES-256-Container mà họ không thể tự truy cập (không có mật khẩu).
Dropbox gần đây đã thừa nhận rằng họ không sử dụng SSL để chuyển siêu dữ liệu tệp giữa các máy khách di động và máy chủ của họ. Họ làm điều này trên mục đích, vì lý do hiệu suất. Họ không nêu bất cứ nơi nào trên trang web của họ rằng họ làm điều này. Bạn có thể đọc nó ở đây:
https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop
Tôi nghĩ rằng họ đang làm việc trên một phiên bản để các công ty sử dụng nội bộ, bảo mật hơn, nhưng trong khi đó, các tệp không được mã hóa trên máy chủ của họ, vì vậy bạn phải tin tưởng họ.
Ngoài ra, tôi không thể thấy các rủi ro bảo mật khác cụ thể đối với Dropbox (như rò rỉ thông tin).
Rất nhiều thứ sẽ phụ thuộc vào các chính sách tại chỗ của công ty bạn. Nếu nó giống như nơi tôi làm việc - nơi tất cả sự phát triển tôi làm thuộc về bệnh viện chứ không phải tôi - thì tôi lo lắng về việc đó là một phương tiện dễ dàng để tài sản trí tuệ của công ty "đi lang thang".
Có rất nhiều hệ thống quản lý tài liệu cho phép bạn thiết lập một cái gì đó chỉ có thể truy cập được trong nội bộ hoặc thông qua một kết nối có thể theo dõi.