Какие угрозы безопасности возникают у сотрудников, использующих Dropbox?

17

Существуют ли какие-либо особые проблемы безопасности, которые следует учитывать при совместном использовании / отправке файлов резервных копий / версионировании / резервном копировании файлов в Dropbox, и есть ли конкретные параметры или настройки, которые рекомендуются для ограничения риска?

davebug
источник
Вот подробное описание некоторых основных проблем с безопасностью и правами в Dropbox для корпоративного и частного использования: blog.5ttt.org/dropbox

Ответы:

7

Это зависит от вашего бизнеса и вашего уровня паранойи. Гораздо безопаснее, хотя и дороже, выпускать ноутбуки с подключением VPN.

Очень быстро...

Некоторые риски:

  • Бывшие сотрудники потенциально имеют доступ к бизнес-данным после увольнения. Вы, как бизнес, ДОЛЖНЫ контролировать счета, если не хотите, чтобы какой-то недовольный сотрудник имел доступ к вещам после увольнения ...
  • Эти сервисы обойдут любые механизмы автоматического хранения документов, которые у вас есть, что добавляет еще одну область, которую вы должны вручную покрыть для хранения документов

Рекомендации:

  • Убедитесь, что вы можете сгенерировать свой собственный ключ (ы) шифрования для хранения данных и чтобы ключ (ы) не передавался поставщику услуг
  • Убедитесь, что ваши данные зашифрованы ДО того, как они будут отправлены в хранилище сервиса
  • Если вы хотите, чтобы отдельные лица имели свою собственную учетную запись, обратитесь к единому контактному лицу для вашей компании. Координируйте все учетные записи через этого человека (или несколько человек в качестве доверенных лиц). Или убедитесь, что провайдер поддерживает бизнес-аккаунты, в которые можно каким-то образом группировать сотрудников.
squillman
источник
Пункт о неконтролирующих счетах бывших сотрудников был полезен. Мы добавим отмену общего доступа к папкам как часть любого плана прекращения.
davebug
Это также создает проблему для любого бизнеса в ЕС, поскольку существует очевидный риск того, что личные данные окажутся в неконтролируемой среде. То же самое касается любого американского бизнеса, который хочет получить сертификат Safe Harbor (чтобы он мог обрабатывать личные данные ЕС).
Ватин
5

Я бы очень осторожно наступил. Dropbox позволяет расширение на жесткий диск другого компьютера.

Это расширение хуже, чем USB-ключ, в том смысле, что инфекции на одном ПК могут распространяться на все другие ПК с помощью этого общего ресурса гораздо легче, чем с помощью USB-ключа. Авторы вирусов / троянов / ботов не нацелены на Dropbox (пока), но если они решат сделать это, то вы получите виртуальную незапертую дверь с ПК, контролируемого компанией в защищенной сети, на незащищенный компьютер в незащищенной сети. То есть, используя обычные операции, нельзя просто пройти через эту дверь и посмотреть на другие вещи на компьютере - можно видеть только элементы внутри выпадающего списка, и новые элементы можно создавать только в этой области, но это при условии, что Само приложение dropbox не может быть взломано.

Кроме того, Dropbox требует большой безопасности, но что на самом деле доказуемо для вас? Возможно, кто-то может проникнуть в это окно удаленно с совершенно другого ПК и попытаться поместить зараженные документы и программы на рабочий ПК.

Очевидно, что сам протокол Dropbox использует протокол для связи со своими клиентами. Зашифрован ли он? Является ли он невосприимчивым к переполнению буфера? Человек в середине атаки? Вдохнув? Переиграть атаки? Можно ли с помощью стандартного протокола размещать файлы внутри или даже вне стандартной области раскрывающегося списка? Если в протоколе есть переполнение буфера, можно ли скомпрометировать его таким образом, чтобы обеспечить полный доступ к машине? Сетевые ресурсы на машине?

Я не думаю, что риск очень высок, но нанесенный ущерб может быть значительным, поэтому его нужно тщательно продумать.

-Адам

Адам Дэвис
источник
3
Внутренне Dropbox использует rsync через исполняемый файл Python. Хотя я бы предположил, что используемый протокол не является стандартным.
Джоэл Люкси
5

Паранойя ????

Чувак .. Отойди от сети ... МЕДЛЕННО ... Убери руки от клавиатуры ... СДЕЛАЙ ЭТО СЕЙЧАС !!!

Облачные «потребительские» решения для обмена файлами, такие как Dropbox, не предназначены для бизнеса или корпораций. Microsoft сказала, что лучше всего с Skydrive, когда они вышли и сказали, что эти типы продуктов не являются, и не должны использоваться в коммерческих целях.

Есть тысячи причин, почему бы не перевесить причины, почему нужно.

Самая главная ЮРИДИЧЕСКАЯ причина вне рисков безопасности (и Условия использования, которые определяют, что третьи стороны могут иметь доступ к конфиденциальным файлам, следовательно, ничего такого конфиденциального никогда не должно храниться в таком сервисе, который основан на потребителе .. КОГДА-ЛИБО ..)факт с сервисом типа Dropbox, ну. Позвольте мне спросить это .. Где эти файлы хранятся? Где находятся эти серверы? Вы можете быть уверены, что, предлагая самую низкую цену, позвоните в нечто, называемое Правилами и законами экспорта данных ... Если у вас есть один крошечный файл, «правительство Соединенных Штатов может посчитать это риском или потенциальным риском для безопасности США» (это может быть что-то Вы можете нарушить этот закон, например, от электрической схемы до места общественного собрания, школы, спортивного зала, паролей или имени пользователя, например, учетной записи Cisco, где вы можете загружать ограниченное программное обеспечение для экспорта и т. д.) до секретных документов. Вы идете в тюрьму, вы не проходите, идите .. Теперь я верю, что этим занимаются FTC и Министерство национальной безопасности ..

Условия использования БД указывают (в основном), что, если он установлен на бизнес-ПК, (Dropbox предполагает, что этот человек, потому что тот, кто устанавливает на бизнес-ПК, гарантирует, что они щелкают через TOU), это делает «авторизованный» человек. ДЛЯ ВСЕЙ КОМПАНИИ .. Период ... (Первый раздел на сайте Dropbox.com/terms)

Что мешает мне использовать это за пределами моего сервера, а рабочая среда - это просто этика ... У вас есть потребительский продукт, такой как Skydrive, который крупными буквами говорит: «Нет бизнеса. Не делайте!», Потому что они не хотят рисковать данными клиента о бизнес-уровень, потому что они ЗНАЮТ, что это риск! А потом Flippin Dropbox, который использует в своих контрактах юридические слова, такие как слово «материал», который лепит пирожное «весь вопрос безопасности» и ведет себя так, как будто это ничего особенного (вы не захотите? потерять прибыль и акции, которые ценны? Наверное, нет ...) ....

Это большое дело ... Чем больше групп безопасности умоляют вас и меня следовать простым практикам, тем больше таких больших композиций, как dropbox, и за деньги ... для получения прибыли, действуйте так, как будто это ничего особенного ...

Что если ваша компания хранит крошечный кусочек одного номера кредитной карты, а также имя и срок действия? Теперь скажите, что ПК, на котором был установлен клиент Dropbox, был "взломан ..." через защитную оболочку Dropbox ... Следите за мной? Visa / Amex и т. Д. .. огромные банковские компании С государственной поддержкой (потому что Стандарты платежных карт (PCI) так говорят ... вот кто ...) БУДЕТ штрафовать вас ... получите это ... вы можете сесть .. Ошеломляющий $ 500 000,00 за инцидент ... Этого достаточно, чтобы вывести малый или средний бизнес из бизнеса, в котором они находятся ....

ЕДИНСТВЕННЫЙ способ обойти это, это локальное шифрование этих данных с использованием сертифицированного PCI-продукта шифрования, ДО того, как оно перейдет в Dropbox, приобретение лицензии для всех ваших удаленных устройств, загрузка нужного вам файла и дешифрование перед использованием. это .. (Нет, не похоже, что это совсем не весело ...) (Или шифрование данных в сети ваших серверов и клиентов на шлюзе ...)

При этом менее чем за 20 долларов на пользователя (около 11 долларов за базовый) вы можете получить план серии Office365 E, сертифицированный по HIPAA, SOX, ISO и PCI ... (Dropbox, скрытый на этих страницах, ясно говорит: " в это время "их нет ....)

Так что спросите себя, хотя в вашем уме мало ... Это на самом деле стоит риска? и хотите ли вы вести бизнес с компанией, которая, я думаю, шагает легко или осветляет риски, связанные с использованием их продукта ....

Стоит ли рисковать своей карьерой, если вы работаете в сфере технологий, и вас действительно раздражает, и вы ДЕЙСТВИТЕЛЬНО допускаете dropbox? Считаете ли вы, что вы работаете после того, как ваше имя рядом с казенной, и вы делаете новости? Как технический директор, я могу пообещать вам, что даже в моей жизни я бы не услышал оправдания за этим ... Я бы никогда не взял интервью у тех, кто занимается технологиями, которые своими действиями или решениями вызвали нарушение данных в сети любого размера ... Да, мы все совершаем ошибки, поэтому ваша работа в ИТ заключается в том, чтобы устранить любой риск, большой или маленький, насколько это возможно. Не открывайте червоточину и не кричите об Алисе ...) Это катастрофа для пиара .. для бизнеса (если конкурент узнал и сообщил, кто вы есть. , ISO,

Ну .. Это тебе решать ... Стоит ли делать карьеру? Стоит ли потерять данные вашей компании или клиента?

Для меня .. Это не ... Потребители используют потребительские товары, а не предприятия ... Период.

Агек Брай
источник
4

Обновление (1,5 года спустя). Теперь Dropbox заявляет, что они передают данные по протоколу SSL и хранят их в контейнерах AES-256, к которым они не могут получить доступ самостоятельно (без пароля).


источник
2
Это утверждение оказалось ложью. wired.com/threatlevel/2011/05/dropbox-ftc
Дэвид Сайкс
4

Недавно Dropbox признал, что они не используют SSL для передачи метаданных файлов между мобильными клиентами и их серверами. Они делают это нарочно, по соображениям производительности. Они нигде не заявляют на своем сайте, что они делают это. Вы можете прочитать об этом здесь:

https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop

Майк
источник
2

Я думаю, что они работают над версией для компаний для внутреннего использования, с большей безопасностью, но между тем файлы не зашифрованы на их серверах, поэтому вы должны доверять им.

Кроме этого, я не вижу других угроз безопасности, связанных с Dropbox (например, утечка информации).

Иван
источник
Неверно - Dropbox шифрует все блоки данных, хранящиеся на его серверах. Однако ключи полностью управляются Dropbox и используются несколькими учетными записями. Есть множество других проблем безопасности, Google для "Dropbox config.db" и другие (так как вы написали этот ответ).
RichVel
1

Многое будет зависеть от политики в вашей компании. Если это похоже на то, где я работаю - где все разработки, которые я делаю, принадлежат больнице, а не мне, - я бы беспокоился о том, что это будет легким средством для «интеллектуальных активов» компании «уйти».

Существует множество систем управления документооборотом, которые позволят вам настроить то, что доступно только для внутреннего использования или через контролируемое соединение.

AnonJr
источник