Jakie zagrożenia bezpieczeństwa wiążą się z pracownikami korzystającymi z Dropbox?

17

Czy są jakieś szczególne obawy dotyczące bezpieczeństwa, o których należy pamiętać w przypadku korzystania z udostępniania / wersjonowania / tworzenia kopii zapasowych plików w Dropbox oraz czy istnieją konkretne opcje lub ustawienia, które byłyby zalecane w celu ograniczenia ryzyka?

davebug
źródło
Oto szczegółowy opis niektórych podstawowych problemów związanych z bezpieczeństwem i kwestiami prawnymi związanymi z Dropbox do użytku korporacyjnego i prywatnego: blog.5ttt.org/dropbox

Odpowiedzi:

7

To zależy od twojego biznesu i twojego poziomu paranoi. Wydawanie laptopów z połączeniem VPN jest znacznie bezpieczniejsze, choć droższe.

Naprawdę szybko...

Niektóre ryzyka:

  • Byli pracownicy potencjalnie mają dostęp do danych biznesowych po rozwiązaniu stosunku pracy. Ty jako firma MUSISZ kontrolować konta, jeśli nie chcesz, aby jakiś niezadowolony pracownik miał dostęp do rzeczy po zwolnieniu z pracy ...
  • Usługi te pominą wszelkie istniejące zautomatyzowane mechanizmy przechowywania dokumentów, co doda kolejny obszar do ręcznego pokrycia w celu przechowywania dokumentów

Rekomendacje:

  • Upewnij się, że możesz wygenerować własny klucz (klucze) szyfrowania do przechowywania danych i że klucze nie są udostępniane usługodawcy
  • Upewnij się, że Twoje dane są zaszyfrowane PRZED wysłaniem ich do repozytorium usługi
  • Jeśli zamierzasz pozwolić osobom prywatnym na posiadanie własnego konta, skontaktuj się z firmą. Koordynuj wszystkie konta za pośrednictwem tej osoby (lub kilku osób jako pełnomocników). Lub upewnij się, że dostawca obsługuje konta biznesowe, pod którymi możesz w jakiś sposób pogrupować pracowników.
squillman
źródło
Pomocna była kwestia kontroli kont byłych pracowników. Dodamy udostępnianie folderów w ramach dowolnego planu zakończenia.
davebug
Stanowi również problem dla każdej firmy w UE, ponieważ istnieje oczywiste ryzyko, że dane osobowe trafią do niekontrolowanego środowiska. To samo dotyczy każdej amerykańskiej firmy, która chce zachować certyfikat Safe Harbor (aby móc przetwarzać dane osobowe w UE).
Vatine
5

Stąpałbym tu bardzo ostrożnie. Dropbox umożliwia rozszerzenie dysku twardego innego komputera.

To rozszerzenie jest gorsze niż klucz USB w tym sensie, że infekcje na jednym komputerze mogą przenosić się na wszystkie inne komputery, które korzystają z tego udostępniania znacznie łatwiej niż za pomocą klucza USB. Autorzy wirusów / trojanów / botów nie atakują Dropbox (jeszcze), ale jeśli zdecydują się na to, masz wirtualne odblokowane drzwi od kontrolowanego przez firmę komputera w bezpiecznej sieci do niezabezpieczonego komputera w niezabezpieczonej sieci. Tak jak w zwykłych operacjach, nie można po prostu przejść przez te drzwi i spojrzeć na inne rzeczy na komputerze - widoczne są tylko elementy w skrzynce odbiorczej, a nowe elementy można tworzyć tylko w tym obszarze, ale przy założeniu, że sama aplikacja Dropbox nie może być zagrożona.

Co więcej, Dropbox twierdzi, że ma wiele zabezpieczeń, ale co właściwie jest dla ciebie możliwe? Możliwe, że ktoś zdalnie przekradnie się do tego okna z innego komputera i spróbuje umieścić zainfekowane dokumenty i programy na komputerze roboczym.

Oczywiste jest, że sam protokół dropbox używa do komunikacji z klientami - czy jest szyfrowany? Czy jest odporny na przepełnienia bufora? Mężczyzna w środku ataków? Wąchasz? Powtórzyć ataki? Czy jest możliwe, przy użyciu standardowego protokołu, umieszczać pliki wewnątrz, a nawet poza standardowym obszarem skrzynki odbiorczej? Jeśli w protokole występuje przepełnienie bufora, czy można go skompromitować w sposób umożliwiający pełny dostęp do komputera? Udziały sieciowe w maszynie?

Nie sądzę, aby ryzyko było bardzo wysokie, ale wyrządzone szkody mogą być znaczne, więc należy to dokładnie przemyśleć.

-Adam

Adam Davis
źródło
3
Wewnętrznie Dropbox używa rsync przez plik wykonywalny Python. Chociaż zgaduję, że użyty protokół nie jest standardem.
Joel Lucsy,
5

Paranoja????

Koleś ... Odsuń się od sieci ... POWOLNIE .. Odsuń ręce od klawiatury .. ZRÓB TO TERAZ !!!

Rozwiązania „konsumenckie” oparte na chmurze plików, takie jak Dropbox, nie są przeznaczone dla firm ani korporacji. Microsoft powiedział, że najlepiej ze Skydrive, kiedy się pojawili, i powiedział, że tego rodzaju produkty nie są i nie powinny być używane do celów biznesowych.

Istnieją tysiące powodów, dla których nie przeważają powody, dla których należy.

Największy PRAWNY powód poza zagrożeniami bezpieczeństwa (i Warunki użytkowania, które określają, że strony trzecie mogą mieć dostęp do poufnych plików, dlatego żadne poufne informacje nie powinny być nigdy przechowywane w takiej usłudze opartej na kliencie ... KIEDYKOLWIEK ...)jest faktem z usługą taką jak Dropbox, no cóż. Pozwól, że zapytam o to ... Gdzie są przechowywane te pliki? Gdzie znajdują się te serwery? Możesz mieć pewność, że z najtańszym oferentem zadzwonisz pod coś, co nazywa się Regułami i przepisami dotyczącymi eksportu danych ... Jeśli masz jeden mały plik, „Rząd Stanów Zjednoczonych może uznać za ryzyko lub potencjalne ryzyko dla bezpieczeństwa USA” (może to być coś tak mały jak układ elektryczny do publicznego miejsca zbiórki, szkoły, siłowni, haseł lub nazwy użytkownika do czegoś takiego jak konto Cisco, z którego można pobierać oprogramowanie podlegające ograniczeniom eksportu itp.) aż do dokumentów niejawnych, naruszasz to prawo. Idziesz do więzienia, nie przechodzisz go ... Wierzę teraz, że jest to obsługiwane przez FTC i Departament Bezpieczeństwa Krajowego ..

Warunki korzystania z DB określają (w zasadzie), że jeśli jest on zainstalowany na komputerze biznesowym (Dropbox zakłada tę osobę, ponieważ osoba instalująca się na komputerze biznesowym gwarantuje, że kliknie TOU), że „autoryzowana” osoba to robi DLA CAŁEJ FIRMY. Okres ... (Pierwsza sekcja ion Dropbox.com/terms)

To, co powstrzymuje mnie od korzystania z tego poza moim serwerem i środowiskiem pracy, to po prostu etyka ... Masz produkt konsumencki taki jak Skydrive, który wielkimi literami mówi: „Nie biznes. Nie rób tego, ponieważ nie chcą ryzykować danych klientów poziom biznesowy, ponieważ WIEDZĄ, że to ryzyko! A potem Flippin Dropbox, który używa legalnych słów w swoich umowach, takich jak słowo „rzeczy”, który patty wypieka całą „kwestię bezpieczeństwa” i zachowuje się, jakby to nie była wielka sprawa (chciałbyś stracić zysk i akcje, które są cenne? Prawdopodobnie nie ...) ....

To wielka sprawa. Im więcej grup bezpieczeństwa błaga ciebie i mnie, byś postępował zgodnie z prostymi praktykami, tym więcej dużych kompanów, takich jak dropbox, wychodzi i dla pieniędzy .. dla zysku, zachowuj się, jakby to nie była wielka sprawa ...

Co jeśli Twoja firma przechowywała niewielki fragment jednego numeru karty kredytowej oraz nazwę i datę ważności? Powiedzmy teraz, że komputer, na którym został zainstalowany klient Dropbox, „dostał się ..” przez lukę bezpieczeństwa Dropbox… Za mną? Visa / Amex itp. Gigantyczne firmy bankowe Z poparciem rządu (ponieważ standardy w branży kart płatniczych (PCI) mówią, że tak ... to kto ...) W porządku ... dostaniesz to ... możesz usiąść ... oszałamiające 500 000,00 $ NA INCYDENTA ... Wystarczy, aby wykluczyć małą lub średnią firmę z firmy, w której się znajdują ....

JEDYNYM sposobem na obejście tego jest lokalne szyfrowanie danych przy użyciu certyfikowanego przez PCI produktu szyfrującego, ZANIM przejdzie ono do dropboxa, zakup licencji na wszystkie urządzenia zdalne, pobranie potrzebnego pliku i odszyfrowanie go przed użyciem to .. (Nie brzmi, jakby to wcale nie było fajne ...) (Lub szyfrowanie danych w sieci serwerów i klientów w bramie ...)

Dzięki temu za mniej niż 20 USD za użytkownika (około 11 USD za podstawowy) możesz uzyskać plan Office 365 serii E, który ma certyfikat HIPAA, SOX, ISO i PCI. (Dropbox, ukryte tam strony wyraźnie mówi „ w tej chwili ”, nie są ....)

Więc zadaj sobie pytanie, choć w twoim umyśle jest małe ... Czy to naprawdę jest warte ryzyka? i czy chcesz robić interesy z firmą, która, jak myślę, kroczy lekko lub robi światło, ryzyko związane z używaniem ich produktu ...

Czy warto ryzykować swoją karierę, jeśli pracujesz w branży technologicznej, dostaniesz przerwę i NIE pozwolisz na dropbox? Czy myślisz, że możesz pracować po tym, jak twoje nazwisko znajduje się obok zamka i czy robisz wiadomości? Jako CTO mogę obiecać, że nawet w życiu nie usłyszę wymówki… Nigdy nawet nie przeprowadziłbym wywiadu z technologią, która własnymi działaniami lub decyzjami spowodowała naruszenie danych w dowolnej sieci. Tak, wszyscy popełniamy błędy, dlatego Twoim zadaniem w IT jest wyeliminowanie wszelkiego ryzyka, dużego lub małego, najlepiej jak potrafisz .. Nie otwieraj dziury robaka i krzycz dla Alice ...) To jest katastrofa dla PR .. dla firmy (jeśli konkurent dowiedział się i ujawnił, kim jesteś .. (wstrzymując oddech), co zrobiłeś .. oraz zwiększona odpowiedzialność za zatrudnienie kogoś, ponieważ zezwolili na usługę udostępniania plików, która publicznie potwierdziła i oświadczyła, że ​​nie jest to PCI, SOX ISO

Cóż ... To ty musisz zdecydować ... Czy warto karierę? Czy warto stracić dane firmy lub klienta?

Dla mnie .. To nie jest ... Konsumenci używają produktów konsumenckich, a nie firm ... Okres.

Ageek Bry
źródło
4

Aktualizacja (1,5 roku później): Dropbox twierdzi, że teraz przesyła dane za pomocą protokołu SSL i przechowuje je w kontenerach AES-256, do których nie ma dostępu (bez hasła).


źródło
2
To twierdzenie okazało się kłamstwem. wired.com/threatlevel/2011/05/dropbox-ftc
David Sykes
2

Myślę, że pracują nad wersją dla firm do użytku wewnętrznego, z większym bezpieczeństwem, ale tymczasem pliki nie są szyfrowane na ich serwerach, więc musisz im zaufać.

Poza tym nie widzę innych zagrożeń bezpieczeństwa specyficznych dla Dropbox (takich jak wyciek informacji).

Ivan
źródło
Nieprawda - Dropbox szyfruje wszystkie bloki danych przechowywane na swoich serwerach. Jednak klucze są w całości zarządzane przez Dropbox i udostępniane na różnych kontach. Istnieje wiele innych problemów związanych z bezpieczeństwem, google dla „Dropbox config.db” i inne (ponieważ napisałeś tę odpowiedź).
RichVel,
1

Wiele będzie zależeć od zasad obowiązujących w Twojej firmie. Jeśli to tak, jak tam, gdzie pracuję - gdzie cały rozwój, który robię, należy do szpitala, a nie do mnie - wtedy martwiłbym się, że będzie to łatwy sposób na „odejście” od firmowych zasobów intelektualnych.

Istnieje wiele systemów zarządzania dokumentami, które pozwalają skonfigurować coś, co jest dostępne tylko wewnętrznie lub poprzez monitorowane połączenie.

AnonJr
źródło