员工使用 Dropbox 存在哪些安全风险?

员工使用 Dropbox 存在哪些安全风险?

在公司范围内使用 Dropbox 文件共享/版本控制/备份时,是否需要注意特别的安全问题?是否有推荐的特定选项或设置来限制风险?

答案1

这取决于你的业务和你的警惕性。为笔记本电脑配备 VPN 连接更安全,尽管成本更高。

真的很快……

一些风险:

  • 前雇员在终止雇佣关系后可能会访问业务数据。如果您不希望某些心怀不满的员工在被解雇后访问数据,那么作为企业,您必须控制帐户...
  • 这些服务将绕过您现有的任何自动文档保留机制,从而为您增加了另一个需要手动覆盖文档保留的区域。

建议:

  • 确保您可以生成自己的加密密钥来存储数据,并且该密钥不会与服务提供商共享
  • 确保你的数据在发送到服务存储库之前已加密
  • 如果您要让个人拥有自己的帐户,那么请为您的公司指定一个联系人。通过此人(或几个人作为代理)协调所有帐户。或者确保提供商支持您可以以某种方式将员工分组到的企业帐户。

答案2

我会非常谨慎地处理这个问题。Dropbox 可以扩展到另一台计算机的硬盘。

该扩展比 USB 密钥更糟糕,因为一台 PC 上的病毒可以比 USB 密钥更轻松地感染使用该共享的所有其他 PC。病毒/木马/机器人编写者目前还未针对 Dropbox,但如果他们决定这么做,那么您就拥有了从安全网络上的公司控制 PC 到不安全网络上的不安全计算机的虚拟未锁定门。正如使用正常操作一样,人们不能直接穿过那扇门查看计算机上的其他内容 - 只能看到 Dropbox 内的项目,并且只能在该区域创建新项目,但这是假设 Dropbox 应用程序本身不会被破坏。

此外,Dropbox 声称具有很高的安全性,但您能证明什么呢?有人可能会从完全不同的 PC 远程潜入该窗口并尝试将受感染的文档和程序放到工作 PC 上。

显然,Dropbox 本身使用一种协议来与其客户端进行通信 - 它是否加密?它是否不受缓冲区溢出的影响?中间人攻击?嗅探?重放攻击?是否可以使用标准协议将文件放置在标准 Dropbox 区域内甚至区域外?如果协议存在缓冲区溢出,是否有可能以某种方式破坏它以允许完全访问机器?机器上的网络共享?

我认为风险不是很高,但造成的损害可能很严重,所以这是必须仔细考虑的事情。

-亚当

答案3

偏执???

老兄..离开网络..慢慢地..把你的手从键盘上拿开..现在就做!!!

基于文件共享云的“消费者”解决方案(如 Dropbox)并不适合企业或公司。微软在推出 Skydrive 时就曾表示,这类产品不适合、也不应该用于商业用途。

不这么做的理由有千万个,而应该这么做的理由却多于这么做的理由。

最大合法的安全风险之外的原因(使用条款规定第三方可以访问机密文件,因此,在基于消费者的服务上绝对不能存储任何机密信息。永远。。)事实是,Dropbox 之类的服务确实如此。让我问一下……这些文件存储在哪里?这些服务器位于哪里?您可以放心,最低出价者可以调用所谓的数据出口规则和法律……如果您有一个“美国政府可能认为对美国安全构成风险或潜在风险”的小文件(可能小到公共聚会场所、学校、健身房的电气布局图,密码或用户名,例如思科帐户,您可以在其中下载出口受限软件等)甚至机密文件,您就违反了该法律。您会入狱,不会通过……我相信现在,这是由联邦贸易委员会和国土安全部处理的……

DB 使用条款规定(基本上)如果将其安装在商用 PC 上(Dropbox 假定该人,因为在商用 PC 上安装的人通过点击 TOU 保证他们已安装),则“授权”个人将为整个公司这样做.. 句号...(第一部分位于 Dropbox.com/terms)

阻止我在服务器和工作环境之外使用它的原因仅仅是道德问题... 你有像 Skydrive 这样的消费产品,上面用大字写着“不做生意...不要!因为他们不想在商业层面上冒客户数据的风险,因为他们知道这是一种风险!然后 Flippin Dropbox 在他们的合同中使用法律词汇,例如“东西”这个词,他们把整个“安全问题”都说得天花乱坠,表现得好像这没什么大不了的(你愿意损失利润和宝贵的份额吗?可能不会......)....

这是一件大事...越多的安全组织恳求你和我遵循简单的做法,越多像 Dropbox 这样的大公司出现,为了钱...为了利润,表现得好像这没什么大不了的...

如果您的企业存储了信用卡号、姓名和有效期的一小部分信息,会怎么样?现在假设安装了 Dropbox 客户端的 PC 被 Dropbox 安全漏洞“入侵”了……跟踪我?Visa/Amex 等……这些拥有政府支持的大型银行公司(因为支付卡行业 (PCI) 标准是这么说的……他们……)会对您处以罚款……听着……您可能想坐下来……每次事件高达 500,000.00 美元……这足以让一家小型或中型企业破产……

解决这个问题的唯一方法是使用 PCI 认证的加密产品在数据进入 Dropbox 之前在本地加密数据,为所有远程设备购买许可证,下载所需的文件,然后在使用前对其进行解密..(听起来一点也不好玩……)(或者在服务器网络上加密数据,在网关处加密客户端的数据……)

有了这些,每位用户只需不到 20 美元(基本版约 11 美元),您就可以获得 Office365 E 系列计划,该计划已通过 HIPAA、SOX、ISO 和 PCI 认证......(Dropbox 隐藏在页面中,明确指出“目前”,但他们还没有......)

因此,尽管你心里想的很少,但请问问自己... 这真的值得冒这个险吗?而且,我认为,你想与一家对其产品相关风险掉以轻心的公司做生意吗?...

如果你从事技术工作,并且确实遭到了攻击,而你确实允许使用 Dropbox,那么冒着职业生涯的风险是否值得?你的名字出现在攻击旁边,上了新闻,你认为你还能被雇佣吗?作为一名 CTO,我可以向你保证,我这辈子都不会听到这背后的借口。我永远不会采访任何技术领域的人,他们自己的行为或决定导致任何规模的网络的数据泄露。是的,我们都会犯错,这就是为什么你在 IT 部门的工作就是尽你所能消除任何风险,无论大小。不要打开虫洞,然后大喊爱丽丝……)这对公关来说是一场灾难。对于一家企业来说,(如果竞争对手发现并泄露了你是谁……(喘息)你做了什么……并且增加雇用某人的责任,因为他们允许一个文件共享服务,而该服务公开承认并声明他们没有获得 PCI、SOX、ISO、HIPAA 或 PCI 认证

嗯...这由你来决定...这值得你牺牲职业生涯吗?这值得你损失公司或客户的数据吗?

对我来说.. 事实并非如此... 消费者使用消费品,而不是企业... 就是这样。

答案4

Dropbox 最近承认,他们不使用 SSL 在移动客户端和服务器之间传输文件元数据。出于性能方面的考虑,他们故意这样做。他们没有在网站上任何地方声明他们这样做。您可以在此处阅读相关内容:

https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop

相关内容