使用Dropbox的员工有哪些安全风险?


17

在公司范围内使用Dropbox文件共享/版本控制/备份时是否要牢记任何特殊的安全问题,是否建议使用特定的选项或设置来限制风险?


以下是Dropbox用于公司和私人用途的一些核心安全和法律问题的详细说明:blog.5ttt.org/dropbox

Answers:


7

这取决于您的业务和您的偏执程度。为笔记本电脑提供VPN连接更为安全,尽管价格更高。

真快...

一些风险:

  • 雇用终止后,前雇员可能会访问业务数据。如果您不希望一些心怀不满的员工被解雇后可以使用某些东西,那么您作为企业必须控制帐户。
  • 这些服务将绕过您现有的任何自动文档保留机制,从而为您手动覆盖文档保留增加了另一个区域

建议:

  • 确保您可以生成自己的加密密钥来存储数据,并且不要与服务提供商共享该密钥
  • 在将数据发送到服务的存储库之前,请确保已对其进行加密
  • 如果您要让个人拥有自己的帐户,则可以与贵公司建立一个联系点。通过此人(或几个人作为代理人)协调所有帐户。或确保提供者支持您可以以某种方式将雇员分组的企业帐户。

关于不控制前雇员账户的观点很有帮助。我们将在所有终止计划中添加取消共享文件夹的功能。
davebug,2009年

对于任何欧盟企业来说,这也构成了一个问题,因为个人数据存在最终风险不受控制的明显风险。对于想要保留安全港认证(以便他们可以处理欧盟个人数据)的任何美国企业,情况也是如此。
Vatine

5

我在这里会非常小心。Dropbox允许扩展另一台计算机的硬盘驱动器。

从某种意义上说,这种扩展比USB密钥差,因为一​​台PC上的感染可以比使用USB密钥更容易感染使用该共享的其他PC。病毒/特洛伊木马/僵尸程序作者尚未定位到保管箱,但如果他们决定这样做,那么您会得到一个虚拟的未锁定门,从安全网络上由公司控制的PC到不安全网络上的不安全计算机。照原样,使用正常操作,人们不能只是穿过那扇门去看电脑上的其他东西-只能看到保管箱中的项目,而只能在该区域中创建新项目,但这是假设投递箱应用程序本身不能被破坏。

此外,Dropbox声称具有很高的安全性,但实际上可以证明什么呢?可能有人可能会从完全不同的PC上远程潜入该窗口,并尝试将受感染的文档和程序放到工作PC上。

显然有一个协​​议保管箱本身就用于与其客户端进行通信-是否已加密?是否可以防止缓冲区溢出?中间人袭击?闻吗 重播攻击?是否可以使用标准协议将文件放置在标准保管箱区域内,甚至放置在标准保管箱区域之外?如果协议有缓冲区溢出,是否有可能以允许完全访问计算机的方式对其进行折衷?网络共享在机器上?

我认为风险不是很高,但是造成的损失可能很大,因此必须仔细考虑。

-亚当


3
在内部,Dropbox通过Python可执行文件使用rsync。尽管我很想知道所使用的协议不是标准协议。
乔尔·卢西

5

偏执狂????

Dude ..远离网络..缓慢..用双手远离键盘..现在就做!!!

基于文件共享云的“消费者”解决方案(例如Dropbox)不适用于企业或公司。微软对Skydrive表示最好的支持,并表示这些类型的产品不是,也不应该用于商业目的。

有成千上万的原因为什么不超过应有的原因。

除安全风险外的最大法律理由(以及使用条款,规定第三方可以访问机密文件,因此,任何基于机密的服务都不应存储任何机密。....)像Dropbox这样的服务就是事实。我问一下..这些文件存储在哪里?这些服务器在哪里?您可以放心,以最低的出价者调用“数据导出规则和法律”。如果您只有一个小文件,“美国政府可能将其视为对美国安全的风险或潜在风险”(可能是大小不一的公共场所,学校,体育馆,密码或用户名(例如Cisco帐户,您可以在其中下载出口受限软件等)的电子布局,直到机密文件,都违反了该法律。您入狱,您未通过。.我相信现在,这由FTC和国土安全部处理。

DB使用条款(基本上)指定,如果将其安装在商用PC上(Dropbox假定该人,因为安装在商用PC上的人通过单击TOU来保证他们是通过这种方式获得的),则“授权”人员正在这样做。对于整个公司..期间...(第一部分,Dropbox.com / terms)

使我无法在服务器和工作环境之外使用此功能的原因只是道德……您有一个像Skydrive这样的消费产品,大写的字样是:“不做生意。不要!因为他们不想冒险客户的数据。业务级别,因为他们知道这样做是有风险的;然后Flippin Dropbox在合同中使用法律用语,例如“ stuff”一词,将整个“安全性事物”饼成小菜,就像没什么大不了(您想要吗?损失利润并分享有价值的东西?可能不会...)....

这很重要。更多的安全组织要求您和我遵循简单的做法,像Dropbox这样的大型产品出来并赚钱的更多。为了利润,就像没什么大不了的……

如果您的公司存储了一个很小的单一信用卡号以及名称和有效期,该怎么办?现在说,通过Dropbox安全枪管,“安装了Dropbox客户端”的PC被“抓进了.....”。Visa / Amex等。在政府支持下的大型银行公司(因为支付卡行业(PCI)标准这样说..那就是...)将罚款您..得到这个...您可能想坐下来..每个事件惊人的$ 500,000.00 ...足以使中小型企业脱离他们所从事的业务...

解决该问题的唯一方法是,在使用Dropbox之前,使用PCI认证的加密产品对数据进行本地加密,购买所有远程设备的许可,下载所需的文件,然后再解密,然后再使用它。.(不,听起来一点也不有趣...)(或加密服务器网络上的数据以及网关上的客户端...)

有了这些,每位用户不到20美元(基本用户不到11美元),您可以获得Office 365 E系列计划,该计划已通过HIPAA,SOX,ISO和PCI认证。(Dropbox隐藏在其中,页面清楚地标明“在这个时候”,他们还没有...。

因此,问问自己,尽管您的想法很小……实际上值得冒险吗?并且您是否想与一家我认为与他们的产品使用相关的风险,步伐微不足道的公司做生意。...

如果您精通技术,并且早已轻装上阵并且DID允许Dropbox,那么这对您的职业风险是否值得?您认为您的名字在臀位旁边并成为新闻之后,您是否可以就业?作为一名CTO,我可以向您保证,我一生都不会听到它背后的借口。我什至从不采访任何技术人员,他们的行为或决定导致了任何规模的网络上的数据泄露。是的,我们都会犯错,这就是为什么您在IT部门要做的是尽最大可能消除任何风险。.不要为艾丽斯(Alice)打开蠕虫洞并大喊大叫...)对于PR来说,这是一场灾难。对于一家企业,(如果竞争对手发现了您的身份并泄露了您的身份。(加布斯)您的所作所为。以及雇用某人的责任增加了,因为他们允许公开承认并声称自己不是PCI,SOX的文件共享服务,ISO,

嗯..那是您要决定的...值得从事一份职业吗?损失公司或客户数据值得吗?

对我来说。不是……消费者使用消费产品,而不是企业……时期。




2

我认为他们正在为公司内部使用的版本提供更高的安全性,但与此同时,文件未在其服务器上加密,因此您必须信任它们。

除此之外,我看不到Dropbox特有的其他安全风险(例如信息泄漏)。


并非如此-Dropbox确实会对服务器上保存的所有数据块进行加密。但是,密钥完全由Dropbox管理,并在不同帐户之间共享。还有许多其他安全问题,谷歌搜索“ Dropbox config.db”等问题(因为您编写了此答案)。
RichVel 2011年

1

很多情况将取决于您公司的现行政策。如果这就像我工作的地方-我所做的所有开发工作都属于医院,而不是我自己-那么我将担心这是公司知识资产“流失”的简便方法。

有许多文档管理系统可让您设置只能在内部或通过可监视的连接访问的文件。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.