Ci sono particolari problemi di sicurezza da tenere a mente con l'uso a livello aziendale della condivisione / versione / backup dei file Dropbox e ci sono opzioni o impostazioni specifiche che sarebbero raccomandate per limitare il rischio?
Ci sono particolari problemi di sicurezza da tenere a mente con l'uso a livello aziendale della condivisione / versione / backup dei file Dropbox e ci sono opzioni o impostazioni specifiche che sarebbero raccomandate per limitare il rischio?
Risposte:
Dipende dalla tua azienda e dal tuo livello di paranoia. È molto più sicuro, sebbene più costoso, emettere laptop con una connessione VPN.
Molto velocemente...
Alcuni rischi:
raccomandazioni:
Vorrei camminare molto attentamente qui. Dropbox abilita un'estensione sul disco rigido di un altro computer.
Tale estensione è peggiore di una chiave USB, nel senso che le infezioni su un PC possono entrare in tutti gli altri PC usando la condivisione molto più facilmente rispetto a una chiave USB. Gli autori di virus / trojan / bot non prendono di mira il dropbox (ancora) ma se decidono di farlo, allora hai una porta virtuale sbloccata da un PC controllato da un'azienda su una rete protetta a un computer non sicuro su una rete non protetta. Così com'è, usando le normali operazioni, non si può semplicemente passare attraverso quella porta e guardare altre cose sul computer - si possono vedere solo gli oggetti all'interno della casella a discesa e nuovi oggetti possono essere creati solo in quell'area, ma supponendo che il l'applicazione dropbox stessa non può essere compromessa.
Inoltre, Dropbox richiede molta sicurezza, ma cosa è effettivamente dimostrabile per te? È possibile che qualcuno possa intrufolarsi in quella finestra da remoto da un PC completamente diverso e tentare di inserire documenti e programmi infetti sul PC di lavoro.
Esiste ovviamente un protocollo che la stessa casella personale utilizza per comunicare con i suoi client: è crittografata? È immune agli overflow del buffer? L'uomo nel mezzo attacca? Sniffing? Replay attacchi? È possibile, utilizzando il protocollo standard, posizionare i file all'interno o all'esterno dell'area di dropbox standard? Se il protocollo ha un buffer overflow, è possibile comprometterlo in modo da consentire l'accesso completo alla macchina? Condivisioni di rete sulla macchina?
Non penso che il rischio sia molto elevato, ma il danno fatto può essere esteso, quindi è qualcosa che deve essere attentamente pensato.
-Adamo
Paranoia????
Amico .. Allontanati dalla rete .. LENTAMENTE .. Con le mani lontano dalla tastiera .. FALLO ORA !!!
Le soluzioni "consumer" basate su cloud di condivisione file come Dropbox non sono pensate per aziende o aziende. Microsoft lo ha detto meglio con Skydrive quando sono usciti e ha detto che questi tipi di prodotti non sono e non dovrebbero essere utilizzati per scopi aziendali.
Ci sono migliaia di motivi per cui ciò non supera i motivi per cui uno dovrebbe.
Il più grande motivo LEGALE al di fuori dei rischi per la sicurezza (E i Termini d'uso che specificano che terze parti possono avere accesso a file riservati, quindi nulla di riservato dovrebbe mai essere archiviato su un servizio basato sui consumatori .. MAI ..)è il fatto con un servizio come Dropbox, beh. Permettimi di chiederlo .. Dove sono archiviati questi file? Dove si trovano quei server? Puoi essere certo, con il miglior offerente, chiamare qualcosa chiamato Regole e leggi sull'esportazione dei dati ... Se dovessi avere un singolo file minuscolo, il "governo degli Stati Uniti potrebbe ritenere un rischio o un rischio potenziale per la sicurezza degli Stati Uniti" (Potrebbe essere qualcosa piccolo come il layout elettrico in un luogo di ritrovo pubblico, scuola, palestra, password o un nome utente in qualcosa come un account Cisco in cui è possibile scaricare software con restrizioni di esportazione, ecc.) fino a documenti classificati, si viola tale legge. Vai in prigione, non passi, vai .. Credo ora, che è gestito da FTC e Homeland Security ..
I termini di utilizzo del DB specificano (sostanzialmente) che, se installato su un PC aziendale, (Dropbox assume quella persona perché la persona che si installa sul PC aziendale garantisce che sta facendo clic sul TOU) che l'individuo "autorizzato" lo sta facendo PER L'INTERA AZIENDA .. Periodo ... (Prima sezione ion Dropbox.com/terms)
Ciò che mi impedisce di utilizzare questo al di fuori del mio server e dell'ambiente di lavoro è semplicemente l'etica ... Hai un prodotto di consumo come Skydrive che a grandi lettere dice "No Business .. No! Perché non vogliono rischiare i dati dei clienti su un livello aziendale perché lo sanno che è un rischio! E poi Flippin Dropbox che usa le parole legali nei loro contratti come la parola "roba", che scherza sull'intera "cosa della sicurezza" e si comporta come se non fosse un grosso problema (vorresti perdere profitti e quote così preziose? Probabilmente no ...) ....
È un grosso problema ... Più gruppi di sicurezza ti prego e io di seguire semplici pratiche, più grandi comps come Dropbox escono e per soldi .. a scopo di lucro, comportati come se non fosse un grosso problema ...
Che cosa succede se la tua azienda memorizza un piccolo pezzo di un singolo numero di carta di credito, un nome e una data di scadenza? Ora supponiamo che il PC su cui è stato installato il client Dropbox sia stato "ottenuto in ..." tramite una tecnologia di sicurezza Dropbox ... Mi stai seguendo? Visa / Amex ecc. Le gigantesche compagnie bancarie con il sostegno del governo (perché gli standard del settore delle carte di pagamento (PCI) lo dicono .. ecco chi ...) TI BENE .. prendi questo ... potresti voler sederti .. una cifra sbalorditiva di $ 500.000,00 PER INCIDENTE ... Basta mettere una piccola o media impresa fuori dal business in cui si trovano ...
L'UNICO modo per aggirarlo è crittografare localmente i dati utilizzando un prodotto di crittografia certificato PCI, PRIMA di andare al dropbox, acquistare le licenze per tutti i dispositivi remoti, scaricare il file necessario e decodificarlo prima di poterlo utilizzare .. (No, non sembra affatto divertente ...) (O crittografare i dati sulla rete dei server e i client sul gateway ...)
Con tutto ciò, per meno di $ 20 un utente (circa $ 11 per quello di base) è possibile ottenere un piano serie Office365 E, certificato IS HIPAA, SOX, ISO e PCI. (Dropbox, nascosto nelle pagine, indica chiaramente " in questo momento ", non sono ....)
Quindi chiediti, anche se nella tua mente piccola ... Vale davvero la pena rischiare? e vuoi fare affari con un'azienda che penso, passi alla leggera o chiarisca, i rischi associati all'uso del loro prodotto ....
Vale la pena correre il rischio per la tua carriera se sei in tecnologia e vieni abbattuto e hai fatto dropbox? Pensi di essere occupabile dopo che il tuo nome è accanto a una culatta e fai notizia? Come CTO, te lo posso promettere, non nella mia vita avrei nemmeno sentito la scusa dietro di esso .. Non avrei nemmeno mai intervistato nessuno nella tecnologia che con le proprie azioni o decisioni, ha causato una serie di dati su qualsiasi rete di dimensioni .. Sì, tutti commettiamo errori, motivo per cui il tuo lavoro nell'IT è quello di eliminare qualsiasi rischio, grande o piccolo come meglio puoi .. Non aprire il buco del worm e urlare per Alice ...) È un disastro per PR .. per un'azienda, (se un concorrente ha scoperto e fatto trapelare chi sei .. (sussulto) cosa hai fatto .. e una maggiore responsabilità di assumere qualcuno perché hanno permesso un servizio di condivisione file che ha riconosciuto pubblicamente e ha dichiarato di non essere PCI, SOX , ISO,
Bene ... È per te che decidi ... Vale la pena fare carriera? Vale la pena la perdita dei dati dell'azienda o dei clienti?
Per me .. Non è ... I consumatori usano i prodotti di consumo, non le imprese ... Periodo.
Un aggiornamento (1,5 anni dopo): Dropbox afferma ora di trasmettere i dati tramite protocollo SSL e di memorizzarli in contenitori AES-256 che non possono accedersi (senza la password).
Dropbox ha recentemente ammesso di non utilizzare SSL per il trasferimento di metadati di file tra client mobili e i loro server. Lo fanno apposta, per motivi di prestazioni. Non dichiarano da nessuna parte sul loro sito Web che lo fanno. Puoi leggerlo qui:
https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop
Penso che stiano lavorando a una versione che le aziende possono usare internamente, con maggiore sicurezza, ma nel frattempo i file non sono crittografati sui loro server, quindi devi fidarti di loro.
Oltre a ciò, non riesco a vedere altri rischi per la sicurezza specifici di Dropbox (come la perdita di informazioni).
Molto dipenderà dalle politiche in atto nella vostra azienda. Se è come dove lavoro - dove tutto lo sviluppo che faccio appartiene all'ospedale, e non a me - allora sarei preoccupato che sia un mezzo facile per "allontanare" le risorse intellettuali dell'azienda.
Esistono molti sistemi di gestione dei documenti che ti consentono di impostare qualcosa che è accessibile solo internamente o tramite una connessione monitorabile.