Apa risiko keamanan yang ada dengan karyawan yang menggunakan Dropbox?

17

Apakah ada masalah keamanan tertentu yang perlu diingat dengan penggunaan Dropbox berbagi / versi / pencadangan file di seluruh perusahaan, dan apakah ada opsi atau pengaturan khusus yang akan direkomendasikan untuk membatasi risiko?

davebug
sumber
Berikut adalah uraian terperinci tentang beberapa masalah inti keamanan dan hukum dengan Dropbox untuk penggunaan perusahaan dan pribadi: blog.5ttt.org/dropbox

Jawaban:

7

Itu tergantung pada bisnis Anda dan tingkat paranoia Anda. Jauh lebih aman, meski lebih mahal, untuk mengeluarkan laptop dengan koneksi VPN.

Sangat cepat...

Beberapa Risiko:

  • Mantan karyawan berpotensi memiliki akses ke data bisnis setelah pemutusan hubungan kerja. Anda sebagai bisnis HARUS mengendalikan akun jika Anda tidak ingin karyawan yang tidak puas memiliki akses ke berbagai hal setelah dipecat ...
  • Layanan ini akan mem-bypass setiap mekanisme penyimpanan dokumen otomatis yang Anda miliki yang menambahkan area lain bagi Anda untuk secara manual menutupi penyimpanan dokumen

Rekomendasi:

  • Pastikan Anda dapat membuat kunci enkripsi Anda sendiri untuk menyimpan data dan kunci itu tidak dibagi dengan penyedia layanan
  • Pastikan data Anda dienkripsi SEBELUM dikirim ke repositori layanan
  • Jika Anda akan membiarkan individu memiliki akun mereka sendiri maka miliki satu titik kontak untuk perusahaan Anda. Koordinasikan semua akun melalui orang ini (atau beberapa orang sebagai proxy). Atau pastikan penyedia mendukung akun bisnis yang dapat Anda kelompokkan entah bagaimana caranya.
squillman
sumber
Poin tentang tidak mengontrol akun mantan karyawan sangat membantu. Kami akan menambahkan pembagian folder sebagai bagian dari rencana pemutusan.
davebug
Ini juga menimbulkan masalah bagi bisnis UE, karena ada risiko yang jelas untuk data pribadi berakhir di lingkungan yang tidak terkendali. Hal yang sama berlaku untuk setiap bisnis AS yang ingin menyimpan sertifikasi Safe Harbor (sehingga mereka dapat memproses data pribadi UE).
Vatine
5

Saya akan menginjak dengan sangat hati-hati di sini. Dropbox memungkinkan ekstensi ke hard drive komputer lain.

Ekstensi itu lebih buruk daripada kunci USB dalam arti bahwa infeksi pada satu PC dapat masuk ke semua PC lain menggunakan berbagi yang lebih mudah daripada dengan kunci USB. Penulis virus / trojan / bot tidak menargetkan dropbox (namun) tetapi jika mereka memutuskan untuk melakukannya, maka Anda memiliki pintu tidak terkunci virtual dari PC yang dikendalikan perusahaan di jaringan aman ke komputer tidak aman di jaringan tidak aman. Seperti halnya, menggunakan operasi normal, seseorang tidak bisa begitu saja melewati pintu itu dan melihat hal-hal lain di komputer - hanya item dalam dropbox yang dapat dilihat, dan item baru hanya dapat dibuat di area itu, tetapi dengan asumsi bahwa Aplikasi dropbox itu sendiri tidak dapat dikompromikan.

Lebih lanjut, Dropbox mengklaim banyak keamanan, tetapi apa yang sebenarnya bisa dibuktikan kepada Anda? Mungkin saja seseorang dapat menyelinap masuk ke jendela itu dari jarak jauh dari PC yang sama sekali berbeda dan berupaya memasukkan dokumen dan program yang terinfeksi ke PC kantor.

Jelas ada protokol dropbox sendiri yang digunakan untuk berkomunikasi dengan kliennya - apakah dienkripsi? Apakah kebal terhadap buffer overflows? Man di tengah serangan? Mengendus? Putar ulang serangan? Apakah mungkin, menggunakan protokol standar, menempatkan file di dalam atau bahkan di luar area dropbox standar? Jika protokol memiliki buffer overflow, apakah mungkin kompromi dengan cara yang memungkinkan akses penuh ke mesin? Jaringan berbagi di mesin?

Saya tidak berpikir risikonya sangat tinggi, tetapi kerusakan yang dilakukan bisa luas, jadi itu adalah sesuatu yang harus dipikirkan dengan cermat.

-Adam

Adam Davis
sumber
3
Secara internal Dropbox menggunakan rsync melalui executable Python. Meskipun saya akan menebak bahwa protokol yang digunakan tidak standar.
Joel Lucsy
5

Paranoia ????

Bung .. Menjauh dari jaringan .. PERLAHAN .. Dengan tangan Anda jauh dari Keyboard .. LAKUKAN SEKARANG !!!

Solusi "konsumen" berbasis cloud berbagi file seperti Dropbox, tidak dimaksudkan untuk Bisnis atau Perusahaan. Microsoft mengatakan yang terbaik dengan Skydrive ketika mereka keluar dan berkata, bahwa jenis produk ini tidak, dan tidak boleh digunakan untuk keperluan bisnis.

Ada ribuan alasan mengapa tidak melebihi alasan mengapa seseorang harus melakukannya.

Alasan HUKUM terbesar di luar risiko keamanan (Dan Ketentuan Penggunaan yang menentukan bahwa pihak ketiga dapat memiliki akses ke file rahasia maka tidak ada rahasia yang harus disimpan pada layanan yang berbasis konsumen .. PERNAH ..)adalah fakta dengan layanan seperti Dropbox, well. Biarkan saya bertanya ini .. Di mana file-file itu disimpan? Di mana server-server itu berada? Anda dapat yakin, dengan penawar terendah, memanggil sesuatu yang disebut Aturan dan Undang-Undang Ekspor Data ... Jika Anda memiliki satu file kecil, "Pemerintah Amerika Serikat dapat dianggap sebagai risiko atau risiko potensial terhadap keamanan AS" (Bisa jadi sesuatu sekecil tata letak listrik ke tempat pertemuan publik, sekolah, pusat kebugaran, kata sandi, atau nama pengguna untuk sesuatu seperti akun Cisco di mana Anda dapat mengunduh perangkat lunak yang dibatasi ekspor, dll.) hingga dokumen rahasia, Anda melanggar undang-undang itu. Anda masuk penjara, Anda tidak lulus pergi .. Saya percaya sekarang, yang ditangani oleh FTC dan Homeland Security ..

Persyaratan penggunaan DB menentukan (pada dasarnya) bahwa jika diinstal pada PC bisnis, (Dropbox mengasumsikan orang itu karena orang yang memasang pada PC bisnis menjamin mereka dengan mengklik melalui TOU) bahwa individu "yang berwenang" melakukannya. UNTUK PERUSAHAAN SELURUH .. Periode ... (Bagian pertama di Dropbox.com/terms)

Apa yang menghentikan saya untuk menggunakan ini di luar server saya dan lingkungan kerja hanyalah etika ... Anda memiliki produk konsumen seperti Skydrive yang dalam huruf besar mengatakan "Tidak Bisnis .. Jangan! Karena mereka tidak ingin mengambil risiko data pelanggan di tingkat bisnis karena mereka TAHU itu risiko! Dan kemudian Flippin Dropbox yang menggunakan kata-kata hukum dalam kontrak mereka seperti kata "barang", yang membuat seluruh "keamanan" menjadi gemuk dan bertindak seperti itu bukan masalah besar (Anda ingin kehilangan laba dan saham yang berharga? Mungkin tidak ...) ....

Ini adalah masalah besar .. Semakin banyak kelompok keamanan memohon Anda dan saya untuk mengikuti praktik sederhana, semakin banyak perusahaan besar seperti dropbox keluar dan untuk uang .. untuk keuntungan, bertindak seperti itu bukan masalah besar ...

Bagaimana jika bisnis Anda menyimpan sepotong kecil nomor kartu kredit tunggal dan nama serta tanggal kedaluwarsa? Sekarang katakanlah PC tempat klien dropbox terinstalasi adalah uhmm "masuk ke .." melalui singgah keamanan Dropbox ... Mengikuti saya? Visa / Amex dll .. perusahaan bank ginormous DENGAN dukungan pemerintah (karena Standar Industri Kartu Pembayaran (PCI) mengatakan demikian .. itu siapa ...) AKAN baik-baik saja .. dapatkan ini ... Anda mungkin ingin duduk .. $ 500,000.00 PER INSIDEN yang mengejutkan ... Cukup untuk mengeluarkan bisnis kecil atau menengah dari bisnis yang mereka jalankan ....

cara HANYA untuk menyiasatinya, adalah mengenkripsi data secara lokal menggunakan produk enkripsi PCI bersertifikat, SEBELUM itu pergi ke dropbox, membeli lisensi untuk semua perangkat jarak jauh Anda, mengunduh file yang Anda butuhkan, dan de-mengenkripsi data sebelum Anda dapat menggunakan itu .. (Tidak terdengar seperti itu sama sekali tidak menyenangkan ...) (Atau mengenkripsi data pada jaringan server Anda, dan klien di gateway ...)

Dengan semua itu, dengan kurang dari $ 20 seorang pengguna (sekitar $ 11 untuk yang dasar) Anda bisa mendapatkan paket seri Office365 E, yang IS HIPAA, SOX, ISO, dan PCI .. (Dropbox, disembunyikan di sana halaman dengan jelas menyatakan " saat ini ", mereka bukan ....)

Jadi tanyakan pada diri sendiri, meskipun dalam pikiran Anda kecil ... Apakah itu sepadan dengan risikonya? dan APAKAH Anda ingin melakukan bisnis dengan perusahaan yang saya pikir, langkah-langkah ringan atau membuat ringan, risiko yang terkait dengan menggunakan produk mereka ....

Apakah itu sepadan dengan risiko karier Anda jika Anda berada dalam teknologi dan Anda mendapatkan bokong dan Anda TIDAK mengizinkan dropbox? Apakah Anda pikir Anda dapat dipekerjakan setelah nama Anda di samping sungsang dan Anda membuat berita? Sebagai seorang CTO, saya dapat berjanji kepada Anda, tidak dalam hidup saya akan saya bahkan mendengar alasan di baliknya .. Saya bahkan tidak akan pernah mewawancarai siapa pun dalam teknologi yang dengan tindakan atau keputusan mereka sendiri, menyebabkan sejumlah data pada jaringan ukuran apa pun .. Ya kita semua membuat kesalahan, itulah sebabnya pekerjaan Anda di TI adalah untuk menghilangkan segala risiko, besar atau kecil sebaik mungkin .. Tidak membuka lubang cacing dan berteriak untuk Alice ...) Ini adalah bencana bagi PR .. untuk bisnis, (jika pesaing menemukan dan membocorkan siapa Anda .. (terkesiap) apa yang Anda lakukan .. dan kewajiban yang meningkat untuk mempekerjakan seseorang karena mereka mengizinkan layanan berbagi file yang secara publik mengakui dan menyatakan bahwa mereka bukan PCI, SOX , ISO,

Nah .. Itu bagi Anda untuk memutuskan ... Apakah itu layak untuk berkarir? Apakah sepadan dengan hilangnya data perusahaan atau pelanggan Anda?

Bagi saya .. Ini bukan ... Konsumen menggunakan produk konsumen, bukan bisnis ... Periode.

Ageek Bry
sumber
4

Pembaruan (1,5 Tahun kemudian): Dropbox mengklaim sekarang bahwa mereka mengirimkan data melalui protokol SSL dan menyimpannya dalam AES-256-Kontainer yang tidak dapat mereka akses sendiri (tanpa kata sandi).


sumber
2
Klaim itu ternyata bohong. wired.com/threatlevel/2011/05/dropbox-ftc
David Sykes
4

Dropbox baru-baru ini mengakui bahwa mereka tidak menggunakan SSL untuk mentransfer metadata file antara klien seluler dan server mereka. Mereka melakukan ini dengan sengaja, untuk alasan kinerja. Mereka tidak menyatakan di mana pun di situs web mereka bahwa mereka melakukan ini. Anda dapat membacanya di sini:

https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop

Mike
sumber
2

Saya pikir mereka sedang mengerjakan versi untuk digunakan perusahaan secara internal, dengan keamanan lebih, tetapi sementara itu, file tidak dienkripsi di server mereka, jadi Anda harus percaya mereka.

Selain itu, saya tidak dapat melihat risiko keamanan lainnya yang spesifik untuk Dropbox (seperti kebocoran informasi).

Ivan
sumber
Tidak benar - Dropbox mengenkripsi semua blok data yang ada di servernya. Namun kunci sepenuhnya dikelola oleh Dropbox dan dibagikan di berbagai akun. Ada banyak masalah keamanan lainnya, google untuk "Dropbox config.db" dan lainnya (karena Anda menulis jawaban ini).
RichVel
1

Banyak yang akan tergantung pada kebijakan yang berlaku di perusahaan Anda. Jika itu seperti di mana saya bekerja - di mana semua perkembangan yang saya lakukan adalah milik rumah sakit, dan bukan saya - maka saya akan khawatir bahwa itu menjadi cara mudah bagi aset intelektual perusahaan untuk "berkeliaran".

Ada banyak sistem manajemen dokumen yang memungkinkan Anda mengatur sesuatu yang hanya dapat diakses secara internal atau melalui koneksi yang dapat dipantau.

AnonJr
sumber