Gibt es bestimmte Sicherheitsbedenken, die bei der unternehmensweiten Verwendung von Dropbox-Dateifreigabe / -versionierung / -sicherung berücksichtigt werden müssen, und gibt es bestimmte Optionen oder Einstellungen, die empfohlen werden, um das Risiko zu begrenzen?
security
backup
file-sharing
versioning
dropbox
Davebug
quelle
quelle
Antworten:
Es hängt von Ihrem Geschäft und Ihrem Grad an Paranoia ab. Es ist viel sicherer, wenn auch teurer, Laptops mit einer VPN-Verbindung auszustellen.
Ziemlich schnell...
Einige Risiken:
Empfehlungen:
quelle
Ich würde hier sehr vorsichtig vorgehen. Dropbox ermöglicht eine Erweiterung der Festplatte eines anderen Computers.
Diese Erweiterung ist schlimmer als ein USB-Stick, da Infektionen auf einem PC viel einfacher auf alle anderen PCs übertragen werden können, die diese Freigabe verwenden, als mit einem USB-Stick. Viren- / Trojaner- / Bot-Schreiber zielen (noch) nicht auf Dropbox. Wenn sie sich jedoch dafür entscheiden, haben Sie eine virtuelle, nicht gesperrte Tür von einem vom Unternehmen kontrollierten PC in einem sicheren Netzwerk zu einem unsicheren Computer in einem unsicheren Netzwerk. Unter normalen Betriebsbedingungen kann man nicht einfach durch diese Tür gehen und sich andere Dinge auf dem Computer ansehen - nur Elemente in der Dropbox können angezeigt werden, und neue Elemente können nur in diesem Bereich erstellt werden Die Dropbox-Anwendung selbst kann nicht gefährdet werden.
Außerdem beansprucht Dropbox ein hohes Maß an Sicherheit, aber was ist für Sie tatsächlich nachweisbar? Es ist möglich, dass sich jemand von einem völlig anderen PC aus in dieses Fenster schleicht und versucht, infizierte Dokumente und Programme auf den Arbeits-PC zu übertragen.
Es gibt offensichtlich ein Protokoll, das Dropbox selbst verwendet, um mit seinen Clients zu kommunizieren. Ist es verschlüsselt? Ist es immun gegen Pufferüberläufe? Mann in der Mitte greift an? Schnüffeln Attacken wiederholen? Ist es möglich, mit dem Standardprotokoll Dateien innerhalb oder sogar außerhalb des Standard-Dropbox-Bereichs zu platzieren? Wenn das Protokoll einen Pufferüberlauf aufweist, kann es so kompromittiert werden, dass uneingeschränkter Zugriff auf die Maschine möglich ist? Netzwerkfreigaben auf dem Computer?
Ich denke nicht, dass das Risiko sehr hoch ist, aber der verursachte Schaden kann sehr groß sein, so dass es etwas ist, das sorgfältig überlegt werden muss.
-Adam
quelle
Paranoia????
Geck .. Schritt weg vom Netzwerk .. LANGSAM .. Mit den Händen weg von der Tastatur .. TUN SIE ES JETZT !!!
Cloud-basierte "Consumer" -Lösungen für die gemeinsame Nutzung von Dateien wie Dropbox sind nicht für Unternehmen oder Unternehmen gedacht. Microsoft sagte, es sei am besten mit Skydrive, als sie herauskamen und sagte, dass diese Arten von Produkten nicht für Geschäftszwecke verwendet werden sollten.
Es gibt Tausende von Gründen, warum nicht die Gründe überwiegen, warum man sollte.
Größter rechtlicher Grund außerhalb der Sicherheitsrisiken (und die Nutzungsbedingungen, in denen festgelegt ist, dass Dritte Zugriff auf vertrauliche Dateien haben können, weshalb für einen solchen verbraucherorientierten Dienst niemals vertrauliche Informationen gespeichert werden sollten. JEDERZEIT.)ist die Tatsache, mit einem Dienst wie Dropbox, gut. Lassen Sie mich das fragen. Wo sind diese Dateien gespeichert? Wo befinden sich diese Server? Sie können sich darauf verlassen, dass Sie mit dem niedrigsten Bieter so genannte Datenexportregeln und -gesetze einholen ... Sollten Sie eine einzige kleine Datei haben, könnte die "Regierung der Vereinigten Staaten ein Risiko oder ein potenzielles Risiko für die US-Sicherheit" darstellen (könnte etwas sein) So klein wie ein elektrisches Layout für einen öffentlichen Versammlungsort, eine Schule, ein Fitnessstudio, Passwörter oder einen Benutzernamen für ein Cisco-Konto, über das Sie exportbeschränkte Software usw. herunterladen können, bis hin zu klassifizierten Dokumenten, verstoßen Sie gegen dieses Gesetz. Du gehst ins Gefängnis, du gehst nicht vorbei .. Ich glaube jetzt, das wird von FTC und Homeland Security gehandhabt ..
Die DB-Nutzungsbedingungen legen (im Grunde genommen) fest, dass die "autorisierte" Person dies tut, wenn sie auf einem Geschäfts-PC installiert ist (Dropbox geht davon aus, dass diese Person auf dem Geschäfts-PC installiert ist, da die Person dies garantiert, indem sie durch die Nutzungsbedingungen klickt) FÜR DAS GESAMTE UNTERNEHMEN ... Zeitraum ... (Erster Abschnitt auf Dropbox.com/terms)
Was mich davon abhält, dies außerhalb meines Servers und meiner Arbeitsumgebung zu verwenden, ist einfach Ethik ... Sie haben ein Verbraucherprodukt wie Skydrive, das in großen Buchstaben "No Business .. Don't!" Sagt, weil sie die Kundendaten nicht riskieren wollen ein Geschäftslevel, weil sie wissen, dass es ein Risiko ist! Und dann Flippin Dropbox, der legale Wörter in ihren Verträgen verwendet, wie das Wort "Zeug", der die gesamte "Sicherheitssache" zusammenbackt und sich so verhält, als wäre es keine große Sache Gewinn zu verlieren und so wertvolle Aktien? Wahrscheinlich nicht ...) ....
Es ist eine große Sache. Je mehr Sicherheitsgruppen Sie und mich bitten, einfachen Praktiken zu folgen, desto mehr große Comps wie Dropbox kommen heraus und für Geld.
Was wäre, wenn Ihr Unternehmen ein kleines Stück einer einzelnen Kreditkartennummer sowie einen Namen und ein Ablaufdatum speichern würde? Sagen wir nun, der PC, auf dem der Dropbox-Client installiert war, wurde durch einen Dropbox-Sicherheitsverschluss "hineingekommen" ... Folgen Sie mir? Visa / Amex etc .. die gigantischen Bankunternehmen mit staatlicher Unterstützung (weil die PCI-Standards (Payment Card Industry) dies vorschreiben) atemberaubende 500.000,00 USD pro Vorfall ... Es reicht aus, ein kleines oder mittleres Unternehmen aus dem Geschäft herauszuholen, in dem sie tätig sind ...
Die einzige Möglichkeit, dies zu umgehen, besteht darin, diese Daten mit einem PCI-zertifizierten Verschlüsselungsprodukt lokal zu verschlüsseln, BEVOR sie in die Dropbox gelangen, eine Lizenz für alle Ihre Remote-Geräte zu erwerben, die benötigte Datei herunterzuladen und sie zu entschlüsseln, bevor Sie sie verwenden können es .. (Nein, hört sich nicht so an, als würde es überhaupt keinen Spaß machen ...) (Oder Daten in Ihrem Servernetzwerk und Clients am Gateway verschlüsseln ...)
Mit all dem können Sie für weniger als 20 US-Dollar pro Benutzer (ungefähr 11 US-Dollar für den Grundpreis) einen Plan für die Office365 E-Serie erhalten, der HIPAA-, SOX-, ISO- und PCI-zertifiziert ist. zu diesem Zeitpunkt ", sind sie nicht ....)
Also frag dich, wenn auch in deinem Kopf klein ... Ist es das Risiko wirklich wert? und WOLLEN Sie mit einem Unternehmen Geschäfte machen, von dem ich denke, dass es leichtfertig vorgeht oder das leichtfertig macht, die Risiken, die mit der Verwendung seines Produkts verbunden sind?
Lohnt sich das Risiko für Ihre Karriere, wenn Sie in der Technologie tätig sind und eine Reithose haben und DID Dropbox zugelassen hat? Glaubst du, du bist einsatzfähig, nachdem dein Name neben einem Verschluss steht und du die Neuigkeit machst? Als CTO kann ich Ihnen versprechen, dass ich in meinem Leben nicht einmal die Entschuldigung dafür hören würde. Ich würde niemals jemanden in der Technologie interviewen, der durch seine eigenen Handlungen oder Entscheidungen eine Datenflut in einem Netzwerk beliebiger Größe verursacht hat. Ja, wir machen alle Fehler. Deshalb ist es Ihre Aufgabe in der IT, jedes große oder kleine Risiko so gut wie möglich zu eliminieren. Öffnen Sie nicht das Wurmloch und schreien Sie nach Alice. Es ist eine Katastrophe für PR. für ein Unternehmen (wenn ein Konkurrent herausfand und herausfand, wer Sie sind), was Sie getan haben und eine erhöhte Verpflichtung, jemanden einzustellen, weil er einen Filesharing-Dienst zugelassen hat, der öffentlich bestätigt und angibt, dass es sich nicht um PCI, SOX handelt , ISO,
Nun ... Sie müssen sich entscheiden ... Lohnt sich eine Karriere? Lohnt sich der Verlust Ihrer Firmen- oder Kundendaten?
Für mich .. Es ist nicht ... Verbraucher verwenden Konsumgüter, nicht Unternehmen ... Zeitraum.
quelle
Ein Update (1,5 Jahre später): Dropbox behauptet nun, dass sie die Daten per SSL-Protokoll übertragen und in AES-256-Containern speichern, auf die sie selbst nicht zugreifen können (ohne das Passwort).
quelle
Dropbox hat kürzlich zugegeben, dass sie kein SSL zum Übertragen von Dateimetadaten zwischen mobilen Clients und ihren Servern verwenden. Sie tun dies absichtlich aus Leistungsgründen. Sie geben nirgendwo auf ihrer Website an, dass sie dies tun. Hier können Sie darüber lesen:
https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop
quelle
Ich denke, sie arbeiten an einer Version, die Unternehmen intern verwenden können, mit mehr Sicherheit. In der Zwischenzeit sind die Dateien auf ihren Servern jedoch nicht verschlüsselt, sodass Sie ihnen vertrauen müssen.
Abgesehen davon sehe ich keine anderen Sicherheitsrisiken für Dropbox (z. B. Informationslecks).
quelle
Vieles wird von den in Ihrem Unternehmen geltenden Richtlinien abhängen. Wenn es so ist, wo ich arbeite - wo die gesamte Entwicklung, die ich mache, dem Krankenhaus gehört und nicht mir -, dann würde ich mir Sorgen machen, dass das geistige Vermögen eines Unternehmens auf einfache Weise "abschweift".
Es gibt eine Vielzahl von Dokumentenverwaltungssystemen, mit denen Sie etwas einrichten können, auf das nur intern oder über eine überwachbare Verbindung zugegriffen werden kann.
quelle