Y a-t-il des problèmes de sécurité particuliers à garder à l'esprit lors de l'utilisation à l'échelle de l'entreprise du partage / versioning / sauvegarde de fichiers Dropbox, et existe-t-il des options ou des paramètres spécifiques qui seraient recommandés pour limiter le risque?
Réponses:
Cela dépend de votre entreprise et de votre niveau de paranoïa. Il est beaucoup plus sûr, bien que plus cher, d'émettre des ordinateurs portables avec une connexion VPN.
Vraiment rapide...
Quelques risques:
Recommandations:
Je marcherais très attentivement ici. Dropbox permet une extension sur le disque dur d'un autre ordinateur.
Cette extension est pire qu'une clé USB dans le sens où les infections sur un PC peuvent atteindre tous les autres PC utilisant ce partage beaucoup plus facilement qu'avec une clé USB. Les auteurs de virus / chevaux de Troie / robots ne ciblent pas encore Dropbox, mais s'ils décident de le faire, alors vous avez une porte virtuelle déverrouillée d'un PC contrôlé par l'entreprise sur un réseau sécurisé à un ordinateur non sécurisé sur un réseau non sécurisé. En l'état, en utilisant les opérations normales, on ne peut pas simplement passer par cette porte et regarder d'autres choses sur l'ordinateur - seuls les éléments dans la boîte de dépôt peuvent être vus, et de nouveaux éléments ne peuvent être créés que dans cette zone, mais cela suppose que le l'application dropbox elle-même ne peut pas être compromise.
De plus, Dropbox revendique une grande sécurité, mais qu'est-ce qui est réellement prouvable pour vous? Il est possible que quelqu'un puisse se faufiler dans cette fenêtre à distance à partir d'un PC complètement différent et tenter de placer des documents et des programmes infectés sur le PC de travail.
Il existe évidemment un protocole utilisé par Dropbox pour communiquer avec ses clients - est-il chiffré? Est-il à l'abri des débordements de tampon? L'homme au milieu attaque? Reniflement? Rejouer les attaques? Est-il possible, à l'aide du protocole standard, de placer des fichiers à l'intérieur ou même à l'extérieur de la zone de dépôt standard? Si le protocole a un débordement de tampon, est-il possible de le compromettre de manière à permettre un accès complet à la machine? Partages réseau sur la machine?
Je ne pense pas que le risque soit très élevé, mais les dommages causés peuvent être considérables, c'est donc quelque chose qui doit être soigneusement pensé.
-Adam
Paranoïa????
Mec .. Éloignez-vous du réseau .. LENTEMENT .. Avec vos mains loin du clavier .. FAITES-LE MAINTENANT !!!
Les solutions "grand public" basées sur le cloud de partage de fichiers comme Dropbox ne sont pas destinées aux entreprises ou aux entreprises. Microsoft l'a dit le mieux avec Skydrive lorsqu'ils sont sortis et ont déclaré que ces types de produits ne sont pas et ne doivent pas être utilisés à des fins commerciales.
Il y a des milliers de raisons pour lesquelles cela ne l'emporte pas sur les raisons pour lesquelles on devrait le faire.
La plus grande raison LÉGALE en dehors des risques de sécurité (Et les conditions d'utilisation qui spécifient que des tiers peuvent avoir accès à des fichiers confidentiels, donc rien de confidentiel ne doit jamais être stocké sur un tel service basé sur le consommateur. JAMAIS ..)c'est le fait avec un service comme Dropbox, eh bien. Permettez-moi de demander ceci .. Où sont stockés ces fichiers? Où sont situés ces serveurs? Vous pouvez être assuré, avec le plus bas soumissionnaire, d'appeler quelque chose appelé Data Export Rules and Laws ... Si vous avez un seul petit fichier, le "gouvernement des États-Unis peut considérer comme un risque ou un risque potentiel pour la sécurité des États-Unis" (pourrait être quelque chose aussi petit que la disposition électrique d'un lieu de rassemblement public, d'une école, d'une salle de sport, de mots de passe ou d'un nom d'utilisateur vers quelque chose comme un compte Cisco où vous pouvez télécharger des logiciels restreints d'exportation, etc.) jusqu'à des documents classifiés, vous enfreignez cette loi. Vous allez en prison, vous ne passez pas go .. je crois maintenant, qui est géré par la FTC et la sécurité intérieure ..
Les conditions d'utilisation de la base de données spécifient (fondamentalement) que si elle est installée sur un PC professionnel, (Dropbox suppose que cette personne parce que la personne qui s'installe sur le PC professionnel garantit qu'elle le fait en cliquant sur les TOU) que la personne "autorisée" le fait POUR TOUTE L'ENTREPRISE .. Période ... (Première section ion Dropbox.com/terms)
Ce qui m'empêche d'utiliser cela en dehors de mon serveur et de mon environnement de travail, c'est tout simplement l'éthique ... Vous avez un produit de consommation comme Skydrive qui dit en gros caractères "Pas de business .. Ne faites pas! Car ils ne veulent pas risquer les données des clients sur un niveau commercial parce qu'ils SAVENT que c'est un risque! Et puis Flippin Dropbox qui utilise des mots légaux dans leurs contrats tels que le mot "stuff", qui patty gâteaux toute la "chose de sécurité" et agit comme si ce n'était pas grave (voudriez-vous de perdre des bénéfices et des parts de valeur? Probablement pas ...) ....
C'est un gros problème .. Plus les groupes de sécurité vous supplient, moi et moi, de suivre des pratiques simples, plus les gros comps comme dropbox sortent et pour de l'argent .. à but lucratif, agissent comme si ce n'était pas grave ...
Que se passe-t-il si votre entreprise stocke un petit morceau d'un seul numéro de carte de crédit ainsi qu'un nom et une date d'expiration? Maintenant, disons que le PC sur lequel le client Dropbox a été installé a été uhmm "entré dans ..." par une culasse de sécurité Dropbox ... Vous me suivez? Visa / Amex, etc. les entreprises bancaires gigantesques AVEC le soutien du gouvernement (parce que les normes PCI (Payment Card Industry) le disent .. c'est qui ...) VOUS AMENDERA .. obtenez ceci ... vous voudrez peut-être vous asseoir .. un montant stupéfiant de 500 000 $ par incident ... Il suffit de mettre une petite ou moyenne entreprise hors de l'entreprise dans laquelle elle se trouve ...
la SEULE façon de contourner ce problème consiste à crypter localement ces données à l'aide d'un produit de cryptage certifié PCI, AVANT qu'elles ne soient déposées sur Dropbox, à acheter des licences pour tous vos appareils distants, à télécharger le fichier dont vous avez besoin et à le décrypter avant de pouvoir l'utiliser. il .. (Non ne sonne pas comme ça n'est pas amusant du tout ...) (Ou le cryptage des données sur le réseau de vos serveurs et les clients à la passerelle ...)
Avec tout cela, pour moins de 20 $ par utilisateur (environ 11 $ pour celui de base), vous pouvez obtenir un plan de la série Office365 E, qui est certifié HIPAA, SOX, ISO et PCI. (Dropbox, caché dans les pages, indique clairement " en ce moment ", ils ne le sont pas ....)
Alors demandez-vous, quoique dans votre esprit petit ... Cela vaut-il vraiment le risque? et voulez-vous faire des affaires avec une entreprise qui, je pense, fait un pas léger ou fait la lumière, les risques liés à l'utilisation de leur produit ....
Est-ce que cela vaut le risque pour votre carrière si vous êtes dans la technologie et que vous êtes débordé et que vous autorisez le dropbox? Pensez-vous que vous êtes employable après que votre nom soit à côté d'une culasse et que vous ayez fait la une des journaux? En tant que CTO, je peux vous promettre que je n'entendrais même pas l'excuse derrière ma vie. Je n'interrogerais même jamais personne dans la technologie qui, par ses propres actions ou décisions, a causé une culpabilité de données sur n'importe quel réseau de taille .. Oui, nous faisons tous des erreurs, c'est pourquoi votre travail dans l'informatique consiste à éliminer tout risque, grand ou petit, du mieux que vous pouvez .. Ne pas ouvrir le trou de ver et crier pour Alice ...) C'est une catastrophe pour les relations publiques .. pour une entreprise, (si un concurrent a découvert et divulgué qui vous êtes .. (halètement) ce que vous avez fait .. et une responsabilité accrue d'embaucher quelqu'un parce qu'il a autorisé un service de partage de fichiers qui a reconnu publiquement et déclaré qu'il n'était pas PCI, SOX , ISO,
Eh bien ... c'est à vous de décider ... Est-ce que ça vaut une carrière? Vaut-il la peine de perdre les données de votre entreprise ou de vos clients?
Pour moi .. Ce n'est pas ... Les consommateurs utilisent des produits de consommation, pas des entreprises ... Période.
Une mise à jour (1,5 ans plus tard): Dropbox affirme maintenant qu'ils transmettent les données via le protocole SSL et les stockent dans des conteneurs AES-256 auxquels ils ne peuvent pas accéder eux-mêmes (sans mot de passe).
Dropbox a récemment admis qu'ils n'utilisaient pas SSL pour transférer des métadonnées de fichiers entre les clients mobiles et leurs serveurs. Ils le font exprès, pour des raisons de performances. Ils ne déclarent nulle part sur leur site Web qu'ils le font. Vous pouvez lire à ce sujet ici:
https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop
Je pense qu'ils travaillent sur une version pour les entreprises à utiliser en interne, avec plus de sécurité, mais en attendant, les fichiers ne sont pas cryptés sur leurs serveurs, vous devez donc leur faire confiance.
En dehors de cela, je ne vois pas d'autres risques de sécurité spécifiques à Dropbox (comme la fuite d'informations).
Beaucoup dépendra des politiques en place dans votre entreprise. Si c'est comme là où je travaille - où tout le développement que je fais appartient à l'hôpital, et pas à moi - alors je serais inquiet à l'idée que ce soit un moyen facile pour les actifs intellectuels de l'entreprise de «s'éloigner».
Il existe de nombreux systèmes de gestion de documents qui vous permettraient de configurer quelque chose qui n'est accessible qu'en interne ou via une connexion contrôlable.