it-swarm-ko.tech

Dropbox를 사용하는 직원에게는 어떤 보안 위험이 있습니까?

회사 전체에서 Dropbox 파일 공유/버전 관리/백업을 사용할 때 명심해야 할 특정 보안 문제가 있습니까? 위험을 제한하기 위해 권장되는 특정 옵션이나 설정이 있습니까?

17
davebug

그것은 당신의 사업과 편집증의 수준에 달려 있습니다. VPN 연결로 랩톱을 발행하는 것이 훨씬 안전하지만 비용이 많이 듭니다.

진짜 빠른...

몇 가지 위험 :

  • 이전 직원은 고용이 종료 된 후 비즈니스 데이터에 액세스 할 수 있습니다. 불만이있는 직원이 해고 된 후 사물에 접근하지 못하게하려면 업무상 계정을 관리해야합니다.
  • 이러한 서비스는 사용자가 보유한 자동 문서 보관 메커니즘을 우회하여 문서 보관을 위해 수동으로 다룰 수있는 다른 영역을 추가합니다.

추천 :

  • 데이터를 저장하기 위해 자체 암호화 키를 생성 할 수 있고 키가 서비스 제공 업체와 공유되지 않는지 확인하십시오
  • 데이터가 서비스 저장소로 전송되기 전에 데이터가 암호화되어 있는지 확인하십시오
  • 개인이 자신의 계정을 가지게하려면 회사에 대한 단일 연락 지점을 가지십시오. 이 사람 (또는 프록시 인 두 사람)을 통해 모든 계정을 조정하십시오. 또는 제공자가 어떻게 든 직원을 그룹화 할 수있는 비즈니스 계정을 지원하는지 확인하십시오.
7
squillman

나는 여기서 매우 조심스럽게 밟을 것입니다. Dropbox를 사용하면 다른 컴퓨터의 하드 드라이브로 확장 할 수 있습니다.

이 확장은 한 PC의 감염이 USB 키보다 훨씬 쉽게 공유를 사용하는 다른 모든 PC에 감염 될 수 있다는 점에서 USB 키보다 더 나쁩니다. 바이러스/트로이 목마/봇 작성자는 보관 용 계정 (아직)을 대상으로하지 않지만, 결정한 경우 보안 네트워크의 회사 제어 PC에서 안전하지 않은 네트워크의 안전하지 않은 컴퓨터로 가상 잠금 해제 된 문을 갖게됩니다. 마찬가지로 정상적인 작업을 사용하면 해당 문을 통과하고 컴퓨터에서 다른 것을 볼 수 없습니다. 드롭 박스 내의 항목 만 볼 수 있으며 해당 영역에서만 새 항목을 만들 수 있지만, 보관 용 응용 프로그램 자체는 손상 될 수 없습니다.

또한 Dropbox는 많은 보안을 요구하지만 실제로는 어떤 것이 있습니까? 누군가 완전히 다른 PC에서 원격으로 해당 창을 몰래 감염된 문서와 프로그램을 업무용 PC에 넣을 수 있습니다.

Dropbox 자체가 클라이언트와 통신하는 데 사용하는 프로토콜이 분명히 있습니다. 암호화되어 있습니까? 버퍼 오버플로에 면역성이 있습니까? 중간 공격에 남자? 스니핑? 재연 공격? 표준 프로토콜을 사용하여 파일을 표준 보관함 영역 내부 또는 외부에 배치 할 수 있습니까? 프로토콜에 버퍼 오버 플로우가있는 경우 시스템에 대한 전체 액세스를 허용하는 방식으로 프로토콜을 손상시킬 수 있습니까? 컴퓨터의 네트워크 공유?

위험이 매우 높다고는 생각하지 않지만 피해는 광범위 할 수 있으므로 신중하게 고려해야합니다.

-아담

5
Adam Davis

편집병????

야 .. 네트워크에서 떨어져 .. 천천히 .. 키보드에서 손을 떼고 .. 지금 해!

Dropbox와 같은 파일 공유 클라우드 기반 "소비자"솔루션은 비즈니스 또는 회사를위한 것이 아닙니다. 마이크로 소프트는 스카이 드라이브가 나왔을 때 가장 좋다고 말했으며 이러한 유형의 제품은 비즈니스 목적으로 사용해서는 안되며 사용해서는 안된다고 말했습니다.

왜 그렇게해야 하는가보다 많은 이유가 있습니다.

가장 큰 LEGAL 보안 위험 이외의 이유 (및 타사가 기밀에 액세스 할 수 있도록 지정하는 사용 약관 따라서 파일은 소비자 기반 서비스에 기밀로 저장되어서는 안됩니다. ..) 는 Dropbox와 같은 서비스의 사실입니다. 이 질문을하겠습니다. 그 파일은 어디에 저장되어 있습니까? 그 서버는 어디에 있습니까? 최저 입찰자와 함께 안심하고 데이터 내보내기 규칙 및 법률이라고 부르십시오. 작은 파일 하나만 있으면 "미국 정부는 미국 보안에 대한 위험 또는 잠재적 위험으로 간주 될 수 있습니다" 공공 모임 장소, 학교, 체육관, 비밀번호 또는 시스코 계정과 같은 전기적 레이아웃만큼이나 제한된 문서까지 수출 제한 소프트웨어 등을 다운로드 할 수있는 사용자 이름과 같은 경우, 귀하는 해당 법률을 위반하는 것입니다. 당신은 감옥에 가고, 당신은 통과하지 않습니다. 나는 지금 FTC and Homeland Security.)에 의해 처리된다고 생각합니다.

DB 이용 약관은 (기본적으로) 업무용 PC에 설치된 경우 (업무용 PC에 설치하는 사람이 TOU를 통해 클릭한다고 보증하기 때문에 Dropbox가 그 사람을 가정 함) "공인 된"개인이 그렇게하고 있음을 명시합니다. 전체 회사의 경우 .. 기간 ... (첫 번째 섹션 이온 Dropbox.com/terms)

서버 및 업무 환경 밖에서 이것을 사용하지 못하게하는 것은 단순히 윤리입니다. Skydrive와 같은 소비자 제품에는 "No Business"라고 큰 글자로 표시되어 있습니다. 고객의 데이터를 위험에 빠뜨리고 싶지 않기 때문에하지 마십시오. 비즈니스 위험 수준을 알고 있기 때문에 비즈니스 수준! 그리고 계약서에서 단어 "물건"과 같은 합법적 인 단어를 사용하는 Flippin Dropbox는 전체 "보안 항목"을 패티 케이크로 만들고 그다지 중요하지 않은 것처럼 행동합니다. 이익을 잃고 그 가치를 공유 할 수 있습니까?.

많은 보안 그룹이 당신과 내가 간단한 관행을 따르기를 간청할수록, dropbox와 같은 더 큰 comp가 나오고 돈을 벌기 위해 .. 이익을 위해 큰 거래가 아닌 것처럼 행동하십시오 ...

비즈니스에 작은 신용 카드 번호와 이름 및 만료 날짜를 저장하면 어떻게 되나요? Dropbox 클라이언트가 설치된 PC가 Dropbox 보안 브리치를 통해 "입수되었습니다." 비자/Amex 등 정부의 지원을받는 거대 은행 회사 (PCI (Payment Card Industry) 표준에 따르면 .. 그 사람은 ...) 당신은 괜찮을 것입니다. 인시던트 당 엄청난 $ 500,000.00 ... 중소 기업을 현업에서 제외시키는 것으로 충분합니다 ....

이를 해결하는 유일한 방법은 Dropbox로 이동하기 전에 모든 원격 장치에 대한 라이센스를 구매하고 필요한 파일을 다운로드하고 사용하기 전에 암호를 해독하기 전에 PCI 인증 암호화 제품을 사용하여 해당 데이터를 로컬로 암호화하는 것입니다 it .. (아직 재미없는 것처럼 들리지 않습니다 ...) (또는 서버 네트워크의 데이터를 암호화하고 게이트웨이의 클라이언트를 ...)

이 모든 것을 통해 사용자가 $ 20 미만 (기본 요금은 약 $ 11) 인 Office365 E 시리즈 계획을 얻을 수 있습니다. IS HIPAA, SOX, ISO 및 PCI 인증). 페이지에 숨겨진 Dropbox에는 "현재"가 명확하게 표시되어 있습니다.

마음은 작지만 스스로에게 물어보십시오. 실제로 위험할만한 가치가 있습니까? 그리고 당신은 내가 생각하거나, 가볍게 밟거나, 빛을내는 회사, 그들의 제품 사용과 관련된 위험과 거래하고 싶습니까?.

당신이 기술에 종사하고 있고 삐걱 거리고 당신이 DID dropbox를 허용합니까?) 당신의 경력에 ​​위험을 감수 할 가치가 있습니까? CTO로서, 나는 당신의 인생이나 그 뒤에는 변명조차들을 수 없다고 약속 할 수있다. 나는 그들 자신의 행동이나 결정에 의해 어떤 규모의 네트워크에서든 데이터의 흐름을 일으킨 기술을 가진 사람을 결코 인터뷰하지 않을 것이다. .. 그렇습니다. 우리 모두 실수를 저지르기 때문에 IT 분야에서 가능한 한 크거나 작은 위험을 제거하는 것입니다. 웜홀을 열고 앨리스를 위해 소리 지르지 마십시오 ...) PR의 재앙 .. 비즈니스의 경우 (경쟁 업체가 귀하가 누구인지 파악하고 유출 한 경우 .. (가장자리) 귀하가 한 일. 공개적으로 인정하고 PCI가 아니라고 말한 파일 공유 서비스를 허용하여 누군가를 고용 할 책임이 증가했습니다. , SOX, ISO, HIPAA 또는 PCI 인증

글쎄 .. 그게 당신이 결정하기위한 것입니다. 회사 나 고객 데이터를 잃을 가치가 있습니까?

저에게는 .. 소비자가 아닌 소비자 제품을 사용합니다. 시대가 아닙니다.

5
Ageek Bry

업데이트 (1,5 년 후) : Dropbox는 이제 SSL 프로토콜을 통해 데이터를 전송하고 AES-256 컨테이너에 저장한다고 주장합니다.

4
user57104

Dropbox는 최근 모바일 클라이언트와 서버간에 파일 메타 데이터를 전송하는 데 SSL을 사용하지 않는다고 인정했습니다. 성능상의 이유로 의도적으로이를 수행합니다. 그들은 자신의 웹 사이트에서이 작업을 수행한다고 언급하지 않습니다. 여기에서 읽을 수 있습니다.

https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop

4
Mike

회사가 내부적으로 사용하기 위해 더 많은 보안을 제공하는 버전으로 작업하고 있다고 생각하지만 파일은 서버에서 암호화되지 않으므로 파일을 신뢰해야합니다.

그 외에는 정보 유출과 같은 Dropbox와 관련된 다른 보안 위험을 볼 수 없습니다.

2
Ivan

회사에서 시행중인 정책에 많은 것이 의존 할 것입니다. 내가 일하는 곳 (내가하는 모든 개발이 병원이 아닌 곳)이라면 회사의 지적 자산이 "방황"할 수있는 쉬운 수단이 될까 걱정이됩니다.

내부 또는 모니터링 가능한 연결을 통해서만 액세스 할 수있는 항목을 설정할 수있는 문서 관리 시스템이 많이 있습니다.

1
AnonJr