Dropbox를 사용하는 직원에게는 어떤 보안 위험이 있습니까?


17

회사 전체에서 Dropbox 파일 공유 / 버전 관리 / 백업을 사용할 때 염두에 두어야 할 특정 보안 문제가 있으며 위험을 제한하기 위해 권장되는 특정 옵션 또는 설정이 있습니까?


기업 및 개인용 Dropbox의 일부 핵심 보안 및 법적 문제에 대한 자세한 설명은 다음과 같습니다. blog.5ttt.org/dropbox

답변:


7

그것은 당신의 사업과 편집증의 수준에 달려 있습니다. VPN 연결로 랩톱을 발행하는 것이 훨씬 안전하지만 비용이 많이 듭니다.

진짜 빠른...

몇 가지 위험 :

  • 이전 직원은 고용이 종료 된 후 비즈니스 데이터에 액세스 할 수 있습니다. 불만을 품은 직원이 해고 된 후 사물에 접근하지 못하게하려면 업무상 계정을 관리해야합니다.
  • 이러한 서비스는 사용자가 보유한 자동 문서 보존 메커니즘을 우회하여 문서 보존을 위해 수동으로 다룰 수있는 다른 영역을 추가합니다.

추천 :

  • 데이터를 저장하기 위해 자체 암호화 키를 생성 할 수 있고 키가 서비스 제공 업체와 공유되지 않는지 확인하십시오
  • 데이터가 서비스 저장소로 전송되기 전에 데이터가 암호화되어 있는지 확인하십시오
  • 개인이 자신의 계정을 가지게하려면 회사에 대한 단일 연락 지점을 가지십시오. 이 사람 (또는 프록시 인 두 명)을 통해 모든 계정을 조정하십시오. 또는 제공자가 어떻게 든 직원을 그룹화 할 수있는 비즈니스 계정을 지원하는지 확인하십시오.

전직 직원의 계정을 통제하지 않는 것이 도움이되었습니다. 종료 계획의 일부로 폴더 공유 해제를 추가합니다.
davebug

또한 개인 데이터가 통제되지 않은 환경에있게 될 위험이 분명하기 때문에 모든 EU 비즈니스에 문제가됩니다. Safe Harbor 인증을 유지하려는 모든 미국 비즈니스도 마찬가지입니다 (따라서 EU 개인 데이터를 처리 할 수 ​​있음).
Vatine

5

나는 여기서 매우 조심스럽게 밟을 것입니다. Dropbox를 사용하면 다른 컴퓨터의 하드 드라이브로 확장 할 수 있습니다.

이 확장은 한 PC의 감염이 USB 키보다 훨씬 쉽게 공유를 사용하는 다른 모든 PC에 감염 될 수 있다는 점에서 USB 키보다 더 나쁩니다. 바이러스 / 트로이 목마 / 봇 작성자는 보관 용 계정 (아직)을 대상으로하지 않지만, 결정한 경우 보안 네트워크의 회사 제어 PC에서 안전하지 않은 네트워크의 안전하지 않은 컴퓨터로 가상 잠금 해제 된 문을 갖게됩니다. 마찬가지로 정상적인 작업을 사용하면 해당 문을 통과하고 컴퓨터에서 다른 것을 볼 수 없습니다. 드롭 박스 내의 항목 만 볼 수 있으며 해당 영역에서만 새 항목을 만들 수 있지만, 보관 용 응용 프로그램 자체는 손상 될 수 없습니다.

또한 Dropbox는 많은 보안을 요구하지만 실제로는 어떤 것이 있습니까? 누군가 완전히 다른 PC에서 원격으로 해당 창을 몰래 감염된 문서와 프로그램을 업무용 PC에 넣을 수 있습니다.

클라이언트와 통신하기 위해 Dropbox 자체가 사용하는 프로토콜이 분명히 있습니다. 암호화되어 있습니까? 버퍼 오버플로에 면역성이 있습니까? 중간 공격에 남자? 스니핑? 재연 공격? 표준 프로토콜을 사용하여 표준 보관함 영역 내부 또는 외부에 파일을 배치 할 수 있습니까? 프로토콜에 버퍼 오버 플로우가있는 경우 시스템에 대한 전체 액세스를 허용하는 방식으로 프로토콜을 손상시킬 수 있습니까? 컴퓨터의 네트워크 공유?

위험이 매우 높다고는 생각하지 않지만 피해는 광범위 할 수 있으므로 신중하게 고려해야합니다.

-아담


3
내부적으로 Dropbox는 Python 실행 파일을 통해 rsync를 사용합니다. 비록 사용 된 프로토콜이 표준이 아니라는 추측을 할 것입니다.
Joel Lucsy 2009

5

편집병????

야 .. 네트워크에서 떨어져 .. 천천히 .. 키보드에서 손을 떼고 .. 지금 해!

Dropbox와 같은 파일 공유 클라우드 기반 "소비자"솔루션은 비즈니스 또는 회사를위한 것이 아닙니다. 마이크로 소프트는 스카이 드라이브가 나왔을 때 가장 좋다고 말했으며 이러한 유형의 제품은 비즈니스 용으로 사용해서는 안되며 사용해서는 안된다고 말했습니다.

왜 그렇게해야 하는가보다 많은 이유가 있습니다.

가장 큰 법적 보안 위험의 이유 외부 (제 3 자이 때문에 기밀 아무것도 이제까지 소비자 EVER ..을 기반으로 이러한 서비스에 저장해서는 안 기밀 파일에 액세스 할 수 있도록 지정할과 이용 약관 ..)Dropbox와 같은 서비스의 사실입니다. 이 질문을하겠습니다 .. 파일이 어디에 저장되어 있습니까? 그 서버는 어디에 있습니까? 최저 입찰자와 함께 안심하고 데이터 내보내기 규칙 및 법률이라고 부르십시오. 작은 파일 하나만 있으면 "미국 정부는 미국 보안에 대한 위험 또는 잠재적 위험으로 간주 될 수 있습니다" 공공 모임 장소, 학교, 체육관, 비밀번호에 대한 전기적 레이아웃 또는 시스코 계정과 같은 사용자 이름으로 분류 된 문서까지 수출 제한 소프트웨어 등을 다운로드 할 수있는 경우에는 해당 법률을 위반하는 것입니다. 당신은 감옥에 가고, 당신은 통과하지 않습니다.. 나는 지금 FTC와 국토 안보부에 의해 처리됩니다.

DB 이용 약관은 (기본적으로) 업무용 PC에 설치된 경우 (업무용 PC에 설치하는 사람이 TOU를 통해 클릭한다고 보증하기 때문에 Dropbox가 그 사람을 가정 함) "공인 된"개인이 그렇게하고 있음을 명시합니다. 전체 회사의 경우 ... 기간 ... (첫 번째 섹션은 Dropbox.com/terms)

서버 및 업무 환경 밖에서 이것을 사용하는 것을 막는 것은 단순히 윤리입니다 ... Skydrive와 같은 소비자 제품에는 "No Business."라고 큰 글자로 표시되어 있습니다. 고객의 데이터를 위험에 빠뜨리고 싶지 않기 때문에 "위험"이라는 계약상의 법적 단어를 사용하는 "pin"Dropbox Dropbox Dropbox Dropbox Dropbox Dropbox Dropbox Dropbox Dropbox Droppy Dropbox 이익을 잃고 그 가치를 공유합니까?

많은 보안 그룹이 당신과 내가 간단한 관행을 따르기를 간청할수록, dropbox와 같은 더 큰 comp가 나오고 돈을 벌기 위해 .. 이익을 위해 큰 거래가 아닌 것처럼 행동하십시오 ...

비즈니스에 작은 신용 카드 번호와 이름 및 만료 날짜를 저장하면 어떻게 되나요? 이제 드롭 박스 클라이언트가 설치된 PC가 드롭 박스 보안을 통해 "들어갔습니다." 비자 / Amex 등 정부의 지원을받는 거대 은행 회사 (PCI (Payment Card Industry) 표준에 따르면 .. 그 사람은 ...) 인시던트 당 엄청난 $ 500,000.00 ... 중소 기업을 현업에서 제외시키는 것으로 충분합니다 ....

이를 해결하는 유일한 방법은 PCI 인증 암호화 제품을 사용하여 해당 데이터를 로컬로 암호화하는 것입니다 (드롭 박스로 이동하기 전에 모든 원격 장치에 대한 라이센스 구매, 필요한 파일 다운로드 및 사용하기 전에 암호 해독). it .. (아직 재미없는 것처럼 들리지 않습니다 ...) (또는 서버 네트워크의 데이터를 암호화하고 게이트웨이의 클라이언트를 ...)

이 모든 것을 통해 20 달러 미만의 사용자 (기본 계획의 경우 약 11 달러)는 ISHIPAA, SOX, ISO 및 PCI 인증을받은 Office365 E 시리즈 계획을 얻을 수 있습니다. 이 시점에서 ", 그들은 아닙니다 ....)

마음은 작지만 스스로에게 물어보십시오. 실제로 위험할만한 가치가 있습니까? 그리고 당신은 내가 생각하거나, 가볍게 밟거나, 빛을내는 회사, 그들의 제품 사용과 관련된 위험과 거래하고 싶습니까? ...

기술력이 뛰어나고 혼란에 빠지고 Dropbox에 허용 된 경우 경력에 위험을 감수 할 가치가 있습니까? 당신은 당신의 이름이 약탈 옆에 있고 당신이 뉴스를 만든 후에 고용 가능하다고 생각합니까? CTO로서, 나는 내 인생에 대한 변명조차들을 수 없다고 약속 할 수있다. 나는 그들 자신의 행동이나 결정에 의해 어떤 규모의 네트워크에서든 데이터의 흐름을 일으킨 기술을 가진 사람을 결코 인터뷰하지 않을 것이다. 그렇습니다. 우리 모두 실수를 저지르기 때문에 IT 부서에서 할 수있는 최선을 다해 작은 위험을 제거하는 것입니다. 웜홀을 열고 앨리스에게 비명을 지르지 마십시오 ...) PR의 재앙입니다 .. 비즈니스를 위해 (경쟁 업체가 귀하의 신원을 발견하고 유출 한 경우 .. (가장자리) 귀하가 한 일을 공개적으로 인정하고 PCI, SOX가 아니라고 공개적으로 인정하고 진술 한 파일 공유 서비스를 허용하여 누군가를 고용 할 책임이 증가했습니다. , ISO,

글쎄 .. 그게 당신이 결정하기위한 것입니다. 회사 나 고객 데이터를 잃을 가치가 있습니까?

저에게는 .. 소비자가 기업이 아닌 소비재를 사용합니다. 시대가 아닙니다.


4

업데이트 (1,5 년 후) : Dropbox는 이제 SSL 프로토콜을 통해 데이터를 전송하고 AES-256- 컨테이너에 저장한다고 주장합니다 (암호 없이는 스스로 액세스 할 수 없음).


2
그 주장은 거짓말로 밝혀졌습니다. wired.com/threatlevel/2011/05/dropbox-ftc
David Sykes

4

Dropbox는 최근 모바일 클라이언트와 서버간에 파일 메타 데이터를 전송하는 데 SSL을 사용하지 않는다고 인정했습니다. 성능상의 이유로 의도적으로이를 수행합니다. 그들은 웹 사이트의 어느 곳에서도이를 수행한다고 진술하지 않습니다. 여기에서 읽을 수 있습니다.

https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop


2

회사가 내부적으로 사용하기 위해 더 많은 보안을 제공하는 버전으로 작업하고 있다고 생각하지만 파일은 서버에서 암호화되지 않으므로 파일을 신뢰해야합니다.

그 외에는 정보 유출과 같은 Dropbox와 관련된 다른 보안 위험을 볼 수 없습니다.


사실이 아님-Dropbox는 서버에 보관 된 모든 데이터 블록을 암호화합니다. 그러나 키는 Dropbox에서 전적으로 관리하며 다른 계정간에 공유됩니다. "Dropbox config.db"에 대한 Google 및 기타 보안 문제가 많이 있습니다 (이 답변을 작성한 이후).
RichVel

1

회사에서 시행중인 정책에 많은 것이 의존 할 것입니다. 내가 일하는 곳 (내가하는 모든 개발이 병원이 아닌 곳)이라면 회사의 지적 자산이 "방황"할 수있는 쉬운 수단이 될까 걱정이됩니다.

내부 또는 모니터링 가능한 연결을 통해서만 액세스 할 수있는 항목을 설정할 수있는 문서 관리 시스템이 많이 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.