Problèmes de sécurité avec permettant d'autoriser les installations Dropbox sur le PC client dans notre organisation
Est-ce que quelqu'un sait s'il y a de bonnes raisons de ne pas autoriser les installations Dropbox sur notre ordinateur client? Tous les PC ont un antivirus installé et fonctionnant. Je sais que c'est un vecteur d'attaque supplémentaire pour la propagation de fichiers, mais le type de risque que je suis spécifique inquiet est une propagation automatique due à la synchronisation des fichiers.
Le virus potentiel sur la zone de dépression peut-il plus facile une fois que le fichier est dans le nuage car il pourrait être synchronisé à notre client, puis se propager automatiquement? Existe-t-il des mécanismes de sécurité pour empêcher ce type de propagation?
Je ne prends pas en compte que les fichiers peuvent être infectés lorsque l'utilisateur les ouvre. Ces types de risques sont déjà pris en compte dans toutes les autres applications permettant le partage de fichiers (courrier électronique, dongles USB, etc.).
Le type de risque que je suis spécifique inquiet est une propagation automatique due à la synchronisation des fichiers.
Est-ce que quelqu'un sait s'il y a de bonnes raisons de ne pas autoriser les installations Dropbox sur notre ordinateur client?
Cela dépend d'un certain nombre de facteurs tels que votre volonté d'accepter les risques, la classification (sensibilité) des données que vous stockez/processus ou de gérer autrement et par exemple le potentiel d'augmentation de la productivité des utilisateurs.
Il y a eu un certain nombre de problèmes liés à la confidentialité concernant Dropbox tels que ceci , et ceci Et le fait que les données sont cryptées côté serveur. Il y a des arguments à la fois pour l'utilisation de Dropbox, mais il s'agit toujours de votre volonté d'accepter les risques et de compromettre donc de la sécurité pour la commodité accrue.
Le virus potentiel sur la zone de dépression peut-il plus facile une fois que le fichier est dans le nuage car il pourrait être synchronisé à notre client, puis se propager automatiquement?
Oui absolument. Les versions antérieures des documents MS Office avaient des macros activées par défaut et de nombreux vers ciblés celles de propagation (les versions ultérieures ont cependant de manière significativement améliorée dans cette zone!).
Mais un ver/trocanal pourrait être spécifiquement écrit pour tirer parti du partage des fichiers Dropbox. Lorsqu'il est exécuté (pour une raison quelconque), il pourrait numériser l'ordinateur et rechercher le dossier Dropbox, remplacer les fichiers, le renommer ou par tout autre moyen mis en place dans un endroit où l'utilisateur est susceptible de l'exécuter. C'est clairement une excellente façon de diffuser des logiciels malveillants vers et depuis des ordinateurs et des réseaux.
Existe-t-il des mécanismes de sécurité pour empêcher ce type de propagation?
Cela dépend de ce que vous entendez avec la propagation, mais je suppose que vous parlez de l'exécution d'un binaire Windows de l'un des ordinateurs gérés de votre entreprise. Ensuite, oui, il y a plusieurs façons de faire ça. À l'aide de Windows 7 Applocker, vous pouvez simplement restreindre les applications autorisées à exécuter ou à utiliser une application pour surveiller les fichiers exécutables "nouveaux" et à les supprimer, ou quelle que soit l'action que vous jugez souhaitable.
De plus, notre bon vieil ami AV attrapera tout autre malware atterrit dans le dossier Dropbox, en supposant une couverture raisonnable par le produit. Sachez qu'il existe des statistiques qui semblent indiquer que les produits AV les plus populaires sont le pire, mais que même les meilleures ne sont pas formidables non plus. (Rien de nouveau là-bas vraiment!)
L'une des difficultés les plus évidentes d'autorisation de Dropbox est de préciser la séparation entre les actifs de l'entreprise et les actifs privés. Il est inévitable que les utilisateurs utilisent également Dropbox sur leurs ordinateurs privés, ce qui stocke donc des données d'entreprise sur des ordinateurs privés sur lesquels vous n'avez aucun contrôle.
Cependant, cela dépend encore de votre volonté d'accepter les risques. Les menaces sont clairement identifiées et ce serait un exercice assez facile de calculer le risque associé à chaque menace et de vous fournir une liste de risques quantifiés. Vous pouvez également mettre en œuvre des garanties techniques pour réduire les risques liés à ce que vous étiez spécialement préoccupé.
Je discuterais cependant que la propagation de logiciels malveillants ne devrait pas être votre priorité absolue, à la place, vous devriez vous concentrer sur la manière de conserver une séparation claire entre les actifs de données privés et appartenant à la société. Il s'agit du mal à la tête réel à l'aide de tout type de produit de synchronisation de fichier ou de service entre les ordinateurs de l'entreprise et de la maison. Il existe également des produits qui répondraient également aux préoccupations concernant la divulgation de l'information, mais je mets Digress.
Vous êtes peut-être prêt à accepter ces risques afin d'éviter le coût de la mise en œuvre des garanties requises?
Avec Autoriser les sites de partage de fichiers tels que Dropbox, oui absolument, si vous laissez un utilisateur utiliser Dropbox, vous pouvez presque être assuré que leur PC à domicile ne sera pas aussi bien protégé que les PC d'entreprise. Donc, toutes ces garanties que vous avez vraiment mis en place pour minimiser les dégâts ... tels que la surveillance du contenu et le filtrage sont peu utilisés.
Il y a un problème plus important cependant, dans l'exfiltration possible des informations sensibles exclusives. Je serais plus inquiet à ce sujet qu'un virus commun. Si vous avez des utilisateurs qui pensent qu'ils ont besoin de Dropbox, déterminez pourquoi et défendez une solution approuvée et contrôlée de la société.
L'utilisation de fichiers Dropbox pour partager largement certains risques, bien qu'il présente également des avantages et qu'il est important de les conserver dans son contexte.
Le risque principal est la fuite de documents confidentiels. Si les utilisateurs stockent de nombreux documents confidentiels sur Dropbox et y accédez à de nombreuses machines, vous pourriez avoir de nombreuses copies de ces documents confidentiels flottant autour (par exemple, sur les machines à domicile des utilisateurs, qui sont probablement moins sécurisées). Il existe également le risque que si les utilisateurs choisissent un mot de passe Dropbox pauvre, cela peut permettre à quelqu'un d'autre d'avoir accès à leurs fichiers Dropbox et de voler des données confidentielles. Par conséquent, l'utilisation généralisée du logiciel de transport de fichiers comme Dropbox crée un défi accru pour le contrôle des données confidentielles. Toutefois, ces risques peuvent probablement être gérés par la politique: par exemple, la définition de la politique interdisant aux utilisateurs de mettre des données/documents hautement confidentiels dans Dropbox.
Vous avez posé une question sur un risque différent: un risque que les machines de travail des utilisateurs sont infectées par un virus effectué dans l'un des fichiers stockés dans leur compte Dropbox. Personnellement, je ne m'inquiéterais pas pour ça; Je ne pense pas que ce soit un risque important. En supposant que vous avez des logiciels antivirus installés sur toutes vos machines de travail, le logiciel AV doit saisir tout virus trouvé dans les fichiers que l'accès aux utilisateurs, même s'ils ont obtenu ces fichiers via Dropbox. Par conséquent, je ne m'inquiéterais pas pour celui-ci.
Il y a des risques avec l'interdiction de Dropbox. Un risque est la perte de productivité. Un autre risque est la perte de respect de votre service informatique, si la politique ne semble pas bien fondée; Plus votre département informatique reçoit une réputation de contrôler et d'interdire la technologie sans perfectionner, moins il est probable que les utilisateurs soient coopératifs avec la politique de sécurité informatique, et plus susceptibles que les utilisateurs recherchent des moyens de contourner les politiques. Cela pourrait causer plus de dommages globalement que toute réduction du risque d'interdire la Browbox. Je pense que beaucoup de gens sont frustrés lorsque leurs départements informatiques agissent irrationnellement et tentent d'éviter tout risque, quand ils devraient l'approcher d'une perspective de gestion des risques. Vous devrez déterminer si l'interdiction de Dropbox est vraiment justifiée dans votre organisation, ainsi que le véritable niveau de risque de Dropbox et la posture de sécurité et degré de tolérance à risque adaptés à votre organisation.
Je veux aussi le deuxième conseil de séparation de M15K. Si vous pensez que Dropbox est un risque inacceptable pour votre organisation, le conseil de M15K est excellent: "Si vous avez des utilisateurs qui ont besoin d'avoir besoin de Dropbox, de déterminer pourquoi et de déformer une solution approuvée et contrôlée de la société."
Les solutions "consommateur" de partage de fichiers tels que Dropbox, ne sont pas destinées aux entreprises ou aux sociétés. Microsoft a dit qu'il est le mieux avec SkyDrive quand ils sont sortis et ont dit que ces types de produits ne sont pas et ne doivent pas être utilisés à des fins commerciales.
Il y a des milliers de raisons pour lesquelles cela ne l'emporte pas les raisons pour lesquelles on devrait.
La plus grande LÉGAL raison en dehors des risques de sécurité (et les conditions d'utilisation qui spécifient que la 3e Parties peut avoir accès à la confidentialité Die donc rien de confidentiel ne devrait jamais être stocké sur un tel service basé sur le consommateur ..] est le fait avec un service tel que Dropbox, bien. Laissez-moi demander cela .. où sont ces fichiers stockés? Où se trouvent ces serveurs? Vous pouvez être assuré, avec le plus bas soumissionnaire, appelez quelque chose appelé Règles d'exportation de données et lois ... Si vous avez un seul fichier minuscule, le "gouvernement des États-Unis peut juger comme un risque ou un risque potentiel pour la sécurité américaine" (pourrait être quelque chose Aussi petite que la disposition électrique à un lieu de rassemblement public, une école, une salle de sport, des mots de passe ou un nom d'utilisateur à quelque chose comme un compte Cisco où vous pouvez télécharger des logiciels restreints à l'exportation, etc.) aux documents classés, vous êtes en violation de cette loi. Vous allez en prison, vous ne passez pas aller .. Je crois maintenant, cela est géré par FTC et la sécurité intérieure ..
Les conditions d'utilisation de la DB spécifient (fondamentalement) que si elle est installée sur un PC d'entreprise (Dropbox suppose que la personne d'installation dans le PC d'entreprise garantit qu'ils cliquent sur le TOU) que l'individu "autorisé" le fait Pour toute la société .. Période ... (première section ion dropbox.com/terms)
Ce qui m'arrête d'utiliser cette extérieure de mon serveur et de mon environnement de travail est simplement éthique ... vous avez un produit de consommation comme SkyDrive que, dans les grandes lettres, indique "Pas de commerce. Pas! Parce qu'ils ne veulent pas risquer les données du client sur un niveau d'entreprise parce qu'ils savent que c'est un risque! et ensuite Flippin Dropbox qui utilise des mots juridiques dans leurs contrats tels que le mot "Stuff", qui Patty associe toute la "chose de sécurité" et agit comme son gros problème (voudriez-vous perdre des bénéfices et des actions valables? Probablement pas ...) ...
C'est une grosse affaire .. Plus les groupes de sécurité vous mendient et moi de suivre des pratiques simples, plus la Big Comps de Dropbox sortez et pour de l'argent .. À but lucratif, agissez comme son gros problème ...
Et si votre entreprise stockait un petit numéro de carte de crédit et une date de nom et d'expiration? Dis maintenant que le client PC Le client Dropbox a été installé sur UHMM "est-ce que" à travers une culasse de sécurité Dropbox ... me suivre? Visa/Amex, etc. Les sociétés de banque ginormes avec le soutien du gouvernement (car les normes de l'industrie des cartes de paiement (PCI) le dit .. C'est qui est qui ...) va bien vous .. Obtenez ceci ... vous voudrez peut-être vous asseoir .. Un échelonnement de 500 000,00 $ par incident ... il suffit de mettre une petite ou moyenne entreprise hors de l'entreprise ....
le seul moyen de contourner cela, c'est de chiffrer localement ces données à l'aide d'un produit de cryptage certifié PCI, avant de passer à Dropbox, achetant des licences pour tous vos périphériques distants, téléchargez le fichier dont vous avez besoin et de le crypter avant de pouvoir utiliser IT .. (Nope Ne sonnez pas comme ça ne vous plaît pas du tout ...) (ou crypter des données sur votre réseau de serveurs et clients de la passerelle ...)
Avec tout cela, pour moins de 20 $ un utilisateur (environ 11 $ pour le basique), vous pouvez obtenir un plan de série Office365 e, que IS hipaa, sox, iso et certifié PCI certifié .. (Dropbox, caché là, les pages indiquent clairement "à l'heure actuelle", ils ne sont pas ....)
Alors, demandez-vous, bien que dans votre esprit petit ... Est-ce que cela vaut réellement le risque? Et voulez-vous faire des affaires avec une entreprise qui, à mon avis, étapes légèrement ou clair, les risques associés à l'utilisation de leur produit ....
Est-ce que cela vaut le risque pour votre carrière si vous êtes dans la technologie et que vous vous soyez soigné et que vous DID Autoriser Dropbox? Pensez-vous que vous êtes employable après votre nom à côté d'une culasse et que vous faites les nouvelles? En tant que CTO, je peux vous promettre, pas sur ma vie, je n'entendrais même pas l'excuse derrière elle .. Je n'intervédoulerais jamais personne dans la technologie qui, par leurs propres actions ou décisions, a provoqué une culasse de données sur un réseau de tailles. Oui, nous faisons tous des erreurs, c'est pourquoi votre travail est d'éliminer tout risque, grand ou petit de mieux que vous pouvez .. ne pas ouvrir le trou de ver et crier pour Alice ...) C'est une catastrophe de PR .. Pour une entreprise, (si un concurrent a découvert et a fui qui vous êtes .. (Gasp) Qu'est-ce que vous avez fait .. Et une responsabilité accrue pour embaucher quelqu'un parce qu'ils ont autorisé un service de partage de fichiers qui a reconnu publiquement et déclaré qu'ils n'étaient pas PCI, SOX , Certifié ISO, HIPAA ou PCI
Eh bien .. c'est pour vous de décider ... ça vaut la peine? Est-ce que cela vaut la perte de votre entreprise ou de vos données client?
Pour moi .. ce n'est pas ... Les consommateurs utilisent des produits de consommation, pas des entreprises ... Période.