NETprotcol技术总监Mike Batters, www.netprotocol

在最近的新闻中,Dropbox经常出现在新闻中,标题为许多安全漏洞。一些利用从其他服务泄漏的电子邮件地址和密码来访问Dropbox帐户的漏洞利用。 Dropbox一直在更新其服务,以提高自身的安全性,但这无法解决其他地方泄漏的数据。不能将Dropbox归咎于在许多服务上使用相同密码的用户,但这是用户所做的,并且可能永远都会这样做。但是,Dropbox并未注意到有一群机器有系统地尝试使用成千上万的电子邮件/密码组合来获取访问权限,这是他们在2014年遭到批评的地方。Dropbox仍将是目标,并且将以任何“黑客”有很多收获。

http://www.businessinsider.com/dropbox-hacked-2014-10

//blogs.dropbox.com/dropbox/2014/10/dropbox-wasnt-hacked/

除了这些安全问题之外,Dropbox一次又一次地成为人们关注的焦点,因为网络罪犯已经如此轻松地共享文件,因为它具有轻松共享文件的功能。 Dropbox公共文件链接通常用于向用户交付Ransomware(例如CryptoLocker)和其他恶意软件。当用户将Dropbox视为值得信赖的品牌时,他们会更倾向于单击随机电子邮件中的链接,前提是它们是安全的,并真正相信Dropbox以某种方式“检查”了文件的安全性。

对于攻击者而言,这是一个非常简单且高效的社交工程,它一次又一次地起作用,并且确实应该促使网络安全管理员彻底阻止公司网络中的Dropbox

//www.proofpoint.com/uk/threat-insight/post/New-Year-More-Dridex

然后是数据所有权的问题。像Google(以及几乎所有公共云服务)一样,Dropbox也因其T&Cs有时会授予它对其存储的用户数据的访问权限。对于个人使用而言,这不是一个问题,但是当它是敏感的公司信息时,对律师事务所而言可能是一个巨大的问题。

所以,有很多原因 使用,为什么还有那么多人在使用它?从我们的研究中,我们发现有许多关键原因:

•用户已经拥有个人Dropbox帐户,因此使用这些帐户和“合法”快速共享公司数据非常容易

•用户 需要 紧急分享一些东西,但是太大了,无法通过电子邮件发送

• 免费

•网络管理员不是或不能限制用户,并且难以提供可靠且易于使用的替代方案

•他们忘记或只是忽略了IT培训,这些培训指定不使用Dropbox,Google Drive等共享数据

•他们“一直使用Dropbox”,因此会一直进行下去,直到强迫他们进行更改为止

由于使用公共云存储存在许多风险和合规性问题,有哪些选择?

• 没做什么。继续允许企业中的个人以不受管制的方式使用公共云存储,例如Dropbox,Google Drive等。希望数据不会泄漏或泄露,并且不会对业务造成财务或声誉损失。对于大多数律师事务所来说,一旦他们意识到这种情况,但可能会选择忽略它,这根本不是一个现实的选择。

•停止使用文件共享服务。可以使用IT使用策略和技术解决方案来简单地避免使用Dropbox等,从而消除了相关的风险。文件共享提供了非常快的数据传输方式,但是还有传统的替代方法,例如电子邮件,用于较大文件的加密USB / CD等。尽管有缺点,但这些改进无疑是一种改进。

•和我推荐的选择–调查并查看替代的私人文件共享选项,为用户提供可满足法律合规性和治理需求的可信服务。如果文件共享服务具有业务优势,那么可以用最少的投资提供许多基于安全私有云的产品,从而使用户能够有效地工作并减轻他们原本会招致的风险。

现在可能是时候确定您公司内的员工是否正在使用公共可以存储的存储;如果可以,则共享谁以及共享什么?共享的信息是否需要保持安全?何时或如果您的数据安全受到破坏,责任将落在哪里?