當某個用戶共享了關于企業數據的一個分享鏈接,那么任何點擊該鏈接的人都可能可以訪問到企業的敏感信息。一些免費的FSS應用程序不提供的隱私設置。即使用戶有這樣的需求,他們不能改變公共設置為私人設置,以保護數據。
這里有一個讓那些分享鏈接避免被公開的方式。當一個對象通過電子郵件接收到一個共享的鏈接,電子郵件客戶端或安全設置可能會阻止他們直接點擊該鏈接。所以,他們必須復制該鏈接,并將其粘貼到瀏覽器的地址欄中。許多用戶誤貼了分享鏈接到了搜索領域,通常使用谷歌的搜索引擎,這是人們得使用最多的搜索引擎,以搜索該鏈接的結果。
“人們越來越習慣把網址粘貼到搜索區域而不是瀏覽器的地址欄。例如,在iPhone上,搜索區域就是粘貼URL的地址欄。”RSA大會程序委員會主席休·湯普森說。
人為操作錯誤會造成分享鏈接暴露,因為谷歌會自動為其AdWords和分析工具收集用戶的搜索詞,以便讓企業客戶/廣告合作伙伴使用谷歌的廣告時確定廣告的最佳關鍵詞。當企業通過FSS供應商,鏈接進入其競爭對手的名字,就能在Dropbox看到競爭對手的員工使用了哪些關鍵詞,分享了什么鏈接,包括其名稱都能夠出現Dropbox的結果中。這些共享鏈接便被激活了,點擊鏈接,他們就能夠訪問到敏感數據了。
這種事件引發了一些問題:誰的責任?企業能采取什么措施來防止敏感數據泄漏?
責任
理查德·安斯蒂是Intralinks公司的首席技術官,該公司早在2013年11月就發現并披露了此漏洞給Dropbox(和谷歌)。Dropbox在今年五月發布了一篇博客以解決這些問題,(有關此漏洞的部分以一個單一的段落出現在其 “14年5月6日更新”中。
截止本文撰寫截稿時,最新的博客文章沒有公開任何修復了谷歌AdWords廣告對于共享鏈接URL自動抓取的補丁。相關文檔的鏈接地址一經共享,任何人都可以很容易地通過谷歌的Adwords檢索到的共享鏈接下載并共享這些文檔。
但是,我們并不能完全責怪免費的FSS應用程序的默認公共設置。畢竟,這些服務以其實用性和便利性已經安全的為我們的最終用戶和企業員工服務了很長一段時間了。對于一家企業內的某個小團隊,在某一個特定項目中非正式地同意使用一個免費的FSS的應用程序,如Dropbox是非常普遍的,湯普森說。“他們一致同意在沒有IT標準化的情況下使用它。”
人們使用免費的FSS應用程序,是以只有他們所分享鏈接的對象才能看到和使用分享內容為假設前提的。但精明的黑客,了解一個分享鏈接的默認構造,甚至能猜出一個共享鏈接URL末端字符的組合,然后嘗試訪問該分享鏈接。“這將有可能導致企業敏感數據的暴露。”湯普森說。“基于隨機字符已經有各種攻擊了。”湯普森確認說。因此,這種方法不會有什么新東西了。
防止漏洞
據安斯蒂介紹,有人故意在任何階段都惡意攻擊此漏洞是不太可能的。這整個階段包括從最終用戶利用免費的FSS工具,發送分享鏈接,到分享對象錯誤的把這些鏈接放在了瀏覽器搜索欄。
減輕這類攻擊的方法除了針對這種類型的服務量身定制特殊的管理政策之外,是需要針對用戶進行徹底的,有效的教育。有效的員工安全培訓必須確保企業經過了員工測驗,確保員工對于相關管理策略信息的充分理解。企業必須讓員工在接受管理政策的協議書上簽字。
然后,在政策管理執行的基礎上增加技術輔助。“將網絡邊界技術與管理政策結合,以保證企業敏感的數據無法到達這種存在漏洞的免費文件共享服務環境。”安斯蒂說。通過結合員工教育和技術手段,企業可以最大限度地減少違規行為,并有效地管理員工的數據分享行為。
但這種因果關系的問題需要一個更廣泛的解決方案。企業需要認識到,員工要盡可能有效地工作;這正是導致他們使用FSS軟件的原因。企業應當承認并接受FSS工具是有用的。“企業應該找到一個解決方案,規范并支持FSS工具的使用。”安斯蒂說。選擇一款企業已測試和批準的FSS工具。企業要確保其批準授權員工使用的FSS工具的有效性,易用性,符合員工的滿意度,否則他們將繼續使用他們青睞的其他工具。
列出在FSS應用軟件中的信息管理周期,以確保數據安全。這包括確定任何數據是否能夠在FSS服務共享或共享的時長。決定何時停止共享以前共享過的數據,例如當某個項目或合作關系終結時。考慮采用電子發現,因為企業必須定期處理一些數據,并保管其他另一些數據相當長的時間。這將幫助企業限制相關的漏洞,安斯蒂說。
轉向更靈活的思維框架
湯普森同意企業可以采取書面政策的方法,遏制員工使用免費的FSS應用共享企業數據。“企業可以利用技術來限制通過免費的FSS應用程序從外部的訪問。如果某位員工已經離開辦公室,但其設備仍然連接到企業網絡/內聯網,企業可以使用云的工具來減少人們利用這些免費的FSS應用的可能性,”湯普森說。
“但是,企業員工正試圖盡快保質保量的完成他們的工作,”湯普森說。他們將試圖使用各種技術,以幫助他們盡快達到他們的目標,湯普森說。而IT部門歷來的答復都是“不!”;诠镜娘L險設置,在有著所有這些有用的應用程序廣泛使用的新環境,正在迫使其成為這些技術的推動者,湯普森說。
在湯普森看來,企業要么可以將FSS問題看作一個單一的問題;要么將其作為一個更大的相似問題的模式的一部分。他們要么可以針對這些應用的缺點做出反應;要么認識到這些都是今天業務的一部分這一現實。如果他們選擇后者,重新校準安全功能,以解決業務需求是必要的。在湯普森看來,企業管理者應該問自己如何成為安全環境的推動者,以便讓員工們能夠順利的使用這些技術。
據湯普森介紹,他在RSA會議上看到采用這一方法的頻率正在增加——即,從保證絕對安全到盡可能保證數據的安全,他們已經認識到非常老練的攻擊者的存在,而失敗和違約行為也時有發生。“如果發生故障,有一整套技術幫助我們確定發生了什么,然后我們就可以進一步的優化企業的安全策略。”湯普森說。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:文件同步和共享的安全
本文網址:http://www.guhuozai8.cn/html/consultation/10839515597.html