Com violações de perfil relativamente recentes como o caso do iCloud ainda em nossas mentes, é hora de dar uma boa olhada nos riscos representados pelas soluções SaaS de sincronização e compartilhamento de arquivos (FSS). Já foi dito muitas vezes que tais soluções não são seguras - mas vamos além dos slogans, dissecar o que exatamente eles estão fazendo que é tão inadequado, e quais conclusões as empresas devem tirar de tudo isso.

Para entender o padrão, voltei ao longo do último ano para examinar vários incidentes e, magicamente, terminei com sete deles - e, portanto, trago para você os sete pecados mortais de sincronização e compartilhamento de arquivos..

Luxúria

Os hackers cobiçam seus dados de FSS: conforme relatado por um estudo do Google no início do ano passado e demonstrado também por uma divulgação do Dropbox em 2012, o seqüestro de conta é uma ameaça comum.

As possibilidades para hackers são infinitas - em muitos casos elas simplesmente usavam as contas para direcionar usuários com spam, mas como os serviços FSS sincronizam arquivos com o seu computador, o acesso a contas pode ser facilmente usado para inserir malware nos PCs dos usuários, ou para qualquer coisa, desde keylogging a sistemas corporativos infiltrados. Naturalmente, os serviços mais utilizados são mais propensos a serem alvo de hackers.

Sua penitência Existem maneiras de reduzir esses riscos, incluindo a autenticação do usuário usando a integração do Active Directory, alterações freqüentes de senha, bem como métodos de autenticação de dois fatores ou multifator, todos podem fazer muito para evitar o seqüestro de conta.

Gula

O Big Brother engolirá seus dados: como foi revelado por Edward Snowden, o programa PRISM da Agência de Segurança Nacional explora dados de usuários de uma variedade de provedores de serviços baseados nos EUA, incluindo Apple, Google e outros. O Dropbox também está recebendo solicitações de divulgação, e só é possível adivinhar quantos dados são coletados por outros meios que não envolvam a NSA pedindo gentilmente..

Sua penitência Se você deseja tornar seus arquivos menos apetitosos e menos acessíveis às agências de inteligência, pode ir completamente à sua própria infraestrutura ou usar um serviço de nuvem que permita criptografar seus dados na origem e ser o único proprietário da criptografia. chaves.

Ganância

Chave de criptografia global, a desduplicação em todas as contas equivale a mais dinheiro: observe qualquer provedor de FSS e ele informará que seus dados estão criptografados com criptografia de nível militar. Isso é tão útil quanto saber que sua casa tem uma porta e está trancada. Mas quem detém a chave? E quantas outras portas usam a mesma chave?

O Dropbox foi processado em 2011 por enganar os usuários em relação à segurança e, como resultado, mudou sua declaração de segurança. Mas a verdade é que eles (e muitos outros provedores) continuam a duplicar todos os arquivos nas contas de usuários para aumentar a utilização do espaço de armazenamento e otimizar suas margens de lucro - puro e simples..

Com empresas como a Box perdendo quase US $ 170 milhões (cerca de £ 110 milhões, AU $ 220 milhões) em apenas 12 meses, não é surpresa que os fornecedores de SaaS estejam sentindo a pressão para obter lucros às custas de sua segurança. Isso pode ser bom para os consumidores - quem se importa se sua foto da Torre Eiffel for duplicada contra as variações quase idênticas que milhões de outras pessoas carregaram - mas para as empresas isso é inaceitável em termos de padrões de segurança e privacidade, e também pode aumentar sérios problemas de conformidade.

Sua penitência Verifique se o seu provedor lhe dá o controle das chaves de criptografia.

Preguiça

Conforto supera a segurança: Este é sobre nós, pessoal - os usuários. Quase todos os provedores de FSS têm opções para autenticação de dois fatores e senhas fortes que impediriam violações como o vazamento de fotos de celebridades do iCloud, mas geralmente elas não as aplicam. Portanto, os usuários tomam o caminho de menor resistência e se deixam vulneráveis ​​a violações.