当某个用户共享了关于企业数据的一个分享链接，那么任何点击该链接的人都可能可以访问到企业的敏感信息。一些免费的FSS应用程序不提供的隐私设置。即使用户有这样的需求，他们不能改变公共设置为私人设置，以保护数据。

　　这里有一个让那些分享链接避免被公开的方式。当一个对象通过电子邮件接收到一个共享的链接，电子邮件客户端或安全设置可能会阻止他们直接点击该链接。所以，他们必须复制该链接，并将其粘贴到浏览器的地址栏中。许多用户误贴了分享链接到了搜索领域，通常使用谷歌的搜索引擎，这是人们得使用最多的搜索引擎，以搜索该链接的结果。

　　“人们越来越习惯把网址粘贴到搜索区域而不是浏览器的地址栏。例如，在iPhone上，搜索区域就是粘贴URL的地址栏。”RSA大会程序委员会主席休·汤普森说。

　　人为操作错误会造成分享链接暴露，因为谷歌会自动为其AdWords和分析工具收集用户的搜索词，以便让企业客户/广告合作伙伴使用谷歌的广告时确定广告的最佳关键词。当企业通过FSS供应商，链接进入其竞争对手的名字，就能在Dropbox看到竞争对手的员工使用了哪些关键词，分享了什么链接，包括其名称都能够出现Dropbox的结果中。这些共享链接便被激活了，点击链接，他们就能够访问到敏感数据了。

　　这种事件引发了一些问题：谁的责任?企业能采取什么措施来防止敏感数据泄漏?

　　责任

　　理查德·安斯蒂是Intralinks公司的首席技术官,该公司早在2013年11月就发现并披露了此漏洞给Dropbox(和谷歌)。Dropbox在今年五月发布了一篇博客以解决这些问题，(有关此漏洞的部分以一个单一的段落出现在其 “14年5月6日更新”中。

　　截止本文撰写截稿时，最新的博客文章没有公开任何修复了谷歌AdWords广告对于共享链接URL自动抓取的补丁。相关文档的链接地址一经共享，任何人都可以很容易地通过谷歌的Adwords检索到的共享链接下载并共享这些文档。

　　但是，我们并不能完全责怪免费的FSS应用程序的默认公共设置。毕竟，这些服务以其实用性和便利性已经安全的为我们的最终用户和企业员工服务了很长一段时间了。对于一家企业内的某个小团队，在某一个特定项目中非正式地同意使用一个免费的FSS的应用程序，如Dropbox是非常普遍的，汤普森说。“他们一致同意在没有IT标准化的情况下使用它。”

　　人们使用免费的FSS应用程序，是以只有他们所分享链接的对象才能看到和使用分享内容为假设前提的。但精明的黑客，了解一个分享链接的默认构造，甚至能猜出一个共享链接URL末端字符的组合，然后尝试访问该分享链接。“这将有可能导致企业敏感数据的暴露。”汤普森说。“基于随机字符已经有各种攻击了。”汤普森确认说。因此，这种方法不会有什么新东西了。

　　防止漏洞

　　据安斯蒂介绍，有人故意在任何阶段都恶意攻击此漏洞是不太可能的。这整个阶段包括从最终用户利用免费的FSS工具，发送分享链接，到分享对象错误的把这些链接放在了浏览器搜索栏。

　　减轻这类攻击的方法除了针对这种类型的服务量身定制特殊的管理政策之外，是需要针对用户进行彻底的，有效的教育。有效的员工安全培训必须确保企业经过了员工测验，确保员工对于相关管理策略信息的充分理解。企业必须让员工在接受管理政策的协议书上签字。

　　然后，在政策管理执行的基础上增加技术辅助。“将网络边界技术与管理政策结合，以保证企业敏感的数据无法到达这种存在漏洞的免费文件共享服务环境。”安斯蒂说。通过结合员工教育和技术手段，企业可以最大限度地减少违规行为，并有效地管理员工的数据分享行为。

　　但这种因果关系的问题需要一个更广泛的解决方案。企业需要认识到，员工要尽可能有效地工作;这正是导致他们使用FSS软件的原因。企业应当承认并接受FSS工具是有用的。“企业应该找到一个解决方案，规范并支持FSS工具的使用。”安斯蒂说。选择一款企业已测试和批准的FSS工具。企业要确保其批准授权员工使用的FSS工具的有效性，易用性，符合员工的满意度，否则他们将继续使用他们青睐的其他工具。

　　列出在FSS应用软件中的信息管理周期，以确保数据安全。这包括确定任何数据是否能够在FSS服务共享或共享的时长。决定何时停止共享以前共享过的数据，例如当某个项目或合作关系终结时。考虑采用电子发现，因为企业必须定期处理一些数据，并保管其他另一些数据相当长的时间。这将帮助企业限制相关的漏洞，安斯蒂说。

　　转向更灵活的思维框架

　　汤普森同意企业可以采取书面政策的方法，遏制员工使用免费的FSS应用共享企业数据。“企业可以利用技术来限制通过免费的FSS应用程序从外部的访问。如果某位员工已经离开办公室，但其设备仍然连接到企业网络/内联网，企业可以使用云的工具来减少人们利用这些免费的FSS应用的可能性，”汤普森说。

　　“但是，企业员工正试图尽快保质保量的完成他们的工作，”汤普森说。他们将试图使用各种技术，以帮助他们尽快达到他们的目标，汤普森说。而IT部门历来的答复都是“不!”。基于公司的风险设置，在有着所有这些有用的应用程序广泛使用的新环境，正在迫使其成为这些技术的推动者，汤普森说。

　　在汤普森看来，企业要么可以将FSS问题看作一个单一的问题;要么将其作为一个更大的相似问题的模式的一部分。他们要么可以针对这些应用的缺点做出反应;要么认识到这些都是今天业务的一部分这一现实。如果他们选择后者，重新校准安全功能，以解决业务需求是必要的。在汤普森看来，企业管理者应该问自己如何成为安全环境的推动者，以便让员工们能够顺利的使用这些技术。

　　据汤普森介绍，他在RSA会议上看到采用这一方法的频率正在增加——即，从保证绝对安全到尽可能保证数据的安全，他们已经认识到非常老练的攻击者的存在，而失败和违约行为也时有发生。“如果发生故障，有一整套技术帮助我们确定发生了什么，然后我们就可以进一步的优化企业的安全策略。”汤普森说。