Projektinhallinta

Opas etäryhmien turvallisuuden parhaista käytännöistä

Aina kun sanon ystävilleni, että työskentelen etänä asiakkaan kanssa, jota en ole koskaan tavannut, he kysyvät minulta: Onko sinun turvallista työskennellä etänä? Vastaukseni on selkeä 'Kyllä ... mutta se riippuu siitä, kuinka hyvin luot etätyöntekijöiden suojauskäytännön.'

Asun Pakistanissa, jossa tuotan koodia, joka on arvokas asiakkaille planeetan toisella puolella. Asiakkaani eivät ole koskaan painaneet kättäni tai nähneet missä työskentelen. Ja silti odotan, että asiakkaan salaisuudet ja koodi pysyvät suojattuina. Kuinka estät tietoturvaloukkaukset maailmassa, jossa tiimisi jäsenet eivät tunne kasvojasi tai ääntäsi? Vastaus on: Ole hyvin varovainen.

Etätyöntekijän suojauskäytännön otsikko



Ei liian kauan sitten uskoimme, että sovellusten suorituskyvyn ja turvallisuuden takaamiseksi meidän oli suoritettava ne yksityisessä datakeskuksessamme. Sitten pilvi ja otimme huomioon kustannusten ja suorituskyvyn edut sovellusten ajamisesta skaalautuvalla, on-demand-alustalla pitämättä palvelinlaitetta huoneessa.

Sallikaa minun päästää sinut sisään tunnettuun salaisuuteen:

Pilviä ei ole.
Se on vain jonkun toisen tietokone.

Nyt yritykset, kuten Uber yksi ja raita 2 tallentaa ja käsitellä reaaliaikaisia ​​asiakkaiden sijaintitietoja, luottokortteja ja maksuja pilvipalveluntarjoajan palvelimella noudattaen tiukkoja turvallisuusstandardeja, kuten PCI-yhteensopivuus. He tekevät tämän hyväksymällä tiukat käytännöt, jotka varmistavat, että heidän tuotantotietonsa pysyvät turvassa.

Jos yritykset voivat taata, että koko tuotantoympäristö pysyy turvallisena huolimatta siitä, että ne kulkevat yksityisten palvelinkeskusten ulkopuolella, voimme varmasti varmistaa kehityksesi turvallisuuden etäkehitystiimien avulla. Loppujen lopuksi kokonaiset yritykset pystyvät toimimaan kokonaan etänä. ApeeScape on vain kauko-ohjattava yritys ja me palkkaamme .

Mikä on 'turvallisuus' ja miten 'turvan'

Kun puhun tässä artikkelissa 'turvallisuudesta', tarkoitan tietoturva .

Termillä ”tietoturva” tarkoitetaan tieto- ja tietojärjestelmien suojaamista luvattomalta käytöltä, käytöltä, paljastamiselta, häiriöiltä, ​​muokkauksilta tai tuhoamisilta. - 44 Yhdysvaltain lain § 3542

On ei sellaista asiaa kuin täydellinen turvallisuus , mutta 'turvallinen' tarkoittaa, että olet ottanut kohtuulliset toimenpiteet tietoturvan varmistamiseksi.

Tarkemmin sanottuna 'työympäristöni on turvallinen' tarkoitat, että olet toteuttanut kohtuulliset toimenpiteet suojellaksesi hoitamiasi tietoja, koodia tai muita luottamuksellisia tietoja ja varmistanut niiden eheyden. Olet myös ryhtynyt toimiin varmistaaksesi, etteivätkä itse tai valtuuttamaton henkilö käytä oikeuksiasi käyttää arkaluonteisia tietojärjestelmiä tavalla, joka vahingoittaa näitä tietoja omistavan organisaation ja näiden järjestelmien tavoitteita.

Etäjoukkueilla on paljon suurempi hyökkäyspinta kuin keskitetyillä joukkueilla. Toisin kuin keskitetty tiimi, jossa voit lukita luottamukselliset tiedot fyysisesti palomuurien ja yrityksen työasemien taakse, etätyöntekijänä sinua kannustetaan tai jopa vaaditaan tuomaan oma laite (BYOD). Lisäksi, koska suurin osa viestinnästäsi tapahtuu verkossa, olet paljon alttiimpi sosiaaliselle suunnittelulle ja henkilöllisyysvarkaus . Oikeiden käytäntöjen avulla voit kuitenkin minimoida rikkomisen riskin.

Turvallisuudelle ei ole hopeamallia. Usein tietoturvan ja mukavuuden sävyjen välillä on kompromissi, ja sinun on päätettävä, kuinka pitkälle haluat viedä tietoturvakäytäntösi, mutta muista, että tiimisi on vain yhtä turvallinen kuin sen heikoin jäsen. Tarkastellaan joitain yleisiä turvallisuushyökkäyksiä, puolustusstrategioita ja lopuksi keskustellaan esimerkistä etäturvatyöntekijöiden käytännöstä.

Kolme yleisintä kilpailuun perustuvaa hyökkäystä

Et ole valmis, jos et tiedä mitä kohtaat. Vastustaja voi käyttää hyökkäyksessään monia strategioita, mutta useimmat jakautuvat kolmeen luokkaan. Vaikka tämä luettelo ei ole tyhjentävä, nämä ovat kolme yleistä hyökkäysvektorityyppiä, joita haitalliset hakkerit voivat käyttää:

  • Sosiaalinen suunnittelu
  • Tietojenkalastelu
  • Haittaohjelmatartunnat

Uhat etätyöntekijöiden tietoturvakäytännölle

Sosiaalinen suunnittelu

Inhimilliseksi hakkeroinniksi katsottuna sosiaalinen suunnittelu on käytäntö manipuloida ihmisiä toimimaan tavalla, joka ei ole heidän etujensa mukaista; tähän voi sisältyä luottamuksellisten tietojen paljastaminen.

Sosiaalisen suunnittelun hyökkäykset voivat joko yrittää hyödyntää myötätuntoasi yrittäen saada sinut kiertämään hyviä käytäntöjä, tai luomaan kiireellisyyden tunteen, jossa ne saavat sinut ohittamaan parhaat käytännöt pelkäämällä sinua vastaan ​​kohdistuvaa kielteistä toimintaa, jos et noudata sitä.

Esimerkkejä sosiaalisesta suunnittelusta ovat:

Tietojenkalastelu

Tietojenkalastelu on yleisin tapa varastaa käyttäjätunnuksesi. Kuvittele verkkosivusto, joka näyttää aivan kuin Facebook, jossa kirjaudut sisään ajattelemalla, että se on todellinen asia. Tietojenkalastelu tarkoittaa sitä, että hyökkääjä luo verkkosivuston, joka näyttää lailliselta, mutta ei.

Voitko havaita väärennetyn facebookin? Vihje: Se ei ole Facebook.comissa.

Joskus hakkerit voivat myrkyttää Internetisi ja pistää verkkosivustonsa Facebook-verkkotunnukseen, tätä kutsutaan Man in the Middle -hyökkäykseksi, mutta älä huoli, selaimesi voi varoittaa sinua näistä.

Spear-tietojenkalastelu on toinen tietojenkalastelun muoto, jossa tietojenkalastelusivu voidaan räätälöidä sinulle tai organisaatiollesi. Tämän vuoksi voit todennäköisemmin pudota siihen, varsinkin kun yhdistät sosiaaliseen suunnitteluun.

Kerron sinulle tarinan: Kun olin koulussa, joku äskettäin oppinut tietojenkalastelusta loi väärennetyn Facebook-verkkosivuston ja muutti tietokonelaboratorion kotisivut luomuksekseen. Seuraava asia, jonka hän tiesi, tällä henkilöllä oli kolmesataa Facebook-tilin salasanaa. Tämä hyökkäys kohdistettiin nimenomaan kouluni ja osoittautui onnistuneeksi keihään tietojenkalasteluhyökkäykseksi.

Ja ajatella, että kaikki nuo salasanat olisivat pysyneet turvassa, jos vain joku olisi vaivautunut etsimään osoiteriviltä.

Haittaohjelmatartunta

Siellä on satoja erityyppisiä haittaohjelmia. Jotkut ovat vaarattomia tai vain ärsyttäviä, mutta jotkut voivat olla erittäin vaarallisia. Tärkeimmät haittaohjelmatyypit, joihin kannattaa kiinnittää huomiota, ovat:

  • Vakoiluohjelma: Asentaa ja tallentaa äänettömästi näppäimistön, näytön, äänen ja videon.
  • Etähallintatyökalut (RAT): Salli tietokoneen täydellinen hallinta.
  • Ransomware: Salaa kaikki tärkeät tiedostosi ja saa sinut maksamaan salauksenavaimesta.

Hyökkääjät käyttävät yleensä sosiaalista suunnittelua saadakseen sinut tarkoituksella asentamaan mukautettuja haittaohjelmia tietokoneellesi:

  • Hyökkääjä kasvien “kadonneet” USB-asemat yrityksen parkkipaikan ympärillä keräämään työntekijöiden kirjautumistiedot.
  • Mies, joka vuodatti kahvia ansioluetteloonsa, pyytää vastaanottovirkailijaa tulostamaan hänelle kopion jostakin, koska hänellä on haastattelu, mikä aiheuttaa yrityksen tietokoneen tartunnan USB: n haitallisella hyötykuormalla. (Esimerkki Ihmishakkeroinnin taide ).

Seitsemän kyberpuolustusstrategiaa, joita tarvitset juuri nyt

Olemme keskustelleet yleisimmistä kontradiktorisista hyökkäysmenetelmistä, mutta miten pysymme turvassa niistä?

Strategia nro 1: Oikea salasanojen hallinta

Vihaan salasanoja. Siellä sanoin sen. Uskon vakaasti, että käyttäjänimen ja salasanan yhdistelmä on nykyisin heikoin käyttäjän todennuksen muoto. Salasana ei ole muuta kuin lyhyt merkkijono, jonka synnyttää olemassa oleva pahin näennäissatunnaislukugeneraattori: ihminen.

Tarvitsen salaisen sanan, eikö? Entä keskimmäinen nimeni ja syntymävuosi, kukaan ei varmasti osaa arvata sitä! - Jokainen ihminen koskaan

Pahempaa on, että mukavuuden vuoksi ihmiset käyttävät salasanoja uudelleen. Tämä mahdollistaa sen, että joku voi käyttää samaa salasanaa pankkitunnuksessaan ja kotonsa WiFi: ssä, samalla kun on todennäköistä, että salasana päättyy heidän suosikkiyhtyeensä nimiin . Kauhu!

Vuosia sitten päätin tehdä seuraavan:

  1. Käytä salasananhallintaa
  2. Käytä vahvoja salasanoja salasanojen sijaan

Käytä Salasanojen hallintaa

Kun sanoin, että turvallisuuden ja mukavuuden sävyjen välillä on kompromissi, se ei päde tähän. Joko olet suojattu ja käytät salasananhallintaa tai et ole. Välissä ei ole mitään. Sinun on pakko käyttää salasananhallintaa parhaan salasanasuojauksen varmistamiseksi. Selitän.

  1. Ovatko kaikki salasanasi ainutlaatuisia?
  2. Jos löysin joitain salasanoistasi, pysyvätkö muut salasanasi turvassa?
  3. Luotiinko kaikki salasanasi käyttämällä vähintään 32 bittiä entropiaa?
  4. Tallennetaanko salasanasi vain salatussa muodossa?
  5. Muistatko täydellisesti kaikki salasanasi, joita olet käyttänyt rekisteröityessäsi?
  6. Onko salasanan vuoto positiivinen osoitteessa tällä verkkosivustolla ?

Jos vastasit 'ei' mihinkään yllä olevista kysymyksistä, tarvitset salasanojen hallinnan. Hyvä salasananhallinta tuottaa satunnaisesti salasanasi puolestasi ja tallentaa ne turvallisesti. Ei ole väliä mitä salasananhallintaa käytät, kunhan käytät sitä!

käytän LastPass koska pidän siitä, kuinka läpinäkyvät he ovat tapahtumaraporteissaan, kyvystä jakaa tunnistetietoni ystävien kanssa ja peruuttaa jako milloin haluan, ja pidän siitä, että mobiilisynkronointi on osa heidän ilmaista suunnitelmaansa.

Olen käyttänyt LastPassia vuosia, ja heidän tietoturvahaasteensa kertoo olevani heidän joukossaan 1% turvallisuudesta tietoisista käyttäjistä.

Vahvat tunnuslauseet salasanojen sijaan

tl; dr: Käyttää Tämä luoda salasana. 12 sanan pitäisi riittää.

Tämä saattaa kuulostaa intuitiiviselta, koska pyysin sinua käyttämään salasananhallintaohjelmaa yllä, mutta on tapauksia, joissa salasanoja ei voida välttää: tarvitset vahvan pääsalasanan salasananhallintaasi varten tai kirjaudutaksesi tietokoneellesi. Käytä näissä tapauksissa turvallista ja mieleenpainuvaa salasanaa, jolla on korkea entropia.

Puhuttaessa entropiasta, puhutaan siitä hieman. Mistä tämä ”entropia” puhun?

Entropia on tilastollinen parametri, joka mittaa tietyssä mielessä, kuinka paljon tietoa keskimäärin tuotetaan jokaisen kielen tekstin kirjaimelle. Jos kieli käännetään tehokkaimmin binäärilukuiksi (0 tai 1), entropia H on keskimääräinen vaadittu binäärinumeroiden määrä alkuperäiskielen kirjainta kohti. - Claude Shannon

Okei, jos lainaus oli vaikea sulattaa. Pohjimmiltaan joukosta satunnaisesti valitun salasanan entropia on joukon elementtien kokonaismäärä, joka ilmaistaan ​​perustuksessa 2. Esimerkiksi: Jos sinulla on 4 merkin pituinen salasana, joka voi sisältää vain pieniä aakkosia, satunnaisesti luotu salasana olisi 19 bittiä, koska:

  1. Pienissä aakkosissa on 26 elementtiä
  2. Näistä kirjaimista koostuva 4 merkin merkkijono on 26^4 = 456,976
  3. Emäksessä 2 ilmaistu 456 976 on log(456,976) / log(2) = 19 bittiä (pyöristettynä lähimpään bittiin)

Korkean entropia-salasanan ongelma on se, että niitä on vaikea muistaa, kuten c05f$KVB#*6y. Jotta ne olisivat mieleenpainuvampia, entä jos käytämme yksittäisten kirjainten sijaan kokonaisia ​​sanoja? Ja käytitkö tuhannen sanan sanakirjaa? Yhtäkkiä aakkosistamme tulee tuhat elementtiä pitkä, ja voimme saavuttaa saman entropian 7 sanalla, joka meillä olisi 11 merkillä.

Ero on nyt siinä, että passin käyttämisen sijaan sana , käytämme passia lause , joka on paljon pidempi.

Seuraava XKCD-sarjakuva selittää tämän käsitteen parhaiten:

Salasanat vs. tunnuslauseet

Helpoin tapa luoda turvallinen satunnainen salasana on menemällä tässä .

Strategia nro 2: Käytä monivaiheista todennusta (MFA)

Kaksivaiheinen todennus (2FA) tai kaksivaiheinen vahvistus ovat kaikki saman asian nimiä. Tämä on yksi niistä asioista, joka vaatii totuttelua, mutta 2FA: n tietoturvaedut ylittävät huomattavasti kustannukset ja ovat henkilökohtaisesti säästäneet minut tilirikkomuksista kahdesti!

UM: n idea on yksinkertainen. Voit todentaa sinut kolmella tavalla:

  1. Jotain mitä tiedät (salaisuus)
  2. Jotain mitä sinulla on (tunnus)
  3. Jotain mitä olet (biologiasi)

Kahden käyttäminen on turvallisempaa kuin vain yhden käyttö.

Suurin osa verkkosivustoista tukee ensimmäistä todennustekijää vaatimalla salasanaa, mutta yhä useampi palvelu on alkanut tukea myös toista tekijää. Kolmas tekijä jätetään yleensä verkkopalvelujen ulkopuolelle, koska se vaatii erikoislaitteita; kuten puhelimesi sormenjälkitunnistin.

Jos olet tiimin järjestelmänvalvoja, harkitse pakollisen käytännön luomista käyttäjille 2FA-asetusten määrittämiseksi. Tämä varmistaa, että salasanan vaarantuminen ei johda tilin vaarantumiseen.

On olemassa jotain suosittua 'jotain sinulla on' -muotoa:

  1. Puhelimesi
  2. U2F-avain

Puhelimesi käyttäminen 2FA: lle

Haluaisin sanoa tämän heti: älä käytä SMS-koodeja 2FA: lle. Haitalliset ihmiset kaappaavat puhelinnumerosi. tarina on melkein aina sama: Joku sosiaalisuunnittelija kehitti operaattorin siirtämään puhelinnumerosi toiselle operaattorille. Tunnen ainakin yhden henkilön, joka on joutunut tämän hyökkäyksen uhriksi.

Käytä sen sijaan aikaperusteisia kertaluonteisia salasanoja (TOTP), joita kutsutaan myös Google Authenticator -menetelmäksi. Google Authenticatorin käytön sijaan suosittelen kuitenkin käyttämistä Authy koska se salaa ja varmuuskopioi 2FA-tunnuksesi pilvessä. Voit sitten palauttaa 2FA-tunnuksesi, vaikka vaihdat laitetta ... itse asiassa voit käyttää samoja tunnuksia useilla laitteilla. Se on erittäin kätevää.

U2F-avaimen käyttäminen 2FA: lle

Tämä on yksinkertaisin ja tehokkain 2FA-menetelmä. Minulla on Yubikey Neo, jota voin käyttää puhelimeni ja tietokoneeni kanssa. Todistaakseni henkilöllisyyteni liitän vain laitteistokoodini ja painan painiketta. Tunnukseni on ainutlaatuinen ja se on fyysinen tunnus; Voin kantaa sitä avaimenperässäni tai lompakossa.

Strategia nro 3: Jatkuva valppaus

Riippumatta siitä, kuinka turvalliseksi uskot olevasi, terve epäily on hyvä asia. Ole varovainen ihmisten suhteen, jotka pyytävät sinua tekemään jotain epätavallista. Saitko tekstiviestin joltakin, joka pyytää sinua vaihtamaan salasanansa? Odota hetki ja hyppää heidän kanssaan videopuheluun. Pyydä heitä todistamaan henkilöllisyytensä. Kukaan ei voi syyttää sinua varovaisuudesta.

Se ei ole vainoharhaisuus, jos he todella haluavat saada sinut. - Harold Finch, kiinnostava henkilö

He todella haluavat saada sinut. Joskus pahantahtoiselle käyttäjälle ei ole mitään syytä tehdä mitä tekee, paitsi tahto tehdä se.

Eräs ystäväni sai kerran vanhan tuttavansa viestin, jossa kysytään, haluaisivatko he olla heidän 'luotettu yhteyshenkilönsä' Facebookissa. Ystäväni suostui ja häntä pyydettiin vastaamaan koodilla, jonka he saisivat puhelimeensa, jonka ystäväni antoi heti ... ja näin ystäväni suunniteltiin sosiaalisen suunnittelun avulla antamaan palautustunnus Gmail-tililleen. Jos ystäväni olisi ollut valppaana alusta alkaen, hän ei olisi koskaan menettänyt sähköpostejaan.

Strategia nro 4: Suunnittelujärjestelmät vähiten etuoikeuden periaatteen mukaisesti

Vähimmäisoikeuksien periaate edellyttää, että tietyssä laskentaympäristön abstraktiokerroksessa jokaisen moduulin (kuten prosessi, käyttäjä tai ohjelma, aiheesta riippuen) on voitava käyttää vain tarvittavia tietoja ja resursseja sen lailliseen tarkoitukseen. - Wikipedia

Jos käyttäjä, sovellus tai palvelu ei vaadi tiettyjä käyttöoikeuksia, älä anna niitä heille. Tästä periaatteesta voi johtaa monia sääntöjä, mutta tallennan ne seuraavaan turvallisuuspolitiikkaa koskevaan osioon.

Anna minun kertoa sinulle tarina: Suunnittelin kerran sovelluksen, joka hyväksyisi Bitcoin-maksut käyttäjiltä yksilöllisesti luotuihin osoitteisiin ja välittäisi ne sitten turvalliseen keskitettyyn tallennusosoitteeseen. Jos et ole perehtynyt Bitcoinin toimintaan, tässä on yksinkertaistettu selitys: Tarvitset julkisen avaimen Bitcoinin vastaanottamiseen (kuten tilinumero) ja vastaavan yksityisen avaimen sen käyttämiseen (kuten tilin PIN-koodi). Bitcoinin tilinumerot ja nastat on linkitetty kryptografisesti eikä niitä voi muuttaa.

Minulla oli useita vaihtoehtoja suunnitella tämä järjestelmä, mutta päätin ottaa hieman pidemmän reitin. Päätin, että sovelluksen ei tarvinnut käyttää yksityisiä avaimia maksamaan käyttäjiä maksamaan. Joten sen sijaan, että suunnittelin yhden suuren järjestelmän, joka vastaanottaisi ja välittäisi Bitcoin-maksuja, tein kaksi järjestelmää:

  1. Vastaanottava järjestelmä: Tämä sai käyttäjiltä Bitcoinia ja sitä isännöitiin julkisessa Internetissä. Se sisälsi vain osoitteiden julkiset avaimet.
  2. Huolintajärjestelmä: Tämä oli täysin itsenäinen ja lukittu järjestelmä, jonka ainoa tehtävä oli seurata Bitcoin-verkkoa osoitteissa tapahtuvia tapahtumia varten ja välittää ne edelleen suojattuun osoitteeseen. Se sisälsi sekä julkisia että yksityisiä avaimia osoitteille.

Kauan myöhemmin, kun lopetin sovelluksen ylläpidon, julkista vastaanottojärjestelmää rikottiin. Sammutin sen nopeasti, mutta hyökkääjä ei koskaan onnistunut varastamaan Bitcoinia, koska julkisessa järjestelmässä ei ollut lainkaan yksityisiä avaimia.

Strategia nro 5: Käytä terveen järjen parhaita käytäntöjä

Jotkut käytännöt eivät tarvitse selitystä. Luultavasti tiedät heidän olevan tärkeitä, mutta olen jatkuvasti yllättynyt siitä, kuinka moni ihminen (myös minä) unohtaa kääntää muutaman kytkimen. Jätän tämän tarkistuslistan tähän:

  1. Käynnistä palomuuri
  2. Salaa levy
  3. Ota salatut varmuuskopiot käyttöön
  4. Käytä SSH-avaimia
  5. Käytä suojattua Internet-yhteyttä

Käynnistä palomuuri

Palomuuri ohjaa verkkoliikennettä tietokoneeseesi ja tietokoneesta sääntöjen perusteella. Se toimii kysymällä nimenomaisesti, sallitaanko uusien ohjelmien pääsy verkkoosi, ja se on ensimmäinen puolustuslinjasi.

Käyttöjärjestelmässäsi on todennäköisesti sisäänrakennettu palomuuri. Varmista, että se on päällä.

Salaa levy

Täysi levyn salaus on tämä maaginen kyky tehdä koko levyn sisällöstä hyödytön ilman salasanaa. Jos kannettava tietokoneesi katoaa tai varastetaan, voit olla varma, että kukaan ei voi käyttää tietojasi. Tämän ottaminen käyttöön voi olla yhtä helppoa kuin käynnistäminen FileVault Macissa.

Nykyaikaisissa matkapuhelimissa on oletusarvoisesti käytössä myös koko levyn salaus.

Salaa varmuuskopiot

Laitteisto epäonnistuu, se on elämän tosiasia. Koneesi epäonnistuu jonain päivänä, tai virus tartuttaa tietokoneesi tai (shudder) ransomware-virus ottaa tietokoneesi haltuun. Mutta käytännönläheisenä henkilönä olet todennäköisesti jo saanut varmuuskopion käyttöönoton, olen varma ... etkö sinäkään?

Jopa varmuuskopioidesi kanssa sinun on kuitenkin oltava valppaana. Varmista, että varmuuskopiot on salattu, jotta vaikka ne katoaisi tai varastettaisiin, voit olla varma, että toteutit kohtuulliset toimenpiteet suojataksesi sinulle annettuja tietoja.

Jos sinulla on Mac, Macin Time Machine -sovellus salaa varmuuskopiot automaattisesti.

Käytä SSH-avaimia

Jos otat jotain pois tästä artikkelista, lopeta salasanojen käyttö SSH: lle koneisiin. Salasanoja on vaikea jakaa, ja jos ne koskaan vuotavat, koko koneesi vaarantuu. Luo sen sijaan SSH-avain yksinkertaisesti suorittamalla ssh-keygen.

Kirjaudu sisään etäkoneeseen yksinkertaisesti kopioimalla paikallisen ~/.ssh/id_rsa.pub kohteeseen ~/.ssh/authorized_keys etäkoneessa. Saatat joutua käynnistämään SSH-palvelun uudelleen etäkoneessa, mutta se on se.

Lisää koko tiimisi SSH-avaimet etäkoneeseen, eikä kenenkään tarvitse koskaan kirjoittaa salasanaa uudestaan. Tiimin jäsenen avaimen peruuttaminen on yhtä helppoa kuin avaimen poistaminen etäkoneesta.

Käytä suojattua Internet-yhteyttä

Kun jaat Internet-yhteyden jonkun kanssa, jaat enemmän kuin kaistanleveytesi. Sivustojen ja Internetin kokoonpanosta riippuen he pystyvät ainakin havaitsemaan vierailemasi verkkosivustot ja pahimmillaan lukemaan kaikki lähettämäsi tiedot, mukaan lukien salasanat, viestit tai sähköpostit.

Tämä on erittäin helppo ottaa käyttöön ja erittäin helppo sekoittaa myös. Ota kohtuulliset varotoimet varmistaaksesi, että yhteys on yksityinen. Varmista, ettei kenelläkään luvattomalla ole pääsyä Internet-yhteyteen.

Suojaa oma henkilökohtainen WiFi salasanalla WPA2: n avulla, ja jos työskentelet paikallisessa kahvilassa (tai julkisessa WiFi-verkossa), oletetaan, että sinua tarkkaillaan ja käytät VPN-välityspalvelinta.

En epäröi käyttää tilauspohjaisia ​​VPN-verkkoja, varsinkin kun oman luominen on niin yksinkertaista. Käytä tätä yksirivinen VPN-ratkaisu isännöidä omia.

Strategia nro 6: Käsittele salaisuuksia varoen

Salaisuuksia ei ole tarkoitus paljastaa. Siksi heitä kutsutaan salaisuuksia . Tästä huolimatta, kuinka monta kertaa olet ollut syyllinen salasanan lähettämiseen PostgreSQL-tuotantotietokantaan Facebook Messengerin kautta? Varmista, että:

  • Salaa salaisuudet kuljetuksen aikana
  • Kierrä niitä usein

Salaa salaisuudet kuljetuksen aikana

Jos sinun on jaettava salaisuuksia esimerkiksi chatin kautta, varmista, että ne on salattu. Käy harjoituksena usein käytetyn ja vanhimman chat-asiakkaasi luona. Se voi olla Facebook-viestejä tai Whatsapp. Riippumatta siitä, mikä se on, avaa ja etsi sanaa 'salasana' viesteistäsi.

Jos nämä salaisuudet olisi salattu, ne eivät ole kenenkään saatavilla, jolla on pääsy viesteihisi.

Kierrä salaisuuksia usein

Mitä kauemmin salaisuus on olemassa tai mitä enemmän sitä on jaettu, sitä todennäköisemmin se on vaarantunut. Hyvänä käytäntönä on salaisuuksien ja salasanojen vaihtaminen tietyn ajan kuluttua.

Strategia nro 7: Salausidentiteettien määrittäminen

Tämä on varmasti edistynyt strategia, mutta en henkilökohtaisesti ymmärrä, miksi se ei ole yleinen käytäntö. Harkitse tätä: Työtoverisi uskoo, että olet vaarantunut. Kuinka he saavat viestin todelliselle sinulle? Jos joku Internetistä joutuu jakamaan tärkeitä haavoittuvuustietoja, miten he lähettävät ne turvallisesti? Kuinka varmistat, että työntekijät jakavat turvallisesti tietoja kuljetuksen aikana?

Suosikkiesimerkini tästä on Coinbase's näppäimistöprofiili , jossa he allekirjoittavat salauksella työntekijöidensä PGP-avaimet. He ovat menneet pidemmälle ja antaneet omansa vaatimustenmukaisuusosastolle PGP-avain . Vakavasti, Coinbase, hienoa työtä!

Minulle henkilökohtaisesti, jos joku epäilee perustellusti online-identiteettini vaarantumista, pyydä minua allekirjoittamaan viesti käyttämällä PGP-avainta, joka on käytettävissä näppäimistö profiili. Olen ainoa henkilö, jolla on pääsy tähän PGP-avaimeen, ja olen toteuttanut kohtuulliset varotoimet varmistaakseni, että avain pysyy turvassa, vaikka muut henkilöllisyyteni vaarantuisivat.

Jos epäilet viestin aitoutta, pyydä minua allekirjoittamaan se. Jos haluat lähettää minulle salaisuuden, salaa se julkisella avaimellani.

Ota käyttöön selkeä etätyöntekijöiden tietoturvakäytäntö

Turvallisuuspolitiikka on määritelmä siitä, mitä tarkoittaa turvata järjestelmä, organisaatio tai muu yhteisö. Organisaation kannalta se käsittelee jäsentensä käyttäytymisrajoituksia sekä vastustajien asettamia rajoituksia, kuten ovet, lukot, avaimet ja seinät. - Wikipedia

Suojauskäytäntö on pakollinen sääntö tai protokolla, jota on noudatettava suoritettaessa toimia. Yllä olevat strategiat ovat hyödyllisiä, mutta anna heidän tiimillesi yksinkertainen sääntöjoukko, jonka noudattamista on helpompaa noudattaa. Turvallisuuden sekoittaminen on vaikeampi, kun tiimisi tietää tarkalleen mitä tehdä.

Keskustellaan esimerkkejä työntekijöiden etäturvallisuuspolitiikasta.

Käytännölliset käytännöt työntekijät :

  • NDA: t ja sopimukset: Varmista, ettei kenelläkään työntekijällä ole pääsyä luottamuksellisiin resursseihin ilman asianmukaista oikeudellista perustaa.
  • Hätäyhteystieto: Poista työntekijän täydelliset ja hätäyhteystiedot, jos etätyöntekijäsi ei vastaa.
  • Anna vain olennaiset oikeudet: Jos tiimisi jäsen ei tarvitse pääsyä tietyille alueille tehtävänsä suorittamiseksi, älä myönnä heille pääsyä. Myyntitiimin jäsen ei tarvitse pääsyä koodivarastoon.
  • Salasanojen hallinta: Varmista, että työntekijöilläsi on pääsy salasanojen hallintaan
  • Vahvat todennuskäytännöt
    • Pienin salasanan vahvuus: Vihaan henkilökohtaisesti salasanoja, ja organisaatioille, joissa olen järjestelmänvalvoja, vaadin salasanoja, joissa on vähintään viisikymmentä aakkosnumeerista merkkiä. On triviaalia noudattaa tätä käytäntöä, jos käytät salasananhallintaa.
    • Pakollinen salasanan nollaus: Varmista, että työntekijöiden salasanat vanhenevat usein, jotta salaisuudet vaihtuvat usein.
    • Kaksivaiheinen todennus : Käytä 2FA kaikkialla
  • PGP-näppäimet
  • Salatut kiintolevyt
  • Salatut varmuuskopiot

Työntekijät lähtevät, mutta heidän ei pitäisi ottaa tietojasi mukanaan. Mukauta nämä käytännöt säilyttääkseen ne tiedot silloinkin kun työntekijäsi poistuvat yrityksestä:

  • Yrityksen sähköpostitilit: Kun annat työntekijöillesi sähköpostitilit omalla verkkotunnuksellasi, voit poistaa heidän viestinnänsä käytöstä ja valvoa niitä.
  • Reaaliaikainen viestintä: Vaikka sähköposti on hienoa, tiimisi täytyy joskus puhua reaaliajassa. Varmista, että joukkueellasi on keskitetty Slack- tai IRC-kanava. Tämä antaa sinulle mahdollisuuden poistaa käytöstä tai tarkastaa heidän viestintänsä tarpeen mukaan.
  • Keskitetyt koodivarastot: Varmista, että kaikki yrityskoodit on tallennettu yrityskoodivarastoon. Yrityksen suunnitelmat julkisista SaaS-tarjouksista, kuten GitHub, ovat kunnossa, kunnes tarvitset tarkkaa hallintaa koko työntekijäkoodiin. Jälkimmäisessä tapauksessa harkitse oman GitLab-instanssisi hankkimista.

Politiikat suojaamaan infrastruktuuri :

  • Pidä järjestelmät ajan tasalla: Tietoturva-aukkoja löydetään ja korjataan joka päivä, sinun on varmistettava, että käytät näitä korjauksia. Ei ole mitään pahempaa kuin huomata, että rikkomuksen aiheutti viikkoja sitten korjattava haavoittuvuus.
  • Lukitse tuotanto- ja lavastusympäristöt: Kenelläkään työntekijällä ei pitäisi olla pääsyä tuotanto- tai lavastusympäristöihin. Joskus he vain sotku ylös .
  • Luo vahva CI / CD-virtaus: Haluat aina ottaa käyttöön 'hyvän' koodin, ja suoraviivainen CI / CD-prosessi varmistaa tämän aina.
  • Suojaa siunattu arkisto: Jos sinulla on automaattinen CI / CD-prosessi, varmista, että siunattua arkistoa voi muokata vain projektipäällikkö.
  • Määritä tarkistusprosessi: Luo tarkistusprosessi, jotta mikään 'huono' koodi ei pääse huomaamatta sitä. Tämä voi olla niin yksinkertaista kuin vaatia viimeinkin yksi riippumaton 'Looks good me' (LGTM) kommentti ennen sulautumista.
  • SSH-avaimet: Jos sovelluksesi vaatii SSH-käyttöoikeuden myöntämistä, varmista, että ne käyttävät SSH-avaimia salasanojen sijaan.
  • Harkitse BYOD: n pudottamista: Budjettiryhmä saattaa ajatella, että BYOD on paras poliittinen innovaatio paperittoman toimiston jälkeen, mutta jos sinulla on siihen varaa, harkitse joukkueellesi toimittamista yrityskoneilla, joilla voit toteuttaa tiukkoja turvallisuuspolitiikkoja.
  • Salatut varmuuskopiot: Tietosi ovat tärkeitä.

Käytännöt kirjoitettaessa koodi :

  • Ei salaisuuksia koodissa: Versiohallinnan luonteesta johtuen voi olla erittäin vaikeaa poistaa tietoja, kun ne lisätään koodiin, missä salaiset avaimet on helppo löytää .
  • Bcrypt salasanoja tallennettaessa: Kun suunnittelet todennusjärjestelmää, käytä bcrypt hajauttaa ja suolata salasanasi järjestelmän suunnittelun sijaan (tai kuluttaa) varastoimista pelkkänä tekstinä.
  • Suodata arkaluonteiset tiedot lokeista: Olipa kyse maailmanlaajuisesta pippuristasi, sovelluksesi istunnon allekirjoitusavaimesta tai käyttäjän kirjautumisyrityksestä, varmista, että niitä ei vuoda järjestelmän lokitiedostoihin, joissa kuka tahansa, jolla on pääsy, voi lukea ne.
  • Myönnä vähiten vaadittuja oikeuksia: Jos sovelluksesi tarvitsee vain READ etuoikeuksia, älä myönnä sitä WRITE etuoikeuksia. Noudata vähäisimpien etuoikeuksien periaatetta.

Luo vastaussuunnitelma

Turvallisuusrikkomuksia tapahtuu toisinaan, ja vaikka post mortem -opetuksen aikana onkin paljon aikaa oppimiseen, tärkeintä on, että kaikilla digitaalisilla varoilla on selkeä tie.

Käytä aikaa varautumissuunnitelman laatimiseen, jos tietoturvaloukkauksia tapahtuu. Harkitse toimiasi seuraavissa tilanteissa:

  • Menetät laitteen, jolla on arkaluontoisia tietoja.
  • Infrastruktuuriisi on saattanut päästä luvaton osapuoli.
  • Havaitset joukkueessasi jonkun käyttäytyvän oudosti toisin kuin itse.
  • Turvallisuusheikkous on havaittu.

Vastaussuunnitelmaan sisällytettävät asiat:

  • Ahkera dokumentaatio: Ota näytön tallennus käyttöön, määritä tiimillesi wiki jakamaan kaikkea mitä kohtaavat.
  • Rikkomisen estäminen: Rikkomuksen laajuudesta riippuen tämä voi olla yhtä yksinkertaista kuin käyttäjätilin poistaminen käytöstä, palvelimen ottaminen offline-tilaan tai tuotannon lopettaminen ja yhteydenotto käyttäjiin.
  • Luo sisäinen viestintä: Aloita oma Slack-kanava tai löydä tapa, jolla kuka tahansa voi ilmoittaa kohtaamistaan.
  • Avun tuominen: Soita kaikille ryhmille, joihin rikkomus vaikuttaa. Tämä voi olla hyvä aika ottaa yhteyttä myös viranomaisiin.
  • Tutkia: Selvitä, mitä rikottiin, missä määrin ja mitä voimme tehdä normaalin toiminnan jatkamiseksi.
  • Paluu verkkoon: Luo, testaa ja julkaise korjaus normaalin toiminnan jatkamiseksi mahdollisimman pian. Käyttäjät ovat riippuvaisia ​​palvelustasi toimiakseen, ja heti kun voit taata vakaan ja turvallisen palvelun, palaa takaisin verkkoon.
  • Keskustele käyttäjiesi kanssa: Älä jätä käyttäjiä pimeään. Pahin asia, jonka voit tehdä, on pysäyttää palvelusi selittämättä, mitä käyttäjille tapahtuu. Perustaa reaaliaikainen päivityskanava; tämä voi olla yhtä yksinkertaista kuin Twitterin pitäminen heidän pitämisessä ajan tasalla. Kun tapahtuma on hoidettu, julkaise post mortem -raportti, jossa kerrotaan tapahtumista, miten se tapahtui ja mitä olet tehnyt estääkseen vastaavia rikkomuksia tulevaisuudessa.

Turvallisuuspoikkeamia tapahtuu. Tärkeää on, miten käsittelet vastaustasi. Yksi suosikkivastauksistani oli ylivoimaisesti vuonna 2015, jolloin LastPass antoi pakollisen pääsalasanan, kun se havaittiin epänormaali verkon toiminta . Olen ollut pitkäaikainen LastPassin käyttäjä ja heidän huolimatta äskettäin rakastan tapaa, jolla he vastaavat asiakkaisiinsa asettamalla tarpeet etusijalle.

Toistan: Täydellistä turvallisuutta ei ole olemassa. Ainoa merkitys on, että varmistat, että olet tehnyt kohtuulliset ponnistelut, jotta tietosi pysyvät turvassa.

Näiden tietoturvakäytäntöjen pitäisi tehdä sinusta ja etätiimistäsi huomattavasti vaikeampi hakata.

Jos haluat lukea todellisen tarinan pakenevasta hakkereista lain takia, suosittelen Aave johtimissa kirjoittanut Kevin Mitnick.

Jos haluat oppia lisää toisen osapuolen ajattelusta, suosittelen lukemaan:

  • Sosiaalinen suunnittelu: Ihmishakkeroinnin taide kirjoittanut Christopher Hadnagy
  • Petoksen taide esittäjä (t): Kevin Mitnick ja William L.Simon

Rikosni on uteliaisuus.

Estetiikka ja havainnointi - Kuinka lähestyä käyttökokemuksia

Ux-Suunnittelu

Estetiikka ja havainnointi - Kuinka lähestyä käyttökokemuksia
Tietorakenteen periaatteet mobiililaitteille (infografiikan kanssa)

Tietorakenteen periaatteet mobiililaitteille (infografiikan kanssa)

Ux-Suunnittelu