Aina kun sanon ystävilleni, että työskentelen etänä asiakkaan kanssa, jota en ole koskaan tavannut, he kysyvät minulta: Onko sinun turvallista työskennellä etänä? Vastaukseni on selkeä 'Kyllä ... mutta se riippuu siitä, kuinka hyvin luot etätyöntekijöiden suojauskäytännön.'
Asun Pakistanissa, jossa tuotan koodia, joka on arvokas asiakkaille planeetan toisella puolella. Asiakkaani eivät ole koskaan painaneet kättäni tai nähneet missä työskentelen. Ja silti odotan, että asiakkaan salaisuudet ja koodi pysyvät suojattuina. Kuinka estät tietoturvaloukkaukset maailmassa, jossa tiimisi jäsenet eivät tunne kasvojasi tai ääntäsi? Vastaus on: Ole hyvin varovainen.
Ei liian kauan sitten uskoimme, että sovellusten suorituskyvyn ja turvallisuuden takaamiseksi meidän oli suoritettava ne yksityisessä datakeskuksessamme. Sitten pilvi ja otimme huomioon kustannusten ja suorituskyvyn edut sovellusten ajamisesta skaalautuvalla, on-demand-alustalla pitämättä palvelinlaitetta huoneessa.
Sallikaa minun päästää sinut sisään tunnettuun salaisuuteen:
Pilviä ei ole.Nyt yritykset, kuten Uber yksi ja raita 2 tallentaa ja käsitellä reaaliaikaisia asiakkaiden sijaintitietoja, luottokortteja ja maksuja pilvipalveluntarjoajan palvelimella noudattaen tiukkoja turvallisuusstandardeja, kuten PCI-yhteensopivuus. He tekevät tämän hyväksymällä tiukat käytännöt, jotka varmistavat, että heidän tuotantotietonsa pysyvät turvassa.
Jos yritykset voivat taata, että koko tuotantoympäristö pysyy turvallisena huolimatta siitä, että ne kulkevat yksityisten palvelinkeskusten ulkopuolella, voimme varmasti varmistaa kehityksesi turvallisuuden etäkehitystiimien avulla. Loppujen lopuksi kokonaiset yritykset pystyvät toimimaan kokonaan etänä. ApeeScape on vain kauko-ohjattava yritys ja me palkkaamme .
Kun puhun tässä artikkelissa 'turvallisuudesta', tarkoitan tietoturva .
Termillä ”tietoturva” tarkoitetaan tieto- ja tietojärjestelmien suojaamista luvattomalta käytöltä, käytöltä, paljastamiselta, häiriöiltä, muokkauksilta tai tuhoamisilta. - 44 Yhdysvaltain lain § 3542
On ei sellaista asiaa kuin täydellinen turvallisuus , mutta 'turvallinen' tarkoittaa, että olet ottanut kohtuulliset toimenpiteet tietoturvan varmistamiseksi.
Tarkemmin sanottuna 'työympäristöni on turvallinen' tarkoitat, että olet toteuttanut kohtuulliset toimenpiteet suojellaksesi hoitamiasi tietoja, koodia tai muita luottamuksellisia tietoja ja varmistanut niiden eheyden. Olet myös ryhtynyt toimiin varmistaaksesi, etteivätkä itse tai valtuuttamaton henkilö käytä oikeuksiasi käyttää arkaluonteisia tietojärjestelmiä tavalla, joka vahingoittaa näitä tietoja omistavan organisaation ja näiden järjestelmien tavoitteita.
Etäjoukkueilla on paljon suurempi hyökkäyspinta kuin keskitetyillä joukkueilla. Toisin kuin keskitetty tiimi, jossa voit lukita luottamukselliset tiedot fyysisesti palomuurien ja yrityksen työasemien taakse, etätyöntekijänä sinua kannustetaan tai jopa vaaditaan tuomaan oma laite (BYOD). Lisäksi, koska suurin osa viestinnästäsi tapahtuu verkossa, olet paljon alttiimpi sosiaaliselle suunnittelulle ja henkilöllisyysvarkaus . Oikeiden käytäntöjen avulla voit kuitenkin minimoida rikkomisen riskin.
Turvallisuudelle ei ole hopeamallia. Usein tietoturvan ja mukavuuden sävyjen välillä on kompromissi, ja sinun on päätettävä, kuinka pitkälle haluat viedä tietoturvakäytäntösi, mutta muista, että tiimisi on vain yhtä turvallinen kuin sen heikoin jäsen. Tarkastellaan joitain yleisiä turvallisuushyökkäyksiä, puolustusstrategioita ja lopuksi keskustellaan esimerkistä etäturvatyöntekijöiden käytännöstä.
Et ole valmis, jos et tiedä mitä kohtaat. Vastustaja voi käyttää hyökkäyksessään monia strategioita, mutta useimmat jakautuvat kolmeen luokkaan. Vaikka tämä luettelo ei ole tyhjentävä, nämä ovat kolme yleistä hyökkäysvektorityyppiä, joita haitalliset hakkerit voivat käyttää:
Inhimilliseksi hakkeroinniksi katsottuna sosiaalinen suunnittelu on käytäntö manipuloida ihmisiä toimimaan tavalla, joka ei ole heidän etujensa mukaista; tähän voi sisältyä luottamuksellisten tietojen paljastaminen.
Sosiaalisen suunnittelun hyökkäykset voivat joko yrittää hyödyntää myötätuntoasi yrittäen saada sinut kiertämään hyviä käytäntöjä, tai luomaan kiireellisyyden tunteen, jossa ne saavat sinut ohittamaan parhaat käytännöt pelkäämällä sinua vastaan kohdistuvaa kielteistä toimintaa, jos et noudata sitä.
Esimerkkejä sosiaalisesta suunnittelusta ovat:
Tietojenkalastelu on yleisin tapa varastaa käyttäjätunnuksesi. Kuvittele verkkosivusto, joka näyttää aivan kuin Facebook, jossa kirjaudut sisään ajattelemalla, että se on todellinen asia. Tietojenkalastelu tarkoittaa sitä, että hyökkääjä luo verkkosivuston, joka näyttää lailliselta, mutta ei.
Voitko havaita väärennetyn facebookin? Vihje: Se ei ole Facebook.comissa.
Joskus hakkerit voivat myrkyttää Internetisi ja pistää verkkosivustonsa Facebook-verkkotunnukseen, tätä kutsutaan Man in the Middle -hyökkäykseksi, mutta älä huoli, selaimesi voi varoittaa sinua näistä.
Spear-tietojenkalastelu on toinen tietojenkalastelun muoto, jossa tietojenkalastelusivu voidaan räätälöidä sinulle tai organisaatiollesi. Tämän vuoksi voit todennäköisemmin pudota siihen, varsinkin kun yhdistät sosiaaliseen suunnitteluun.
Kerron sinulle tarinan: Kun olin koulussa, joku äskettäin oppinut tietojenkalastelusta loi väärennetyn Facebook-verkkosivuston ja muutti tietokonelaboratorion kotisivut luomuksekseen. Seuraava asia, jonka hän tiesi, tällä henkilöllä oli kolmesataa Facebook-tilin salasanaa. Tämä hyökkäys kohdistettiin nimenomaan kouluni ja osoittautui onnistuneeksi keihään tietojenkalasteluhyökkäykseksi.
Ja ajatella, että kaikki nuo salasanat olisivat pysyneet turvassa, jos vain joku olisi vaivautunut etsimään osoiteriviltä.
Siellä on satoja erityyppisiä haittaohjelmia. Jotkut ovat vaarattomia tai vain ärsyttäviä, mutta jotkut voivat olla erittäin vaarallisia. Tärkeimmät haittaohjelmatyypit, joihin kannattaa kiinnittää huomiota, ovat:
Hyökkääjät käyttävät yleensä sosiaalista suunnittelua saadakseen sinut tarkoituksella asentamaan mukautettuja haittaohjelmia tietokoneellesi:
Olemme keskustelleet yleisimmistä kontradiktorisista hyökkäysmenetelmistä, mutta miten pysymme turvassa niistä?
Vihaan salasanoja. Siellä sanoin sen. Uskon vakaasti, että käyttäjänimen ja salasanan yhdistelmä on nykyisin heikoin käyttäjän todennuksen muoto. Salasana ei ole muuta kuin lyhyt merkkijono, jonka synnyttää olemassa oleva pahin näennäissatunnaislukugeneraattori: ihminen.
Tarvitsen salaisen sanan, eikö? Entä keskimmäinen nimeni ja syntymävuosi, kukaan ei varmasti osaa arvata sitä! - Jokainen ihminen koskaan
Pahempaa on, että mukavuuden vuoksi ihmiset käyttävät salasanoja uudelleen. Tämä mahdollistaa sen, että joku voi käyttää samaa salasanaa pankkitunnuksessaan ja kotonsa WiFi: ssä, samalla kun on todennäköistä, että salasana päättyy heidän suosikkiyhtyeensä nimiin . Kauhu!
Vuosia sitten päätin tehdä seuraavan:
Kun sanoin, että turvallisuuden ja mukavuuden sävyjen välillä on kompromissi, se ei päde tähän. Joko olet suojattu ja käytät salasananhallintaa tai et ole. Välissä ei ole mitään. Sinun on pakko käyttää salasananhallintaa parhaan salasanasuojauksen varmistamiseksi. Selitän.
Jos vastasit 'ei' mihinkään yllä olevista kysymyksistä, tarvitset salasanojen hallinnan. Hyvä salasananhallinta tuottaa satunnaisesti salasanasi puolestasi ja tallentaa ne turvallisesti. Ei ole väliä mitä salasananhallintaa käytät, kunhan käytät sitä!
käytän LastPass koska pidän siitä, kuinka läpinäkyvät he ovat tapahtumaraporteissaan, kyvystä jakaa tunnistetietoni ystävien kanssa ja peruuttaa jako milloin haluan, ja pidän siitä, että mobiilisynkronointi on osa heidän ilmaista suunnitelmaansa.
Olen käyttänyt LastPassia vuosia, ja heidän tietoturvahaasteensa kertoo olevani heidän joukossaan 1% turvallisuudesta tietoisista käyttäjistä.
Tämä saattaa kuulostaa intuitiiviselta, koska pyysin sinua käyttämään salasananhallintaohjelmaa yllä, mutta on tapauksia, joissa salasanoja ei voida välttää: tarvitset vahvan pääsalasanan salasananhallintaasi varten tai kirjaudutaksesi tietokoneellesi. Käytä näissä tapauksissa turvallista ja mieleenpainuvaa salasanaa, jolla on korkea entropia.
Puhuttaessa entropiasta, puhutaan siitä hieman. Mistä tämä ”entropia” puhun?
Entropia on tilastollinen parametri, joka mittaa tietyssä mielessä, kuinka paljon tietoa keskimäärin tuotetaan jokaisen kielen tekstin kirjaimelle. Jos kieli käännetään tehokkaimmin binäärilukuiksi (0 tai 1), entropia H on keskimääräinen vaadittu binäärinumeroiden määrä alkuperäiskielen kirjainta kohti. - Claude Shannon
Okei, jos lainaus oli vaikea sulattaa. Pohjimmiltaan joukosta satunnaisesti valitun salasanan entropia on joukon elementtien kokonaismäärä, joka ilmaistaan perustuksessa 2. Esimerkiksi: Jos sinulla on 4 merkin pituinen salasana, joka voi sisältää vain pieniä aakkosia, satunnaisesti luotu salasana olisi 19 bittiä, koska:
26^4
= 456,976log(456,976) / log(2)
= 19 bittiä (pyöristettynä lähimpään bittiin)Korkean entropia-salasanan ongelma on se, että niitä on vaikea muistaa, kuten c05f$KVB#*6y
. Jotta ne olisivat mieleenpainuvampia, entä jos käytämme yksittäisten kirjainten sijaan kokonaisia sanoja? Ja käytitkö tuhannen sanan sanakirjaa? Yhtäkkiä aakkosistamme tulee tuhat elementtiä pitkä, ja voimme saavuttaa saman entropian 7 sanalla, joka meillä olisi 11 merkillä.
Ero on nyt siinä, että passin käyttämisen sijaan sana , käytämme passia lause , joka on paljon pidempi.
Seuraava XKCD-sarjakuva selittää tämän käsitteen parhaiten:
Helpoin tapa luoda turvallinen satunnainen salasana on menemällä tässä .
Kaksivaiheinen todennus (2FA) tai kaksivaiheinen vahvistus ovat kaikki saman asian nimiä. Tämä on yksi niistä asioista, joka vaatii totuttelua, mutta 2FA: n tietoturvaedut ylittävät huomattavasti kustannukset ja ovat henkilökohtaisesti säästäneet minut tilirikkomuksista kahdesti!
UM: n idea on yksinkertainen. Voit todentaa sinut kolmella tavalla:
Kahden käyttäminen on turvallisempaa kuin vain yhden käyttö.
Suurin osa verkkosivustoista tukee ensimmäistä todennustekijää vaatimalla salasanaa, mutta yhä useampi palvelu on alkanut tukea myös toista tekijää. Kolmas tekijä jätetään yleensä verkkopalvelujen ulkopuolelle, koska se vaatii erikoislaitteita; kuten puhelimesi sormenjälkitunnistin.
Jos olet tiimin järjestelmänvalvoja, harkitse pakollisen käytännön luomista käyttäjille 2FA-asetusten määrittämiseksi. Tämä varmistaa, että salasanan vaarantuminen ei johda tilin vaarantumiseen.
On olemassa jotain suosittua 'jotain sinulla on' -muotoa:
Haluaisin sanoa tämän heti: älä käytä SMS-koodeja 2FA: lle. Haitalliset ihmiset kaappaavat puhelinnumerosi. tarina on melkein aina sama: Joku sosiaalisuunnittelija kehitti operaattorin siirtämään puhelinnumerosi toiselle operaattorille. Tunnen ainakin yhden henkilön, joka on joutunut tämän hyökkäyksen uhriksi.
Käytä sen sijaan aikaperusteisia kertaluonteisia salasanoja (TOTP), joita kutsutaan myös Google Authenticator -menetelmäksi. Google Authenticatorin käytön sijaan suosittelen kuitenkin käyttämistä Authy koska se salaa ja varmuuskopioi 2FA-tunnuksesi pilvessä. Voit sitten palauttaa 2FA-tunnuksesi, vaikka vaihdat laitetta ... itse asiassa voit käyttää samoja tunnuksia useilla laitteilla. Se on erittäin kätevää.
Tämä on yksinkertaisin ja tehokkain 2FA-menetelmä. Minulla on Yubikey Neo, jota voin käyttää puhelimeni ja tietokoneeni kanssa. Todistaakseni henkilöllisyyteni liitän vain laitteistokoodini ja painan painiketta. Tunnukseni on ainutlaatuinen ja se on fyysinen tunnus; Voin kantaa sitä avaimenperässäni tai lompakossa.
Riippumatta siitä, kuinka turvalliseksi uskot olevasi, terve epäily on hyvä asia. Ole varovainen ihmisten suhteen, jotka pyytävät sinua tekemään jotain epätavallista. Saitko tekstiviestin joltakin, joka pyytää sinua vaihtamaan salasanansa? Odota hetki ja hyppää heidän kanssaan videopuheluun. Pyydä heitä todistamaan henkilöllisyytensä. Kukaan ei voi syyttää sinua varovaisuudesta.
Se ei ole vainoharhaisuus, jos he todella haluavat saada sinut. - Harold Finch, kiinnostava henkilö
He todella haluavat saada sinut. Joskus pahantahtoiselle käyttäjälle ei ole mitään syytä tehdä mitä tekee, paitsi tahto tehdä se.
Eräs ystäväni sai kerran vanhan tuttavansa viestin, jossa kysytään, haluaisivatko he olla heidän 'luotettu yhteyshenkilönsä' Facebookissa. Ystäväni suostui ja häntä pyydettiin vastaamaan koodilla, jonka he saisivat puhelimeensa, jonka ystäväni antoi heti ... ja näin ystäväni suunniteltiin sosiaalisen suunnittelun avulla antamaan palautustunnus Gmail-tililleen. Jos ystäväni olisi ollut valppaana alusta alkaen, hän ei olisi koskaan menettänyt sähköpostejaan.
Vähimmäisoikeuksien periaate edellyttää, että tietyssä laskentaympäristön abstraktiokerroksessa jokaisen moduulin (kuten prosessi, käyttäjä tai ohjelma, aiheesta riippuen) on voitava käyttää vain tarvittavia tietoja ja resursseja sen lailliseen tarkoitukseen. - Wikipedia
Jos käyttäjä, sovellus tai palvelu ei vaadi tiettyjä käyttöoikeuksia, älä anna niitä heille. Tästä periaatteesta voi johtaa monia sääntöjä, mutta tallennan ne seuraavaan turvallisuuspolitiikkaa koskevaan osioon.
Anna minun kertoa sinulle tarina: Suunnittelin kerran sovelluksen, joka hyväksyisi Bitcoin-maksut käyttäjiltä yksilöllisesti luotuihin osoitteisiin ja välittäisi ne sitten turvalliseen keskitettyyn tallennusosoitteeseen. Jos et ole perehtynyt Bitcoinin toimintaan, tässä on yksinkertaistettu selitys: Tarvitset julkisen avaimen Bitcoinin vastaanottamiseen (kuten tilinumero) ja vastaavan yksityisen avaimen sen käyttämiseen (kuten tilin PIN-koodi). Bitcoinin tilinumerot ja nastat on linkitetty kryptografisesti eikä niitä voi muuttaa.
Minulla oli useita vaihtoehtoja suunnitella tämä järjestelmä, mutta päätin ottaa hieman pidemmän reitin. Päätin, että sovelluksen ei tarvinnut käyttää yksityisiä avaimia maksamaan käyttäjiä maksamaan. Joten sen sijaan, että suunnittelin yhden suuren järjestelmän, joka vastaanottaisi ja välittäisi Bitcoin-maksuja, tein kaksi järjestelmää:
Kauan myöhemmin, kun lopetin sovelluksen ylläpidon, julkista vastaanottojärjestelmää rikottiin. Sammutin sen nopeasti, mutta hyökkääjä ei koskaan onnistunut varastamaan Bitcoinia, koska julkisessa järjestelmässä ei ollut lainkaan yksityisiä avaimia.
Jotkut käytännöt eivät tarvitse selitystä. Luultavasti tiedät heidän olevan tärkeitä, mutta olen jatkuvasti yllättynyt siitä, kuinka moni ihminen (myös minä) unohtaa kääntää muutaman kytkimen. Jätän tämän tarkistuslistan tähän:
Palomuuri ohjaa verkkoliikennettä tietokoneeseesi ja tietokoneesta sääntöjen perusteella. Se toimii kysymällä nimenomaisesti, sallitaanko uusien ohjelmien pääsy verkkoosi, ja se on ensimmäinen puolustuslinjasi.
Käyttöjärjestelmässäsi on todennäköisesti sisäänrakennettu palomuuri. Varmista, että se on päällä.
Täysi levyn salaus on tämä maaginen kyky tehdä koko levyn sisällöstä hyödytön ilman salasanaa. Jos kannettava tietokoneesi katoaa tai varastetaan, voit olla varma, että kukaan ei voi käyttää tietojasi. Tämän ottaminen käyttöön voi olla yhtä helppoa kuin käynnistäminen FileVault Macissa.
Nykyaikaisissa matkapuhelimissa on oletusarvoisesti käytössä myös koko levyn salaus.
Laitteisto epäonnistuu, se on elämän tosiasia. Koneesi epäonnistuu jonain päivänä, tai virus tartuttaa tietokoneesi tai (shudder) ransomware-virus ottaa tietokoneesi haltuun. Mutta käytännönläheisenä henkilönä olet todennäköisesti jo saanut varmuuskopion käyttöönoton, olen varma ... etkö sinäkään?
Jopa varmuuskopioidesi kanssa sinun on kuitenkin oltava valppaana. Varmista, että varmuuskopiot on salattu, jotta vaikka ne katoaisi tai varastettaisiin, voit olla varma, että toteutit kohtuulliset toimenpiteet suojataksesi sinulle annettuja tietoja.
Jos sinulla on Mac, Macin Time Machine -sovellus salaa varmuuskopiot automaattisesti.
Jos otat jotain pois tästä artikkelista, lopeta salasanojen käyttö SSH: lle koneisiin. Salasanoja on vaikea jakaa, ja jos ne koskaan vuotavat, koko koneesi vaarantuu. Luo sen sijaan SSH-avain yksinkertaisesti suorittamalla ssh-keygen
.
Kirjaudu sisään etäkoneeseen yksinkertaisesti kopioimalla paikallisen ~/.ssh/id_rsa.pub
kohteeseen ~/.ssh/authorized_keys
etäkoneessa. Saatat joutua käynnistämään SSH-palvelun uudelleen etäkoneessa, mutta se on se.
Lisää koko tiimisi SSH-avaimet etäkoneeseen, eikä kenenkään tarvitse koskaan kirjoittaa salasanaa uudestaan. Tiimin jäsenen avaimen peruuttaminen on yhtä helppoa kuin avaimen poistaminen etäkoneesta.
Kun jaat Internet-yhteyden jonkun kanssa, jaat enemmän kuin kaistanleveytesi. Sivustojen ja Internetin kokoonpanosta riippuen he pystyvät ainakin havaitsemaan vierailemasi verkkosivustot ja pahimmillaan lukemaan kaikki lähettämäsi tiedot, mukaan lukien salasanat, viestit tai sähköpostit.
Tämä on erittäin helppo ottaa käyttöön ja erittäin helppo sekoittaa myös. Ota kohtuulliset varotoimet varmistaaksesi, että yhteys on yksityinen. Varmista, ettei kenelläkään luvattomalla ole pääsyä Internet-yhteyteen.
Suojaa oma henkilökohtainen WiFi salasanalla WPA2: n avulla, ja jos työskentelet paikallisessa kahvilassa (tai julkisessa WiFi-verkossa), oletetaan, että sinua tarkkaillaan ja käytät VPN-välityspalvelinta.
En epäröi käyttää tilauspohjaisia VPN-verkkoja, varsinkin kun oman luominen on niin yksinkertaista. Käytä tätä yksirivinen VPN-ratkaisu isännöidä omia.
Salaisuuksia ei ole tarkoitus paljastaa. Siksi heitä kutsutaan salaisuuksia . Tästä huolimatta, kuinka monta kertaa olet ollut syyllinen salasanan lähettämiseen PostgreSQL-tuotantotietokantaan Facebook Messengerin kautta? Varmista, että:
Jos sinun on jaettava salaisuuksia esimerkiksi chatin kautta, varmista, että ne on salattu. Käy harjoituksena usein käytetyn ja vanhimman chat-asiakkaasi luona. Se voi olla Facebook-viestejä tai Whatsapp. Riippumatta siitä, mikä se on, avaa ja etsi sanaa 'salasana' viesteistäsi.
Jos nämä salaisuudet olisi salattu, ne eivät ole kenenkään saatavilla, jolla on pääsy viesteihisi.
Mitä kauemmin salaisuus on olemassa tai mitä enemmän sitä on jaettu, sitä todennäköisemmin se on vaarantunut. Hyvänä käytäntönä on salaisuuksien ja salasanojen vaihtaminen tietyn ajan kuluttua.
Tämä on varmasti edistynyt strategia, mutta en henkilökohtaisesti ymmärrä, miksi se ei ole yleinen käytäntö. Harkitse tätä: Työtoverisi uskoo, että olet vaarantunut. Kuinka he saavat viestin todelliselle sinulle? Jos joku Internetistä joutuu jakamaan tärkeitä haavoittuvuustietoja, miten he lähettävät ne turvallisesti? Kuinka varmistat, että työntekijät jakavat turvallisesti tietoja kuljetuksen aikana?
Suosikkiesimerkini tästä on Coinbase's näppäimistöprofiili , jossa he allekirjoittavat salauksella työntekijöidensä PGP-avaimet. He ovat menneet pidemmälle ja antaneet omansa vaatimustenmukaisuusosastolle PGP-avain . Vakavasti, Coinbase, hienoa työtä!
Minulle henkilökohtaisesti, jos joku epäilee perustellusti online-identiteettini vaarantumista, pyydä minua allekirjoittamaan viesti käyttämällä PGP-avainta, joka on käytettävissä näppäimistö profiili. Olen ainoa henkilö, jolla on pääsy tähän PGP-avaimeen, ja olen toteuttanut kohtuulliset varotoimet varmistaakseni, että avain pysyy turvassa, vaikka muut henkilöllisyyteni vaarantuisivat.
Jos epäilet viestin aitoutta, pyydä minua allekirjoittamaan se. Jos haluat lähettää minulle salaisuuden, salaa se julkisella avaimellani.
Turvallisuuspolitiikka on määritelmä siitä, mitä tarkoittaa turvata järjestelmä, organisaatio tai muu yhteisö. Organisaation kannalta se käsittelee jäsentensä käyttäytymisrajoituksia sekä vastustajien asettamia rajoituksia, kuten ovet, lukot, avaimet ja seinät. - Wikipedia
Suojauskäytäntö on pakollinen sääntö tai protokolla, jota on noudatettava suoritettaessa toimia. Yllä olevat strategiat ovat hyödyllisiä, mutta anna heidän tiimillesi yksinkertainen sääntöjoukko, jonka noudattamista on helpompaa noudattaa. Turvallisuuden sekoittaminen on vaikeampi, kun tiimisi tietää tarkalleen mitä tehdä.
Keskustellaan esimerkkejä työntekijöiden etäturvallisuuspolitiikasta.
Käytännölliset käytännöt työntekijät :
Työntekijät lähtevät, mutta heidän ei pitäisi ottaa tietojasi mukanaan. Mukauta nämä käytännöt säilyttääkseen ne tiedot silloinkin kun työntekijäsi poistuvat yrityksestä:
Politiikat suojaamaan infrastruktuuri :
Käytännöt kirjoitettaessa koodi :
READ
etuoikeuksia, älä myönnä sitä WRITE
etuoikeuksia. Noudata vähäisimpien etuoikeuksien periaatetta.Turvallisuusrikkomuksia tapahtuu toisinaan, ja vaikka post mortem -opetuksen aikana onkin paljon aikaa oppimiseen, tärkeintä on, että kaikilla digitaalisilla varoilla on selkeä tie.
Käytä aikaa varautumissuunnitelman laatimiseen, jos tietoturvaloukkauksia tapahtuu. Harkitse toimiasi seuraavissa tilanteissa:
Vastaussuunnitelmaan sisällytettävät asiat:
Turvallisuuspoikkeamia tapahtuu. Tärkeää on, miten käsittelet vastaustasi. Yksi suosikkivastauksistani oli ylivoimaisesti vuonna 2015, jolloin LastPass antoi pakollisen pääsalasanan, kun se havaittiin epänormaali verkon toiminta . Olen ollut pitkäaikainen LastPassin käyttäjä ja heidän huolimatta äskettäin rakastan tapaa, jolla he vastaavat asiakkaisiinsa asettamalla tarpeet etusijalle.
Toistan: Täydellistä turvallisuutta ei ole olemassa. Ainoa merkitys on, että varmistat, että olet tehnyt kohtuulliset ponnistelut, jotta tietosi pysyvät turvassa.
Näiden tietoturvakäytäntöjen pitäisi tehdä sinusta ja etätiimistäsi huomattavasti vaikeampi hakata.
Jos haluat lukea todellisen tarinan pakenevasta hakkereista lain takia, suosittelen Aave johtimissa kirjoittanut Kevin Mitnick.
Jos haluat oppia lisää toisen osapuolen ajattelusta, suosittelen lukemaan:
Rikosni on uteliaisuus.