دليل لأفضل ممارسات الأمان للفرق البعيدة

كلما أخبر أصدقائي أنني أعمل عن بعد مع عميل لم أقابله مطلقًا ، يسألونني: هل من الآمن لك العمل عن بُعد؟ جوابي هو "نعم ... ولكن ، يعتمد ذلك على مدى جودة إنشاء سياسة أمان العاملين عن بُعد."

أعيش في باكستان حيث أنتج رمزًا ذا قيمة للعملاء على الجانب الآخر من الكوكب. لم يصافح زبائني قط ، ولم يروا مكان عملي. ومع ذلك ، من المتوقع أن أضمن حماية أسرار العميل ورمزه. في عالم لا يعرف فيه أعضاء فريقك وجهك أو صوتك ، كيف تمنع الخروقات الأمنية؟ الجواب: بالحذر الشديد.

منذ وقت ليس ببعيد ، كنا نعتقد أنه لضمان أداء وأمان تطبيقاتنا ، كنا بحاجة إلى تشغيلها في مركز البيانات الخاص بنا. ثم ظهرت السحابة ، واعتنقنا مزايا التكلفة والأداء لتشغيل تطبيقاتنا على نظام أساسي قابل للتطوير عند الطلب دون الاحتفاظ بأسطول من الخوادم في الغرفة.

اسمح لي أن أطلعك على سر معروف:

الآن ، تقوم شركات مثل Uber ¹ و Stripe ² بتخزين معلومات موقع العميل في الوقت الفعلي وبطاقات الائتمان والمدفوعات على خادم موفر السحابة ، مع الالتزام بمعايير الأمان الصارمة مثل امتثال PCI. يفعلون ذلك من خلال تبني سياسات صارمة تضمن بقاء بيانات الإنتاج الخاصة بهم آمنة.

إذا تمكنت الشركات من ضمان بقاء بيئة الإنتاج بأكملها آمنة على الرغم من العمل خارج مراكز البيانات الخاصة بها ، فيمكننا بالتأكيد ضمان أمان تطويرك باستخدام فرق التطوير عن بُعد. بعد كل شيء ، الشركات بأكملها قادرة على العمل عن بعد تمامًا. Toptal هي شركة تعمل عن بعد فقط ، ونحن نوظف.

ما هو "الأمان" وكيف "أن أكون آمنًا"

خلال هذا المقال عندما أتحدث عن "الأمن" أعني أمن المعلومات .

مصطلح "أمن المعلومات" يعني حماية المعلومات وأنظمة المعلومات من الوصول غير المصرح به أو الاستخدام أو الكشف أو التعطيل أو التعديل أو الإتلاف. - 44 قانون الولايات المتحدة § 3542

لا يوجد شيء اسمه الأمن التام ، ولكن "كونك آمنًا" يعني أنك اتخذت إجراءات معقولة لفرض أمن المعلومات.

على وجه التحديد ، عندما تقول "بيئة العمل الخاصة بي آمنة" ، فإنك تقصد أن تقول إنك اتخذت تدابير معقولة لحماية البيانات أو التعليمات البرمجية أو غيرها من المعلومات السرية التي تحت رعايتك ، وضمان سلامتها. لقد اتخذت أيضًا خطوات للتأكد من أن امتيازاتك للوصول إلى أنظمة المعلومات الحساسة لن يتم استخدامها من قبل نفسك ، أو من قبل فرد غير مصرح له ، بطريقة تضر بأهداف المنظمة التي تمتلك هذه المعلومات وهذه الأنظمة.

الفرق البعيدة لديها مساحة هجوم أكبر بكثير من الفرق المركزية. على عكس الفريق المركزي حيث يمكنك تأمين المعلومات السرية فعليًا خلف جدران الحماية ومحطات عمل الشركة ، بصفتك عاملًا عن بُعد ، يتم تشجيعك أو حتى مطالبتك بإحضار جهازك الخاص (BYOD). علاوة على ذلك ، نظرًا لأن معظم اتصالاتك تتم عبر الإنترنت ، فأنت أكثر عرضة للهندسة الاجتماعية وسرقة الهوية. ومع ذلك ، مع المجموعة الصحيحة من السياسات المعمول بها ، يمكنك بالتأكيد تقليل مخاطر الانتهاك.

لا يوجد حل سحري للأمن. في كثير من الأحيان ، هناك مفاضلة بين درجات الأمان والراحة ، والأمر متروك لك لتحديد إلى أي مدى تريد أن تأخذ ممارساتك الأمنية ولكن تذكر أن فريقك آمن تمامًا مثل أضعف أعضائه. دعنا نلقي نظرة على بعض الهجمات الأمنية الشائعة ، واستراتيجيات الدفاع ، وأخيرًا نناقش نموذجًا لسياسة عامل الأمان عن بُعد.

الأنواع الثلاثة الأكثر شيوعًا لهجمات الخصومة

أنت لست مستعدًا إذا كنت لا تعرف ما الذي ستواجهه. يمكن للعدو استخدام العديد من الاستراتيجيات في هجومه ، لكن معظمها يقع في ثلاث فئات. على الرغم من أن هذه القائمة ليست شاملة ، إلا أن هناك ثلاثة أنواع شائعة من نواقل الهجوم التي قد يستخدمها المتسللون الضارون:

• هندسة اجتماعية
• التصيد
• عدوى البرمجيات الخبيثة

هندسة اجتماعية

تعتبر الهندسة الاجتماعية أيضًا من الاختراقات البشرية ، وهي ممارسة التلاعب بالناس للتصرف بطريقة لا تصب في مصلحتهم ؛ قد يشمل ذلك إفشاء معلومات سرية.

يمكن لهجمات الهندسة الاجتماعية إما محاولة استغلال تعاطفك في محاولة لحثك على التحايل على الممارسات الجيدة ، أو خلق شعور بالإلحاح حيث تجعلك تتجاوز أفضل الممارسات بالخوف من اتخاذ إجراء سلبي ضدك إذا لم تمتثل.

تتضمن أمثلة الهندسة الاجتماعية ما يلي:

• امرأة تتصل بشركة اتصالات خلوية وتتحدث مع وكيل الدعم لتغيير حساب شخص ما بينما يتم تشغيل مقطع على YouTube لطفل يبكي في الخلفية.
• يرسل المهاجم بريدًا إلكترونيًا إلى الرئيس التنفيذي من خلال عنوان البريد الإلكتروني للمدير المالي ويصرح بتحويل 1.8 مليون دولار من الأموال.

التصيد

يعتبر التصيد الاحتيالي الطريقة الأكثر شيوعًا لسرقة بيانات الاعتماد الخاصة بك. تخيل موقعًا يشبه Facebook تمامًا ، حيث تقوم بتسجيل الدخول ، معتقدًا أنه الشيء الحقيقي. يحدث التصيد الاحتيالي عندما يقوم المهاجم بإنشاء موقع ويب يبدو شرعيًا ولكنه ليس كذلك.

هل يمكنك اكتشاف الفيسبوك المزيف؟ تلميح: إنها ليست على Facebook.com.

في بعض الأحيان ، يمكن للمتسللين تسميم الإنترنت الخاص بك وحقن موقع الويب الخاص بهم على مجال Facebook ، وهذا ما يسمى هجوم Man in The Middle ، ولكن لا تقلق ، يمكن لمتصفحك أن يحذرك من ذلك.

التصيد بالرمح هو شكل آخر من أشكال التصيد الاحتيالي حيث قد تكون صفحة التصيد مخصصة لك أو لمؤسستك. هذا يزيد من احتمالية الوقوع في غرامها ، خاصة عندما تقترن بالهندسة الاجتماعية.

سأخبرك قصة: عندما كنت في المدرسة ، قام شخص ما تعلم مؤخرًا عن التصيد الاحتيالي بإنشاء موقع ويب مزيف على Facebook وغير الصفحات الرئيسية في معمل الكمبيوتر إلى إنشائه. الشيء التالي الذي عرفه ، كان لدى هذا الشخص ثلاثمائة كلمة مرور لحساب Facebook. استهدف هذا الهجوم مدرستي على وجه التحديد واتضح أنه هجوم تصيد احتيالي ناجح.

والتفكير في أن كل كلمات المرور هذه كانت ستبقى آمنة إذا كان شخص ما قد كلف نفسه عناء البحث في شريط العناوين.

عدوى البرمجيات الخبيثة

هناك المئات من الأنواع المختلفة من البرامج الضارة. بعضها غير ضار أو مزعج فقط ، لكن البعض الآخر قد يكون خطيرًا للغاية. أهم أنواع البرامج الضارة التي يجب البحث عنها هي:

• برنامج التجسس: يقوم بتثبيت وتسجيل ضغطات المفاتيح والشاشة والصوت والفيديو بصمت.
• أدوات الإدارة عن بعد (RATs): اسمح بالتحكم الكامل في جهاز الكمبيوتر الخاص بك.
• فيروسات الفدية: يشفر جميع ملفاتك المهمة ويجعلك تدفع مقابل مفتاح فك التشفير.

لإجبارك عن قصد على تثبيت برامج ضارة مخصصة على جهاز الكمبيوتر الخاص بك ، يستخدم المهاجمون عادةً الهندسة الاجتماعية:

• يقوم المهاجم بزرع محركات أقراص USB "المفقودة" حول ساحة انتظار الشركة لحصد بيانات اعتماد تسجيل دخول الموظف.
• الرجل الذي سكب القهوة على سيرته الذاتية يطلب من موظف الاستقبال أن يطبع له نسخة من شيء ما لأنه أجرى مقابلة ، مما يتسبب في إصابة كمبيوتر الشركة بحمولة خبيثة في USB. (مثال من فن القرصنة البشرية).

سبع استراتيجيات للدفاع السيبراني تحتاجها الآن

لقد ناقشنا أكثر أساليب الهجوم العدائي شيوعًا ، ولكن كيف نبقى في مأمن منها؟

الإستراتيجية رقم 1: الإدارة السليمة لكلمات المرور

أكره كلمات المرور. هناك ، قلت ذلك. أعتقد اعتقادًا راسخًا أن تركيبة اسم المستخدم وكلمة المرور هي أضعف شكل من أشكال مصادقة المستخدم. كلمة المرور ليست أكثر من سلسلة قصيرة من الأحرف تم إنشاؤها بواسطة أسوأ مولد رقم عشوائي في الوجود: العقل البشري.

أحتاج كلمة سرية ، إيه؟ ماذا عن اسمي الأوسط وسنة ميلادي ، بالتأكيد لن يتمكن أحد من تخمين ذلك! - كل إنسان على الإطلاق

والأسوأ من ذلك أنه من أجل الراحة ، يميل الأشخاص إلى إعادة استخدام كلمات المرور. يتيح ذلك لأي شخص استخدام نفس كلمة المرور لتسجيل الدخول إلى البنك وشبكة WiFi المنزلية الخاصة به ، مع احتمال أن تنتهي كلمة المرور باسم الفرقة المفضلة لديهم . الرعب!

قبل سنوات قررت أن أفعل ما يلي:

1. استخدم مدير كلمات المرور
2. استخدم عبارات مرور قوية بدلاً من كلمات المرور

استخدم مدير كلمات المرور

عندما قلت أن هناك مقايضة بين درجات الأمان والراحة ، فإنها لا تنطبق هنا. إما أنك آمن وتستخدم مدير كلمات المرور ، أو أنك لست كذلك. لا يوجد بينهما. من الضروري أن تستخدم مدير كلمات المرور لضمان أمان كلمات المرور بشكل جيد. سأشرح.

1. هل كل كلمات السر الخاصة بك فريدة من نوعها؟
2. إذا اكتشفت بعض كلمات المرور الخاصة بك ، فهل ستظل بقية كلمات المرور الخاصة بك آمنة؟
3. هل تم إنشاء جميع كلمات المرور الخاصة بك باستخدام 32 بتًا على الأقل من الكون؟
4. هل كلمات السر الخاصة بك مخزنة فقط في شكل مشفر؟
5. هل تتذكر تمامًا كل كلمة مرور استخدمتها عند التسجيل؟
6. هل تظهر إيجابية لتسريب كلمة المرور في هذا الموقع؟

إذا أجبت بـ "لا" على أي من الأسئلة أعلاه ، فأنت بحاجة إلى مدير كلمات المرور. سيقوم مدير كلمات المرور الجيد بإنشاء كلمات مرورك بشكل عشوائي ، وتخزينها بأمان. لا يهم مدير كلمات المرور الذي تستخدمه ، طالما أنك تستخدم واحدًا!

أستخدم LastPass لأنني أحب مدى شفافيتها مع تقارير الحوادث الخاصة بهم ، والقدرة على مشاركة بيانات الاعتماد الخاصة بي مع الأصدقاء وإلغاء المشاركة متى أردت ، وأحب حقيقة أن مزامنة الهاتف المحمول جزء من خطتهم المجانية.

لقد كنت أستخدم LastPass لسنوات ، وأخبرني التحدي الأمني ​​الذي يواجهونه أنني من بين أفضل 1٪ من المستخدمين المهتمين بالأمن.

عبارات مرور قوية بدلاً من كلمات المرور

قد يبدو هذا غير بديهي لأنني طلبت منك استخدام مدير كلمات المرور أعلاه ، ولكن هناك حالات لا يمكن تجنب كلمات المرور فيها: ستحتاج إلى كلمة مرور رئيسية قوية لمدير كلمات المرور ، أو لتسجيل الدخول إلى جهاز الكمبيوتر الخاص بك. في هذه الحالات ، استخدم عبارة مرور آمنة لا تُنسى وذات نسبة عالية من الانتروبيا.

بالحديث عن الإنتروبيا ، فلنتحدث قليلاً عنها. ما هي هذه "الانتروبيا" التي أتحدث عنها؟

الانتروبيا هي معلمة إحصائية تقيس بمعنى معين مقدار المعلومات التي يتم إنتاجها في المتوسط ​​لكل حرف من نص في اللغة. إذا تمت ترجمة اللغة إلى أرقام ثنائية (0 أو 1) بأكثر الطرق فعالية ، فإن الأنتروبيا H هي متوسط ​​عدد الأرقام الثنائية المطلوبة لكل حرف من اللغة الأصلية. - كلود شانون

لا بأس إذا كان من الصعب استيعاب هذا الاقتباس. بشكل أساسي ، إنتروبيا كلمة المرور ، المختارة عشوائيًا من مجموعة ، هي العدد الإجمالي للعناصر في المجموعة المعبر عنها في الأساس 2. على سبيل المثال: إذا كان لديك كلمة مرور مكونة من 4 أحرف ، يمكن أن تحتوي فقط على أحرف أبجدية صغيرة ، إنتروبيا لـ ستكون كلمة المرور التي تم إنشاؤها عشوائيًا 19 بتًا للأسباب التالية:

1. هناك 26 عنصرًا في أبجدية صغيرة
2. السلسلة المكونة من 4 أحرف من هذه الأحرف هي 26^4 = 456،976
3. 456،976 معبرًا عنه في الأساس 2 هو log(456,976) / log(2) = 19 بت (مقربًا إلى أقرب بت)

تكمن مشكلة كلمات المرور عالية الإنتروبيا في صعوبة تذكرها ، مثل c05f$KVB#*6y . لجعلها أكثر قابلية للتذكر ، ماذا لو استخدمنا كلمات كاملة بدلاً من استخدام الأحرف المفردة؟ واستخدمت معجم من ألف كلمة؟ فجأة يصبح طول الأبجدية لدينا ألف عنصر ، ويمكننا تحقيق نفس الإنتروبيا في 7 كلمات التي كنا نحصل عليها من 11 حرفًا.

الاختلاف الآن هو أنه بدلاً من استخدام كلمة مرور ، فإننا نستخدم عبارة مرور أطول بكثير في الطول.

يشرح فكاهي XKCD التالي هذا المفهوم على أفضل وجه:

أسهل طريقة لإنشاء عبارة مرور عشوائية آمنة هي الانتقال إلى هنا.

الإستراتيجية رقم 2: استخدام المصادقة متعددة العوامل (MFA)

المصادقة الثنائية (2FA) أو التحقق بخطوتين كلها أسماء لنفس الشيء. هذا هو أحد تلك الأشياء التي تتطلب التعود قليلاً ، ولكن الفوائد الأمنية للمصادقة 2FA تتجاوز بكثير التكاليف وقد أنقذتني شخصيًا من انتهاكات الحساب مرتين!

الفكرة من وراء أسلوب العائالت المتعددة MFA بسيطة. هناك ثلاثة أشياء يمكننا استخدامها للمصادقة عليك:

1. شيء تعرفه (سر)
2. شيء لديك (رمز)
3. شيء ما أنت (علم الأحياء الخاص بك)

استخدام اثنين أكثر أمانًا من استخدام واحد فقط.

تدعم معظم مواقع الويب العامل الأول للمصادقة من خلال طلب كلمة مرور ، ولكن عددًا متزايدًا من الخدمات بدأ في دعم العامل الثاني أيضًا. عادة ما يتم استبعاد العامل الثالث من قبل خدمات الويب لأنه يتطلب أجهزة متخصصة ؛ مثل مستشعر بصمة الإصبع على هاتفك.

إذا كنت مسؤولاً عن فريق ، ففكر في إنشاء سياسة إلزامية للمستخدمين للحصول على إعداد 2FA. هذا يضمن أن اختراق كلمة المرور لن يؤدي إلى اختراق الحساب.

هناك نوعان شائعان من "شيء لديك":

1. هاتفك
2. مفتاح U2F

استخدام هاتفك لـ 2FA

أود أن أقول هذا فورًا: لا تستخدم رموز SMS لـ 2FA. لقد أصبح من الشائع أن يقوم الأشخاص المؤذون باختطاف رقم هاتفك. القصة هي نفسها دائمًا تقريبًا: قام شخص ما على الشبكات الاجتماعية بتصميم شركة اتصالات لنقل رقم هاتفك بعيدًا إلى شركة اتصالات أخرى. أعرف شخصًا واحدًا على الأقل وقع ضحية لهذا الهجوم.

بدلاً من ذلك ، استخدم كلمات مرور لمرة واحدة تستند إلى الوقت (TOTP) وتسمى أيضًا طريقة "Google Authenticator". ومع ذلك ، بدلاً من استخدام Google Authenticator ، أوصي باستخدام Authy لأنه يقوم بتشفير الرموز 2FA الخاصة بك ونسخها احتياطيًا على السحابة. يمكنك بعد ذلك استعادة الرموز 2FA الخاصة بك حتى إذا قمت بتغيير الأجهزة ... في الواقع ، يمكنك استخدام نفس الرموز على أجهزة متعددة. إنها مريحة للغاية.

استخدام مفتاح U2F للحصول على 2FA

هذه هي أبسط وأقوى طريقة 2FA. لديّ Yubikey Neo يمكنني استخدامه مع هاتفي وجهاز الكمبيوتر. لإثبات هويتي ، أقوم فقط بتوصيل رمز الجهاز والضغط على زر. رمز بلدي فريد وكونه رمزًا ماديًا ؛ يمكنني حملها على سلسلة المفاتيح الخاصة بي أو في محفظتي.

الاستراتيجية رقم 3: اليقظة المستمرة

بغض النظر عن مدى شعورك بالأمان ، فإن القدر الصحي من الشك أمر جيد. كن حذرًا من الأشخاص الذين يطلبون منك فعل أي شيء خارج عن المألوف. هل تلقيت رسالة نصية من شخص يطلب منك إعادة تعيين كلمة المرور الخاصة به؟ انتظر لحظة ، وانتقل إلى مكالمة فيديو معهم. اطلب منهم إثبات هويتهم. لا يمكن لأحد أن يلومك على توخي الحذر.

إنه ليس جنون العظمة إذا كانوا حقاً في الخارج للتغلب عليك. - هارولد فينش ، شخص مهم

هم حقا في الخارج ليأخذوك. في بعض الأحيان ، لا يوجد سبب لفعل المستخدم الضار ما يفعله ، بصرف النظر عن الرغبة في القيام بذلك.

تلقى أحد أصدقائي ذات مرة رسالة من أحد معارفه القدامى يسأل عما إذا كانوا يرغبون في أن يكونوا "جهة اتصال موثوقة" على Facebook. وافق صديقي وطُلب منه الرد بالرمز الذي سيحصل عليه على هاتفه ، والذي أعطته صديقي على الفور ... وكانت هذه هي الطريقة التي تم بها تصميم صديقتي الاجتماعية لإعطاء رمز إعادة التعيين لحسابها على Gmail. لو كانت صديقتي متيقظة منذ البداية ، لما فقدت بريدها الإلكتروني أبدًا.

إستراتيجية رقم 4: أنظمة التصميم حسب مبدأ الامتياز الأقل

يتطلب مبدأ الامتياز الأقل أنه في طبقة تجريد معينة من بيئة الحوسبة ، يجب أن تكون كل وحدة نمطية (مثل عملية أو مستخدم أو برنامج ، اعتمادًا على الموضوع) قادرة على الوصول إلى المعلومات والموارد الضرورية فقط لغرضها المشروع. - ويكيبيديا

إذا كان المستخدم أو التطبيق أو الخدمة لا يتطلب امتيازات معينة ، فلا تمنحها لهم. يمكنك اشتقاق العديد من القواعد من هذا المبدأ ، لكنني سأحفظها للقسم التالي حول سياسات الأمان.

دعني أخبرك بقصة: كنت أصمم ذات مرة تطبيقًا يقبل مدفوعات Bitcoin من المستخدمين على العناوين التي تم إنشاؤها بشكل فريد لهم ثم إعادة توجيهها إلى عنوان تخزين مركزي آمن. إذا لم تكن معتادًا على كيفية عمل Bitcoin ، فإليك شرحًا مبسطًا: أنت بحاجة إلى مفتاح عام لتلقي Bitcoin (مثل رقم الحساب) ومفتاح خاص مقابل إنفاقه (مثل رقم التعريف الشخصي للحساب). أرقام الحسابات والدبابيس في Bitcoin مرتبطة بشكل مشفر ولا يمكن تغييرها.

كان لدي العديد من الخيارات لتصميم هذا النظام ، لكنني قررت أن أسلك طريقًا أطول قليلاً. قررت أنه لمطالبة المستخدم بالدفع ، لا يحتاج التطبيق إلى الوصول إلى المفاتيح الخاصة. لذلك ، بدلاً من تصميم نظام واحد كبير يمكنه تلقي مدفوعات Bitcoin وإعادة توجيهها ، قمت بعمل نظامين:

1. نظام الاستلام: استقبل هذا البيتكوين من المستخدمين وتمت استضافته على الإنترنت العام. احتوت فقط على المفاتيح العامة للعناوين.
2. نظام إعادة التوجيه: كان هذا نظامًا مستقلاً تمامًا ومغلقًا كانت وظيفته الوحيدة مراقبة شبكة Bitcoin للمعاملات على العناوين وإعادة توجيهها إلى العنوان الآمن. احتوت على مفاتيح عامة وخاصة للعناوين.

بعد فترة طويلة ، بعد أن توقفت عن صيانة التطبيق ، تم اختراق نظام الاستلام العام. قمت بإغلاقه على الفور ، لكن المهاجم لم يتمكن من سرقة البيتكوين لأن النظام العام لا يحتوي على أي مفاتيح خاصة على الإطلاق.

الإستراتيجية رقم 5: استخدام أفضل ممارسات الحس السليم

بعض الممارسات لا تحتاج إلى تفسير. ربما تعرف أنها مهمة ، لكنني أتفاجأ باستمرار بعدد الأشخاص (بمن فيهم أنا) الذين ينسون قلب بعض المفاتيح. سأترك قائمة التحقق هذه هنا:

1. قم بتشغيل جدار الحماية الخاص بك
2. تشفير القرص الخاص بك
3. تمكين النسخ الاحتياطية المشفرة
4. استخدم مفاتيح SSH
5. استخدم اتصال إنترنت آمن

قم بتشغيل جدار الحماية الخاص بك

يتحكم جدار الحماية في حركة مرور الشبكة من وإلى جهاز الكمبيوتر الخاص بك بناءً على مجموعة من القواعد. إنه يعمل عن طريق سؤالك صراحة عما إذا كنت تريد السماح للبرامج الجديدة بالوصول إلى شبكتك وهو خط دفاعك الأول.

من المحتمل أن يكون نظام التشغيل لديك مزودًا بجدار حماية مدمج. تأكد من تشغيله.

تشفير القرص الخاص بك

تشفير القرص الكامل هو هذه القدرة السحرية لجعل محتوى القرص بأكمله عديم الفائدة بدون كلمة المرور الخاصة بك. في حالة فقدان الكمبيوتر المحمول أو سرقته ، يمكنك أن تطمئن إلى أنه لن يتمكن أي شخص من الوصول إلى بياناتك. يمكن أن يكون تمكين هذا أمرًا بسيطًا مثل تشغيل FileVault على جهاز Mac.

تحتوي الهواتف الخلوية الحديثة أيضًا على تمكين تشفير كامل للقرص افتراضيًا.

تشفير النسخ الاحتياطية الخاصة بك

تعطل الأجهزة ، إنها حقيقة من حقائق الحياة. سوف يفشل جهازك يومًا ما ، أو قد يصيب فيروس جهاز الكمبيوتر الخاص بك ، أو (يرتجف) سوف يستحوذ فيروس رانسوم وير على جهاز الكمبيوتر الخاص بك. ولكن بصفتك شخصًا عمليًا ، فمن المحتمل أن يكون لديك بالفعل إعداد تدفق احتياطي ، وأنا متأكد ... أليس كذلك؟

ومع ذلك ، حتى مع النسخ الاحتياطية الخاصة بك ، يجب أن تظل يقظًا. تأكد من تشفير النسخ الاحتياطية الخاصة بك حتى إذا فقدت أو سُرقت ، يمكنك أن تطمئن إلى أنك اتخذت تدابير معقولة لحماية سلامة البيانات التي عهدت إليها.

إذا كان لديك جهاز Mac ، فإن تطبيق Time Machine الموجود على جهاز Mac الخاص بك يقوم تلقائيًا بتشفير النسخ الاحتياطية.

استخدم مفاتيح SSH

إذا أخذت أي شيء بعيدًا عن هذه المقالة ، فتوقف عن استخدام كلمات المرور لـ SSH في الأجهزة. من الصعب مشاركة كلمات المرور ، وإذا تم تسريبها ، فسيتم اختراق جهازك بالكامل. بدلاً من ذلك ، قم بإنشاء مفتاح SSH ببساطة عن طريق تشغيل ssh-keygen .

لتسجيل الدخول إلى جهاز بعيد ، ما عليك سوى نسخ محتويات ~/.ssh/id_rsa.pub المحلي إلى ~/.ssh/authorized_keys في الجهاز البعيد. قد تحتاج إلى إعادة تشغيل خدمة SSH على الجهاز البعيد ، ولكن هذا كل شيء.

أضف مفاتيح SSH لفريقك بالكامل إلى الجهاز البعيد ولن يضطر أي شخص إلى كتابة كلمة مرور مرة أخرى. يعد إبطال مفتاح أحد أعضاء الفريق أمرًا بسيطًا مثل إزالة المفتاح من الجهاز البعيد.

استخدم اتصال إنترنت آمن

عندما تشارك اتصالاً بالإنترنت مع شخص ما ، فإنك تشارك أكثر من عرض النطاق الترددي الخاص بك. اعتمادًا على تكوين مواقع الويب والإنترنت الخاص بك ، يمكنهم على الأقل اكتشاف مواقع الويب التي تزورها ، وفي أسوأ الأحوال قراءة جميع المعلومات التي تنقلها ، بما في ذلك كلمات المرور أو الرسائل أو رسائل البريد الإلكتروني.

يعد هذا أمرًا بسيطًا جدًا للتمكين ومن السهل جدًا العبث به أيضًا. اتخذ الاحتياطات المعقولة للتأكد من أن اتصالك خاص. تأكد من عدم تمكن أي شخص غير مصرح له من الوصول إلى اتصالك بالإنترنت.

استخدم WPA2 لحماية شبكة WiFi الشخصية الخاصة بك بكلمة مرور ، وإذا كنت تعمل من المقهى المحلي (أو أي شبكة WiFi عامة) ، افترض أنك مراقب وتستخدم وكيل VPN.

أتردد في استخدام شبكات VPN القائمة على الاشتراك ، خاصة وأن طرح شبكتك الخاصة أمر بسيط للغاية. استخدم حل VPN المكون من سطر واحد لاستضافة حل خاص بك.

الإستراتيجية رقم 6: معالجة الأسرار بعناية

الأسرار لا يقصد الكشف عنها. لهذا السبب يطلق عليهم أسرار . على الرغم من ذلك ، كم مرة كنت مذنباً بإرسال كلمة المرور إلى قاعدة بيانات PostgreSQL عبر Facebook Messenger؟ تأكد دائمًا من أنك:

• تشفير الأسرار أثناء النقل
• تناوب عليها في كثير من الأحيان

تشفير الأسرار أثناء النقل

إذا كان يجب عليك مشاركة الأسرار عبر قنوات مثل الدردشة ، فتأكد من تشفيرها. كتمرين ، قم بزيارة برنامج الدردشة الذي تستخدمه كثيرًا وأقدمه. قد تكون رسائل Facebook أو Whatsapp. بغض النظر عن ماهيتها ، افتح وابحث عن عبارة "password" في رسائلك.

إذا تم تشفير هذه الأسرار ، فلن تكون متاحة لأي شخص لديه إمكانية الوصول إلى رسائلك.

تناوب الأسرار في كثير من الأحيان

كلما طالت مدة وجود السر أو زادت مشاركته ، زاد احتمال تعرضه للخطر. يعتبر تدوير الأسرار وكلمات المرور بعد فترة زمنية معينة ممارسة جيدة.

الإستراتيجية رقم 7: إنشاء الهويات المشفرة

هذه بالتأكيد استراتيجية متقدمة ، لكنني شخصياً لا أفهم سبب عدم انتشار هذه الممارسة. ضع في اعتبارك هذا: يعتقد زميلك في العمل أنك تعرضت للخطر. كيف يوصلون رسالة إلى شخصيتك الحقيقية؟ إذا كان على شخص ما من الإنترنت مشاركة معلومات نقاط الضعف المهمة ، فكيف يرسلونها بأمان؟ كيف تضمن أن موظفيك يشاركون المعلومات بشكل آمن أثناء النقل؟

المثال المفضل لدي هو ملف تعريف قاعدة المفاتيح في Coinbase ، حيث يوقعون بشكل مشفر مفاتيح PGP لموظفيهم. لقد ذهبوا إلى أبعد من ذلك ومنحوا قسم الامتثال لديهم مفتاح PGP. على محمل الجد ، Coinbase ، عمل رائع!

بالنسبة لي ، شخصيًا ، في حالة وجود شك معقول لدى شخص ما في أن هويتي عبر الإنترنت قد تم اختراقها ، اطلب مني ببساطة التوقيع على رسالة باستخدام مفتاح PGP المتاح في ملف تعريف قاعدة المفاتيح الخاص بي. أنا الشخص الوحيد الذي لديه حق الوصول إلى مفتاح PGP هذا ، وقد اتخذت احتياطات معقولة لضمان بقاء هذا المفتاح آمنًا حتى إذا تم اختراق هوياتي الأخرى.

إذا كنت تشك في صحة الرسالة ، فاطلب مني التوقيع عليها. إذا كنت تريد أن ترسل لي سرًا ، فقم بتشفيره باستخدام مفتاحي العام.

تنفيذ نهج واضح لأمان العامل عن بعد

سياسة الأمن هي تعريف لما يعنيه أن تكون آمنًا لنظام أو مؤسسة أو كيان آخر. بالنسبة لمنظمة ما ، فهي تتناول القيود المفروضة على سلوك أعضائها وكذلك القيود المفروضة على الخصوم من خلال آليات مثل الأبواب والأقفال والمفاتيح والجدران. - ويكيبيديا

السياسة الأمنية هي قاعدة أو بروتوكول إلزامي يجب اتباعه عند تنفيذ الإجراءات. الاستراتيجيات المذكورة أعلاه مفيدة ولكن لتسهيل اتباعها ، امنح فريقك مجموعة واضحة من القواعد التي يجب اتباعها. من الصعب إفساد الأمن عندما يعرف فريقك بالضبط ما يجب فعله.

دعنا نناقش أمثلة على سياسة أمان العامل عن بُعد المراد تنفيذها.

السياسات الواجب تنفيذها لموظفيك :

• اتفاقيات عدم الإفشاء والعقود: تأكد من عدم وصول أي موظف إلى أي موارد سرية دون الأسس القانونية المناسبة.
• معلومات الاتصال في حالات الطوارئ: قم بحذف معلومات الاتصال الكاملة وموظفك في حالات الطوارئ في حالة عدم استجابة عضو فريقك البعيد.
• امنح الامتيازات الأساسية فقط: إذا كان عضو فريقك لا يحتاج إلى الوصول إلى مناطق معينة لأداء وظيفته ، فلا تمنحه حق الوصول. لا يحتاج عضو فريق المبيعات إلى الوصول إلى مستودع الرمز الخاص بك.
• مديرو كلمات المرور: تأكد من وصول موظفيك إلى مدير كلمات المرور
• سياسات المصادقة القوية
  • الحد الأدنى من قوة كلمة المرور: أنا شخصياً أكره كلمات المرور ، وبالنسبة للمؤسسات التي أعمل فيها كمسؤول ، فأنا أطلب كلمات مرور لا تقل عن خمسين حرفًا أبجديًا رقميًا. من التافه الالتزام بهذه السياسة إذا كنت تستخدم مدير كلمات المرور.
  • إعادة تعيين كلمة المرور الإلزامية: تأكد من انتهاء صلاحية كلمات مرور موظفيك بشكل متكرر لتدوير الأسرار كثيرًا.
  • المصادقة ذات العاملين: استخدم المصادقة الثنائية في كل مكان
• مفاتيح PGP
• الأقراص الصلبة المشفرة
• النسخ الاحتياطية المشفرة

يغادر الموظفون ، لكن لا ينبغي أن يأخذوا معلوماتك معهم. قم بتكييف هذه السياسات للاحتفاظ بالبيانات حتى بعد مغادرة موظفيك للشركة:

• حسابات البريد الإلكتروني للشركة: يتيح لك منح موظفيك حسابات البريد الإلكتروني على المجال الخاص بك تعطيل وتدقيق اتصالاتهم.
• الاتصالات في الوقت الفعلي: على الرغم من أن البريد الإلكتروني رائع ، يحتاج فريقك أحيانًا إلى التحدث في الوقت الفعلي. تأكد من أن فريقك لديه قناة Slack أو IRC مركزية. يمنحك هذا القدرة على تعطيل أو تدقيق اتصالاتهم كما هو مطلوب.
• مستودعات الكود المركزي: تأكد من تخزين كل كود الشركة في مستودع كود الشركة. خطط الشركة على عروض SaaS العامة مثل GitHub جيدة حتى تحتاج إلى تحكم دقيق في جميع رموز الموظفين. في الحالة الأخيرة ، فكر في الحصول على مثيل GitLab الخاص بك.

سياسات لحماية البنية التحتية الخاصة بك:

• حافظ على تحديث الأنظمة: يتم اكتشاف الثغرات الأمنية وتصحيحها كل يوم ، ومن واجبك التأكد من تطبيق هذه الإصلاحات. لا يوجد شيء أسوأ من اكتشاف أن الخرق كان بسبب ثغرة أمنية تم تصحيحها منذ أسابيع.
• تأمين بيئات الإنتاج والتدريج: يجب ألا يتمكن أي موظف من الوصول إلى بيئات الإنتاج أو التدريج. في بعض الأحيان يفسدون فقط.
• إنشاء تدفق CI / CD قوي: تريد دائمًا نشر رمز "جيد" ، وتضمن عملية CI / CD المباشرة ذلك دائمًا.
• حماية المستودع المبارك: إذا كان لديك عملية CI / CD آلية ، فتأكد من أن مستودعك المبارك لا يمكن تعديله إلا بواسطة مدير المشروع.
• تحديد عملية المراجعة: لضمان عدم وجود رمز "سيئ" يمر دون أن يلاحظه أحد ، قم بإنشاء عملية مراجعة. يمكن أن يكون هذا بسيطًا مثل طلب تعليق مستقل واحد "يبدو جيدًا بالنسبة لي" (LGTM) قبل الدمج.
• مفاتيح SSH: إذا كان التطبيق الخاص بك يتطلب منح وصول SSH ، تأكد من أنهم يستخدمون مفاتيح SSH بدلاً من كلمات المرور.
• ضع في اعتبارك إسقاط BYOD: قد يعتقد فريق الميزانية أن BYOD هو أفضل ابتكار في السياسة منذ المكتب الخالي من الأوراق ، ولكن إذا كنت تستطيع ذلك ، ففكر في تزويد فريقك بأجهزة الشركة التي يمكنك تنفيذ سياسات أمنية صارمة عليها.
• النسخ الاحتياطية المشفرة: بياناتك مهمة.

السياسات عند كتابة التعليمات البرمجية :

• لا توجد أسرار في الكود: نظرًا لطبيعة التحكم في الإصدار ، قد يكون من الصعب جدًا إزالة البيانات عند إضافتها في الكود ، حيث يسهل العثور على المفاتيح السرية.
• Bcrypt عند تخزين كلمات المرور: عند تصميم نظام مصادقة ، استخدم bcrypt لتجزئة كلمات المرور الخاصة بك وملحها بدلاً من تصميم نظامك ، أو (gulp) تخزينها في نص عادي.
• تصفية المعلومات الحساسة من السجلات: سواء كان ذلك الفلفل العام الخاص بك ، أو مفتاح توقيع جلسة التطبيق الخاص بك ، أو محاولة تسجيل دخول المستخدم ، تأكد من عدم تسرب هذه المعلومات إلى ملفات سجل النظام حيث يمكن لأي شخص لديه إمكانية الوصول قراءتها.
• امنح أقل الامتيازات المطلوبة: إذا كان التطبيق الخاص بك يحتاج فقط إلى امتيازات READ ، فلا تمنحه امتيازات WRITE . التمسك بمبدأ الامتياز الأقل.

ضع خطة استجابة

تحدث الخروقات الأمنية في بعض الأحيان ، وبينما سيكون هناك متسع من الوقت للتعلم خلال فترة ما بعد الوفاة ، ما يهم هو أن هناك مسارًا واضحًا لتأمين جميع الأصول الرقمية.

خذ الوقت الكافي لوضع خطة طوارئ في حالة حدوث خرق أمني. ضع في اعتبارك أفعالك في السيناريوهات التالية:

• تفقد جهازًا به بيانات حساسة.
• ربما تم الوصول إلى البنية التحتية الخاصة بك من قبل طرف غير مصرح له.
• تلاحظ شخصًا في فريقك يتصرف بشكل غريب على عكس نفسه.
• تم اكتشاف ثغرة أمنية.

الأشياء التي يجب تضمينها في خطة الاستجابة الخاصة بك:

• التوثيق الدؤوب: قم بتمكين تسجيل الشاشة ، وقم بإعداد wiki لفريقك لمشاركة كل ما يصادفونه.
• احتواء الاختراق: اعتمادًا على نطاق الاختراق ، قد يكون هذا بسيطًا مثل تعطيل حساب المستخدم أو فصل الخادم عن الاتصال بالإنترنت أو إيقاف تشغيل الإنتاج والاتصال بالمستخدمين.
• إنشاء اتصال داخلي: ابدأ قناة Slack مخصصة ، أو ابحث عن طريقة لأي شخص للإبلاغ عما يصادفه.
• جلب المساعدة: اتصل بكل الفرق المتأثرة بالاختراق. قد يكون هذا هو الوقت المناسب للاتصال بالسلطات أيضًا.
• التحقيق: اكتشف ما تم اختراقه ، وإلى أي مدى ، وما الذي يمكننا القيام به لاستئناف العمليات العادية.
• العودة إلى الإنترنت: قم بإنشاء واختبار ونشر إصلاح لاستئناف العمليات العادية في أقرب وقت ممكن. يعتمد المستخدمون لديك على خدمتك للعمل ، وفي اللحظة التي يمكنك فيها ضمان خدمة مستقرة وآمنة ، يمكنك الاتصال بالإنترنت مرة أخرى.
• تحدث إلى المستخدمين: لا تترك المستخدمين في الظلام. أسوأ شيء يمكنك القيام به هو إيقاف خدمتك دون توضيح ما يحدث لمستخدميك. إنشاء قناة تحديث حية ؛ قد يكون هذا بسيطًا مثل استخدام Twitter لإبقائهم على اطلاع. بعد معالجة الحادث ، انشر تقرير تشريح الجثة يتحدث عن ما حدث وكيف حدث وما فعلته لمنع حدوث انتهاكات مماثلة في المستقبل.

حوادث أمنية تحدث. ما يهم هو كيف تتعامل مع ردك. كانت إحدى الردود المفضلة لدي حتى الآن في عام 2015 عندما أصدر LastPass إعادة تعيين كلمة مرور رئيسية إلزامية عندما اكتشفوا نشاطًا غير طبيعي على الشبكة. لقد كنت مستخدمًا لـ LastPass منذ فترة طويلة ، وعلى الرغم من مشكلات الأمان الأخيرة ، فأنا أحب الطريقة التي يستجيبون بها لعملائهم من خلال وضع احتياجاتهم أولاً.

اقتراحات للقراءة

وأكرر القول: لا يوجد شيء اسمه الأمن التام. كل ما يهم هو التأكد من أنك بذلت جهدًا معقولًا للحفاظ على أمان بياناتك.

يجب أن تجعل ممارسات الأمان هذه اختراقك أنت وفريقك البعيد أكثر صعوبة.

إذا كنت ترغب في قراءة قصة حقيقية لقراصنة هاربين هاربين من القانون ، فإنني أوصي بـ Ghost in the Wires للكاتب كيفن ميتنيك.

إذا كنت تريد معرفة المزيد حول طريقة تفكير الطرف الآخر ، فإنني أوصي بقراءة:

• الهندسة الاجتماعية: فن القرصنة البشرية لكريستوفر هادناجي
• فن الخداع بواسطة كيفن ميتنيك وويليام إل سيمون

جريمتي هي جريمة الفضول.