Ein Leitfaden zu Best Practices für die Sicherheit von Remote-Teams

Immer wenn ich meinen Freunden erzähle, dass ich remote für einen Kunden arbeite, den ich noch nie getroffen habe, fragen sie mich: Ist es für Sie sicher, remote zu arbeiten? Meine Antwort ist ein klares „Ja … aber es hängt davon ab, wie gut Sie Ihre Sicherheitsrichtlinie für Remote-Mitarbeiter erstellen.“

Ich lebe in Pakistan, wo ich Code produziere, der für Kunden auf der anderen Seite des Planeten von Wert ist. Meine Kunden haben mir nie die Hand geschüttelt oder gesehen, wo ich arbeite. Und dennoch wird von mir erwartet, dass ich dafür sorge, dass Client-Geheimnisse und Code geschützt bleiben. In einer Welt, in der Ihre Teammitglieder Ihr Gesicht oder Ihre Stimme nicht kennen, wie verhindern Sie Sicherheitsverletzungen? Die Antwort lautet: Indem man sehr vorsichtig ist.

Vor nicht allzu langer Zeit glaubten wir, dass wir sie in unserem privaten Rechenzentrum ausführen müssten, um die Leistung und Sicherheit unserer Anwendungen zu gewährleisten. Dann kam die Cloud auf den Markt, und wir nutzten die Kosten- und Leistungsvorteile der Ausführung unserer Anwendungen auf einer skalierbaren On-Demand-Plattform, ohne eine Flotte von Servern in einem Raum zu unterhalten.

Erlauben Sie mir, Sie in ein bekanntes Geheimnis einzuweihen:

Jetzt speichern und verarbeiten Unternehmen wie Uber ¹ und Stripe ² Echtzeit-Kundenstandortinformationen sowie Kreditkarten und Zahlungen auf dem Server eines Cloud-Anbieters und halten sich dabei an strenge Sicherheitsstandards wie PCI-Konformität. Sie tun dies, indem sie strenge Richtlinien einführen, die sicherstellen, dass ihre Produktionsdaten sicher bleiben.

Wenn Unternehmen garantieren können, dass ihre gesamte Produktionsumgebung sicher bleibt, obwohl sie außerhalb ihrer privaten Rechenzentren ausgeführt wird, können wir mit Sicherheit die Sicherheit Ihrer Entwicklung mithilfe von Remote-Entwicklungsteams gewährleisten. Schließlich sind ganze Unternehmen in der Lage, vollständig remote zu arbeiten. Toptal ist ein reines Remote-Unternehmen und wir stellen ein.

Was ist „Sicherheit“ und wie kann ich „sicher“ sein?

Wenn ich in diesem Artikel von „Sicherheit“ spreche, meine ich Informationssicherheit .

Der Begriff „Informationssicherheit“ bedeutet den Schutz von Informationen und Informationssystemen vor unbefugtem Zugriff, Verwendung, Offenlegung, Störung, Änderung oder Zerstörung. – 44 US-Code § 3542

Es gibt keine perfekte Sicherheit , aber „sicher sein“ bedeutet, dass Sie angemessene Maßnahmen ergriffen haben, um die Informationssicherheit durchzusetzen.

Insbesondere wenn Sie sagen „meine Arbeitsumgebung ist sicher“, meinen Sie, dass Sie angemessene Maßnahmen ergriffen haben, um die Daten, den Code oder andere vertrauliche Informationen in Ihrer Obhut zu schützen und ihre Integrität zu gewährleisten. Sie haben auch Maßnahmen ergriffen, um sicherzustellen, dass Ihre Berechtigungen für den Zugriff auf sensible Informationssysteme nicht von Ihnen oder einer unbefugten Person in einer Weise verwendet werden, die den Zielen der Organisation, die Eigentümer dieser Informationen und dieser Systeme ist, abträglich ist.

Remote-Teams haben eine weitaus größere Angriffsfläche als zentralisierte Teams. Im Gegensatz zu einem zentralisierten Team, in dem Sie vertrauliche Informationen physisch hinter Firewalls und Unternehmensarbeitsplätzen sperren können, werden Sie als Remote-Mitarbeiter ermutigt oder sogar verpflichtet, Ihr eigenes Gerät (BYOD) mitzubringen. Da die meisten Ihrer Kommunikationen online stattfinden, sind Sie außerdem viel anfälliger für Social Engineering und Identitätsdiebstahl. Mit den richtigen Richtlinien können Sie jedoch das Risiko eines Verstoßes minimieren.

Es gibt keine Wunderwaffe für die Sicherheit. Oft gibt es einen Kompromiss zwischen Sicherheit und Bequemlichkeit, und es liegt an Ihnen, zu bestimmen, wie weit Sie Ihre Sicherheitspraktiken treiben möchten, aber denken Sie daran, dass Ihr Team nur so sicher ist wie sein schwächstes Mitglied. Werfen wir einen Blick auf einige gängige Sicherheitsangriffe und Verteidigungsstrategien und besprechen schließlich eine beispielhafte Richtlinie für Remote-Sicherheitsmitarbeiter.

Die drei häufigsten Arten von gegnerischen Angriffen

Sie sind nicht vorbereitet, wenn Sie nicht wissen, was auf Sie zukommt. Ein Gegner kann bei seinem Angriff viele Strategien anwenden, aber die meisten fallen in drei Kategorien. Obwohl diese Liste nicht vollständig ist, sind dies drei gängige Arten von Angriffsvektoren, die böswillige Hacker verwenden können:

• Soziale Entwicklung
• Phishing
• Malware-Infektionen

Soziale Entwicklung

Social Engineering wird auch als menschliches Hacken bezeichnet und ist die Praxis, Menschen so zu manipulieren, dass sie auf eine Weise handeln, die nicht in ihrem besten Interesse ist; dies kann die Preisgabe vertraulicher Informationen umfassen.

Social-Engineering-Angriffe können entweder versuchen, Ihr Mitgefühl auszunutzen, um Sie dazu zu bringen, bewährte Praktiken zu umgehen, oder ein Gefühl der Dringlichkeit erzeugen, wenn sie Sie dazu bringen, bewährte Praktiken zu umgehen, indem Sie negative Maßnahmen gegen Sie befürchten, wenn Sie sich nicht daran halten.

Beispiele für Social Engineering sind:

• Eine Frau ruft einen Mobilfunkanbieter an und überredet den Support-Mitarbeiter, das Konto einer anderen Person zu ändern, während im Hintergrund ein YouTube-Clip mit einem weinenden Baby abgespielt wird.
• Ein Angreifer sendet über die E-Mail-Adresse des CFO eine E-Mail an einen CEO und autorisiert einen Geldtransfer in Höhe von 1,8 Millionen US-Dollar.

Phishing

Phishing ist die häufigste Methode, um Ihre Anmeldeinformationen zu stehlen. Stellen Sie sich eine Website vor, die genauso aussieht wie Facebook, wo Sie sich anmelden und denken, es sei echt. Phishing ist, wenn ein Angreifer eine Website erstellt, die legitim aussieht, es aber nicht ist.

Kannst du das gefälschte Facebook erkennen? Hinweis: Es ist derjenige, der nicht auf Facebook.com ist.

Manchmal können Hacker Ihr Internet vergiften und ihre Website in die Facebook-Domain einschleusen, dies wird als Man-in-the-Middle-Angriff bezeichnet, aber keine Sorge, Ihr Browser kann Sie davor warnen.

Spear-Phishing ist eine weitere Form von Phishing, bei der die Phishing-Seite speziell für Sie oder Ihr Unternehmen erstellt werden kann. Dies macht es wahrscheinlicher, dass Sie darauf hereinfallen, insbesondere in Kombination mit Social Engineering.

Ich erzähle Ihnen eine Geschichte: Als ich in der Schule war, erstellte jemand, der kürzlich etwas über Phishing gelernt hatte, eine gefälschte Facebook-Website und änderte die Homepages im Computerraum in seine Kreation. Das nächste, was er wusste, war, dass diese Person dreihundert Passwörter für Facebook-Konten hatte. Dieser Angriff war speziell auf meine Schule ausgerichtet und stellte sich als erfolgreicher Spear-Phishing-Angriff heraus.

Und zu denken, dass all diese Passwörter sicher geblieben wären, wenn sich nur jemand die Mühe gemacht hätte, in die Adressleiste zu schauen.

Malware-Infektion

Es gibt Hunderte verschiedener Arten von Malware. Einige sind harmlos oder einfach nur lästig, aber einige können sehr gefährlich sein. Die wichtigsten Arten von Malware, auf die Sie achten sollten, sind:

• Spyware: Installiert und zeichnet unbemerkt Ihre Tastenanschläge, Bildschirme, Audio- und Videodaten auf.
• Remote Administration Tools (RATs): Vollständige Kontrolle über Ihren Computer.
• Ransomware: Verschlüsselt alle Ihre wichtigen Dateien und lässt Sie für den Entschlüsselungsschlüssel bezahlen.

Um Sie absichtlich dazu zu bringen, benutzerdefinierte Malware auf Ihrem Computer zu installieren, verwenden Angreifer normalerweise Social Engineering:

• Der Angreifer platziert „verlorene“ USB-Laufwerke auf dem Firmenparkplatz, um die Anmeldedaten der Mitarbeiter abzugreifen.
• Ein Mann, der Kaffee auf seinem Lebenslauf verschüttet hat, bittet die Empfangsdame, ihm eine Kopie von etwas auszudrucken, weil er ein Vorstellungsgespräch hat, wodurch ein Firmencomputer durch eine böswillige Payload in einem USB infiziert wird. (Beispiel aus The Art of Human Hacking).

Sieben Cyber-Defense-Strategien, die Sie jetzt brauchen

Wir haben die gängigsten gegnerischen Angriffsmethoden besprochen, aber wie schützen wir uns vor ihnen?

Strategie Nr. 1: Korrekte Passwortverwaltung

Ich hasse Passwörter. Da habe ich es gesagt. Ich bin der festen Überzeugung, dass die Kombination aus Benutzername und Passwort die schwächste Form der Benutzerauthentifizierung ist, die es gibt. Ein Passwort ist nichts anderes als eine kurze Zeichenfolge, die vom schlechtesten Pseudozufallszahlengenerator der Welt generiert wird: dem menschlichen Verstand.

Ich brauche ein geheimes Wort, nicht wahr? Wie wäre es mit meinem zweiten Vornamen und meinem Geburtsjahr, das wird sicherlich niemand erraten können! – Jeder Mensch aller Zeiten

Noch schlimmer ist, dass die Leute aus Bequemlichkeitsgründen dazu neigen, Passwörter wiederzuverwenden. Das macht es möglich, dass jemand dasselbe Passwort für seinen Bank-Login und sein Heim-WLAN verwendet, während es wahrscheinlich ist, dass das Passwort mit dem Namen seiner Lieblingsband endet . Der Horror!

Ich habe mir vor Jahren folgendes vorgenommen:

1. Verwenden Sie einen Passwort-Manager
2. Verwenden Sie starke Passphrasen anstelle von Passwörtern

Verwenden Sie einen Passwort-Manager

Als ich sagte, dass es einen Kompromiss zwischen Schattierungen von Sicherheit und Bequemlichkeit gibt, trifft dies hier nicht zu. Entweder Sie sind sicher und verwenden einen Passwort-Manager, oder Sie sind es nicht. Dazwischen gibt es nichts. Für eine gute Passwortsicherheit ist es zwingend erforderlich, einen Passwortmanager zu verwenden. Ich erkläre es.

1. Sind alle Ihre Passwörter einzigartig?
2. Wenn ich einige Ihrer Passwörter entdeckt habe, bleiben die restlichen Passwörter sicher?
3. Wurden alle Ihre Passwörter mit mindestens 32 Bit Entropie erstellt?
4. Werden Ihre Passwörter nur verschlüsselt gespeichert?
5. Erinnern Sie sich perfekt an jedes einzelne Passwort, das Sie bei der Anmeldung verwendet haben?
6. Werden Sie auf dieser Website positiv auf ein Passwortleck aufmerksam?

Wenn Sie eine der obigen Fragen mit „Nein“ beantwortet haben, benötigen Sie einen Passwort-Manager. Ein guter Passwort-Manager generiert Ihre Passwörter nach dem Zufallsprinzip für Sie und speichert sie sicher. Es spielt keine Rolle, welchen Passwort-Manager Sie verwenden, solange Sie einen verwenden!

Ich verwende LastPass, weil mir die Transparenz bei ihren Vorfallberichten gefällt, die Möglichkeit, meine Zugangsdaten mit Freunden zu teilen und die Freigabe zu widerrufen, wann immer ich will, und ich mag die Tatsache, dass die mobile Synchronisierung Teil ihres kostenlosen Plans ist.

Ich verwende LastPass seit Jahren, und ihre Sicherheitsherausforderung sagt mir, dass ich zu den besten 1 % der sicherheitsbewussten Benutzer gehöre.

Starke Passphrasen statt Passwörter

Dies mag kontraintuitiv klingen, da ich Sie oben gebeten habe, einen Passwort-Manager zu verwenden, aber es gibt Fälle, in denen Passwörter unvermeidlich sind: Sie benötigen ein starkes Master-Passwort für Ihren Passwort-Manager oder um sich bei Ihrem Computer anzumelden. Verwenden Sie in diesen Fällen eine sichere und einprägsame Passphrase mit hoher Entropie.

Apropos Entropie, lass uns ein bisschen darüber reden. Was ist diese „Entropie“, von der ich spreche?

Die Entropie ist eine statistische Größe, die gewissermaßen misst, wie viel Information im Durchschnitt für jeden Buchstaben eines Textes in der Sprache produziert wird. Wenn die Sprache am effizientesten in Binärziffern (0 oder 1) übersetzt wird, ist die Entropie H die durchschnittliche Anzahl von Binärziffern, die pro Buchstabe der Originalsprache benötigt werden. – Claude Shannon

Es ist in Ordnung, wenn dieses Zitat schwer zu verdauen war. Grundsätzlich ist die Entropie für ein Passwort, das zufällig aus einer Menge ausgewählt wird, die Gesamtzahl der Elemente in der Menge, ausgedrückt in Basis 2. Beispiel: Wenn Sie ein Passwort mit 4 Zeichen lang haben, das nur Kleinbuchstaben enthalten darf, ist die Entropie für ein zufällig generiertes Passwort wäre 19 Bit, weil:

1. Es gibt 26 Elemente in einem Kleinbuchstabenalphabet
2. Eine 4-stellige Zeichenfolge, die aus diesen Buchstaben besteht, ist 26^4 = 456.976
3. 456.976 ausgedrückt in Basis 2 ist log(456,976) / log(2) = 19 Bit (gerundet auf das nächste Bit)

Das Problem mit Passwörtern mit hoher Entropie ist, dass sie am Ende schwer zu merken sind, wie c05f$KVB#*6y . Um sie einprägsamer zu machen, was wäre, wenn wir statt einzelner Buchstaben ganze Wörter verwenden würden? Und ein Wörterbuch mit tausend Wörtern verwendet? Plötzlich wird unser Alphabet tausend Elemente lang, und wir können in 7 Wörtern die gleiche Entropie erreichen, die wir mit 11 Zeichen hätten.

Der Unterschied besteht jetzt darin, dass wir anstelle eines Passworts eine Passphrase verwenden , die viel länger ist.

Der folgende XKCD-Comic erklärt dieses Konzept am besten:

Der einfachste Weg, eine sichere zufällige Passphrase zu generieren, ist hier.

Strategie Nr. 2: Multifaktor-Authentifizierung (MFA) verwenden

Zwei-Faktor-Authentifizierung (2FA) oder 2-Stufen-Verifizierung sind alle Namen für dasselbe. Dies ist eines dieser Dinge, an die man sich etwas gewöhnen muss, aber die Sicherheitsvorteile von 2FA übersteigen die Kosten bei weitem und haben mich persönlich zweimal vor Kontoverletzungen bewahrt!

Die Idee hinter MFA ist einfach. Es gibt drei Dinge, die wir verwenden können, um Sie zu authentifizieren:

1. Etwas, das du weißt (ein Geheimnis)
2. Etwas, das Sie haben (ein Token)
3. Etwas, das du bist (deine Biologie)

Die Verwendung von zwei ist sicherer als die Verwendung von nur einer.

Die meisten Websites unterstützen den ersten Authentifizierungsfaktor, indem sie ein Passwort verlangen, aber immer mehr Dienste unterstützen auch den zweiten Faktor. Der dritte Faktor wird normalerweise von Webdiensten ausgelassen, da er spezielle Hardware erfordert; wie der Fingerabdrucksensor Ihres Telefons.

Wenn Sie ein Administrator für ein Team sind, sollten Sie erwägen, eine obligatorische Richtlinie für Benutzer zu erstellen, damit sie 2FA einrichten können. Dadurch wird sichergestellt, dass eine Kennwortkompromittierung nicht zu einer Kontokompromittierung führt.

Es gibt zwei beliebte Formen von „something you have“:

1. Dein Telefon
2. Ein U2F-Schlüssel

Verwenden Sie Ihr Telefon für 2FA

Ich möchte das gleich sagen: Verwenden Sie keine SMS-Codes für 2FA. Es wird zur gängigen Praxis für böswillige Personen, Ihre Telefonnummer zu kapern. Die Geschichte ist fast immer dieselbe: Jemand hat einen Netzbetreiber dazu gebracht, Ihre Telefonnummer zu einem anderen Netzbetreiber zu portieren. Ich kenne mindestens eine Person, die diesem Angriff zum Opfer gefallen ist.

Verwenden Sie stattdessen zeitbasierte Einmalpasswörter (TOTP), auch „Google Authenticator“-Methode genannt. Anstatt jedoch Google Authenticator zu verwenden, empfehle ich die Verwendung von Authy, da es Ihre 2FA-Token in der Cloud verschlüsselt und sichert. Sie können dann Ihre 2FA-Token wiederherstellen, selbst wenn Sie das Gerät wechseln … tatsächlich können Sie dieselben Token auf mehreren Geräten verwenden. Es ist sehr praktisch.

Verwenden eines U2F-Schlüssels für 2FA

Dies ist die einfachste und leistungsstärkste 2FA-Methode. Ich habe einen Yubikey Neo, den ich mit meinem Telefon und meinem Computer verwenden kann. Um meine Identität nachzuweisen, stecke ich einfach meinen Hardware-Token ein und drücke eine Taste. Mein Token ist einzigartig und ein physisches Token; Ich kann es an meinem Schlüsselbund oder in meiner Brieftasche tragen.

Strategie Nr. 3: Ständige Wachsamkeit

Unabhängig davon, wie sicher Sie sich fühlen, ein gesundes Maß an Misstrauen ist eine gute Sache. Seien Sie vorsichtig, wenn Leute Sie bitten, etwas Außergewöhnliches zu tun. Haben Sie eine SMS von jemandem erhalten, in dem Sie aufgefordert wurden, sein Passwort zurückzusetzen? Warten Sie eine Minute und starten Sie einen Videoanruf mit ihnen. Bitten Sie sie, ihre Identität nachzuweisen. Niemand kann Ihnen vorwerfen, dass Sie vorsichtig sind.

Es ist keine Paranoia, wenn sie wirklich hinter dir her sind. – Harold Finch, Person von Interesse

Sie sind wirklich hinter dir her. Manchmal gibt es für einen böswilligen Benutzer keinen Grund, das zu tun, was er tut, außer dem Willen, es zu tun.

Ein Freund von mir erhielt einmal eine Nachricht von einem alten Bekannten, in der er gefragt wurde, ob er sein „vertrauenswürdiger Kontakt“ auf Facebook sein möchte. Meine Freundin stimmte zu und wurde gebeten, mit einem Code zu antworten, den sie auf ihrem Telefon erhalten würden, den meine Freundin prompt gab … und so wurde meine Freundin dazu gebracht, das Reset-Token für ihr Gmail-Konto zu geben. Wenn meine Freundin von Anfang an wachsam gewesen wäre, hätte sie niemals ihre E-Mails verloren.

Strategie Nr. 4: Systeme nach dem Prinzip der geringsten Berechtigung gestalten

Das Prinzip der geringsten Rechte erfordert, dass in einer bestimmten Abstraktionsschicht einer Computerumgebung jedes Modul (je nach Thema ein Prozess, ein Benutzer oder ein Programm) nur auf die erforderlichen Informationen und Ressourcen zugreifen können muss für seinen legitimen Zweck. – Wikipedia

Wenn ein Benutzer, eine Anwendung oder ein Dienst bestimmte Berechtigungen nicht benötigt, geben Sie sie ihnen nicht. Sie können viele Regeln aus diesem Prinzip ableiten, aber ich hebe sie mir für den nächsten Abschnitt über Sicherheitsrichtlinien auf.

Lassen Sie mich Ihnen eine Geschichte erzählen: Ich entwarf einmal eine Anwendung, die Bitcoin-Zahlungen von Benutzern an Adressen akzeptierte, die speziell für sie generiert wurden, und sie dann an eine zentrale sichere Speicheradresse weiterleitete. Wenn Sie mit der Funktionsweise von Bitcoin nicht vertraut sind, hier eine vereinfachte Erklärung: Sie benötigen einen öffentlichen Schlüssel, um Bitcoin zu erhalten (wie eine Kontonummer), und einen entsprechenden privaten Schlüssel, um ihn auszugeben (wie eine Konto-PIN). Die Kontonummern und Pins in Bitcoin sind kryptografisch verknüpft und können nicht geändert werden.

Ich hatte mehrere Möglichkeiten, dieses System zu entwerfen, aber ich entschied mich für einen etwas längeren Weg. Ich entschied, dass die Anwendung keinen Zugriff auf die privaten Schlüssel benötigte, um den Benutzer zur Zahlung aufzufordern. Anstatt also ein großes System zu entwerfen, das Bitcoin-Zahlungen empfängt und weiterleitet, habe ich zwei Systeme entwickelt:

1. Das Empfangssystem: Dieses erhielt Bitcoin von Benutzern und wurde im öffentlichen Internet gehostet. Es enthielt nur die öffentlichen Schlüssel für die Adressen.
2. Ein Weiterleitungssystem: Dies war ein völlig unabhängiges und gesperrtes System, dessen einzige Aufgabe darin bestand, das Bitcoin-Netzwerk auf Transaktionen an den Adressen zu überwachen und diese an die sichere Adresse weiterzuleiten. Es enthielt sowohl öffentliche als auch private Schlüssel für die Adressen.

Lange Zeit später, nachdem ich die Pflege der App eingestellt hatte, wurde in die öffentliche Empfangsanlage eingebrochen. Ich habe es sofort heruntergefahren, aber der Angreifer hat es nie geschafft, die Bitcoin zu stehlen, weil das öffentliche System überhaupt keine privaten Schlüssel enthielt.

Strategie Nr. 5: Verwenden Sie bewährte Praktiken des gesunden Menschenverstands

Einige Praktiken bedürfen keiner Erklärung. Sie wissen wahrscheinlich, dass sie wichtig sind, aber ich bin immer wieder überrascht, wie viele Leute (mich eingeschlossen) vergessen, ein paar Schalter umzulegen. Ich lasse diese Checkliste hier:

1. Schalten Sie Ihre Firewall ein
2. Verschlüsseln Sie Ihre Festplatte
3. Aktivieren Sie verschlüsselte Backups
4. Verwenden Sie SSH-Schlüssel
5. Verwenden Sie eine sichere Internetverbindung

Schalten Sie Ihre Firewall ein

Eine Firewall kontrolliert den Netzwerkverkehr zu und von Ihrem Computer basierend auf einer Reihe von Regeln. Es funktioniert, indem es Sie explizit fragt, ob Sie neuen Programmen den Zugriff auf Ihr Netzwerk erlauben möchten, und ist Ihre erste Verteidigungslinie.

Ihr Betriebssystem verfügt wahrscheinlich über eine integrierte Firewall. Stellen Sie sicher, dass sie aktiviert ist.

Verschlüsseln Sie Ihre Festplatte

Die vollständige Festplattenverschlüsselung ist diese magische Fähigkeit, den Inhalt Ihrer gesamten Festplatte ohne Ihr Passwort unbrauchbar zu machen. Falls Ihr Laptop verloren geht oder gestohlen wird, können Sie sicher sein, dass niemand auf Ihre Daten zugreifen kann. Die Aktivierung kann so einfach sein wie das Einschalten von FileVault auf einem Mac.

Bei modernen Mobiltelefonen ist die vollständige Festplattenverschlüsselung standardmäßig aktiviert.

Verschlüsseln Sie Ihre Backups

Hardware fällt aus, es ist eine Tatsache des Lebens. Ihre Maschine wird eines Tages ausfallen, oder ein Virus wird Ihren PC infizieren, oder (Schauder) ein Ransomware-Virus wird Ihren PC übernehmen. Aber als pragmatischer Mensch haben Sie wahrscheinlich bereits ein Backup-Flow-Setup, da bin ich mir sicher … nicht wahr?

Aber auch bei Ihren Backups müssen Sie wachsam bleiben. Stellen Sie sicher, dass Ihre Backups verschlüsselt sind, damit Sie selbst bei Verlust oder Diebstahl sicher sein können, dass Sie angemessene Maßnahmen ergriffen haben, um die Sicherheit der Ihnen anvertrauten Daten zu gewährleisten.

Wenn Sie einen Mac haben, verschlüsselt die Time Machine-App auf Ihrem Mac automatisch Backups.

Verwenden Sie SSH-Schlüssel

Wenn Sie etwas aus diesem Artikel mitnehmen, hören Sie auf, Passwörter für SSH auf Computern zu verwenden. Passwörter sind schwer zu teilen, und wenn sie jemals durchgesickert sind, wird Ihr gesamter Computer kompromittiert. Erstellen Sie stattdessen einfach einen SSH-Schlüssel, indem ssh-keygen .

Um sich bei einem Remote-Rechner anzumelden, kopieren Sie einfach den Inhalt Ihrer lokalen ~/.ssh/id_rsa.pub nach ~/.ssh/authorized_keys auf dem Remote-Rechner. Möglicherweise müssen Sie den SSH-Dienst auf dem Remote-Computer neu starten, aber das war es auch schon.

Fügen Sie die SSH-Schlüssel Ihres gesamten Teams zum Remote-Computer hinzu, und niemand muss jemals wieder ein Passwort eingeben. Das Widerrufen des Schlüssels eines Teammitglieds ist so einfach wie das Entfernen des Schlüssels vom Remote-Computer.

Verwenden Sie eine sichere Internetverbindung

Wenn Sie eine Internetverbindung mit jemandem teilen, teilen Sie mehr als nur Ihre Bandbreite. Je nach Konfiguration der Websites und Ihres Internets können sie zumindest erkennen, welche Websites Sie besuchen, und im schlimmsten Fall alle von Ihnen übermittelten Informationen lesen, einschließlich Passwörter, Nachrichten oder E-Mails.

Dies ist sehr einfach zu aktivieren und auch extrem leicht zu vermasseln. Treffen Sie angemessene Vorkehrungen, um sicherzustellen, dass Ihre Verbindung privat ist. Stellen Sie sicher, dass niemand Unbefugter Zugriff auf Ihre Internetverbindung hat.

Verwenden Sie WPA2, um Ihr eigenes persönliches WLAN mit einem Passwort zu schützen, und wenn Sie vom örtlichen Café (oder einem öffentlichen WLAN) aus arbeiten, gehen Sie davon aus, dass Sie beobachtet werden, und verwenden Sie einen VPN-Proxy.

Ich zögere, abonnementbasierte VPNs zu verwenden, zumal es so einfach ist, ein eigenes zu erstellen. Verwenden Sie diese einzeilige VPN-Lösung, um Ihre eigene zu hosten.

Strategie Nr. 6: Geheimnisse mit Sorgfalt behandeln

Geheimnisse sollen nicht preisgegeben werden. Deshalb werden sie Geheimnisse genannt. Wie oft haben Sie sich dennoch schuldig gemacht, das Passwort über Facebook Messenger an die PostgreSQL-Produktionsdatenbank gesendet zu haben? Stellen Sie sicher, dass Sie immer:

• Verschlüsseln Sie Geheimnisse während der Übertragung
• Drehen Sie sie oft

Verschlüsseln Sie Geheimnisse während der Übertragung

Wenn Sie Geheimnisse über Kanäle wie Chat teilen müssen, stellen Sie sicher, dass sie verschlüsselt sind. Besuchen Sie als Übung Ihren häufig verwendeten und ältesten Chat-Client. Das können Facebook-Nachrichten oder Whatsapp sein. Öffnen Sie unabhängig davon, was es ist, und suchen Sie in Ihren Nachrichten nach dem Begriff „Passwort“.

Wenn diese Geheimnisse verschlüsselt worden wären, wären sie für niemanden mit Zugriff auf Ihre Nachrichten verfügbar.

Wechseln Sie Geheimnisse oft

Je länger ein Geheimnis existiert oder je mehr es geteilt wurde, desto wahrscheinlicher ist es, dass es kompromittiert wurde. Es wird als bewährte Vorgehensweise angesehen, Geheimnisse und Passwörter nach einer bestimmten Zeit zu rotieren.

Strategie Nr. 7: Etablieren Sie kryptografische Identitäten

Dies ist sicherlich eine fortschrittliche Strategie, aber ich persönlich verstehe nicht, warum dies keine weit verbreitete Praxis ist. Bedenken Sie Folgendes: Ihr Kollege glaubt, dass Sie kompromittiert wurden. Wie können sie eine Botschaft an Ihr wahres Ich übermitteln? Wenn jemand aus dem Internet wichtige Schwachstelleninformationen weitergeben muss, wie sendet er diese dann sicher? Wie stellen Sie sicher, dass Ihre Mitarbeiter Informationen während der Übertragung sicher austauschen?

Mein Lieblingsbeispiel dafür ist das Keybase-Profil von Coinbase, wo sie die PGP-Schlüssel ihrer Mitarbeiter kryptografisch signieren. Sie sind noch weiter gegangen und haben ihrer Compliance-Abteilung einen PGP-Schlüssel gegeben. Im Ernst, Coinbase, tolle Arbeit!

Für den Fall, dass jemand begründete Zweifel daran hat, dass meine Online-Identität kompromittiert wurde, bitte mich persönlich einfach, eine Nachricht mit dem PGP-Schlüssel zu signieren, der in meinem Keybase-Profil verfügbar ist. Ich bin die einzige Person mit Zugriff auf diesen PGP-Schlüssel, und ich habe angemessene Vorkehrungen getroffen, um sicherzustellen, dass dieser Schlüssel auch dann sicher bleibt, wenn meine anderen Identitäten kompromittiert werden.

Wenn Sie Zweifel an der Echtheit einer Nachricht haben, bitten Sie mich, sie zu unterschreiben. Wenn Sie mir ein Geheimnis schicken müssen, verschlüsseln Sie es mit meinem öffentlichen Schlüssel.

Implementieren Sie eine klare Sicherheitsrichtlinie für Remote-Arbeiter

Sicherheitsrichtlinie ist eine Definition dessen, was es bedeutet, für ein System, eine Organisation oder eine andere Einheit sicher zu sein. Für eine Organisation geht es um die Verhaltensbeschränkungen ihrer Mitglieder sowie um Beschränkungen, die Gegnern durch Mechanismen wie Türen, Schlösser, Schlüssel und Wände auferlegt werden. – Wikipedia

Eine Sicherheitsrichtlinie ist eine verbindliche Regel oder ein Protokoll, das beim Ausführen von Aktionen befolgt werden muss. Die oben genannten Strategien sind hilfreich, aber damit sie einfacher zu befolgen sind, geben Sie Ihrem Team ein einfaches Regelwerk an die Hand, das es zu befolgen gilt. Es ist schwieriger, die Sicherheit zu vermasseln, wenn Ihr Team genau weiß, was zu tun ist.

Lassen Sie uns Beispiele für eine zu implementierende Sicherheitsrichtlinie für Remote-Mitarbeiter diskutieren.

Für Ihre Mitarbeiter zu implementierende Richtlinien:

• Geheimhaltungsvereinbarungen und Verträge: Stellen Sie sicher, dass kein Mitarbeiter ohne entsprechende rechtliche Grundlagen Zugang zu vertraulichen Ressourcen hat.
• Notfallkontaktinformationen: Notieren Sie sich die vollständigen und Notfallkontaktinformationen Ihres Mitarbeiters für den Fall, dass Ihr entferntes Teammitglied nicht mehr reagiert.
• Nur wesentliche Privilegien gewähren: Wenn Ihr Teammitglied keinen Zugriff auf bestimmte Bereiche benötigt, um seine Funktion auszuführen, gewähren Sie ihm keinen Zugriff. Ein Mitglied des Vertriebsteams benötigt keinen Zugriff auf Ihr Code-Repository.
• Passwortmanager: Stellen Sie sicher, dass Ihre Mitarbeiter Zugriff auf einen Passwortmanager haben
• Starke Authentifizierungsrichtlinien
  • Minimale Passwortstärke: Ich persönlich hasse Passwörter und benötige für Organisationen, in denen ich Administrator bin, Passwörter mit mindestens fünfzig alphanumerischen Zeichen. Es ist trivial, sich an diese Richtlinie zu halten, wenn Sie einen Passwort-Manager verwenden.
  • Obligatorische Kennwortzurücksetzung: Stellen Sie sicher, dass die Kennwörter Ihrer Mitarbeiter häufig ablaufen, um Geheimnisse häufig zu wechseln.
  • Zwei-Faktor-Authentifizierung : Verwenden Sie überall 2FA
• PGP-Schlüssel
• Verschlüsselte Festplatten
• Verschlüsselte Sicherungen

Mitarbeiter gehen, aber sie sollten Ihre Informationen nicht mitnehmen. Passen Sie diese Richtlinien an, um Daten auch dann aufzubewahren, wenn Ihre Mitarbeiter das Unternehmen verlassen:

• Unternehmens-E-Mail-Konten: Wenn Sie Ihren Mitarbeitern E-Mail-Konten in Ihrer eigenen Domäne geben, können Sie deren Kommunikation deaktivieren und prüfen.
• Kommunikation in Echtzeit: Auch wenn E- Mails großartig sind, muss Ihr Team manchmal in Echtzeit kommunizieren. Stellen Sie sicher, dass Ihr Team über einen zentralisierten Slack- oder IRC-Kanal verfügt. Dies gibt Ihnen die Möglichkeit, ihre Kommunikation nach Bedarf zu deaktivieren oder zu prüfen.
• Zentralisierte Code-Repositorys: Stellen Sie sicher, dass alle Buchungskreise in einem Buchungskreis-Repository gespeichert sind. Unternehmenspläne für öffentliche SaaS-Angebote wie GitHub sind in Ordnung, bis Sie eine feinkörnige Kontrolle über den gesamten Mitarbeitercode benötigen. Ziehen Sie im letzteren Fall in Betracht, sich eine eigene GitLab-Instanz zu besorgen.

Richtlinien zum Schutz Ihrer Infrastruktur :

• Halten Sie die Systeme auf dem neuesten Stand: Jeden Tag werden Sicherheitslücken entdeckt und gepatcht. Es ist Ihre Aufgabe, sicherzustellen, dass Sie diese Fixes anwenden. Es gibt nichts Schlimmeres, als zu entdecken, dass eine Schwachstelle durch eine Schwachstelle verursacht wurde, die vor Wochen gepatcht wurde.
• Produktions- und Staging-Umgebungen sperren: Kein Mitarbeiter sollte Zugriff auf Produktions- oder Staging-Umgebungen haben. Manchmal vermasseln sie es einfach.
• Erstellen Sie einen starken CI/CD-Fluss: Sie möchten immer „guten“ Code bereitstellen, und ein unkomplizierter CI/CD-Prozess stellt dies immer sicher.
• Schützen Sie das gesegnete Repository: Wenn Sie einen automatisierten CI/CD-Prozess haben, stellen Sie sicher, dass Ihr gesegnetes Repository nur vom Projektmanager bearbeitet werden kann.
• Definieren Sie einen Überprüfungsprozess: Um sicherzustellen, dass kein „schlechter“ Code unbemerkt durchgeht, erstellen Sie einen Überprüfungsprozess. Dies kann so einfach sein, dass vor dem Zusammenführen mindestens ein unabhängiger Kommentar „Sieht gut aus für mich“ (LGTM) erforderlich ist.
• SSH-Schlüssel: Falls Ihre Anwendung einen SSH-Zugriff erfordert, stellen Sie sicher, dass sie SSH-Schlüssel anstelle von Passwörtern verwendet.
• Erwägen Sie, BYOD einzustellen: Das Budgetteam könnte denken, dass BYOD die beste Richtlinieninnovation seit dem papierlosen Büro ist, aber wenn Sie es sich leisten können, sollten Sie in Betracht ziehen, Ihr Team mit Unternehmensmaschinen auszustatten, auf denen Sie strenge Sicherheitsrichtlinien implementieren können.
• Verschlüsselte Backups: Ihre Daten sind wichtig.

Richtlinien beim Schreiben von Code :

• Keine Geheimnisse im Code: Aufgrund der Natur der Versionskontrolle kann es sehr schwierig sein, Daten zu entfernen, wenn sie im Code hinzugefügt werden, wo geheime Schlüssel sehr leicht zu finden sind.
• Bcrypt beim Speichern von Passwörtern: Verwenden Sie beim Entwerfen eines Authentifizierungssystems bcrypt, um Ihre Passwörter zu hashen und zu salzen, anstatt Ihr System zu entwerfen oder im Klartext zu speichern (schlucken).
• Filtern Sie vertrauliche Informationen aus Protokollen: Ob es sich um Ihren globalen Pfeffer, den Sitzungssignierungsschlüssel Ihrer Anwendung oder den Anmeldeversuch eines Benutzers handelt, stellen Sie sicher, dass diese nicht in Ihre Systemprotokolldateien gelangen, wo jeder mit Zugriff sie lesen kann.
• Gewähren Sie die am wenigsten erforderlichen Berechtigungen: Wenn Ihre Anwendung nur READ -Berechtigungen benötigt, gewähren Sie ihr keine WRITE Berechtigungen. Halten Sie sich an das Prinzip der geringsten Privilegien.

Erstellen Sie einen Reaktionsplan

Gelegentlich kommt es zu Sicherheitsverletzungen, und obwohl während einer Post-Mortem viel Zeit zum Lernen bleibt, ist es wichtig, dass es einen klaren Weg gibt, um alle digitalen Assets zu sichern.

Nehmen Sie sich die Zeit, einen Notfallplan auszuarbeiten, falls es zu einer Sicherheitsverletzung kommt. Betrachten Sie Ihre Aktionen in den folgenden Szenarien:

• Sie verlieren ein Gerät mit sensiblen Daten.
• Möglicherweise wurde von einer nicht autorisierten Partei auf Ihre Infrastruktur zugegriffen.
• Sie beobachten jemanden in Ihrem Team, der sich seltsam anders verhält als er selbst.
• Eine Sicherheitslücke wird entdeckt.

Dinge, die in Ihren Reaktionsplan aufgenommen werden sollten:

• Sorgfältige Dokumentation: Aktivieren Sie die Bildschirmaufzeichnung, richten Sie ein Wiki für Ihr Team ein, um alles zu teilen, was ihnen begegnet.
• Eindämmung von Sicherheitsverletzungen: Abhängig vom Umfang der Sicherheitsverletzung kann dies so einfach sein wie das Deaktivieren eines Benutzerkontos, das Offlineschalten eines Servers oder das Herunterfahren der Produktion und das Kontaktieren Ihrer Benutzer.
• Stellen Sie eine interne Kommunikation her: Starten Sie einen dedizierten Slack-Kanal oder finden Sie einen Weg, damit jeder melden kann, was ihm begegnet.
• Hilfe holen: Rufen Sie alle von der Verletzung betroffenen Teams an. Dies kann auch ein guter Zeitpunkt sein, um die Behörden zu kontaktieren.
• Untersuchen: Finden Sie heraus, was in welchem ​​Ausmaß verletzt wurde und was wir tun können, um den normalen Betrieb wieder aufzunehmen.
• Wieder online gehen: Erstellen, testen und veröffentlichen Sie einen Fix, um den normalen Betrieb so schnell wie möglich wieder aufzunehmen. Ihre Benutzer sind darauf angewiesen, dass Ihr Dienst funktioniert, und sobald Sie einen stabilen und sicheren Dienst garantieren können, gehen Sie wieder online.
• Sprechen Sie mit Ihren Nutzern: Lassen Sie Ihre Nutzer nicht im Dunkeln. Das Schlimmste, was Sie tun können, ist, Ihren Dienst anzuhalten, ohne Ihren Benutzern zu erklären, was vor sich geht. Richten Sie einen Live-Update-Kanal ein; Dies kann so einfach sein wie die Verwendung von Twitter, um sie auf dem Laufenden zu halten. Nachdem der Vorfall behandelt wurde, veröffentlichen Sie einen Post-Mortem-Bericht, in dem Sie darüber sprechen, was passiert ist, wie es passiert ist und was Sie getan haben, um ähnliche Verstöße in Zukunft zu verhindern.

Sicherheitsvorfälle passieren. Entscheidend ist, wie Sie mit Ihrer Antwort umgehen. Eine meiner Lieblingsreaktionen war 2015, als LastPass obligatorische Zurücksetzungen des Master-Passworts herausgab, als sie anomale Netzwerkaktivitäten entdeckten. Ich bin langjähriger Nutzer von LastPass und trotz der jüngsten Sicherheitsprobleme liebe ich die Art und Weise, wie sie auf ihre Kunden reagieren, indem ihre Bedürfnisse an erster Stelle stehen.

Literatur-Empfehlungen

Um es noch einmal zu sagen: Es gibt keine perfekte Sicherheit. Alles, was zählt, ist, dass Sie sicherstellen, dass Sie angemessene Anstrengungen unternommen haben, um Ihre Daten zu schützen.

Diese Sicherheitspraktiken sollten es Ihnen und Ihrem Remote-Team deutlich schwerer machen, zu hacken.

Wenn Sie die wahre Geschichte eines flüchtigen Hackers auf der Flucht vor dem Gesetz lesen möchten, empfehle ich Ghost in the Wires von Kevin Mitnick.

Wenn Sie mehr darüber erfahren möchten, wie die andere Seite denkt, empfehle ich die Lektüre:

• Social Engineering: Die Kunst des menschlichen Hackens von Christopher Hadnagy
• Die Kunst der Täuschung von Kevin Mitnick und William L. Simon

Mein Verbrechen ist das der Neugier.