Panduan Praktik Terbaik Keamanan untuk Tim Jarak Jauh

Setiap kali saya memberi tahu teman saya bahwa saya bekerja dari jarak jauh untuk klien yang belum pernah saya temui, mereka bertanya kepada saya: Apakah aman bagi Anda untuk bekerja dari jarak jauh? Jawaban saya adalah “Ya… tetapi, itu tergantung pada seberapa baik Anda membuat kebijakan keamanan pekerja jarak jauh Anda.”

Saya tinggal di Pakistan di mana saya menghasilkan kode yang bernilai bagi klien di sisi lain planet ini. Klien saya tidak pernah menjabat tangan saya, atau melihat tempat saya bekerja. Namun, saya diharapkan untuk memastikan rahasia dan kode klien tetap terlindungi. Di dunia di mana anggota tim Anda tidak mengenal wajah atau suara Anda, bagaimana Anda mencegah pelanggaran keamanan? Jawabannya adalah: Dengan sangat berhati-hati.

Belum lama ini, kami percaya bahwa untuk menjamin kinerja dan keamanan aplikasi kami, kami perlu menjalankannya di pusat data pribadi kami. Kemudian cloud datang, dan kami menerima manfaat biaya dan kinerja dari menjalankan aplikasi kami pada platform yang dapat diskalakan dan sesuai permintaan tanpa mempertahankan armada server di sebuah ruangan.

Izinkan saya memberi tahu Anda tentang rahasia terkenal:

Sekarang, perusahaan seperti Uber ¹ dan Stripe ² menyimpan dan memproses informasi lokasi pelanggan dan kartu kredit serta pembayaran real-time di server penyedia cloud, sambil mematuhi standar keamanan yang ketat seperti kepatuhan PCI. Mereka melakukan ini dengan mengadopsi kebijakan ketat yang akan memastikan data produksi mereka akan tetap aman.

Jika perusahaan dapat menjamin seluruh lingkungan produksi mereka tetap aman meskipun berjalan di luar pusat data pribadi mereka, kami pasti dapat memastikan keamanan pengembangan Anda menggunakan tim pengembangan jarak jauh. Bagaimanapun, seluruh perusahaan mampu berjalan sepenuhnya dari jarak jauh. Toptal adalah perusahaan jarak jauh, dan kami sedang merekrut.

Apa Itu "Keamanan" dan Bagaimana Saya "Menjadi Aman"

Sepanjang artikel ini, ketika saya berbicara tentang “keamanan” yang saya maksud adalah keamanan informasi .

Istilah 'keamanan informasi' berarti melindungi informasi dan sistem informasi dari akses, penggunaan, pengungkapan, gangguan, modifikasi, atau penghancuran yang tidak sah. – 44 Kode AS 3542

Tidak ada keamanan yang sempurna , tetapi “aman” berarti Anda telah mengambil tindakan yang wajar untuk menegakkan keamanan informasi.

Secara khusus, ketika Anda mengatakan “lingkungan kerja saya aman”, Anda bermaksud mengatakan bahwa Anda telah mengambil tindakan yang wajar untuk melindungi data, kode, atau informasi rahasia lainnya dalam pengawasan Anda, dan memastikan integritasnya. Anda juga telah mengambil langkah-langkah untuk memastikan bahwa hak istimewa Anda untuk mengakses sistem informasi sensitif tidak akan digunakan oleh Anda sendiri, atau individu yang tidak berwenang, dengan cara yang merugikan tujuan organisasi yang memiliki informasi ini, dan sistem ini.

Tim jarak jauh memang memiliki permukaan serangan yang jauh lebih besar daripada tim terpusat. Tidak seperti tim terpusat di mana Anda dapat secara fisik mengunci informasi rahasia di balik firewall dan stasiun kerja perusahaan, sebagai pekerja jarak jauh, Anda didorong atau bahkan diharuskan, untuk membawa perangkat Anda sendiri (BYOD). Terlebih lagi, karena sebagian besar komunikasi Anda terjadi secara online, Anda jauh lebih rentan terhadap rekayasa sosial dan pencurian identitas. Namun, dengan serangkaian kebijakan yang tepat, Anda pasti dapat meminimalkan risiko pelanggaran.

Tidak ada peluru perak untuk keamanan. Seringkali, ada tradeoff antara nuansa keamanan dan kenyamanan, dan terserah Anda untuk menentukan seberapa jauh Anda ingin mengambil praktik keamanan Anda, tetapi ingat, tim Anda hanya seaman anggota terlemahnya. Mari kita lihat beberapa serangan keamanan umum, strategi pertahanan, dan akhirnya membahas contoh kebijakan pekerja keamanan jarak jauh.

Tiga Jenis Serangan Bermusuhan yang Paling Umum

Anda tidak siap jika Anda tidak tahu apa yang akan Anda hadapi. Musuh dapat menggunakan banyak strategi dalam serangan mereka, tetapi sebagian besar terbagi dalam tiga kategori. Meskipun daftar ini tidak lengkap, berikut adalah tiga jenis vektor serangan yang umum digunakan oleh peretas jahat:

• Rekayasa Sosial
• Pengelabuan
• Infeksi Malware

Rekayasa Sosial

Juga dianggap sebagai peretasan manusia, rekayasa sosial adalah praktik memanipulasi orang untuk bertindak dengan cara yang tidak sesuai dengan kepentingan terbaik mereka; ini mungkin termasuk membocorkan informasi rahasia.

Serangan rekayasa sosial dapat mencoba mengeksploitasi belas kasih Anda dalam upaya untuk membuat Anda menghindari praktik yang baik, atau menciptakan rasa urgensi di mana mereka membuat Anda melewati praktik terbaik dengan takut akan tindakan negatif terhadap Anda jika Anda tidak mematuhinya.

Contoh rekayasa sosial meliputi:

• Seorang wanita menelepon operator seluler dan berbicara dengan agen dukungan untuk mengubah akun seseorang sementara klip YouTube tentang bayi menangis diputar di latar belakang.
• Seorang penyerang mengirim email kepada CEO melalui alamat email CFO dan mengizinkan transfer dana sebesar $1,8 juta.

Pengelabuan

Phishing adalah metode paling umum untuk mencuri kredensial Anda. Bayangkan sebuah situs web yang terlihat seperti Facebook, tempat Anda masuk, mengira itu adalah hal yang nyata. Phishing adalah ketika penyerang membuat situs web yang terlihat sah tetapi sebenarnya tidak.

Bisakah Anda menemukan facebook palsu? Petunjuk: Ini yang tidak ada di Facebook.com.

Terkadang peretas dapat meracuni internet Anda dan menyuntikkan situs web mereka ke domain Facebook, ini disebut serangan Man in The Middle, tetapi jangan khawatir, browser Anda dapat memperingatkan Anda tentang hal ini.

Spear phishing adalah bentuk lain dari phishing di mana halaman phishing mungkin dibuat khusus untuk Anda atau organisasi Anda. Ini membuat Anda lebih mungkin untuk jatuh cinta, terutama bila dikombinasikan dengan rekayasa sosial.

Saya akan menceritakan sebuah kisah: Ketika saya masih di sekolah, seseorang yang baru-baru ini belajar tentang phishing membuat situs web Facebook palsu dan mengubah beranda di lab komputer menjadi ciptaannya. Hal berikutnya yang dia tahu, orang ini memiliki tiga ratus kata sandi akun Facebook. Serangan ini secara khusus ditujukan ke sekolah saya dan ternyata berhasil menjadi serangan spear phishing.

Dan untuk berpikir bahwa semua kata sandi itu akan tetap aman jika saja seseorang mau repot-repot melihat ke bilah alamat.

Infeksi Malware

Ada ratusan jenis malware yang berbeda di luar sana. Beberapa tidak berbahaya atau hanya mengganggu, tetapi beberapa bisa sangat berbahaya. Jenis malware yang paling penting untuk diwaspadai adalah:

• Spyware: Diam-diam menginstal dan merekam penekanan tombol, layar, audio, dan video Anda.
• Alat Administrasi Jarak Jauh (RAT): Memungkinkan kontrol penuh atas komputer Anda.
• Ransomware: Mengenkripsi semua file penting Anda dan membuat Anda membayar untuk kunci dekripsi.

Untuk secara sengaja membuat Anda menginstal malware khusus di komputer Anda, penyerang biasanya menggunakan rekayasa sosial:

• Penyerang menanam drive USB "hilang" di sekitar tempat parkir perusahaan untuk memanen kredensial login karyawan.
• Seorang pria yang menumpahkan kopi di resumenya meminta resepsionis untuk mencetak salinan sesuatu karena dia memiliki wawancara, sehingga menyebabkan komputer perusahaan terinfeksi oleh muatan berbahaya di USB. (Contoh dari The Art of Human Hacking).

Tujuh Strategi Pertahanan Siber yang Anda Butuhkan Saat Ini

Kami telah membahas metode serangan permusuhan yang paling umum, tetapi bagaimana kami tetap aman dari mereka?

Strategi No. 1: Manajemen Kata Sandi yang Tepat

Saya benci kata sandi. Di sana, saya mengatakannya. Saya sangat yakin bahwa kombinasi nama pengguna dan kata sandi adalah bentuk otentikasi pengguna terlemah yang pernah ada. Kata sandi tidak lebih dari serangkaian karakter pendek yang dihasilkan oleh generator nomor pseudorandom terburuk yang pernah ada: pikiran manusia.

Aku butuh kata rahasia, ya? Bagaimana dengan nama tengah dan tahun lahir saya, pasti tidak ada yang bisa menebaknya! – Setiap Manusia Pernah

Yang lebih buruk adalah demi kenyamanan, orang cenderung menggunakan kembali kata sandi. Itu memungkinkan seseorang untuk menggunakan kata sandi yang sama untuk login bank dan WiFi rumah mereka, sementara kemungkinan kata sandi diakhiri dengan nama band favorit mereka . Menyeramkan!

Bertahun-tahun yang lalu saya memutuskan untuk melakukan hal berikut:

1. Gunakan pengelola kata sandi
2. Gunakan frasa sandi yang kuat alih-alih kata sandi

Gunakan Pengelola Kata Sandi

Ketika saya mengatakan ada tradeoff antara nuansa keamanan dan kenyamanan, itu tidak berlaku di sini. Entah Anda aman dan menggunakan pengelola kata sandi, atau tidak. Tidak ada di antara. Anda wajib menggunakan pengelola kata sandi untuk keamanan kata sandi yang baik. saya akan menjelaskan.

1. Apakah semua kata sandi Anda unik?
2. Jika saya menemukan beberapa kata sandi Anda, apakah sisa kata sandi Anda akan tetap aman?
3. Apakah semua kata sandi Anda dibuat menggunakan setidaknya 32 bit entropi?
4. Apakah kata sandi Anda hanya disimpan dalam bentuk terenkripsi?
5. Apakah Anda mengingat dengan sempurna setiap kata sandi yang Anda gunakan saat mendaftar?
6. Apakah Anda ternyata positif mengalami kebocoran kata sandi di situs web ini?

Jika Anda menjawab "tidak" untuk salah satu pertanyaan di atas, Anda memerlukan pengelola kata sandi. Pengelola kata sandi yang baik akan membuat kata sandi Anda secara acak untuk Anda, dan menyimpannya dengan aman. Tidak masalah pengelola kata sandi apa yang Anda gunakan, selama Anda menggunakannya!

Saya menggunakan LastPass karena saya suka betapa transparannya mereka dengan laporan insiden mereka, kemampuan untuk membagikan kredensial saya dengan teman-teman dan mencabut pembagian kapan pun saya mau, dan saya suka fakta bahwa sinkronisasi seluler adalah bagian dari paket gratis mereka.

Saya telah menggunakan LastPass selama bertahun-tahun, dan tantangan keamanan mereka memberi tahu saya bahwa saya berada di 1% teratas pengguna yang sadar keamanan.

Frasa Sandi yang Kuat Alih-alih Kata Sandi

Ini mungkin terdengar kontra-intuitif karena saya meminta Anda untuk menggunakan pengelola kata sandi di atas, tetapi ada kasus di mana kata sandi tidak dapat dihindari: Anda akan memerlukan kata sandi utama yang kuat untuk pengelola kata sandi Anda, atau untuk masuk ke komputer Anda. Dalam kasus ini, gunakan frasa sandi yang aman dan mudah diingat dengan entropi tinggi.

Berbicara tentang entropi, mari kita bicara sedikit tentangnya. Apa "entropi" yang saya bicarakan ini?

Entropi adalah parameter statistik yang mengukur dalam arti tertentu, berapa banyak informasi yang dihasilkan rata-rata untuk setiap huruf dari teks dalam bahasa. Jika bahasa diterjemahkan ke dalam digit biner (0 atau 1) dengan cara yang paling efisien, entropi H adalah jumlah rata-rata digit biner yang diperlukan per huruf dari bahasa aslinya. – Claude Shannon

Tidak apa-apa jika kutipan itu sulit dicerna. Pada dasarnya, entropi untuk kata sandi, yang dipilih secara acak dari suatu himpunan, adalah jumlah total elemen dalam himpunan yang dinyatakan dalam basis 2. Misalnya: Jika Anda memiliki kata sandi yang panjangnya 4 karakter, yang hanya dapat berisi huruf kecil, entropi untuk kata sandi yang dibuat secara acak akan menjadi 19 bit karena:

1. Ada 26 elemen dalam alfabet huruf kecil
2. String 4 karakter yang terdiri dari huruf-huruf itu adalah 26^4 = 456.976
3. 456.976 dinyatakan dalam basis 2 adalah log(456,976) / log(2) = 19 bit (dibulatkan ke bit terdekat)

Masalah dengan kata sandi entropi tinggi adalah bahwa kata sandi itu akhirnya sulit diingat, seperti c05f$KVB#*6y . Untuk membuatnya lebih mudah diingat, bagaimana jika alih-alih menggunakan satu huruf, kita menggunakan seluruh kata? Dan menggunakan kamus seribu kata? Tiba-tiba alfabet kami menjadi seribu elemen, dan kami dapat mencapai entropi yang sama dalam 7 kata yang akan kami miliki dengan 11 karakter.

Perbedaannya sekarang adalah bahwa alih-alih menggunakan kata sandi , kami menggunakan frasa sandi , yang panjangnya lebih panjang.

Komik XKCD berikut paling baik menjelaskan konsep ini:

Cara termudah untuk menghasilkan frasa sandi acak yang aman adalah dengan membuka di sini.

Strategi No. 2: Gunakan Multifactor Authentication (MFA)

Otentikasi dua faktor (2FA) atau verifikasi 2 langkah semuanya adalah nama untuk hal yang sama. Ini adalah salah satu hal yang perlu sedikit membiasakan diri, tetapi manfaat keamanan 2FA jauh melebihi biaya dan secara pribadi menyelamatkan saya dari pelanggaran akun dua kali!

Ide di balik MFA sederhana. Ada tiga hal yang dapat kami gunakan untuk mengautentikasi Anda:

1. Sesuatu yang Anda ketahui (rahasia)
2. Sesuatu yang Anda miliki (token)
3. Sesuatu yang Anda (biologi Anda)

Menggunakan dua lebih aman daripada hanya menggunakan satu.

Sebagian besar situs web mendukung faktor otentikasi pertama dengan meminta kata sandi, tetapi semakin banyak layanan yang mulai mendukung faktor kedua juga. Faktor ketiga biasanya ditinggalkan oleh layanan web karena memerlukan perangkat keras khusus; seperti sensor sidik jari di ponsel Anda.

Jika Anda adalah administrator untuk tim, pertimbangkan untuk membuat kebijakan wajib bagi pengguna untuk memiliki penyiapan 2FA. Ini memastikan bahwa kompromi kata sandi tidak akan menghasilkan kompromi akun.

Ada dua bentuk populer dari "sesuatu yang Anda miliki":

1. Telepon Anda
2. Kunci U2F

Menggunakan ponsel Anda untuk 2FA

Saya ingin mengatakan ini langsung: jangan gunakan kode SMS untuk 2FA. Sudah menjadi praktik umum bagi orang jahat untuk membajak nomor telepon Anda. Ceritanya hampir selalu sama: Seseorang merekayasa media sosial untuk memindahkan nomor telepon Anda ke operator lain. Saya tahu setidaknya satu orang yang menjadi korban serangan ini.

Sebagai gantinya, gunakan kata sandi satu kali berbasis waktu (TOTP) yang juga disebut metode "Google Authenticator". Namun, alih-alih menggunakan Google Authenticator, saya sarankan menggunakan Authy karena itu mengenkripsi dan mencadangkan token 2FA Anda di cloud. Anda kemudian dapat memulihkan token 2FA Anda bahkan jika Anda mengubah perangkat… sebenarnya, Anda dapat menggunakan token yang sama di beberapa perangkat. Ini sangat nyaman.

Menggunakan kunci U2F Untuk 2FA

Ini adalah metode 2FA yang paling sederhana dan paling kuat. Saya memiliki Yubikey Neo yang dapat saya gunakan dengan ponsel dan komputer saya. Untuk membuktikan identitas saya, saya cukup mencolokkan token perangkat keras saya dan menekan tombol. Token saya unik dan menjadi token fisik; Saya bisa membawanya di gantungan kunci saya atau di dompet saya.

Strategi No. 3: Kewaspadaan Konstan

Terlepas dari seberapa aman Anda percaya, kecurigaan yang sehat adalah hal yang baik. Berhati-hatilah terhadap orang yang meminta Anda melakukan sesuatu yang tidak biasa. Apakah Anda menerima pesan teks dari seseorang yang meminta Anda untuk mengatur ulang kata sandinya? Tunggu sebentar, dan lakukan panggilan video dengan mereka. Minta mereka untuk membuktikan identitas mereka. Tidak ada yang bisa menyalahkan Anda karena berhati-hati.

Bukan paranoia jika mereka benar-benar ingin menangkap Anda. – Harold Finch, Orang yang Menarik

Mereka benar-benar keluar untuk mendapatkan Anda. Terkadang tidak ada alasan bagi pengguna jahat untuk melakukan apa yang mereka lakukan, selain dari keinginan untuk melakukannya.

Seorang teman saya pernah menerima pesan dari seorang kenalan lama yang menanyakan apakah mereka ingin menjadi "kontak tepercaya" mereka di Facebook. Teman saya setuju dan diminta untuk membalas dengan kode yang akan mereka terima di ponsel mereka, yang segera diberikan oleh teman saya… dan begitulah cara teman saya direkayasa sosial untuk memberikan token reset untuk akun Gmail-nya. Jika teman saya sudah waspada sejak awal, dia tidak akan pernah kehilangan emailnya.

Strategi No. 4: Merancang Sistem Menurut Prinsip Privilege Terkecil

Prinsip hak istimewa terkecil mensyaratkan bahwa dalam lapisan abstraksi tertentu dari lingkungan komputasi, setiap modul (seperti proses, pengguna, atau program, tergantung pada subjeknya) harus dapat mengakses hanya informasi dan sumber daya yang diperlukan. untuk tujuan yang sah. – Wikipedia

Jika pengguna, aplikasi, atau layanan tidak memerlukan hak istimewa tertentu, jangan berikan kepada mereka. Anda dapat memperoleh banyak aturan dari prinsip ini, tetapi saya akan menyimpannya untuk bagian selanjutnya tentang kebijakan keamanan.

Izinkan saya menceritakan sebuah kisah: Saya pernah merancang aplikasi yang akan menerima pembayaran Bitcoin dari pengguna pada alamat yang dibuat secara unik untuk mereka dan kemudian meneruskannya ke alamat penyimpanan aman terpusat. Jika Anda tidak terbiasa dengan cara kerja Bitcoin, berikut penjelasan yang disederhanakan: Anda memerlukan kunci publik untuk menerima Bitcoin (seperti nomor akun) dan kunci pribadi yang sesuai untuk membelanjakannya (seperti pin akun). Nomor akun dan pin dalam Bitcoin terhubung secara kriptografis dan tidak dapat diubah.

Saya memiliki beberapa opsi untuk merancang sistem ini, tetapi saya memutuskan untuk mengambil rute yang sedikit lebih panjang. Saya memutuskan bahwa untuk meminta pengguna membayar, aplikasi tidak memerlukan akses ke kunci pribadi. Jadi, alih-alih merancang satu sistem besar yang akan menerima dan meneruskan pembayaran Bitcoin, saya membuat dua sistem:

1. Sistem penerima: Ini menerima Bitcoin dari pengguna dan di-host di internet publik. Itu hanya berisi kunci publik untuk alamat.
2. Sistem penerusan: Ini adalah sistem yang sepenuhnya independen dan terkunci yang tugas utamanya adalah mengawasi jaringan Bitcoin untuk transaksi di alamat dan meneruskannya ke alamat aman. Itu berisi kunci publik dan pribadi untuk alamat.

Lama kemudian, setelah saya berhenti memelihara aplikasi, sistem penerimaan publik dilanggar. Saya segera mematikannya, tetapi penyerang tidak pernah berhasil mencuri Bitcoin karena sistem publik tidak mengandung kunci pribadi sama sekali.

Strategi No. 5: Gunakan Praktik Terbaik Akal Sehat

Beberapa praktik tidak memerlukan penjelasan. Anda mungkin tahu mereka penting, tetapi saya terus-menerus terkejut dengan betapa banyak orang (termasuk saya) lupa membalik beberapa sakelar. Saya akan meninggalkan daftar periksa ini di sini:

1. Nyalakan firewall Anda
2. Enkripsi disk Anda
3. Aktifkan cadangan terenkripsi
4. Gunakan kunci SSH
5. Gunakan koneksi internet yang aman

Nyalakan firewall Anda

Firewall mengontrol lalu lintas jaringan ke dan dari komputer Anda berdasarkan seperangkat aturan. Ia bekerja dengan menanyakan secara eksplisit apakah Anda mengizinkan program baru untuk mengakses jaringan Anda dan merupakan garis pertahanan pertama Anda.

Sistem operasi Anda kemungkinan dilengkapi dengan firewall bawaan. Pastikan sudah diaktifkan.

Enkripsi disk Anda

Enkripsi disk penuh adalah kemampuan ajaib ini untuk membuat seluruh konten disk Anda tidak berguna tanpa kata sandi Anda. Jika laptop Anda hilang atau dicuri, Anda dapat yakin bahwa tidak ada yang dapat mengakses data Anda. Mengaktifkan ini bisa sesederhana menyalakan FileVault di Mac.

Telepon seluler modern juga memiliki enkripsi disk penuh yang diaktifkan secara default.

Enkripsi cadangan Anda

Hardware gagal, itu fakta kehidupan. Mesin Anda akan gagal suatu hari, atau virus akan menginfeksi PC Anda, atau (bergidik) virus ransomware akan mengambil alih PC Anda. Tetapi sebagai orang yang pragmatis, Anda mungkin sudah memiliki pengaturan aliran cadangan, saya yakin ... bukan?

Namun, bahkan dengan cadangan Anda, Anda harus tetap waspada. Pastikan cadangan Anda dienkripsi sehingga meskipun hilang atau dicuri, Anda dapat yakin bahwa Anda telah mengambil tindakan yang wajar untuk melindungi keamanan data yang dipercayakan kepada Anda.

Jika Anda memiliki Mac, app Time Machine di Mac Anda secara otomatis mengenkripsi cadangan.

Gunakan kunci SSH

Jika Anda mengambil sesuatu dari artikel ini, berhenti menggunakan kata sandi untuk SSH ke mesin. Kata sandi sulit untuk dibagikan, dan jika pernah bocor, seluruh mesin Anda akan dikompromikan. Sebagai gantinya, buat kunci SSH hanya dengan menjalankan ssh-keygen .

Untuk masuk ke mesin jarak jauh, cukup salin konten ~/.ssh/id_rsa.pub lokal Anda ke ~/.ssh/authorized_keys di mesin jarak jauh. Anda mungkin perlu memulai ulang layanan SSH pada mesin jarak jauh, tetapi hanya itu.

Tambahkan kunci SSH seluruh tim Anda ke mesin jarak jauh dan tidak ada yang perlu mengetikkan kata sandi lagi. Mencabut kunci anggota tim semudah melepas kunci dari mesin jarak jauh.

Gunakan koneksi internet yang aman

Saat Anda berbagi koneksi internet dengan seseorang, Anda berbagi lebih dari bandwidth Anda. Bergantung pada konfigurasi situs web dan internet Anda, mereka setidaknya dapat mendeteksi situs web apa yang Anda kunjungi, dan paling buruk membaca semua informasi yang Anda kirimkan, termasuk kata sandi, pesan, atau email.

Ini sangat mudah untuk diaktifkan dan juga sangat mudah untuk dikacaukan. Lakukan tindakan pencegahan yang wajar untuk memastikan koneksi Anda bersifat pribadi. Pastikan tidak ada orang yang tidak berhak yang memiliki akses ke koneksi internet Anda.

Gunakan WPA2 untuk melindungi WiFi pribadi Anda dengan kata sandi, dan jika Anda bekerja dari kedai kopi lokal (atau WiFi publik apa pun), anggap Anda sedang diawasi dan gunakan proxy VPN.

Saya ragu untuk menggunakan VPN berbasis langganan, terutama karena menggulirkan VPN Anda sendiri sangat sederhana. Gunakan solusi VPN satu baris ini untuk menghosting milik Anda sendiri.

Strategi No. 6: Perlakukan Rahasia dengan Hati-hati

Rahasia tidak dimaksudkan untuk diungkapkan. Itu sebabnya mereka disebut rahasia . Meskipun demikian, berapa kali Anda bersalah karena mengirimkan kata sandi ke basis data PostgreSQL produksi melalui Facebook Messenger? Pastikan Anda selalu:

• Enkripsi rahasia dalam perjalanan
• Putar mereka sering

Enkripsi rahasia dalam perjalanan

Jika Anda harus berbagi rahasia melalui saluran seperti obrolan, pastikan rahasia tersebut dienkripsi. Sebagai latihan, kunjungi klien obrolan Anda yang paling sering digunakan dan tertua. Mungkin pesan Facebook atau Whatsapp. Terlepas dari apa itu, buka dan cari frasa "kata sandi" di pesan Anda.

Jika rahasia ini telah dienkripsi, mereka tidak akan tersedia bagi siapa pun yang memiliki akses ke pesan Anda.

Putar rahasia sering

Semakin lama rahasia ada atau semakin banyak dibagikan, semakin besar kemungkinan rahasia itu dibobol. Ini dianggap sebagai praktik yang baik untuk merotasi rahasia dan kata sandi setelah jangka waktu tertentu.

Strategi No. 7: Menetapkan Identitas Kriptografis

Ini tentu saja merupakan strategi lanjutan, tetapi saya pribadi tidak mengerti mengapa ini bukan praktik yang tersebar luas. Pertimbangkan ini: Rekan kerja Anda yakin Anda telah dikompromikan. Bagaimana mereka menyampaikan pesan kepada Anda yang sebenarnya? Jika seseorang dari internet harus berbagi informasi kerentanan penting, bagaimana mereka mengirimkannya dengan aman? Bagaimana Anda memastikan karyawan Anda berbagi informasi dengan aman saat transit?

Contoh favorit saya adalah profil keybase Coinbase, di mana mereka secara kriptografis menandatangani kunci PGP karyawan mereka. Mereka telah melangkah lebih jauh dan memberi departemen kepatuhan mereka sebuah kunci PGP. Serius, Coinbase, kerja bagus!

Bagi saya, secara pribadi, jika seseorang memiliki keraguan yang masuk akal bahwa identitas online saya telah disusupi, cukup minta saya untuk menandatangani pesan menggunakan kunci PGP yang tersedia di profil keybase saya. Saya satu-satunya orang yang memiliki akses ke kunci PGP ini, dan saya telah mengambil tindakan pencegahan yang wajar untuk memastikan kunci ini tetap aman meskipun identitas saya yang lain disusupi.

Jika ragu tentang keaslian pesan, minta saya untuk menandatanganinya. Jika Anda perlu mengirimi saya sebuah rahasia, enkripsilah dengan kunci publik saya.

Terapkan Kebijakan Keamanan Pekerja Jarak Jauh yang Jelas

Kebijakan keamanan adalah definisi tentang apa artinya aman untuk sistem, organisasi, atau entitas lain. Untuk sebuah organisasi, ia mengatasi kendala pada perilaku anggotanya serta kendala yang dikenakan pada musuh dengan mekanisme seperti pintu, kunci, kunci dan dinding. – Wikipedia

Kebijakan keamanan adalah aturan atau protokol wajib yang harus diikuti saat melakukan tindakan. Strategi di atas sangat membantu tetapi untuk membuatnya lebih mudah diikuti, berikan tim Anda seperangkat aturan untuk diikuti. Lebih sulit untuk mengacaukan keamanan ketika tim Anda tahu persis apa yang harus dilakukan.

Mari kita bahas contoh kebijakan keamanan pekerja jarak jauh untuk diterapkan.

Kebijakan yang harus diterapkan untuk karyawan Anda :

• NDA dan kontrak: Pastikan bahwa tidak ada karyawan yang memiliki akses ke sumber daya rahasia apa pun tanpa landasan hukum yang sesuai.
• Informasi kontak darurat: Catat informasi kontak lengkap dan darurat karyawan Anda jika anggota tim jarak jauh Anda menjadi tidak responsif.
• Berikan hak istimewa yang penting saja: Jika anggota tim Anda tidak memerlukan akses ke area tertentu untuk menjalankan fungsinya, jangan beri mereka akses. Anggota tim penjualan tidak memerlukan akses ke repositori kode Anda.
• Pengelola kata sandi: Pastikan karyawan Anda memiliki akses ke pengelola kata sandi
• Kebijakan otentikasi yang kuat
  • Kekuatan kata sandi minimal: Saya pribadi membenci kata sandi dan, untuk organisasi tempat saya menjadi administrator, saya memerlukan kata sandi dengan minimal lima puluh karakter alfanumerik. Sangat sepele untuk mematuhi kebijakan ini jika Anda menggunakan pengelola kata sandi.
  • Pengaturan ulang kata sandi wajib: Pastikan kata sandi karyawan Anda sering kedaluwarsa untuk sering merotasi rahasia.
  • Otentikasi dua faktor : Gunakan 2FA di mana-mana
• kunci PGP
• Hard disk terenkripsi
• Cadangan terenkripsi

Karyawan pergi, tetapi mereka tidak boleh membawa informasi Anda bersama mereka. Sesuaikan kebijakan berikut untuk menyimpan data bahkan setelah karyawan Anda meninggalkan perusahaan:

• Akun email perusahaan: Memberikan akun email karyawan Anda di domain Anda sendiri memungkinkan Anda menonaktifkan dan mengaudit komunikasi mereka.
• Komunikasi waktu nyata: Meskipun email sangat bagus, terkadang tim Anda perlu berbicara secara waktu nyata. Pastikan tim Anda memiliki saluran Slack atau IRC terpusat. Ini memberi Anda kemampuan untuk menonaktifkan atau mengaudit komunikasi mereka sesuai kebutuhan.
• Repositori kode terpusat: Pastikan semua kode perusahaan disimpan dalam repositori kode perusahaan. Paket perusahaan pada penawaran SaaS publik seperti GitHub baik-baik saja sampai Anda memerlukan kontrol yang cermat atas semua kode karyawan. Dalam kasus terakhir, pertimbangkan untuk mendapatkan instance GitLab Anda sendiri.

Kebijakan untuk melindungi infrastruktur Anda :

• Perbarui Sistem: Kerentanan keamanan ditemukan dan ditambal setiap hari, tugas Anda adalah memastikan Anda menerapkan perbaikan ini. Tidak ada yang lebih buruk daripada menemukan bahwa pelanggaran disebabkan oleh kerentanan yang ditambal beberapa minggu yang lalu.
• Mengunci lingkungan produksi dan pementasan: Karyawan tidak boleh memiliki akses ke lingkungan produksi atau pementasan. Terkadang mereka hanya mengacau.
• Buat aliran CI/CD yang kuat: Anda selalu ingin menerapkan kode “baik”, dan proses CI/CD langsung selalu memastikan hal ini.
• Lindungi repositori yang diberkati: Jika Anda memiliki proses CI/CD otomatis, pastikan repositori yang diberkati hanya dapat diedit oleh manajer proyek.
• Tentukan proses peninjauan: Untuk memastikan tidak ada kode "buruk" yang lolos tanpa diketahui, buat proses peninjauan. Ini bisa sesederhana meminta setidaknya satu komentar independen "Terlihat bagus untuk saya" (LGTM) sebelum bergabung.
• Kunci SSH: Jika aplikasi Anda memerlukan pemberian akses SSH, pastikan mereka menggunakan kunci SSH alih-alih kata sandi.
• Pertimbangkan untuk menjatuhkan BYOD: Tim anggaran mungkin berpikir bahwa BYOD adalah inovasi kebijakan terbaik sejak kantor bebas kertas, tetapi jika Anda mampu membelinya, pertimbangkan untuk menyediakan mesin perusahaan untuk tim Anda yang dapat menerapkan kebijakan keamanan yang ketat.
• Cadangan Terenkripsi: Data Anda penting.

Kebijakan saat menulis kode :

• Tidak ada rahasia dalam kode: Karena sifat kontrol versi, akan sangat sulit untuk menghapus data saat ditambahkan dalam kode, di mana kunci rahasia sangat mudah ditemukan.
• Bcrypt saat menyimpan kata sandi: Saat merancang sistem otentikasi, gunakan bcrypt untuk hash dan garam kata sandi Anda alih-alih mendesain sistem Anda, atau (meneguk) menyimpan dalam teks biasa.
• Filter informasi sensitif dari log: Baik itu lada global Anda, kunci penandatanganan sesi aplikasi Anda, atau upaya login pengguna, pastikan ini tidak bocor ke file log sistem Anda di mana siapa pun yang memiliki akses dapat membacanya.
• Berikan hak istimewa paling sedikit yang diperlukan: Jika aplikasi Anda hanya membutuhkan hak istimewa READ , jangan berikan hak istimewa WRITE . Patuhi prinsip hak istimewa terkecil.

Buat Rencana Respon

Pelanggaran keamanan terkadang terjadi, dan meskipun akan ada banyak waktu untuk belajar selama pemeriksaan mayat, yang penting adalah ada jalur yang jelas untuk mengamankan semua aset digital.

Luangkan waktu untuk menyusun rencana darurat jika terjadi pelanggaran keamanan. Pertimbangkan tindakan Anda dalam skenario berikut:

• Anda kehilangan perangkat dengan data sensitif.
• Infrastruktur Anda mungkin telah diakses oleh pihak yang tidak berwenang.
• Anda mengamati seseorang di tim Anda berperilaku aneh tidak seperti dirinya sendiri.
• Kerentanan keamanan ditemukan.

Hal-hal yang harus disertakan dalam rencana tanggapan Anda:

• Dokumentasi rajin: Aktifkan perekaman layar, siapkan wiki untuk tim Anda untuk membagikan semua yang mereka temukan.
• Penahanan pelanggaran: Bergantung pada cakupan pelanggaran, ini mungkin sesederhana menonaktifkan akun pengguna, membuat server offline, atau mematikan produksi dan menghubungi pengguna Anda.
• Membangun komunikasi internal: Mulai saluran Slack khusus, atau temukan cara bagi siapa saja untuk melaporkan apa yang mereka temukan.
• Membawa bantuan: Hubungi semua tim yang terkena dampak pelanggaran. Ini mungkin saat yang tepat untuk menghubungi pihak berwenang juga.
• Selidiki: Cari tahu apa yang dilanggar, sejauh mana, dan apa yang bisa kita lakukan untuk melanjutkan operasi normal.
• Kembali online: Buat, uji, dan publikasikan perbaikan untuk melanjutkan operasi normal sesegera mungkin. Pengguna Anda bergantung pada layanan Anda untuk bekerja, dan saat Anda dapat menjamin layanan yang stabil dan aman, kembali online.
• Bicaralah dengan pengguna Anda: Jangan biarkan pengguna Anda dalam kegelapan. Hal terburuk yang dapat Anda lakukan adalah menghentikan layanan Anda tanpa menjelaskan apa yang terjadi pada pengguna Anda. Buat saluran pembaruan langsung; ini mungkin sesederhana menggunakan Twitter untuk memberi mereka informasi. Setelah insiden tersebut ditangani, terbitkan laporan post-mortem yang membahas tentang apa yang terjadi, bagaimana hal itu terjadi, dan apa yang telah Anda lakukan untuk mencegah pelanggaran serupa di masa mendatang.

Insiden keamanan terjadi. Yang penting adalah bagaimana Anda menangani respons Anda. Salah satu tanggapan favorit saya sejauh ini adalah pada tahun 2015 ketika LastPass mengeluarkan reset kata sandi master wajib ketika mereka mendeteksi aktivitas jaringan yang tidak wajar. Saya telah lama menjadi pengguna LastPass dan, terlepas dari masalah keamanan mereka baru-baru ini, saya menyukai cara mereka menanggapi pelanggan mereka dengan mengutamakan kebutuhan mereka.

Bacaan yang Direkomendasikan

Untuk mengulangi: Tidak ada keamanan yang sempurna. Yang penting adalah Anda memastikan bahwa Anda telah melakukan upaya yang wajar untuk menjaga keamanan data Anda.

Praktik keamanan ini akan membuat Anda dan tim jarak jauh Anda jauh lebih sulit untuk diretas.

Jika Anda ingin membaca kisah nyata seorang peretas buronan yang melarikan diri dari hukum, saya merekomendasikan Ghost in the Wires oleh Kevin Mitnick.

Jika Anda ingin mempelajari lebih lanjut tentang bagaimana pihak lain berpikir, saya sarankan membaca:

• Rekayasa Sosial: Seni Meretas Manusia oleh Christopher Hadnagy
• Seni Penipuan oleh Kevin Mitnick dan William L. Simon

Kejahatan saya adalah rasa ingin tahu.