Un ghid pentru cele mai bune practici de securitate pentru echipele de la distanță

Publicat: 2022-03-11

Ori de câte ori le spun prietenilor că lucrez de la distanță pentru un client pe care nu l-am întâlnit niciodată, ei mă întreabă: Este sigur pentru tine să lucrezi de la distanță? Răspunsul meu este un răsunător „Da... dar depinde de cât de bine vă creați politica de securitate a lucrătorilor de la distanță.”

Locuiesc în Pakistan, unde produc cod care este de valoare pentru clienții de cealaltă parte a planetei. Clienții mei nu mi-au strâns niciodată mâna și nici nu au văzut unde lucrez. Și totuși, trebuie să mă asigur că secretele clientului și codul rămân protejate. Într-o lume în care membrii echipei tale nu sunt familiarizați cu chipul sau vocea ta, cum poți preveni încălcările de securitate? Răspunsul este: Fiind foarte atent.

Antetul Politicii de securitate a lucrătorului de la distanță

Nu cu mult timp în urmă, credeam că pentru a garanta performanța și securitatea aplicațiilor noastre, trebuia să le rulăm în centrul nostru de date privat. Apoi a apărut cloud -ul și am îmbrățișat beneficiile de cost și performanță ale rulării aplicațiilor noastre pe o platformă scalabilă, la cerere, fără a menține o flotă de servere într-o cameră.

Permiteți-mi să vă spun un secret binecunoscut:

Nu există nor.
Este doar computerul altcuiva.

Acum, companii precum Uber 1 și Stripe 2 stochează și procesează în timp real informații despre locația clienților, cardul de credit și plățile pe serverul unui furnizor de cloud, respectând în același timp standarde stricte de securitate, cum ar fi conformitatea cu PCI. Ei fac acest lucru adoptând politici stricte care vor asigura că datele lor de producție vor rămâne în siguranță.

Dacă companiile pot garanta că întregul mediu de producție rămâne în siguranță, în ciuda faptului că rulează în afara centrelor lor private de date, cu siguranță putem asigura securitatea dezvoltării dvs. folosind echipele de dezvoltare la distanță. La urma urmei, companii întregi sunt capabile să ruleze complet de la distanță. Toptal este o companie de la distanță și facem angajări.

Ce este „Securitatea” și cum pot „Fii în siguranță”

Pe parcursul acestui articol, când vorbesc despre „securitate” mă refer la securitatea informațiilor .

Termenul „securitate a informațiilor” înseamnă protejarea informațiilor și a sistemelor de informații împotriva accesului, utilizării, dezvăluirii, întreruperii, modificării sau distrugerii neautorizate. – 44 Cod SUA § 3542

Nu există securitate perfectă , dar „a fi în siguranță” înseamnă că ați luat măsuri rezonabile pentru a asigura securitatea informațiilor.

Mai exact, când spui „mediul meu de lucru este sigur”, vrei să spui că ai luat măsuri rezonabile pentru a proteja datele, codul sau alte informații confidențiale în grija ta și ai asigurat integritatea acestora. De asemenea, ați luat măsuri pentru a vă asigura că privilegiile dvs. de a accesa sistemele de informații sensibile nu vor fi folosite de dvs. sau de o persoană neautorizată într-o manieră care dăunează obiectivelor organizației care deține aceste informații și ale acestor sisteme.

Echipele de la distanță au o suprafață de atac mult mai mare decât echipele centralizate. Spre deosebire de o echipă centralizată în care puteți bloca fizic informațiile confidențiale din spatele firewall-urilor și stațiilor de lucru ale companiei, în calitate de lucrător la distanță, sunteți încurajat sau chiar solicitat să vă aduceți propriul dispozitiv (BYOD). În plus, deoarece majoritatea comunicărilor tale au loc online, ești mult mai susceptibil la inginerie socială și la furtul de identitate. Cu toate acestea, cu setul potrivit de politici în vigoare, puteți minimiza cu siguranță riscul unei încălcări.

Nu există niciun glonț de argint pentru securitate. Adesea, există un compromis între nuanțele de securitate și comoditate și depinde de dvs. să determinați cât de departe doriți să vă duceți practicile de securitate, dar amintiți-vă că echipa dvs. este la fel de sigură ca și cel mai slab membru al său. Să aruncăm o privire la câteva atacuri comune de securitate, strategii de apărare și, în sfârșit, să discutăm un exemplu de politică pentru lucrătorii de securitate la distanță.

Cele mai frecvente trei tipuri de atacuri adverse

Nu ești pregătit dacă nu știi cu ce te vei confrunta. Un adversar poate folosi multe strategii în atacul său, dar majoritatea se încadrează în trei categorii. Deși această listă nu este exhaustivă, acestea sunt trei tipuri comune de vectori de atac pe care hackerii rău-intenționați le pot folosi:

  • Inginerie sociala
  • phishing
  • Infecții cu programe malware

Amenințări la adresa politicii de securitate a lucrătorilor la distanță

Inginerie sociala

Considerată și hacking uman, ingineria socială este practica de a manipula oamenii pentru a acționa într-o manieră care nu este în interesul lor; aceasta poate include divulgarea de informații confidențiale.

Atacurile de inginerie socială pot fie să încerce să vă exploateze compasiunea într-o încercare de a vă face să ocoliți bunele practici, fie să creați un sentiment de urgență în care vă fac să ocoliți cele mai bune practici, temându-vă de o acțiune negativă împotriva dvs. dacă nu vă conformați.

Exemple de inginerie socială includ:

  • O femeie sună un operator de telefonie mobilă și îl convinge pe agentul de asistență să schimbe contul cuiva, în timp ce în fundal redă un clip YouTube cu un copil care plânge.
  • Un atacator trimite un e-mail unui CEO prin adresa de e-mail a directorului financiar și autorizează un transfer de fonduri de 1,8 milioane USD.

phishing

Phishing-ul este cea mai comună metodă de a vă fura acreditările. Imaginați-vă un site web care arată exact ca Facebook, unde vă conectați, crezând că este un lucru real. Phishing este atunci când un atacator creează un site web care pare legitim, dar nu este.

Poți să vezi facebook-ul fals? Sugestie: este cel care nu este pe Facebook.com.

Uneori, hackerii vă pot otrăvi internetul și pot injecta site-ul lor pe domeniul Facebook, acesta se numește atac Man in The Middle, dar nu vă faceți griji, browserul vă poate avertiza despre acestea.

Spear phishing este o altă formă de phishing în care pagina de phishing poate fi personalizată pentru dvs. sau organizația dvs. Acest lucru face mai probabil să te îndrăgostești, mai ales atunci când este combinat cu ingineria socială.

Vă spun o poveste: când eram la școală, cineva care aflase recent despre phishing a creat un site web fals de Facebook și a schimbat paginile de pornire din laboratorul de informatică cu creația sa. Următorul lucru pe care l-a știut, această persoană avea trei sute de parole pentru contul de Facebook. Acest atac a fost vizat în mod special de școala mea și s-a dovedit a fi un atac de tip spear phishing de succes.

Și să mă gândesc că toate acele parole ar fi rămas în siguranță dacă doar cineva s-ar fi obosit să se uite în bara de adrese.

Infecție cu malware

Există sute de tipuri diferite de malware. Unele sunt inofensive sau doar enervante, dar unele pot fi foarte periculoase. Cele mai importante tipuri de malware la care trebuie să țineți cont sunt:

  • Spyware: instalează și înregistrează în tăcere apăsările de taste, ecranul, sunetul și videoclipul.
  • Instrumente de administrare la distanță (RAT): Permite control complet asupra computerului.
  • Ransomware: criptează toate fișierele importante și vă face să plătiți pentru cheia de decriptare.

Pentru a vă determina în mod intenționat să instalați programe malware personalizate pe computer, atacatorii folosesc de obicei ingineria socială:

  • Atacatorul fabrică unități USB „pierdute” în jurul parcării companiei pentru a colecta acreditările de conectare ale angajaților.
  • Un bărbat care a vărsat cafea pe CV îi cere recepționerului să-i imprime o copie a ceva pentru că are un interviu, provocând astfel infectarea unui computer al companiei cu o încărcătură utilă într-un USB. (Exemplu din The Art of Human Hacking).

Șapte strategii de apărare cibernetică de care aveți nevoie chiar acum

Am discutat despre cele mai comune metode de atac adversar, dar cum ne ferim de ele?

Strategia nr. 1: Gestionarea corectă a parolelor

Urăsc parolele. Acolo, am spus-o. Cred cu tărie că combinația de nume de utilizator și parolă este cea mai slabă formă de autentificare a utilizatorului existentă. O parolă nu este altceva decât un șir scurt de caractere generate de cel mai prost generator de numere pseudoaleatoare din existență: mintea umană.

Am nevoie de un cuvânt secret, nu? Ce zici de al doilea nume și anul de naștere, cu siguranță nimeni nu va putea ghici asta! – Fiecare om vreodată

Mai rău este că, de dragul confortului, oamenii tind să refolosească parolele. Acest lucru face posibil ca cineva să folosească aceeași parolă pentru autentificarea la bancă și pentru WiFi-ul de acasă, făcând probabil ca parola să se termine cu numele trupei preferate . Horror-ul!

Cu ani în urmă am hotărât să fac următoarele:

  1. Utilizați un manager de parole
  2. Folosiți expresii de acces puternice în loc de parole

Utilizați un Manager de parole

Când am spus că există un compromis între nuanțe de securitate și comoditate, nu se aplică aici. Fie ești în siguranță și folosești un manager de parole, fie nu ești. Nu există niciun mijloc. Este obligatoriu să utilizați un manager de parole pentru o bună securitate a parolei. Voi explica.

  1. Toate parolele dvs. sunt unice?
  2. Dacă am descoperit unele dintre parolele tale, restul parolelor tale vor rămâne în siguranță?
  3. Toate parolele tale au fost create folosind cel puțin 32 de biți de entropie?
  4. Parolele dvs. sunt stocate doar în formă criptată?
  5. Îți amintești perfect fiecare parolă pe care ai folosit-o când te-ai înscris?
  6. Apariți pozitiv pentru o scurgere de parolă pe acest site?

Dacă ați răspuns „nu” la oricare dintre întrebările de mai sus, aveți nevoie de un manager de parole. Un bun manager de parole vă va genera aleatoriu parolele și le va stoca în siguranță. Nu contează ce manager de parole folosești, atâta timp cât folosești unul!

Folosesc LastPass pentru că îmi place cât de transparenți sunt cu rapoartele lor de incident, capacitatea de a-mi partaja acreditările cu prietenii și de a revoca distribuirea oricând vreau și îmi place faptul că sincronizarea mobilă face parte din planul lor gratuit.

Folosesc LastPass de ani de zile, iar provocarea lor de securitate îmi spune că sunt în top 1% dintre utilizatorii conștienți de securitate.

Fraze de acces puternice în loc de parole

tl;dr: Utilizați aceasta pentru a genera o expresie de acces. 12 cuvinte ar trebui să fie suficiente.

Acest lucru poate părea contra-intuitiv, deoarece v-am cerut să utilizați un manager de parole de mai sus, dar există cazuri în care parolele sunt inevitabile: veți avea nevoie de o parolă principală puternică pentru managerul de parole sau pentru a vă conecta la computer. În aceste cazuri, utilizați o expresie de acces sigură și memorabilă cu entropie mare.

Apropo de entropie, hai să vorbim puțin despre asta. Ce este această „entropie” despre care vorbesc?

Entropia este un parametru statistic care măsoară, într-un anumit sens, cât de multă informație este produsă în medie pentru fiecare literă a unui text în limbă. Dacă limba este tradusă în cifre binare (0 sau 1) în cel mai eficient mod, entropia H este numărul mediu de cifre binare necesare pe literă a limbii originale. – Claude Shannon

Este în regulă dacă acel citat a fost greu de digerat. Practic, entropia pentru o parolă, selectată aleatoriu dintr-un set, este numărul total de elemente din mulțime exprimat în baza 2. De exemplu: Dacă aveți o parolă de 4 caractere, care poate conține doar alfabetul minuscule, entropia pentru o parolă generată aleatoriu ar fi de 19 biți deoarece:

  1. Există 26 de elemente într-un alfabet cu litere mici
  2. Un șir de 4 caractere compus din acele litere este 26^4 = 456.976
  3. 456.976 exprimat în baza 2 este log(456,976) / log(2) = 19 biți (rotunjit la cel mai apropiat bit)

Problema cu parolele cu entropie mare este că acestea ajung să fie greu de reținut, cum ar fi c05f$KVB#*6y . Pentru a le face mai memorabile, ce se întâmplă dacă în loc să folosim litere simple, am folosi cuvinte întregi? Și ai folosit un dicționar de o mie de cuvinte? Dintr-o dată alfabetul nostru devine lung de o mie de elemente și putem obține aceeași entropie în 7 cuvinte pe care am avea-o cu 11 caractere.

Diferența acum este că, în loc să folosim un cuvânt de acces, folosim o expresie de acces, care este mult mai lungă.

Următoarele benzi desenate XKCD explică cel mai bine acest concept:

Parole vs fraze de acces

Cel mai simplu mod de a genera o expresie de acces aleatoare sigură este accesând aici.

Strategia nr. 2: Utilizați autentificarea multifactor (MFA)

Autentificarea în doi factori (2FA) sau verificarea în doi pași sunt toate nume pentru același lucru. Acesta este unul dintre acele lucruri care necesită obișnuință puțin, dar beneficiile de securitate ale 2FA depășesc cu mult costurile și m-au salvat personal de încălcarea contului de două ori!

Ideea din spatele MFA este simplă. Există trei lucruri pe care le putem folosi pentru a vă autentifica:

  1. Ceva ce știi (un secret)
  2. Ceva ce ai (un simbol)
  3. Ceva ce ești (biologia ta)

Folosirea a două este mai sigură decât utilizarea unuia singur.

Majoritatea site-urilor web acceptă primul factor de autentificare solicitând o parolă, dar un număr tot mai mare de servicii au început să accepte și al doilea factor. Cel de-al treilea factor este de obicei omis de serviciile web, deoarece necesită hardware specializat; cum ar fi senzorul de amprentă de pe telefon.

Dacă sunteți administrator pentru o echipă, luați în considerare crearea unei politici obligatorii pentru ca utilizatorii să aibă configurarea 2FA. Acest lucru asigură că o compromitere a parolei nu va duce la compromisul contului.

Există două forme populare de „ceva ce ai”:

  1. Telefonul tau
  2. O cheie U2F

Utilizarea telefonului pentru 2FA

Aș dori să spun asta de la bun început: nu utilizați coduri SMS pentru 2FA. Devine o practică obișnuită ca persoanele rău intenționate să vă deturneze numărul de telefon. Povestea este aproape întotdeauna aceeași: cineva social a proiectat un operator pentru a-ți porta numărul de telefon către un alt operator. Cunosc cel puțin o persoană care a căzut victimă acestui atac.

În schimb, utilizați parole unice bazate pe timp (TOTP) numite și metoda „Google Authenticator”. Cu toate acestea, în loc să utilizați Google Authenticator, vă recomand să utilizați Authy, deoarece criptează și face copii de rezervă pentru tokenurile dvs. 2FA pe cloud. Puteți apoi să vă restaurați jetoanele 2FA chiar dacă schimbați dispozitivele... de fapt, puteți utiliza aceleași jetoane pe mai multe dispozitive. Este foarte convenabil.

Folosind o cheie U2F pentru 2FA

Aceasta este cea mai simplă și mai puternică metodă 2FA. Am un Yubikey Neo pe care îl pot folosi cu telefonul și computerul. Pentru a-mi dovedi identitatea, conectez tokenul meu hardware și apes un buton. Jetonul meu este unic și fiind un simbol fizic; Îl pot purta pe breloc sau în portofel.

Strategia nr. 3: Vigilență constantă

Indiferent de cât de sigur crezi că ești, o cantitate sănătoasă de suspiciune este un lucru bun. Ai grijă de oamenii care îți cer să faci ceva ieșit din comun. Ați primit un mesaj text de la cineva care vă cere să resetați parola? Așteptați un minut și accesați un apel video cu ei. Cere-le să-și dovedească identitatea. Nimeni nu te poate reproșa că ai fost precaut.

Nu este paranoia dacă sunt cu adevărat gata să te prindă. – Harold Finch, Persoană de interes

Ei sunt cu adevărat să te prindă. Uneori, nu există niciun motiv pentru ca un utilizator rău intenționat să facă ceea ce face, în afară de voința de a face acest lucru.

Un prieten de-al meu a primit odată un mesaj de la o veche cunoștință în care îi întreba dacă ar dori să fie „contactul lor de încredere” pe Facebook. Prietenul meu a fost de acord și i s-a cerut să răspundă cu un cod pe care l-ar primi pe telefonul lor, pe care prietena mea l-a dat prompt... și așa a fost proiectată prietena mea de socializare pentru a-i oferi jetonul de resetare pentru contul ei Gmail. Dacă prietena mea ar fi fost vigilentă de la început, nu și-ar fi pierdut niciodată e-mailurile.

Strategia nr. 4: Proiectarea sistemelor conform principiului privilegiului minim

Principiul cel mai mic privilegiu cere ca într-un anumit strat de abstractizare al unui mediu de calcul, fiecare modul (cum ar fi un proces, un utilizator sau un program, în funcție de subiect) trebuie să poată accesa doar informațiile și resursele necesare. pentru scopul său legitim. – Wikipedia

Dacă un utilizator, o aplicație sau un serviciu nu necesită anumite privilegii, nu le acorda. Puteți deriva multe reguli din acest principiu, dar le voi păstra pentru următoarea secțiune despre politicile de securitate.

Permiteți-mi să vă spun o poveste: odată proiectam o aplicație care să accepte plăți Bitcoin de la utilizatori pe adrese generate în mod unic pentru ei și apoi să le redirecționeze către o adresă centrală de stocare securizată. Dacă nu sunteți familiarizat cu modul în care funcționează Bitcoin, iată o explicație simplificată: aveți nevoie de o cheie publică pentru a primi Bitcoin (cum ar fi un număr de cont) și o cheie privată corespunzătoare pentru a-l cheltui (cum ar fi un pin de cont). Numerele de cont și PIN-urile din Bitcoin sunt legate criptografic și nu pot fi modificate.

Am avut mai multe opțiuni pentru a proiecta acest sistem, dar am decis să iau un traseu ceva mai lung. Am decis că pentru a solicita utilizatorului să plătească, aplicația nu avea nevoie de acces la cheile private. Deci, în loc să proiectez un sistem mare care să primească și să trimită plăți Bitcoin, am realizat două sisteme:

  1. Sistemul de primire: Acesta a primit Bitcoin de la utilizatori și a fost găzduit pe internetul public. Conținea doar cheile publice pentru adrese.
  2. Un sistem de redirecționare: Acesta a fost un sistem complet independent și blocat, a cărui unică sarcină era să urmărească rețeaua Bitcoin pentru tranzacțiile pe adrese și să le transmită la adresa securizată. Conținea atât chei publice, cât și chei private pentru adrese.

Mult timp mai târziu, după ce am oprit întreținerea aplicației, sistemul public de recepție a fost încălcat. L-am închis imediat, dar atacatorul nu a reușit niciodată să fure Bitcoin, deoarece sistemul public nu conținea deloc chei private.

Strategia nr. 5: Folosiți cele mai bune practici de bun simț

Unele practici nu au nevoie de explicații. Probabil știi că sunt importante, dar sunt în mod constant surprins de câte persoane (inclusiv eu) uită să răsucească câteva întrerupătoare. Voi lăsa această listă de verificare aici:

  1. Porniți firewall-ul
  2. Criptați discul dvs
  3. Activați copiile de rezervă criptate
  4. Folosiți chei SSH
  5. Utilizați o conexiune la internet sigură

Porniți firewall-ul

Un firewall controlează traficul de rețea către și de la computer pe baza unui set de reguli. Funcționează prin întrebarea în mod explicit dacă permiteți noilor programe să vă acceseze rețeaua și este prima dumneavoastră linie de apărare.

Sistemul dvs. de operare vine probabil cu un firewall încorporat. Asigurați-vă că este pornit.

Criptați discul dvs

Criptarea completă a discului este această capacitate magică de a face inutil întregul conținut al discului fără parola. În cazul în care laptopul tău este pierdut sau furat, poți fi sigur că nimeni nu va putea accesa datele tale. Activarea acestui lucru poate fi la fel de simplă ca și activarea FileVault pe un Mac.

Telefoanele mobile moderne au, de asemenea, criptarea completă a discului activată în mod implicit.

Criptați copiile de rezervă

Hardware-ul eșuează, este o realitate. Mașina dvs. va eșua într-o zi sau un virus vă va infecta computerul sau (se tremură) un virus ransomware va prelua computerul. Dar, ca persoană pragmatică, probabil că ai deja o configurare a fluxului de rezervă, sunt sigur... nu-i așa?

Cu toate acestea, chiar și cu copiile de rezervă, trebuie să rămâneți vigilenți. Asigurați-vă că copiile de rezervă sunt criptate, astfel încât, chiar dacă sunt pierdute sau furate, puteți fi sigur că ați luat măsuri rezonabile pentru a proteja siguranța datelor care vi s-au încredințat.

Dacă aveți un Mac, aplicația Time Machine de pe Mac criptează automat backup-urile.

Folosiți chei SSH

Dacă eliminați ceva din acest articol, nu mai utilizați parolele pentru SSH în mașini. Parolele sunt dificil de partajat și, dacă se scurg vreodată, întreaga mașină este compromisă. În schimb, creați o cheie SSH pur și simplu rulând ssh-keygen .

Pentru a vă conecta la o mașină la distanță, pur și simplu copiați conținutul ~/.ssh/id_rsa.pub în ~/.ssh/authorized_keys din mașina la distanță. Poate fi necesar să reporniți serviciul SSH pe mașina de la distanță, dar asta este tot.

Adăugați cheile SSH ale întregii echipe la mașina de la distanță și nimeni nu va mai fi nevoit să tastați o parolă din nou. Revocarea cheii unui membru al echipei este la fel de simplă ca și scoaterea cheii de pe mașina de la distanță.

Utilizați o conexiune la internet sigură

Când partajați o conexiune la internet cu cineva, partajați mai mult decât lățimea de bandă. În funcție de configurația site-urilor web și a internetului dvs., acestea pot detecta cel puțin ce site-uri web vizitați și, în cel mai rău caz, pot citi toate informațiile pe care le transmiteți, inclusiv parolele, mesajele sau e-mailurile.

Acest lucru este foarte simplu de activat și extrem de ușor de încurcat, de asemenea. Luați măsuri de precauție rezonabile pentru a vă asigura că conexiunea este privată. Asigurați-vă că nimeni neautorizat nu are acces la conexiunea dvs. la internet.

Folosiți WPA2 pentru a vă proteja cu parolă propriul WiFi personal și, dacă lucrați de la o cafenea locală (sau orice WiFi public), presupuneți că sunteți urmărit și utilizați un proxy VPN.

Ezit să folosesc VPN-uri bazate pe abonament, mai ales că rularea proprie este atât de simplă. Utilizați această soluție VPN cu o singură linie pentru a vă găzdui propria.

Strategia nr. 6: Tratați secretele cu grijă

Secretele nu sunt menite să fie dezvăluite. De aceea se numesc secrete . În ciuda acestui fapt, de câte ori ați fost vinovat că ați trimis parola către baza de date PostgreSQL de producție prin Facebook Messenger? Asigurați-vă că întotdeauna:

  • Criptați secretele în tranzit
  • Rotiți-le des

Criptați secretele în tranzit

Dacă trebuie să împărtășiți secrete prin canale precum chat, asigurați-vă că sunt criptate. Ca exercițiu, vizitați cel mai vechi client de chat folosit frecvent. Poate fi mesaje Facebook sau Whatsapp. Indiferent de ce este, deschideți și căutați expresia „parolă” în mesajele dvs.

Dacă aceste secrete ar fi fost criptate, ele nu ar fi disponibile pentru nimeni cu acces la mesajele dvs.

Rotiți des secretele

Cu cât un secret există mai mult sau cu cât a fost împărtășit mai mult, cu atât este mai probabil să fi fost compromis. Este considerată o practică bună să rotiți secretele și parolele după o anumită perioadă de timp.

Strategia nr. 7: Stabilirea identităților criptografice

Aceasta este cu siguranță o strategie avansată, dar personal nu înțeleg de ce aceasta nu este o practică larg răspândită. Luați în considerare acest lucru: colegul dvs. crede că ați fost compromis. Cum transmit ei un mesaj către tu adevărat? Dacă cineva de pe internet trebuie să partajeze informații importante despre vulnerabilități, cum le trimite în siguranță? Cum vă asigurați că angajații dvs. împărtășesc informații în siguranță în tranzit?

Exemplul meu preferat în acest sens este profilul de bază de chei al Coinbase, unde semnează criptografic cheile PGP ale angajaților lor. Au mers mai departe și au oferit departamentului lor de conformitate o cheie PGP. Serios, Coinbase, treabă grozavă!

Pentru mine, personal, în cazul în care cineva are o îndoială rezonabilă că identitatea mea online a fost compromisă, pur și simplu cereți-mi să semnez un mesaj folosind cheia PGP disponibilă în profilul meu de bază de taste. Sunt singura persoană cu acces la această cheie PGP și mi-am luat măsuri de precauție rezonabile pentru a mă asigura că această cheie rămâne în siguranță, chiar dacă celelalte identități ale mele sunt compromise.

Dacă aveți îndoieli cu privire la autenticitatea unui mesaj, cereți-mi să-l semnez. Dacă trebuie să-mi trimiteți un secret, criptați-l cu cheia mea publică.

Implementați o politică clară de securitate a lucrătorilor de la distanță

Politica de securitate este o definiție a ceea ce înseamnă a fi sigur pentru un sistem, organizație sau altă entitate. Pentru o organizație, ea abordează constrângerile asupra comportamentului membrilor săi, precum și constrângerile impuse adversarilor prin mecanisme precum uși, încuietori, chei și pereți. – Wikipedia

O politică de securitate este o regulă sau un protocol obligatoriu care trebuie respectat atunci când se efectuează acțiuni. Strategiile de mai sus sunt utile, dar pentru a le face mai ușor de urmat, oferă echipei tale un set simplu de reguli de urmat. Este mai greu să strici securitatea atunci când echipa ta știe exact ce trebuie să facă.

Să discutăm exemple de politică de securitate a lucrătorilor de la distanță de implementat.

Politici de implementat pentru angajații dvs.:

  • NDA și contracte: Asigurați-vă că niciun angajat nu are acces la resurse confidențiale fără o bază legală adecvată.
  • Informații de contact în caz de urgență: eliminați informațiile complete și de contact de urgență ale angajatului dvs. în cazul în care membrul echipei de la distanță nu răspunde.
  • Acordați numai privilegii esențiale: dacă membrul echipei nu are nevoie de acces la anumite zone pentru a-și îndeplini funcția, nu îi acordați acces. Un membru al echipei de vânzări nu are nevoie de acces la depozitul de coduri.
  • Manageri de parole: asigurați-vă că angajații dvs. au acces la un manager de parole
  • Politici puternice de autentificare
    • Puterea minimă a parolelor: personal urăsc parolele și, pentru organizațiile în care sunt administrator, am nevoie de parole cu minimum cincizeci de caractere alfanumerice. Este trivial să respectați această politică dacă utilizați un manager de parole.
    • Resetarea obligatorie a parolei: asigurați-vă că parolele angajaților dvs. expiră frecvent pentru a schimba des secretele.
    • Autentificare cu doi factori : utilizați 2FA peste tot
  • chei PGP
  • Hard disk-uri criptate
  • Copii de rezervă criptate

Angajații pleacă, dar nu ar trebui să-ți ia informațiile cu ei. Adaptați aceste politici pentru a păstra datele chiar și după ce angajații dvs. părăsesc compania:

  • Conturi de e-mail corporative: oferirea angajaților dvs. de conturi de e-mail pe propriul domeniu vă permite să dezactivați și să auditați comunicațiile acestora.
  • Comunicații în timp real: chiar dacă e-mailul este excelent, uneori echipa ta trebuie să vorbească în timp real. Asigurați-vă că echipa dvs. are un canal centralizat Slack sau IRC. Acest lucru vă oferă posibilitatea de a dezactiva sau de a audita comunicațiile acestora, după cum este necesar.
  • Arhivele de coduri centralizate: asigurați-vă că tot codul companiei este stocat într-un depozit de coduri de companie. Planurile companiei privind ofertele publice SaaS, cum ar fi GitHub, sunt bune până când aveți nevoie de un control fin asupra întregului cod al angajaților. În acest din urmă caz, luați în considerare obținerea propriei instanțe GitLab.

Politici pentru a vă proteja infrastructura :

  • Păstrați sistemele actualizate: vulnerabilitățile de securitate sunt descoperite și corectate în fiecare zi, este datoria dvs. să vă asigurați că aplicați aceste remedieri. Nu este nimic mai rău decât să descoperi că o breșă a fost cauzată de o vulnerabilitate care a fost corectată cu săptămâni în urmă.
  • Blocați mediile de producție și de organizare: niciun angajat nu ar trebui să aibă acces la mediile de producție sau de organizare. Uneori, pur și simplu încurcă.
  • Creați un flux CI/CD puternic: doriți întotdeauna să implementați cod „bun”, iar procesul CI/CD simplu asigură întotdeauna acest lucru.
  • Protejați depozitul binecuvântat: dacă aveți un proces CI/CD automat, asigurați-vă că depozitul binecuvântat poate fi editat doar de managerul de proiect.
  • Definiți un proces de revizuire: pentru a vă asigura că niciun cod „rău” nu trece neobservat, creați un proces de revizuire. Acest lucru poate fi la fel de simplu ca și necesitatea în sfârșit a unui comentariu independent „Mi se pare bine” (LGTM) înainte de fuzionare.
  • Chei SSH: în cazul în care aplicația dvs. necesită acces SSH, asigurați-vă că folosesc chei SSH în loc de parole.
  • Luați în considerare renunțarea la BYOD: echipa bugetară ar putea crede că BYOD este cea mai bună inovație de politică de la biroul fără hârtie, dar dacă vă puteți permite, luați în considerare furnizarea echipei dvs. cu mașini corporative pe care să puteți implementa politici riguroase de securitate.
  • Copii de rezervă criptate: datele dvs. sunt importante.

Politici la scrierea codului :

  • Fără secrete în cod: Din cauza naturii controlului versiunilor, poate fi foarte dificil să eliminați datele atunci când sunt adăugate în cod, unde cheile secrete sunt foarte ușor de găsit.
  • Bcrypt atunci când stocați parolele: atunci când proiectați un sistem de autentificare, utilizați bcrypt pentru a vă hash și a sărați parolele în loc să vă proiectați sistemul sau (înghițit) să stocați în text simplu.
  • Filtrați informațiile sensibile din jurnale: indiferent dacă este vorba despre piperul dvs. global, cheia de semnare a sesiunii a aplicației dvs. sau încercarea de autentificare a unui utilizator, asigurați-vă că acestea nu sunt scurse în fișierele jurnal de sistem unde oricine are acces le poate citi.
  • Acordați cele mai puține privilegii necesare: dacă aplicația dvs. are nevoie doar de privilegii READ , nu îi acordați privilegii de WRITE . Respectați principiul cel mai mic privilegiu.

Creați un plan de răspuns

Încălcările de securitate se întâmplă ocazional și, deși va fi suficient timp pentru învățare în timpul unei autopsie, ceea ce contează este că există o cale clară pentru a securiza toate activele digitale.

Fă-ți timp pentru a elabora un plan de urgență în cazul în care se întâmplă o breșă de securitate. Luați în considerare acțiunile dvs. în următoarele scenarii:

  • Pierzi un dispozitiv cu date sensibile.
  • Este posibil ca infrastructura dvs. să fi fost accesată de o parte neautorizată.
  • Observi pe cineva din echipa ta care se comportă ciudat, spre deosebire de ei înșiși.
  • Este descoperită o vulnerabilitate de securitate.

Lucruri de inclus în planul de răspuns:

  • Documentare diligentă: activați înregistrarea ecranului, configurați un wiki pentru echipa dvs. pentru a împărtăși tot ce întâlnesc.
  • Limitarea încălcării: în funcție de amploarea încălcării, acest lucru poate fi la fel de simplu ca dezactivarea unui cont de utilizator, deconectarea unui server sau oprirea producției și contactarea utilizatorilor.
  • Stabiliți comunicarea internă: începeți un canal dedicat Slack sau găsiți o modalitate prin care oricine poate raporta ceea ce întâlnește.
  • Aduceți ajutor: sunați toate echipele afectate de încălcare. Acesta poate fi un moment bun pentru a contacta și autoritățile.
  • Investigați: aflați ce a fost încălcat, în ce măsură și ce putem face pentru a relua operațiunile normale.
  • Revenirea online: creați, testați și publicați o remediere pentru a relua operațiunile normale cât mai curând posibil. Utilizatorii dvs. depind de serviciul dvs. pentru a funcționa și, în momentul în care puteți garanta un serviciu stabil și sigur, reveniți online.
  • Vorbește cu utilizatorii tăi: nu-ți lăsa utilizatorii în întuneric. Cel mai rău lucru pe care îl puteți face este să vă opriți serviciul fără a explica ce se întâmplă utilizatorilor dvs. Stabiliți un canal de actualizare live; acest lucru poate fi la fel de simplu ca folosirea Twitter pentru a-i ține informați. După ce incidentul a fost gestionat, publicați un raport post-mortem care vorbește despre ceea ce s-a întâmplat, cum s-a întâmplat și ce ați făcut pentru a preveni încălcări similare în viitor.

Au loc incidente de securitate. Ceea ce contează este modul în care vă gestionați răspunsul. Unul dintre răspunsurile mele preferate a fost de departe în 2015, când LastPass a emis resetări obligatorii ale parolei principale atunci când au detectat activitate anormală în rețea. Sunt un utilizator de multă vreme al LastPass și, în ciuda problemelor recente de securitate, îmi place felul în care răspund clienților, punând nevoile lor pe primul loc.

Lectură recomandată

Pentru a reitera: Nu există securitate perfectă. Tot ce contează este să vă asigurați că ați făcut un efort rezonabil pentru a vă păstra datele în siguranță.

Aceste practici de securitate ar trebui să vă facă mult mai greu de piratat pe dvs. și pe echipa dvs. de la distanță.

Dacă doriți să citiți o poveste adevărată a unui hacker fugar fugit de lege, vă recomand Ghost in the Wires de Kevin Mitnick.

Dacă doriți să aflați mai multe despre cum gândește cealaltă parte, vă recomand să citiți:

  • Inginerie socială: Arta hackingului uman de Christopher Hadnagy
  • Arta înșelăciunii de Kevin Mitnick și William L. Simon

Crima mea este aceea a curiozității.