คู่มือแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดสำหรับทีมระยะไกล

เมื่อใดก็ตามที่ฉันบอกเพื่อนว่าฉันทำงานทางไกลให้กับลูกค้าที่ฉันไม่เคยพบมาก่อน พวกเขาถามฉันว่า: คุณทำงานทางไกลได้อย่างปลอดภัยหรือไม่ คำตอบของฉันคือดังก้อง “ใช่…แต่มันขึ้นอยู่กับว่าคุณสร้างนโยบายความปลอดภัยของผู้ปฏิบัติงานระยะไกลของคุณได้ดีเพียงใด”

ฉันอาศัยอยู่ในปากีสถาน ซึ่งฉันผลิตโค้ดที่มีคุณค่าต่อลูกค้าที่อยู่อีกฟากหนึ่งของโลก ลูกค้าของฉันไม่เคยจับมือฉันหรือเห็นที่ฉันทำงาน และถึงกระนั้น ฉันถูกคาดหวังให้มั่นใจว่าความลับของลูกค้าและรหัสยังคงได้รับการปกป้อง ในโลกที่สมาชิกในทีมของคุณไม่คุ้นเคยกับใบหน้าหรือเสียงของคุณ คุณจะป้องกันการละเมิดความปลอดภัยได้อย่างไร คำตอบคือ โดยระมัดระวังให้มาก

ไม่นานมานี้ เราเชื่อว่าเพื่อรับประกันประสิทธิภาพและความปลอดภัยของแอปพลิเคชันของเรา เราจำเป็นต้องเรียกใช้แอปพลิเคชันเหล่านี้ในศูนย์ข้อมูลส่วนตัวของเรา จากนั้น ระบบคลาวด์ ก็เข้ามา และเรานำข้อดีด้านต้นทุนและประสิทธิภาพของการใช้งานแอปพลิเคชันของเราบนแพลตฟอร์มตามความต้องการที่ปรับขนาดได้และไม่ต้องบำรุงรักษาเซิร์ฟเวอร์ในห้องหนึ่ง

ให้ฉันบอกคุณในความลับที่รู้จักกันดี:

ปัจจุบันบริษัทต่างๆ เช่น Uber ¹ และ Stripe ² จัดเก็บและประมวลผลข้อมูลตำแหน่งของลูกค้าแบบเรียลไทม์ บัตรเครดิตและการชำระเงินบนเซิร์ฟเวอร์ของผู้ให้บริการระบบคลาวด์ โดยปฏิบัติตามมาตรฐานความปลอดภัยที่เข้มงวด เช่น การปฏิบัติตาม PCI พวกเขาทำเช่นนี้โดยใช้นโยบายที่เข้มงวดเพื่อให้แน่ใจว่าข้อมูลการผลิตของพวกเขาจะยังคงปลอดภัย

หากบริษัทสามารถรับประกันได้ว่าสภาพแวดล้อมการผลิตทั้งหมดจะยังคงปลอดภัยแม้ว่าจะใช้งานนอกศูนย์ข้อมูลส่วนตัว เราก็สามารถรับรองความปลอดภัยของการพัฒนาของคุณได้อย่างแน่นอนโดยใช้ทีมพัฒนาจากระยะไกล ท้ายที่สุด บริษัททั้งหมดสามารถดำเนินการจากระยะไกลได้ทั้งหมด Toptal เป็นบริษัทจากระยะไกลเท่านั้น และเรากำลังว่าจ้าง

“ความปลอดภัย” คืออะไร และทำอย่างไรจึงจะ “ปลอดภัย”

ตลอดบทความนี้ เมื่อฉันพูดถึง "ความปลอดภัย" ฉันหมายถึง ความปลอดภัยของข้อมูล

คำว่า 'ความปลอดภัยของข้อมูล' หมายถึงการปกป้องข้อมูลและระบบสารสนเทศจากการเข้าถึง การใช้ การเปิดเผย การหยุดชะงัก การปรับเปลี่ยน หรือการทำลายโดยไม่ได้รับอนุญาต – 44 US Code § 3542

ไม่มีการรักษาความปลอดภัยที่สมบูรณ์แบบ แต่ "การปลอดภัย" หมายความว่าคุณได้ใช้ มาตรการที่เหมาะสม ในการบังคับใช้การรักษาความปลอดภัยของข้อมูล

โดยเฉพาะอย่างยิ่ง เมื่อคุณพูดว่า "สภาพแวดล้อมการทำงานของฉันปลอดภัย" คุณหมายถึงการบอกว่าคุณใช้มาตรการที่เหมาะสมเพื่อปกป้องข้อมูล รหัส หรือข้อมูลลับอื่นๆ ในการดูแลของคุณ และรับรองความถูกต้องของข้อมูล คุณได้ดำเนินการตามขั้นตอนเพื่อให้แน่ใจว่าสิทธิ์ของคุณในการเข้าถึงระบบข้อมูลที่ละเอียดอ่อนจะไม่ถูกใช้โดยตัวคุณเองหรือบุคคลที่ไม่ได้รับอนุญาต ในลักษณะที่เป็นอันตรายต่อเป้าหมายขององค์กรที่เป็นเจ้าของข้อมูลนี้ และระบบเหล่านี้

ทีมระยะไกลมีพื้นผิวการโจมตีที่ใหญ่กว่าทีมที่รวมศูนย์ ไม่เหมือนทีมแบบรวมศูนย์ที่คุณสามารถล็อกข้อมูลที่เป็นความลับหลังไฟร์วอลล์และเวิร์กสเตชันของบริษัทได้ ในฐานะพนักงานทางไกล คุณได้รับการสนับสนุนหรือกระทั่งจำเป็นต้องนำอุปกรณ์ของคุณมาเอง (BYOD) ยิ่งไปกว่านั้น เนื่องจากการสื่อสารส่วนใหญ่ของคุณเกิดขึ้นทางออนไลน์ คุณจึงอ่อนไหวต่อวิศวกรรมสังคมและการโจรกรรมข้อมูลประจำตัวมากขึ้น อย่างไรก็ตาม ด้วยชุดนโยบายที่เหมาะสม คุณสามารถลดความเสี่ยงของการละเมิดได้อย่างแน่นอน

ไม่มีกระสุนเงินเพื่อความปลอดภัย บ่อยครั้ง มีข้อแลกเปลี่ยนระหว่างการรักษาความปลอดภัยและความสะดวกสบายต่างๆ และขึ้นอยู่กับคุณที่จะกำหนดว่าคุณต้องการใช้แนวทางปฏิบัติด้านความปลอดภัยมากแค่ไหน แต่จำไว้ว่าทีมของคุณปลอดภัยพอๆ กับสมาชิกที่อ่อนแอที่สุดเท่านั้น มาดูการโจมตีด้านความปลอดภัยทั่วไป กลยุทธ์การป้องกัน และสุดท้ายอภิปรายตัวอย่างนโยบายเจ้าหน้าที่รักษาความปลอดภัยระยะไกล

สามประเภทที่พบบ่อยที่สุดของการโจมตีของฝ่ายตรงข้าม

คุณไม่พร้อม ถ้าไม่รู้ว่าต้องเจออะไร ปฏิปักษ์สามารถใช้กลยุทธ์มากมายในการโจมตี แต่ส่วนใหญ่แบ่งออกเป็นสามประเภท แม้ว่ารายการนี้จะไม่ได้ครอบคลุมทั้งหมด แต่นี่คือเวกเตอร์โจมตีทั่วไปสามประเภทที่แฮ็กเกอร์ที่ประสงค์ร้ายอาจใช้:

• วิศวกรรมสังคม
• ฟิชชิ่ง
• การติดเชื้อมัลแวร์

วิศวกรรมสังคม

นอกจากนี้ยังถือว่าเป็นการแฮ็กของมนุษย์อีกด้วย วิศวกรรมสังคมคือแนวปฏิบัติในการจัดการกับผู้คนให้กระทำการในลักษณะที่ไม่เป็นไปเพื่อประโยชน์สูงสุดของพวกเขา ซึ่งอาจรวมถึงการเปิดเผยข้อมูลที่เป็นความลับ

การโจมตีทางวิศวกรรมสังคมอาจพยายามใช้ความเห็นอกเห็นใจของคุณเพื่อพยายามหลีกเลี่ยงแนวปฏิบัติที่ดี หรือสร้างความรู้สึกเร่งด่วนที่จะทำให้คุณหลีกเลี่ยงแนวทางปฏิบัติที่ดีที่สุดโดยกลัวว่าจะมีการกระทำเชิงลบต่อคุณหากคุณไม่ปฏิบัติตาม

ตัวอย่างของวิศวกรรมสังคม ได้แก่:

• ผู้หญิงคนหนึ่งโทรหาผู้ให้บริการเครือข่ายมือถือและพูดคุยกับตัวแทนฝ่ายสนับสนุนให้เปลี่ยนบัญชีของใครบางคนในขณะที่คลิป YouTube ของทารกร้องไห้เล่นอยู่เบื้องหลัง
• ผู้โจมตีส่งอีเมลถึง CEO ผ่านที่อยู่อีเมลของ CFO และอนุมัติการโอนเงินจำนวน 1.8 ล้านดอลลาร์

ฟิชชิ่ง

ฟิชชิงเป็นวิธีที่ใช้กันทั่วไปในการขโมยข้อมูลรับรองของคุณ ลองนึกภาพเว็บไซต์ที่ดูเหมือน Facebook ที่คุณเข้าสู่ระบบโดยคิดว่าเป็นของจริง ฟิชชิงคือการที่ผู้โจมตีสร้างเว็บไซต์ที่ดูถูกต้องแต่ไม่ใช่

คุณเห็นเฟสบุ๊คปลอมไหม คำแนะนำ: ไม่ใช่บน Facebook.com

บางครั้งแฮกเกอร์สามารถวางยาพิษอินเทอร์เน็ตของคุณและแทรกเว็บไซต์ของตนลงในโดเมน Facebook ซึ่งเรียกว่าการโจมตีแบบ Man in The Middle แต่ไม่ต้องกังวล เบราว์เซอร์ของคุณสามารถเตือนคุณเกี่ยวกับสิ่งเหล่านี้ได้

Spear phishing เป็นฟิชชิ่งอีกรูปแบบหนึ่งที่อาจกำหนดหน้าฟิชชิ่งสำหรับคุณหรือองค์กรของคุณ สิ่งนี้ทำให้คุณมีแนวโน้มมากขึ้นที่คุณจะตกหลุมรัก โดยเฉพาะอย่างยิ่งเมื่อรวมกับวิศวกรรมสังคม

ฉันจะเล่าเรื่องให้คุณฟัง: ตอนที่ฉันเรียนหนังสือ คนที่เพิ่งเรียนรู้เกี่ยวกับฟิชชิ่งได้สร้างเว็บไซต์ Facebook ปลอมขึ้นมาและเปลี่ยนหน้าแรกในแล็บคอมพิวเตอร์เป็นการสร้างของเขา สิ่งต่อไปที่เขารู้ คนนี้มีรหัสผ่านบัญชี Facebook สามร้อยรหัส การโจมตีนี้มีเป้าหมายเฉพาะที่โรงเรียนของฉัน และกลายเป็นการโจมตีแบบฟิชชิงหอกที่ประสบความสำเร็จ

และคิดว่ารหัสผ่านทั้งหมดเหล่านั้นจะยังปลอดภัยอยู่ ถ้ามีคนสนใจที่จะดูแถบที่อยู่

การติดเชื้อมัลแวร์

มีมัลแวร์อยู่หลายร้อยประเภท บางอย่างไม่มีอันตรายหรือแค่น่ารำคาญ แต่บางอย่างอาจเป็นอันตรายได้มาก มัลแวร์ประเภทที่สำคัญที่สุดที่ต้องระวังคือ:

• สปายแวร์: ติดตั้งและบันทึกการกดแป้นพิมพ์ หน้าจอ เสียง และวิดีโอของคุณอย่างเงียบๆ
• Remote Administration Tools (RATs): อนุญาตให้ควบคุมคอมพิวเตอร์ของคุณได้อย่างสมบูรณ์
• แรนซัมแวร์: เข้ารหัสไฟล์สำคัญทั้งหมดของคุณและทำให้คุณจ่ายค่าคีย์ถอดรหัส

เพื่อให้คุณติดตั้งมัลแวร์แบบกำหนดเองบนคอมพิวเตอร์ของคุณโดยเจตนา ผู้โจมตีมักจะใช้วิศวกรรมสังคม:

• ผู้โจมตีวางไดรฟ์ USB "หาย" รอบลานจอดรถของบริษัทเพื่อเก็บเกี่ยวข้อมูลรับรองการเข้าสู่ระบบของพนักงาน
• ชายคนหนึ่งที่ทำกาแฟหกในประวัติย่อของเขาขอให้พนักงานต้อนรับพิมพ์สำเนาบางสิ่งบางอย่างให้เขาเพราะเขามีการสัมภาษณ์ จึงทำให้คอมพิวเตอร์ของบริษัทติดไวรัสโดยข้อมูลที่เป็นอันตรายใน USB (ตัวอย่างจาก The Art of Human Hacking)

เจ็ดกลยุทธ์การป้องกันทางไซเบอร์ที่คุณต้องการตอนนี้

เราได้พูดถึงวิธีการโจมตีแบบปรปักษ์กันทั่วไปแล้ว แต่เราจะปลอดภัยจากวิธีการเหล่านี้ได้อย่างไร

กลยุทธ์ที่ 1: การจัดการรหัสผ่านที่เหมาะสม

ฉันเกลียดรหัสผ่าน ที่นั่นฉันพูด ฉันเชื่อมั่นอย่างยิ่งว่าชื่อผู้ใช้และรหัสผ่านเป็นรูปแบบที่อ่อนแอที่สุดในการตรวจสอบสิทธิ์ของผู้ใช้ รหัสผ่านไม่มีอะไรมากไปกว่าสตริงอักขระสั้น ๆ ที่สร้างขึ้นโดยเครื่องกำเนิดตัวเลขสุ่มปลอมที่แย่ที่สุดที่มีอยู่: จิตใจของมนุษย์

ฉันต้องการคำลับใช่มั้ย แล้วชื่อกลางและปีเกิดของฉันล่ะ ไม่มีใครเดาได้เลย! – มนุษย์ทุกคนตลอดกาล

ที่แย่กว่านั้นคือเพื่อความสะดวก ผู้คนมักจะใช้รหัสผ่านซ้ำ ซึ่งทำให้เป็นไปได้สำหรับใครบางคนที่จะใช้รหัสผ่านเดียวกันสำหรับการเข้าสู่ระบบธนาคารและ WiFi ที่บ้านของพวกเขา ในขณะที่ทำให้รหัสผ่านมีแนวโน้มว่าจะลงท้ายด้วยชื่อวงดนตรีโปรดของพวกเขา สยองขวัญ!

หลายปีก่อนฉันตั้งใจที่จะทำสิ่งต่อไปนี้:

1. ใช้ตัวจัดการรหัสผ่าน
2. ใช้ข้อความรหัสผ่านที่คาดเดายากแทนรหัสผ่าน

ใช้ตัวจัดการรหัสผ่าน

เมื่อฉันบอกว่ามีข้อแลกเปลี่ยนระหว่างความปลอดภัยและความสะดวกสบาย มันไม่มีผลบังคับใช้ที่นี่ ไม่ว่าคุณจะปลอดภัยและใช้ตัวจัดการรหัสผ่านหรือไม่ก็ตาม ไม่มีในระหว่าง คุณจำเป็นต้องใช้เครื่องมือจัดการรหัสผ่านเพื่อความปลอดภัยของรหัสผ่านที่ดี ฉันจะอธิบาย

1. รหัสผ่านทั้งหมดของคุณไม่ซ้ำกันหรือไม่?
2. หากฉันค้นพบรหัสผ่านของคุณ รหัสผ่านที่เหลือของคุณจะปลอดภัยหรือไม่
3. รหัสผ่านทั้งหมดของคุณสร้างขึ้นโดยใช้เอนโทรปีอย่างน้อย 32 บิตใช่หรือไม่
4. รหัสผ่านของคุณถูกจัดเก็บในรูปแบบที่เข้ารหัสเท่านั้นหรือไม่?
5. คุณจำรหัสผ่านทั้งหมดที่คุณใช้เมื่อสมัครได้อย่างสมบูรณ์หรือไม่?
6. คุณกลายเป็นแง่บวกสำหรับรหัสผ่านรั่วที่เว็บไซต์นี้หรือไม่?

หากคุณตอบว่า “ไม่” สำหรับคำถามข้างต้น คุณต้องมีผู้จัดการรหัสผ่าน ผู้จัดการรหัสผ่านที่ดีจะสุ่มสร้างรหัสผ่านให้คุณและจัดเก็บไว้อย่างปลอดภัย ไม่สำคัญหรอกว่าคุณจะใช้เครื่องมือจัดการรหัสผ่านแบบใด ตราบใดที่คุณใช้ตัวจัดการรหัสผ่าน!

ฉันใช้ LastPass เพราะฉันชอบความโปร่งใสที่พวกเขารายงานเหตุการณ์ ความสามารถในการแบ่งปันข้อมูลประจำตัวของฉันกับเพื่อน ๆ และเพิกถอนการแบ่งปันเมื่อใดก็ตามที่ฉันต้องการ และฉันชอบความจริงที่ว่าการซิงค์มือถือเป็นส่วนหนึ่งของแผนฟรีของพวกเขา

ฉันใช้ LastPass มาหลายปีแล้ว และความท้าทายด้านความปลอดภัยของพวกเขาบอกฉันว่าฉันอยู่ใน 1% อันดับแรกของผู้ใช้ที่คำนึงถึงความปลอดภัย

รหัสผ่านที่รัดกุมแทนรหัสผ่าน

นี่อาจฟังดูขัดกับสัญชาตญาณ เนื่องจากฉันขอให้คุณใช้เครื่องมือจัดการรหัสผ่านด้านบน แต่มีบางกรณีที่รหัสผ่านไม่สามารถหลีกเลี่ยงได้: คุณจะต้องใช้รหัสผ่านหลักที่รัดกุมสำหรับตัวจัดการรหัสผ่านของคุณ หรือเพื่อเข้าสู่ระบบคอมพิวเตอร์ของคุณ ในกรณีเหล่านี้ ให้ใช้ข้อความรหัสผ่านที่ปลอดภัยและน่าจดจำซึ่งมีเอนโทรปีสูง

พูดถึงเอนโทรปี เรามาพูดถึงเรื่องนี้กันสักหน่อย “เอนโทรปี” ที่ฉันพูดถึงนี้คืออะไร?

เอนโทรปีเป็นพารามิเตอร์ทางสถิติที่วัดในแง่หนึ่ง โดยเฉลี่ยแล้วข้อมูลที่ผลิตขึ้นสำหรับตัวอักษรแต่ละตัวของข้อความในภาษานั้น หากภาษาถูกแปลเป็นเลขฐานสอง (0 หรือ 1) ด้วยวิธีที่มีประสิทธิภาพที่สุด เอนโทรปี H คือจำนวนเฉลี่ยของเลขฐานสองที่ต้องการต่อตัวอักษรของภาษาต้นฉบับ – คลอดด์ แชนนอน

ไม่เป็นไรถ้าคำพูดนั้นเข้าใจยาก โดยพื้นฐานแล้ว เอนโทรปีของรหัสผ่านที่สุ่มเลือกจากชุดหนึ่งๆ คือจำนวนองค์ประกอบทั้งหมดในชุดที่แสดงเป็นฐาน 2 ตัวอย่างเช่น: หากคุณมีรหัสผ่านยาว 4 อักขระ ที่สามารถมีได้เฉพาะตัวอักษรพิมพ์เล็ก เอนโทรปีสำหรับ รหัสผ่านที่สร้างแบบสุ่มจะเป็น 19 บิตเพราะ:

1. มี 26 องค์ประกอบในอักษรตัวพิมพ์เล็ก
2. สตริงอักขระ 4 ตัวที่ประกอบด้วยตัวอักษรเหล่านั้นคือ 26^4 = 456,976
3. 456,976 ที่แสดงในฐาน 2 คือ log(456,976) / log(2) = 19 บิต (ปัดเศษเป็นบิตที่ใกล้ที่สุด)

ปัญหาของรหัสผ่านเอนโทรปีสูงคือมันยากต่อการจดจำ เช่น c05f$KVB#*6y เพื่อให้น่าจดจำยิ่งขึ้น เกิดอะไรขึ้นถ้าแทนที่จะใช้อักษรตัวเดียว เราใช้ทั้งคำแทน และใช้พจนานุกรมพันคำ? ทันใดนั้นตัวอักษรของเราก็ยาวเป็นพันองค์ประกอบ และเราสามารถบรรลุเอนโทรปีเดียวกันใน 7 คำที่เราจะมีด้วยอักขระ 11 ตัว

ความแตกต่างในตอนนี้คือ แทนที่จะใช้ คำ รหัสผ่าน เรากำลังใช้ วลี รหัสผ่าน ซึ่งยาวกว่ามาก

การ์ตูน XKCD ต่อไปนี้อธิบายแนวคิดนี้ได้ดีที่สุด:

วิธีที่ง่ายที่สุดในการสร้างข้อความรหัสผ่านแบบสุ่มที่ปลอดภัยคือไปที่นี่

กลยุทธ์ที่ 2: ใช้การรับรองความถูกต้องแบบหลายปัจจัย (MFA)

การรับรองความถูกต้องด้วยสองปัจจัย (2FA) หรือการยืนยันแบบ 2 ขั้นตอนเป็นชื่อทั้งหมดสำหรับสิ่งเดียวกัน นี่เป็นหนึ่งในสิ่งที่ต้องใช้ทำความคุ้นเคยเล็กน้อย แต่ประโยชน์ด้านความปลอดภัยของ 2FA นั้นเหนือกว่าค่าใช้จ่ายมากและช่วยฉันจากการละเมิดบัญชีเป็นการส่วนตัวถึงสองครั้ง!

แนวคิดเบื้องหลัง MFA นั้นเรียบง่าย มีสามสิ่งที่เราสามารถใช้เพื่อรับรองความถูกต้องของคุณ:

1. สิ่งที่คุณรู้ (ความลับ)
2. สิ่งที่คุณมี (โทเค็น)
3. สิ่งที่คุณเป็น (ชีววิทยาของคุณ)

การใช้สองอย่างมีความปลอดภัยมากกว่าการใช้เพียงอันเดียว

เว็บไซต์ส่วนใหญ่สนับสนุนปัจจัยแรกของการรับรองความถูกต้องโดยกำหนดให้ใช้รหัสผ่าน แต่บริการจำนวนมากขึ้นก็เริ่มสนับสนุนปัจจัยที่สองเช่นกัน ปัจจัยที่สามมักจะถูกละทิ้งโดยบริการเว็บเนื่องจากต้องใช้ฮาร์ดแวร์เฉพาะ เช่นเซ็นเซอร์ลายนิ้วมือในโทรศัพท์ของคุณ

หากคุณเป็นผู้ดูแลระบบของทีม โปรดพิจารณาสร้างนโยบายบังคับสำหรับผู้ใช้เพื่อให้มีการตั้งค่า 2FA เพื่อให้แน่ใจว่าการประนีประนอมรหัสผ่านจะไม่ส่งผลให้เกิดการประนีประนอมกับบัญชี

มีสองรูปแบบที่นิยมของ “สิ่งที่คุณมี”:

1. โทรศัพท์ของคุณ
2. คีย์ U2F

การใช้โทรศัพท์ของคุณสำหรับ 2FA

ฉันอยากจะพูดแบบนี้ทันที: อย่าใช้รหัส SMS สำหรับ 2FA เป็นเรื่องปกติที่ผู้ประสงค์ร้ายจะจี้หมายเลขโทรศัพท์ของคุณ เรื่องราวเกือบจะเหมือนกันทุกครั้ง: มีคนออกแบบโซเชียลให้ผู้ให้บริการย้ายหมายเลขโทรศัพท์ของคุณไปยังผู้ให้บริการรายอื่น ฉันรู้จักอย่างน้อยหนึ่งคนที่ตกเป็นเหยื่อการโจมตีครั้งนี้

ให้ใช้รหัสผ่านแบบใช้ครั้งเดียวตามเวลา (TOTP) หรือที่เรียกว่าวิธี “Google Authenticator” แทน อย่างไรก็ตาม แทนที่จะใช้ Google Authenticator ฉันแนะนำให้ใช้ Authy เนื่องจากมันเข้ารหัสและสำรองโทเค็น 2FA ของคุณบนคลาวด์ จากนั้นคุณสามารถกู้คืนโทเค็น 2FA ของคุณได้ แม้ว่าคุณจะเปลี่ยนอุปกรณ์… อันที่จริง คุณสามารถใช้โทเค็นเดียวกันบนอุปกรณ์หลายเครื่องได้ มันสะดวกมาก

การใช้คีย์ U2F สำหรับ 2FA

นี่เป็นวิธี 2FA ที่ง่ายและมีประสิทธิภาพที่สุด ฉันมี Yubikey Neo ที่สามารถใช้กับโทรศัพท์และคอมพิวเตอร์ของฉันได้ เพื่อพิสูจน์ตัวตนของฉัน ฉันเพียงแค่เสียบโทเค็นฮาร์ดแวร์ของฉันแล้วกดปุ่ม โทเค็นของฉันมีเอกลักษณ์และเป็นโทเค็นจริง ฉันสามารถพกติดตัวไปกับพวงกุญแจหรือกระเป๋าสตางค์ของฉันได้

ยุทธศาสตร์ที่ 3: การเฝ้าระวังอย่างต่อเนื่อง

ไม่ว่าคุณจะเชื่อว่าตัวเองปลอดภัยแค่ไหน ความสงสัยในปริมาณที่เหมาะสมก็เป็นสิ่งที่ดี ระวังคนที่ขอให้คุณทำอะไรที่ไม่ปกติ คุณได้รับข้อความจากคนที่ขอให้คุณรีเซ็ตรหัสผ่านหรือไม่ รอสักครู่แล้วเริ่มแฮงเอาท์วิดีโอกับพวกเขา ขอให้พวกเขาพิสูจน์ตัวตนของพวกเขา ไม่มีใครสามารถตำหนิคุณได้ที่ระมัดระวัง

ไม่ใช่เรื่องหวาดระแวงหากพวกเขาออกไปหาคุณจริงๆ – ฮาโรลด์ ฟินช์ บุคคลที่น่าสนใจ

พวกเขากำลังออกไปรับคุณจริงๆ บางครั้งไม่มีเหตุผลใดที่ผู้ใช้ที่ประสงค์ร้ายจะทำในสิ่งที่พวกเขาทำ นอกเหนือจากความตั้งใจที่จะทำ

เพื่อนของฉันเคยได้รับข้อความจากคนรู้จักเก่าที่ถามว่าพวกเขาต้องการเป็น "ผู้ติดต่อที่เชื่อถือได้" บน Facebook หรือไม่ เพื่อนของฉันตกลงและถูกขอให้ตอบกลับด้วยรหัสที่พวกเขาจะได้รับในโทรศัพท์ ซึ่งเพื่อนของฉันก็ให้ทันที… และนั่นคือวิธีที่เพื่อนของฉันถูกออกแบบทางสังคมให้มอบโทเค็นการรีเซ็ตสำหรับบัญชี Gmail ของเธอ ถ้าเพื่อนของฉันระแวดระวังตั้งแต่แรก เธอจะไม่มีวันทำอีเมลหาย

ยุทธศาสตร์ที่ 4: ออกแบบระบบตามหลักการสิทธิพิเศษน้อยที่สุด

หลักการของสิทธิพิเศษน้อยที่สุดกำหนดให้ในชั้นนามธรรมเฉพาะของสภาพแวดล้อมการคำนวณ ทุกโมดูล (เช่น กระบวนการ ผู้ใช้ หรือโปรแกรม ขึ้นอยู่กับหัวข้อ) จะต้องสามารถเข้าถึงข้อมูลและทรัพยากรที่จำเป็นเท่านั้น เพื่อวัตถุประสงค์ที่ชอบด้วยกฎหมาย – วิกิพีเดีย

หากผู้ใช้ แอปพลิเคชัน หรือบริการไม่ต้องการสิทธิ์บางอย่าง ก็อย่ามอบให้พวกเขา คุณสามารถได้กฎเกณฑ์มากมายจากหลักการนี้ แต่ฉันจะเก็บไว้สำหรับหัวข้อถัดไปเกี่ยวกับนโยบายความปลอดภัย

ให้ฉันเล่าเรื่อง: ครั้งหนึ่งฉันเคยออกแบบแอปพลิเคชันที่ยอมรับการชำระเงินด้วย Bitcoin จากผู้ใช้ตามที่อยู่ที่สร้างขึ้นโดยเฉพาะสำหรับพวกเขา แล้วส่งต่อไปยังที่อยู่จัดเก็บที่ปลอดภัยส่วนกลาง หากคุณไม่คุ้นเคยกับวิธีการทำงานของ Bitcoin นี่คือคำอธิบายแบบง่าย: คุณต้องมีกุญแจสาธารณะเพื่อรับ Bitcoin (เช่น หมายเลขบัญชี) และรหัสส่วนตัวที่เกี่ยวข้องเพื่อใช้จ่าย (เช่น PIN ของบัญชี) หมายเลขบัญชีและพินใน Bitcoin นั้นเชื่อมโยงด้วยการเข้ารหัสและไม่สามารถเปลี่ยนแปลงได้

ฉันมีตัวเลือกมากมายในการออกแบบระบบนี้ แต่ฉันตัดสินใจใช้เส้นทางที่ยาวกว่าเล็กน้อย ฉันตัดสินใจว่าเพื่อให้ผู้ใช้ชำระเงิน แอปพลิเคชันไม่จำเป็นต้องเข้าถึงคีย์ส่วนตัว ดังนั้น แทนที่จะออกแบบระบบขนาดใหญ่ระบบเดียวที่จะรับและส่งต่อการชำระเงินด้วย Bitcoin ฉันได้สร้างสองระบบ:

1. ระบบการรับ: สิ่งนี้ได้รับ Bitcoin จากผู้ใช้และโฮสต์บนอินเทอร์เน็ตสาธารณะ มีเฉพาะกุญแจสาธารณะสำหรับที่อยู่เท่านั้น
2. ระบบการส่งต่อ: นี่เป็นระบบที่เป็นอิสระและถูกล็อคโดยสมบูรณ์ซึ่งมีหน้าที่เพียงอย่างเดียวในการดูเครือข่าย Bitcoin สำหรับการทำธุรกรรมบนที่อยู่และส่งต่อไปยังที่อยู่ที่ปลอดภัย มันมีทั้งกุญแจสาธารณะและส่วนตัวสำหรับที่อยู่

ไม่นานหลังจากที่ฉันหยุดดูแลแอพ ระบบการรับสาธารณะก็ถูกละเมิด ฉันปิดมันทันที แต่ผู้โจมตีไม่สามารถขโมย Bitcoin ได้เพราะระบบสาธารณะไม่มีคีย์ส่วนตัวเลย

กลยุทธ์ที่ 5: ใช้แนวทางปฏิบัติที่ดีที่สุดสำหรับสามัญสำนึก

การปฏิบัติบางอย่างไม่จำเป็นต้องมีคำอธิบาย คุณอาจรู้ว่าสิ่งเหล่านี้มีความสำคัญ แต่ฉันประหลาดใจอยู่เสมอที่มีคนจำนวนมาก (รวมถึงตัวฉันเอง) ที่ลืมพลิกสวิตช์สองสามตัว ฉันจะออกจากรายการตรวจสอบนี้ที่นี่:

1. เปิดไฟร์วอลล์ของคุณ
2. เข้ารหัสดิสก์ของคุณ
3. เปิดใช้งานการสำรองข้อมูลที่เข้ารหัส
4. ใช้คีย์ SSH
5. ใช้การเชื่อมต่ออินเทอร์เน็ตที่ปลอดภัย

เปิดไฟร์วอลล์ของคุณ

ไฟร์วอลล์ควบคุมการรับส่งข้อมูลเครือข่ายไปและกลับจากคอมพิวเตอร์ของคุณตามกฎเกณฑ์ มันทำงานโดยถามคุณอย่างชัดแจ้งว่าจะอนุญาตให้โปรแกรมใหม่เข้าถึงเครือข่ายของคุณหรือไม่และเป็นแนวป้องกันแรกของคุณ

ระบบปฏิบัติการของคุณน่าจะมีไฟร์วอลล์ในตัว ตรวจสอบให้แน่ใจว่าเปิดอยู่

เข้ารหัสดิสก์ของคุณ

การเข้ารหัสดิสก์แบบเต็มเป็นความสามารถมหัศจรรย์ในการทำให้เนื้อหาในดิสก์ทั้งหมดของคุณไร้ประโยชน์โดยไม่ต้องใช้รหัสผ่าน ในกรณีที่แล็ปท็อปของคุณสูญหายหรือถูกขโมย คุณสามารถมั่นใจได้ว่าจะไม่มีใครสามารถเข้าถึงข้อมูลของคุณได้ การเปิดใช้งานสามารถทำได้ง่ายเพียงแค่เปิด FileVault บน Mac

โทรศัพท์มือถือสมัยใหม่ยังเปิดใช้งานการเข้ารหัสดิสก์แบบเต็มตามค่าเริ่มต้น

เข้ารหัสข้อมูลสำรองของคุณ

ฮาร์ดแวร์ล้มเหลวมันคือความจริงของชีวิต เครื่องของคุณจะล้มเหลวในวันหนึ่ง มิฉะนั้น ไวรัสจะติดพีซีของคุณ หรือ (ตัวสั่น) ไวรัสแรนซัมแวร์จะเข้าครอบงำพีซีของคุณ แต่ในฐานะที่เป็นคนจริงจัง คุณอาจมีการตั้งค่าโฟลว์สำรองอยู่แล้ว ฉันแน่ใจ… ใช่ไหม

อย่างไรก็ตาม แม้จะสำรองข้อมูลไว้ คุณก็ต้องระแวดระวัง ตรวจสอบให้แน่ใจว่าข้อมูลสำรองของคุณได้รับการเข้ารหัสเพื่อที่ว่าแม้ว่าข้อมูลสำรองจะสูญหายหรือถูกขโมย คุณวางใจได้ว่าคุณใช้มาตรการที่เหมาะสมเพื่อปกป้องความปลอดภัยของข้อมูลที่ได้รับมอบหมาย

หากคุณมี Mac แอพ Time Machine บน Mac ของคุณจะเข้ารหัสข้อมูลสำรองโดยอัตโนมัติ

ใช้คีย์ SSH

หากคุณนำสิ่งใดออกไปจากบทความนี้ ให้หยุดใช้รหัสผ่านเพื่อ SSH ในเครื่อง รหัสผ่านนั้นยากต่อการแบ่งปัน และหากเกิดการรั่วไหล เครื่องทั้งหมดของคุณจะถูกบุกรุก ให้สร้างคีย์ SSH โดยการเรียกใช้ ssh-keygen แทน

ในการเข้าสู่ระบบเครื่องระยะไกล เพียงคัดลอกเนื้อหาของ ~/.ssh/id_rsa.pub ในพื้นที่ของคุณไปที่ ~/.ssh/authorized_keys ในเครื่องระยะไกล คุณอาจต้องรีสตาร์ทบริการ SSH บนเครื่องระยะไกล แต่นั่นแหล่ะ

เพิ่มคีย์ SSH ของทั้งทีมในเครื่องระยะไกลและจะไม่มีใครต้องพิมพ์รหัสผ่านอีก การเพิกถอนกุญแจของสมาชิกในทีมนั้นง่ายพอๆ กับการถอดกุญแจออกจากเครื่องระยะไกล

ใช้การเชื่อมต่ออินเทอร์เน็ตที่ปลอดภัย

เมื่อคุณแชร์การเชื่อมต่ออินเทอร์เน็ตกับผู้อื่น คุณจะแชร์มากกว่าแบนด์วิดท์ของคุณ ทั้งนี้ขึ้นอยู่กับการกำหนดค่าของเว็บไซต์และอินเทอร์เน็ตของคุณ อย่างน้อยพวกเขาสามารถตรวจจับเว็บไซต์ที่คุณเยี่ยมชม และที่แย่ที่สุดคืออ่านข้อมูลทั้งหมดที่คุณส่ง รวมถึงรหัสผ่าน ข้อความ หรืออีเมล

สิ่งนี้เปิดใช้งานได้ง่ายมากและง่ายต่อการเลอะเช่นกัน ใช้มาตรการป้องกันที่เหมาะสมเพื่อให้แน่ใจว่าการเชื่อมต่อของคุณเป็นแบบส่วนตัว ตรวจสอบให้แน่ใจว่าไม่มีใครเข้าถึงการเชื่อมต่ออินเทอร์เน็ตของคุณโดยไม่ได้รับอนุญาต

ใช้ WPA2 เพื่อปกป้อง WiFi ส่วนตัวของคุณด้วยรหัสผ่าน และหากคุณทำงานจากร้านกาแฟในพื้นที่ (หรือ WiFi สาธารณะใดๆ) ถือว่าคุณกำลังถูกจับตามองและใช้พร็อกซี VPN

ฉันลังเลที่จะใช้ VPN แบบสมัครรับข้อมูล โดยเฉพาะอย่างยิ่งเนื่องจากการใช้งาน VPN ของคุณเองนั้นง่ายมาก ใช้โซลูชัน VPN แบบบรรทัดเดียวนี้เพื่อโฮสต์ของคุณเอง

ยุทธศาสตร์ที่ 6: รักษาความลับด้วยความเอาใจใส่

ความลับไม่ได้มีไว้เพื่อเปิดเผย นั่นเป็นเหตุผลที่พวกเขาถูกเรียกว่าความ ลับ อย่างไรก็ตาม คุณมีความผิดกี่ครั้งที่ส่งรหัสผ่านไปยังฐานข้อมูล PostgreSQL ที่ใช้งานจริงผ่าน Facebook Messenger ให้แน่ใจว่าคุณเสมอ:

• เข้ารหัสความลับระหว่างทาง
• หมุนบ่อยๆ

เข้ารหัสความลับระหว่างทาง

หากคุณต้องแชร์ความลับผ่านช่องทางต่างๆ เช่น แชท ตรวจสอบให้แน่ใจว่าได้เข้ารหัสไว้ ในแบบฝึกหัด ให้ไปที่โปรแกรมแชทที่ใช้งานบ่อยและเก่าที่สุดของคุณ อาจเป็นข้อความ Facebook หรือ Whatsapp ไม่ว่ามันคืออะไร ให้เปิดและค้นหาวลี "รหัสผ่าน" ในข้อความของคุณ

หากความลับเหล่านี้ถูกเข้ารหัส ความลับเหล่านี้จะไม่ปรากฏแก่ทุกคนที่มีสิทธิ์เข้าถึงข้อความของคุณ

หมุนความลับบ่อยๆ

ยิ่งความลับมีอยู่นานขึ้นหรือมีการแบ่งปันกันมากเท่าไร ก็ยิ่งมีโอกาสถูกบุกรุกมากขึ้นเท่านั้น ถือเป็นแนวทางปฏิบัติที่ดีในการหมุนเวียนความลับและรหัสผ่านหลังจากช่วงระยะเวลาหนึ่ง

กลยุทธ์ที่ 7: สร้างเอกลักษณ์การเข้ารหัส

นี่เป็นกลยุทธ์ขั้นสูงอย่างแน่นอน แต่โดยส่วนตัวแล้วฉันไม่เข้าใจว่าทำไมนี่จึงไม่ใช่แนวทางปฏิบัติที่แพร่หลาย พิจารณาสิ่งนี้: เพื่อนร่วมงานของคุณเชื่อว่าคุณถูกบุกรุก พวกเขาได้รับข้อความถึงตัวตนที่แท้จริงของคุณได้อย่างไร? ถ้ามีคนจากอินเทอร์เน็ตต้องแชร์ข้อมูลจุดอ่อนที่สำคัญ เขาจะส่งข้อมูลอย่างปลอดภัยได้อย่างไร? คุณมั่นใจได้อย่างไรว่าพนักงานของคุณแบ่งปันข้อมูลอย่างปลอดภัยระหว่างทาง

ตัวอย่างที่ฉันชอบคือโปรไฟล์ฐานคีย์ของ Coinbase ซึ่งพวกเขาลงนามในคีย์ PGP ของพนักงานด้วยการเข้ารหัส พวกเขาไปไกลกว่านั้นและให้คีย์ PGP แก่แผนกการปฏิบัติตามกฎระเบียบ อย่างจริงจัง Coinbase ทำได้ดีมาก!

สำหรับฉัน โดยส่วนตัวแล้ว ในกรณีที่มีคนสงสัยตามสมควรว่าข้อมูลประจำตัวออนไลน์ของฉันถูกบุกรุก เพียงแค่ขอให้ฉันลงชื่อในข้อความโดยใช้คีย์ PGP ที่มีอยู่ในโปรไฟล์ฐานคีย์ของฉัน ฉันเป็นคนเดียวที่เข้าถึงคีย์ PGP นี้ได้ และฉันได้ใช้มาตรการป้องกันที่เหมาะสมเพื่อให้แน่ใจว่าคีย์นี้ยังคงปลอดภัยแม้ว่าข้อมูลประจำตัวอื่นๆ ของฉันจะถูกบุกรุก

หากมีข้อสงสัยเกี่ยวกับความถูกต้องของข้อความ โปรดลงชื่อด้วย หากคุณต้องการส่งความลับให้ฉัน ให้เข้ารหัสด้วยกุญแจสาธารณะของฉัน

ใช้นโยบายความปลอดภัยของพนักงานระยะไกลที่ชัดเจน

นโยบายความปลอดภัยคือคำจำกัดความของการรักษาความปลอดภัยให้กับระบบ องค์กร หรือหน่วยงานอื่นๆ สำหรับองค์กร องค์กรจะจัดการกับข้อจำกัดเกี่ยวกับพฤติกรรมของสมาชิก เช่นเดียวกับข้อจำกัดที่บังคับใช้กับฝ่ายตรงข้ามโดยกลไกต่างๆ เช่น ประตู ล็อค กุญแจ และผนัง – วิกิพีเดีย

นโยบายความปลอดภัยเป็นกฎหรือโปรโตคอลบังคับที่ต้องปฏิบัติตามเมื่อดำเนินการ กลยุทธ์ข้างต้นมีประโยชน์ แต่เพื่อให้ง่ายต่อการปฏิบัติตาม ให้ทีมของคุณมีกฎเกณฑ์ตรงไปตรงมาในการปฏิบัติตาม การรักษาความปลอดภัยจะยากขึ้นเมื่อทีมของคุณรู้ว่าต้องทำอย่างไร

มาพูดถึงตัวอย่างของนโยบายความปลอดภัยสำหรับผู้ปฏิบัติงานระยะไกลที่จะนำไปใช้

นโยบายที่จะดำเนินการสำหรับ พนักงาน ของคุณ:

• NDA และสัญญา: ตรวจสอบให้แน่ใจว่าไม่มีพนักงานคนใดเข้าถึงแหล่งข้อมูลที่เป็นความลับโดยไม่มีพื้นฐานทางกฎหมายที่เหมาะสม
• ข้อมูลติดต่อฉุกเฉิน: ลบข้อมูลติดต่อฉุกเฉินทั้งหมด ของพนักงานในกรณีที่สมาชิกในทีมระยะไกลของคุณไม่ตอบสนอง
• ให้สิทธิ์ที่จำเป็นเท่านั้น: หากสมาชิกในทีมของคุณไม่ต้องการการเข้าถึงบางพื้นที่เพื่อทำหน้าที่ของตน อย่าอนุญาตให้เข้าถึง สมาชิกของทีมขายไม่จำเป็นต้องเข้าถึงที่เก็บรหัสของคุณ
• ผู้จัดการรหัสผ่าน: ตรวจสอบให้แน่ใจว่าพนักงานของคุณสามารถเข้าถึงตัวจัดการรหัสผ่านได้
• นโยบายการตรวจสอบสิทธิ์ที่แข็งแกร่ง
  • รหัสผ่านมีความเข้มงวดน้อยที่สุด: โดยส่วนตัวแล้วฉันเกลียดรหัสผ่าน และสำหรับองค์กรที่ฉันเป็นผู้ดูแลระบบ ฉันต้องใช้รหัสผ่านที่มีอักขระที่เป็นตัวอักษรและตัวเลขคละกันอย่างน้อยห้าสิบตัว การปฏิบัติตามนโยบายนี้เป็นเรื่องเล็กน้อยหากคุณใช้ตัวจัดการรหัสผ่าน
  • การรีเซ็ตรหัสผ่านบังคับ: ตรวจสอบให้แน่ใจว่ารหัสผ่านของพนักงานของคุณหมดอายุบ่อยครั้งเพื่อหมุนเวียนความลับบ่อยๆ
  • การรับรองความถูกต้องด้วยสองปัจจัย : ใช้ 2FA ทุกที่
• คีย์ PGP
• เข้ารหัสฮาร์ดดิสก์
• การสำรองข้อมูลที่เข้ารหัส

พนักงานลาออก แต่ไม่ควรนำข้อมูลของคุณไปด้วย ปรับนโยบายเหล่านี้เพื่อเก็บ ข้อมูล แม้หลังจากที่พนักงานของคุณลาออกจากบริษัทแล้ว:

• บัญชีอีเมลบริษัท: การให้บัญชีอีเมลพนักงานในโดเมนของคุณเองทำให้คุณสามารถปิดใช้งานและตรวจสอบการสื่อสารของพวกเขาได้
• การสื่อสารแบบเรียลไทม์: แม้ว่าอีเมลจะดีมาก แต่บางครั้งทีมของคุณก็ต้องพูดคุยกันแบบเรียลไทม์ ตรวจสอบให้แน่ใจว่าทีมของคุณมีช่องสัญญาณ Slack หรือ IRC จากส่วนกลาง สิ่งนี้ทำให้คุณสามารถปิดใช้งานหรือตรวจสอบการสื่อสารของพวกเขาได้ตามต้องการ
• ที่เก็บรหัสแบบรวมศูนย์: ตรวจสอบให้แน่ใจว่ารหัสบริษัททั้งหมดถูกเก็บไว้ในที่เก็บรหัสบริษัท แผนของบริษัทเกี่ยวกับข้อเสนอ SaaS สาธารณะเช่น GitHub นั้นใช้ได้ จนกว่าคุณจะต้องการควบคุมรหัสพนักงานทั้งหมดอย่างละเอียด ในกรณีหลัง ให้พิจารณารับอินสแตนซ์ GitLab ของคุณเอง

นโยบายการปกป้อง โครงสร้างพื้นฐาน ของคุณ :

• อัปเดตระบบอยู่เสมอ: มีการค้นพบและแก้ไขช่องโหว่ด้านความปลอดภัยทุกวัน เป็นหน้าที่ของคุณที่จะต้องแน่ใจว่าคุณใช้การแก้ไขเหล่านี้ ไม่มีอะไรเลวร้ายไปกว่าการค้นพบการละเมิดที่เกิดจากช่องโหว่ที่ได้รับการแก้ไขเมื่อสัปดาห์ก่อน
• ล็อกสภาพแวดล้อมการผลิตและการจัดเตรียม: พนักงานไม่ควรมีสิทธิ์เข้าถึงสภาพแวดล้อมการผลิตหรือการจัดเตรียม บางครั้งพวกเขาก็เลอะ
• สร้างโฟลว์ CI/CD ที่แข็งแกร่ง: คุณต้องการปรับใช้โค้ด "ดี" เสมอ และกระบวนการ CI/CD ที่ตรงไปตรงมาช่วยให้มั่นใจได้เสมอ
• ปกป้องพื้นที่เก็บข้อมูลที่มีความสุข: หากคุณมีกระบวนการ CI/CD อัตโนมัติ ตรวจสอบให้แน่ใจว่าที่เก็บที่มีความสุขของคุณสามารถแก้ไขได้โดยผู้จัดการโครงการเท่านั้น
• กำหนดกระบวนการตรวจสอบ: เพื่อให้แน่ใจว่าไม่มีโค้ดที่ "ไม่ดี" เกิดขึ้นโดยไม่มีใครสังเกตเห็น ให้สร้างกระบวนการตรวจสอบ สามารถทำได้ง่ายๆ เหมือนกับต้องการความคิดเห็นว่า "ดูดีสำหรับฉัน" (LGTM) ก่อนรวมเข้าด้วยกัน
• คีย์ SSH: ในกรณีที่แอปพลิเคชันของคุณต้องการให้เข้าถึง SSH ตรวจสอบให้แน่ใจว่าพวกเขาใช้คีย์ SSH แทนรหัสผ่าน
• พิจารณายกเลิก BYOD: ทีมงานด้านงบประมาณอาจคิดว่า BYOD เป็นนวัตกรรมด้านนโยบายที่ดีที่สุดตั้งแต่สำนักงานปลอดกระดาษ แต่ถ้าคุณสามารถจ่ายได้ ให้พิจารณาจัดหาเครื่องจักรสำหรับองค์กรให้กับทีมของคุณ ซึ่งคุณสามารถใช้นโยบายความปลอดภัยที่เข้มงวดได้
• การสำรองข้อมูลที่เข้ารหัส: ข้อมูลของคุณมีความสำคัญ

นโยบายเมื่อเขียน โค้ด :

• ไม่มีความลับในโค้ด: เนื่องจากธรรมชาติของการควบคุมเวอร์ชัน การลบข้อมูลเมื่อเพิ่มในโค้ดจึงเป็นเรื่องยากมาก โดยที่คีย์ลับหาง่ายมาก
• Bcrypt เมื่อจัดเก็บรหัสผ่าน: เมื่อออกแบบระบบการตรวจสอบความถูกต้อง ให้ใช้ bcrypt เพื่อแฮชและใส่รหัสผ่านของคุณแทนการออกแบบระบบของคุณ หรือ (อึก) จัดเก็บเป็นข้อความธรรมดา
• กรองข้อมูลที่ละเอียดอ่อนจากบันทึก: ไม่ว่าจะเป็นพริกไทยส่วนกลาง คีย์การลงชื่อเซสชันของแอปพลิเคชัน หรือการพยายามเข้าสู่ระบบของผู้ใช้ ตรวจสอบให้แน่ใจว่าข้อมูลเหล่านี้ไม่รั่วไหลในไฟล์บันทึกของระบบซึ่งทุกคนที่มีสิทธิ์เข้าถึงสามารถอ่านได้
• ให้สิทธิ์ขั้นต่ำที่จำเป็น: หากแอปพลิเคชันของคุณต้องการเพียงสิทธิ์ READ อย่าให้สิทธิ์ WRITE ยึดหลักอภิสิทธิ์น้อยที่สุด

สร้างแผนการตอบกลับ

การละเมิดความปลอดภัยเกิดขึ้นเป็นบางโอกาส และในขณะที่ยังมีเวลาอีกมากสำหรับการเรียนรู้ในระหว่างการชันสูตรพลิกศพ สิ่งที่สำคัญคือมีเส้นทางที่ชัดเจนในการรักษาความปลอดภัยสินทรัพย์ดิจิทัลทั้งหมด

ใช้เวลาในการจัดทำแผนฉุกเฉินในกรณีที่เกิดการละเมิดความปลอดภัย พิจารณาการกระทำของคุณในสถานการณ์ต่อไปนี้:

• คุณสูญเสียอุปกรณ์ที่มีข้อมูลที่ละเอียดอ่อน
• โครงสร้างพื้นฐานของคุณอาจถูกเข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาต
• คุณสังเกตคนในทีมของคุณมีพฤติกรรมแปลก ๆ ไม่เหมือนตัวเอง
• พบช่องโหว่ด้านความปลอดภัย

สิ่งที่ต้องรวมไว้ในแผนการตอบสนองของคุณ:

• เอกสารประกอบที่รัดกุม: เปิดใช้งานการบันทึกหน้าจอ ตั้งค่า wiki สำหรับทีมของคุณเพื่อแบ่งปันทุกสิ่งที่พวกเขาพบ
• การควบคุมการละเมิด: ขึ้นอยู่กับขอบเขตของการละเมิด การทำเช่นนี้อาจทำได้ง่ายเพียงแค่ปิดการใช้งานบัญชีผู้ใช้ การทำให้เซิร์ฟเวอร์ออฟไลน์ หรือปิดการผลิตและติดต่อผู้ใช้ของคุณ
• สร้างการสื่อสารภายใน: เริ่มช่องทาง Slack โดยเฉพาะ หรือหาวิธีให้ทุกคนรายงานสิ่งที่พวกเขาพบ
• ขอความช่วยเหลือ: เรียกทุกทีมที่ได้รับผลกระทบจากการละเมิด นี่อาจเป็นช่วงเวลาที่ดีในการติดต่อเจ้าหน้าที่เช่นกัน
• ตรวจสอบ: พิจารณา ว่าสิ่งใดถูกละเมิด มากน้อยเพียงใด และเราสามารถทำอะไรได้บ้างเพื่อกลับมาดำเนินการตามปกติ
• กลับสู่สถานะออนไลน์: สร้าง ทดสอบ และเผยแพร่โปรแกรมแก้ไขเพื่อกลับมาดำเนินการตามปกติโดยเร็วที่สุด ผู้ใช้ของคุณต้องพึ่งพาบริการของคุณในการทำงาน และในทันทีที่คุณสามารถรับประกันบริการที่เสถียรและปลอดภัย ให้กลับมาออนไลน์
• พูดคุยกับผู้ใช้ของคุณ: อย่าปล่อยให้ผู้ใช้ของคุณอยู่ในความมืด สิ่งที่แย่ที่สุดที่คุณสามารถทำได้คือหยุดบริการของคุณโดยไม่อธิบายให้ผู้ใช้ทราบถึงสิ่งที่เกิดขึ้น สร้างช่องทางการอัพเดทสด นี้อาจเป็นเรื่องง่ายเหมือนการใช้ Twitter เพื่อแจ้งให้ทราบ หลังจากจัดการเหตุการณ์ได้แล้ว ให้เผยแพร่รายงานการชันสูตรพลิกศพที่พูดถึงสิ่งที่เกิดขึ้น เกิดขึ้นได้อย่างไร และสิ่งที่คุณได้ทำเพื่อป้องกันการละเมิดที่คล้ายกันในอนาคต

เหตุการณ์ด้านความปลอดภัยเกิดขึ้น สิ่งที่สำคัญคือคุณจัดการกับคำตอบของคุณอย่างไร หนึ่งในคำตอบที่ฉันโปรดปรานที่สุดคือในปี 2015 เมื่อ LastPass ออกรหัสผ่านหลักบังคับรีเซ็ตเมื่อตรวจพบกิจกรรมเครือข่ายที่ผิดปกติ ฉันเป็นผู้ใช้ LastPass มาเป็นเวลานาน และถึงแม้จะมีปัญหาด้านความปลอดภัยเมื่อเร็วๆ นี้ ฉันก็ชอบที่พวกเขาตอบสนองต่อลูกค้าโดยให้ความสำคัญกับความต้องการเป็นอันดับแรก

การอ่านที่แนะนำ

ย้ำ: ไม่มีการรักษาความปลอดภัยที่สมบูรณ์แบบ สิ่งที่สำคัญคือคุณต้องแน่ใจว่าคุณได้ใช้ความพยายามอย่างเหมาะสมในการเก็บรักษาข้อมูลของคุณให้ปลอดภัย

แนวทางปฏิบัติด้านความปลอดภัยเหล่านี้ควรทำให้คุณและทีมระยะไกลของคุณแฮ็คได้ยากขึ้นอย่างมาก

หากคุณต้องการอ่านเรื่องจริงของแฮ็กเกอร์ที่หลบหนีจากกฎหมาย ฉันแนะนำ Ghost in the Wires โดย Kevin Mitnick

หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความคิดของอีกฝ่าย เราขอแนะนำให้คุณอ่าน:

• วิศวกรรมสังคม: ศิลปะแห่งการแฮ็กของมนุษย์ โดย Christopher Hadnagy
• ศิลปะแห่งการหลอกลวง โดย Kevin Mitnick และ William L. Simon

อาชญากรรมของฉันคือความอยากรู้อยากเห็น