Uzak Ekipler için En İyi Güvenlik Uygulamaları Kılavuzu

Arkadaşlarıma hiç tanışmadığım bir müşteri için uzaktan çalıştığımı söylediğimde bana soruyorlar: Uzaktan çalışmanız güvenli mi? Cevabım kocaman bir "Evet... ama bu, uzaktan çalışan güvenlik politikanızı ne kadar iyi oluşturduğunuza bağlı."

Gezegenin diğer tarafındaki müşteriler için değerli kodlar ürettiğim Pakistan'da yaşıyorum. Müşterilerim ne elimi sıktı ne de çalıştığımı gördü. Yine de, müşteri sırlarının ve kodunun korunmaya devam etmesini sağlamam bekleniyor. Ekip üyelerinizin yüzünüze veya sesinize aşina olmadığı bir dünyada güvenlik ihlallerini nasıl önlersiniz? Cevap: Çok dikkatli davranarak.

Çok uzun zaman önce, uygulamalarımızın performansını ve güvenliğini garanti altına almak için onları özel veri merkezimizde çalıştırmamız gerektiğine inanıyorduk. Ardından bulut ortaya çıktı ve uygulamalarımızı bir odada sunucu filosu bulundurmadan ölçeklenebilir, isteğe bağlı bir platformda çalıştırmanın maliyet ve performans avantajlarını benimsedik.

Size iyi bilinen bir sır vermeme izin verin:

Artık Uber ¹ ve Stripe ² gibi şirketler, bir bulut sağlayıcısının sunucusunda gerçek zamanlı müşteri konum bilgilerini, kredi kartı ve ödemeleri depolar ve işlerken, aynı zamanda PCI uyumluluğu gibi katı güvenlik standartlarına bağlı kalır. Bunu, üretim verilerinin güvende kalmasını sağlayacak katı politikalar benimseyerek yapıyorlar.

Şirketler, özel veri merkezlerinin dışında çalışmasına rağmen tüm üretim ortamlarının güvenli kalmasını garanti edebiliyorsa, uzaktan geliştirme ekiplerini kullanarak geliştirmenizin güvenliğini kesinlikle sağlayabiliriz. Sonuçta, tüm şirketler tamamen uzaktan çalışabilir. Toptal sadece uzaktan çalışan bir şirket ve biz işe alıyoruz.

“Güvenlik” Nedir ve Nasıl “Güvenli Olabilirim”

Bu yazı boyunca “güvenlik” derken bilgi güvenliğini kastediyorum.

'Bilgi güvenliği' terimi, bilgi ve bilgi sistemlerinin yetkisiz erişim, kullanım, ifşa, kesinti, değişiklik veya imhadan korunması anlamına gelir. – 44 ABD Kodu § 3542

Mükemmel güvenlik diye bir şey yoktur , ancak "güvende olmak", bilgi güvenliğini sağlamak için makul önlemleri aldığınız anlamına gelir.

Spesifik olarak, “çalışma ortamım güvenli” derken, sizin bakımınızdaki verileri, kodu veya diğer gizli bilgileri korumak için makul önlemleri aldığınızı ve bütünlüğünü sağladığınızı kastediyorsunuz. Ayrıca, hassas bilgi sistemlerine erişim ayrıcalıklarınızın kendiniz veya yetkisiz bir kişi tarafından, bu bilgilere sahip olan kuruluşun ve bu sistemlerin amaçlarına zarar verecek şekilde kullanılmamasını sağlamak için adımlar attınız.

Uzak ekipler, merkezi ekiplerden çok daha geniş bir saldırı yüzeyine sahiptir. Gizli bilgileri güvenlik duvarlarının ve şirket iş istasyonlarının arkasına fiziksel olarak kilitleyebileceğiniz merkezi bir ekibin aksine, uzaktan çalışan olarak kendi cihazınızı (BYOD) getirmeniz teşvik edilir ve hatta istenir. Dahası, iletişiminizin çoğu çevrimiçi gerçekleştiğinden, sosyal mühendislik ve kimlik hırsızlığına çok daha yatkınsınız. Ancak, doğru politikalar seti ile ihlal riskini kesinlikle en aza indirebilirsiniz.

Güvenlik için gümüş kurşun yoktur. Çoğu zaman, güvenlik ve rahatlık arasında bir ödünleşim vardır ve güvenlik uygulamalarınızı ne kadar ileri götürmek istediğinizi belirlemek size bağlıdır, ancak ekibinizin yalnızca en zayıf üyesi kadar güvende olduğunu unutmayın. Bazı yaygın güvenlik saldırılarına, savunma stratejilerine bir göz atalım ve son olarak örnek bir uzaktan güvenlik çalışanı politikasını tartışalım.

Düşman Saldırılarının En Yaygın Üç Türü

Neyle karşılaşacağını bilmiyorsan, hazır değilsin. Bir rakip, saldırılarında birçok strateji kullanabilir, ancak çoğu üç kategoriye ayrılır. Bu liste kapsamlı olmasa da, kötü niyetli bilgisayar korsanlarının kullanabileceği yaygın üç saldırı vektörü türü şunlardır:

• Sosyal mühendislik
• E-dolandırıcılık
• Kötü Amaçlı Yazılım Enfeksiyonları

Sosyal mühendislik

İnsan korsanlığı olarak da kabul edilen sosyal mühendislik, insanları kendi çıkarlarına uygun olmayan bir şekilde hareket etmeleri için manipüle etme uygulamasıdır; bu, gizli bilgilerin ifşa edilmesini içerebilir.

Sosyal mühendislik saldırıları, iyi uygulamaları atlatmanız için merhametinizden yararlanmaya çalışabilir veya uymadığınız takdirde aleyhinize bir olumsuz eylemden korkarak en iyi uygulamaları atlamanıza neden olacak bir aciliyet duygusu yaratabilir.

Sosyal mühendislik örnekleri şunları içerir:

• Bir kadın cep telefonu operatörünü arar ve arka planda ağlayan bir bebeğin YouTube klibi oynatılırken destek temsilcisiyle birinin hesabını değiştirmesini ister.
• Bir saldırgan, CFO'nun e-posta adresi aracılığıyla bir CEO'ya e-posta gönderir ve 1,8 milyon dolarlık bir fon transferine izin verir.

E-dolandırıcılık

Kimlik avı, kimlik bilgilerinizi çalmanın en yaygın yöntemidir. Facebook'a benzeyen, oturum açtığınız ve gerçek olduğunu düşündüğünüz bir web sitesi hayal edin. Kimlik avı, bir saldırganın meşru görünen ancak olmayan bir web sitesi oluşturmasıdır.

Sahte facebook'u görebiliyor musunuz? İpucu: Facebook.com'da olmayan bu.

Bazen bilgisayar korsanları internetinizi zehirleyebilir ve web sitelerini Facebook etki alanına enjekte edebilir, buna Ortadaki Adam saldırısı denir, ancak endişelenmeyin, tarayıcınız sizi bunlar hakkında uyarabilir.

Hedefli kimlik avı, kimlik avı sayfasının sizin veya kuruluşunuz için özel olarak oluşturulabileceği başka bir kimlik avı biçimidir. Bu, özellikle sosyal mühendislikle birleştirildiğinde, buna düşmenizi daha olası hale getirir.

Size bir hikaye anlatacağım: Ben okuldayken, yakın zamanda kimlik avını öğrenen biri sahte bir Facebook web sitesi oluşturmuş ve bilgisayar laboratuvarındaki ana sayfaları onun eseriyle değiştirmiştir. Bir sonraki bildiği şey, bu kişinin üç yüz Facebook hesabı şifresi olduğuydu. Bu saldırı özellikle okulumu hedef aldı ve başarılı bir mızraklı oltalama saldırısı olduğu ortaya çıktı.

Ve eğer birisi adres çubuğuna bakma zahmetinde bulunsaydı, tüm bu şifrelerin güvende kalacağını düşünmek.

Kötü Amaçlı Yazılım Enfeksiyonu

Yüzlerce farklı türde kötü amaçlı yazılım var. Bazıları zararsızdır veya sadece can sıkıcıdır, ancak bazıları çok tehlikeli olabilir. Dikkat edilmesi gereken en önemli kötü amaçlı yazılım türleri şunlardır:

• Casus yazılım: Tuş vuruşlarınızı, ekranınızı, ses ve videolarınızı sessizce yükler ve kaydeder.
• Uzaktan Yönetim Araçları (RAT'lar): Bilgisayarınız üzerinde tam denetime izin verin.
• Fidye Yazılımı: Tüm önemli dosyalarınızı şifreler ve şifre çözme anahtarı için ödeme yapmanızı sağlar.

Saldırganlar, bilgisayarınıza özel kötü amaçlı yazılım yüklemenizi sağlamak için genellikle sosyal mühendisliği kullanır:

• Saldırgan, çalışanların oturum açma bilgilerini toplamak için şirket otoparkının etrafına USB sürücülerini "kaybetti".
• Özgeçmişine kahve dökülen bir adam, bir röportajı olduğu için resepsiyonistten kendisine bir şeyin bir kopyasını yazdırmasını ister ve böylece bir şirket bilgisayarına bir USB'deki kötü niyetli bir yük bulaşmasına neden olur. (İnsan Hackleme Sanatı'ndan bir örnek).

Şu Anda İhtiyacınız Olan Yedi Siber Savunma Stratejisi

En yaygın düşmanca saldırı yöntemlerini tartıştık, ancak onlardan nasıl güvende kalacağız?

Strateji No. 1: Doğru Parola Yönetimi

Şifrelerden nefret ederim. İşte, söyledim. Kullanıcı adı ve parola kombinasyonunun, var olan en zayıf kullanıcı kimlik doğrulama biçimi olduğuna kesinlikle inanıyorum. Parola, var olan en kötü sözde rasgele sayı üreteci tarafından üretilen kısa bir karakter dizisinden başka bir şey değildir: insan zihni.

Gizli bir söze ihtiyacım var, ha? Göbek adıma ve doğum yılıma ne dersin, bunu kesinlikle kimse tahmin edemez! – Her İnsan

Daha da kötüsü, kolaylık olsun diye insanlar şifreleri yeniden kullanma eğiliminde. Bu, birisinin banka girişi ve ev WiFi'si için aynı şifreyi kullanmasını mümkün kılarken, şifrenin en sevdikleri grubun adıyla bitmesini de mümkün kılar. Korku!

Yıllar önce aşağıdakileri yapmaya karar verdim:

1. Bir şifre yöneticisi kullanın
2. Parolalar yerine güçlü parolalar kullanın

Bir Parola Yöneticisi kullanın

Güvenlik ve rahatlık arasında bir değiş tokuş olduğunu söylediğimde, burada geçerli değil. Ya güvendesiniz ve bir parola yöneticisi kullanıyorsunuz ya da değilsiniz. Arası yoktur. İyi bir şifre güvenliği için bir şifre yöneticisi kullanmanız zorunludur. Açıklayacağım.

1. Tüm şifreleriniz benzersiz mi?
2. Şifrelerinizden bazılarını keşfedersem, şifrelerinizin geri kalanı güvende kalacak mı?
3. Tüm şifreleriniz en az 32 bit entropi kullanılarak mı oluşturuldu?
4. Parolalarınız yalnızca şifrelenmiş biçimde mi saklanıyor?
5. Kaydolurken kullandığınız her şifreyi mükemmel bir şekilde hatırlıyor musunuz?
6. Bu web sitesinde bir şifre sızıntısı için olumlu mu çıkıyorsunuz?

Yukarıdaki sorulardan herhangi birine “hayır” yanıtı verdiyseniz, bir şifre yöneticisine ihtiyacınız var. İyi bir şifre yöneticisi sizin için şifrelerinizi rastgele oluşturur ve güvenli bir şekilde saklar. Bir tane kullandığınız sürece, hangi şifre yöneticisini kullandığınızın bir önemi yok!

LastPass'i kullanıyorum çünkü olay raporları konusunda şeffaf olmaları, kimlik bilgilerimi arkadaşlarımla paylaşabilme ve istediğim zaman paylaşımı iptal edebilmeleri ve mobil senkronizasyonun ücretsiz planlarının bir parçası olması hoşuma gidiyor.

LastPass'i yıllardır kullanıyorum ve güvenlik sorunları bana güvenlik bilincine sahip kullanıcılar arasında ilk %1'lik dilimde olduğumu söylüyor.

Parolalar Yerine Güçlü Parolalar

Yukarıda bir parola yöneticisi kullanmanızı istediğim için bu size ters gelebilir, ancak parolaların kaçınılmaz olduğu durumlar vardır: parola yöneticiniz veya bilgisayarınızda oturum açmak için güçlü bir ana parolaya ihtiyacınız olacaktır. Bu durumlarda, yüksek entropiye sahip güvenli ve akılda kalıcı bir parola kullanın.

Entropiden bahsetmişken, biraz bunun hakkında konuşalım. Bahsettiğim bu “entropi” nedir?

Entropi, dilde bir metnin her harfi için ortalama olarak ne kadar bilgi üretildiğini belirli bir anlamda ölçen istatistiksel bir parametredir. Dil en verimli şekilde ikili sayılara (0 veya 1) çevrilirse, entropi H, orijinal dilin harfi başına gereken ortalama ikili basamak sayısıdır. – Claude Shannon

Bu alıntıyı sindirmek zorsa sorun değil. Temel olarak, bir kümeden rastgele seçilen bir parolanın entropisi, kümedeki 2 tabanında ifade edilen toplam öğe sayısıdır. Örneğin: 4 karakter uzunluğunda, yalnızca küçük harf içerebilen bir parolanız varsa, rastgele oluşturulmuş bir parola 19 bit olacaktır çünkü:

1. Küçük harfli bir alfabede 26 element vardır.
2. Bu harflerden oluşan 4 karakterli bir dize 26^4 = 456.976'dır.
3. 2 tabanında ifade edilen 456.976, log(456,976) / log(2) = 19 bittir (en yakın bite yuvarlanır)

Yüksek entropili parolalarla ilgili sorun, c05f$KVB#*6y gibi hatırlanmasının zor olmasıdır. Onları daha akılda kalıcı kılmak için, tek harf kullanmak yerine bütün kelimeleri kullansak nasıl olur? Ve bin kelimelik bir sözlük mü kullandın? Aniden alfabemiz bin eleman uzunluğunda olur ve 11 karakterle sahip olacağımız entropiyi 7 kelimede elde edebiliriz.

Şimdiki fark, bir parola kullanmak yerine, uzunluğu çok daha uzun olan bir parola tümcesi kullanmamızdır .

Aşağıdaki XKCD çizgi romanı bu kavramı en iyi şekilde açıklar:

Güvenli bir rastgele parola oluşturmanın en kolay yolu buraya gitmektir.

Strateji No. 2: Çok Faktörlü Kimlik Doğrulamayı (MFA) Kullanın

İki faktörlü Kimlik Doğrulama (2FA) veya 2 adımlı doğrulama, hepsi aynı şeye verilen adlardır. Bu biraz alışmayı gerektiren şeylerden biri, ancak 2FA'nın güvenlik faydaları maliyetlerin çok üstünde ve kişisel olarak beni hesap ihlallerinden iki kez kurtardı!

MFA'nın arkasındaki fikir basittir. Kimliğinizi doğrulamak için kullanabileceğimiz üç şey var:

1. Bildiğin bir şey (sır)
2. Sahip olduğun bir şey (bir jeton)
3. Olduğun bir şey (biyolojin)

İki kullanmak, yalnızca birini kullanmaktan daha güvenlidir.

Çoğu web sitesi bir parola isteyerek birinci kimlik doğrulama faktörünü destekler, ancak artan sayıda hizmet ikinci faktörü de desteklemeye başlamıştır. Üçüncü faktör, özel donanım gerektirdiğinden genellikle web servisleri tarafından dışlanır; Telefonunuzdaki parmak izi sensörü gibi.

Bir ekibin yöneticisiyseniz, kullanıcıların 2FA kurulumuna sahip olması için zorunlu bir politika oluşturmayı düşünün. Bu, parola güvenliğinin ihlal edilmesinin hesap güvenliğinin ihlal edilmesiyle sonuçlanmamasını sağlar.

"Sahip olduğunuz bir şeyin" iki popüler biçimi vardır:

1. Telefonunuz
2. U2F anahtarı

Telefonunuzu 2FA için kullanma

Bunu hemen söylemek isterim: 2FA için SMS kodları kullanmayın. Kötü niyetli kişilerin telefon numaranızı çalması yaygın bir uygulama haline geliyor. Hikaye neredeyse her zaman aynıdır: Birisi, telefon numaranızı başka bir operatöre taşıması için bir operatöre sosyal mühendislik yaptı. Bu saldırıya kurban giden en az bir kişi tanıyorum.

Bunun yerine, "Google Authenticator" yöntemi olarak da adlandırılan zamana dayalı tek seferlik şifreleri (TOTP) kullanın. Ancak, 2FA belirteçlerinizi bulutta şifrelediğinden ve yedeklediğinden, Google Authenticator kullanmak yerine Authy'yi kullanmanızı öneririm. Ardından, cihazları değiştirseniz bile 2FA jetonlarınızı geri yükleyebilirsiniz… aslında aynı jetonları birden fazla cihazda kullanabilirsiniz. Çok uygun.

2FA için U2F anahtarı kullanma

Bu, en basit ve en güçlü 2FA yöntemidir. Telefonum ve bilgisayarımla kullanabileceğim bir Yubikey Neo'm var. Kimliğimi kanıtlamak için donanım jetonumu takıp bir düğmeye basıyorum. Simgem benzersizdir ve fiziksel bir simgedir; Anahtarlığımda veya cüzdanımda taşıyabilirim.

Strateji No. 3: Sürekli Tetikte Kalma

Ne kadar güvende olduğuna inansan da, sağlıklı bir şüphe iyi bir şeydir. Sizden olağan dışı bir şey yapmanızı isteyen insanlara karşı dikkatli olun. Birinden şifresini sıfırlamanızı isteyen bir metin mesajı aldınız mı? Bir dakika bekleyin ve onlarla görüntülü aramaya başlayın. Kimliklerini kanıtlamalarını isteyin. Tedbirli olduğun için kimse seni suçlayamaz.

Seni gerçekten elde etmek istiyorlarsa bu paranoya değildir. – Harold Finch, İlgili Kişi

Gerçekten seni almaya geldiler. Bazen kötü niyetli bir kullanıcının yaptıklarını yapma isteği dışında yapması için hiçbir sebep yoktur.

Bir keresinde bir arkadaşım eski bir tanıdığımdan Facebook'taki "güvenilir kişisi" olmak isteyip istemediklerini soran bir mesaj aldı. Arkadaşım kabul etti ve telefonuna alacakları bir kodla yanıt vermesi istendi, arkadaşım hemen verdi… ve arkadaşımın sosyal mühendisliği bu şekilde Gmail hesabı için sıfırlama jetonunu verdi. Arkadaşım başından beri uyanık olsaydı, e-postalarını asla kaybetmezdi.

Strateji No. 4: En Az Ayrıcalık İlkesine Göre Tasarım Sistemleri

En az ayrıcalık ilkesi, bir bilgi işlem ortamının belirli bir soyutlama katmanında, her modülün (konuya bağlı olarak bir süreç, kullanıcı veya program gibi) yalnızca gerekli bilgi ve kaynaklara erişebilmesini gerektirir. meşru amacı için. - Vikipedi

Bir kullanıcı, uygulama veya hizmet belirli ayrıcalıklar gerektirmiyorsa, onlara vermeyin. Bu ilkeden birçok kural türetebilirsiniz, ancak bunları güvenlik ilkeleriyle ilgili sonraki bölüme saklayacağım.

Size bir hikaye anlatayım: Bir zamanlar, kullanıcılardan kendileri için benzersiz olarak oluşturulmuş adreslerde Bitcoin ödemelerini kabul edecek ve daha sonra bunları merkezi bir güvenli depolama adresine iletecek bir uygulama tasarlıyordum. Bitcoin'in nasıl çalıştığına aşina değilseniz, işte basitleştirilmiş bir açıklama: Bitcoin'i almak için bir genel anahtara (bir hesap numarası gibi) ve onu harcamak için buna karşılık gelen bir özel anahtara (bir hesap şifresi gibi) ihtiyacınız var. Bitcoin'deki hesap numaraları ve pinler kriptografik olarak bağlantılıdır ve değiştirilemez.

Bu sistemi tasarlamak için birkaç seçeneğim vardı ama biraz daha uzun yol almaya karar verdim. Kullanıcıdan ödeme yapmasını istemek için uygulamanın özel anahtarlara erişmesine gerek olmadığına karar verdim. Bu nedenle, Bitcoin ödemelerini alacak ve iletecek büyük bir sistem tasarlamak yerine iki sistem yaptım:

1. Alıcı sistem: Bu, kullanıcılardan Bitcoin aldı ve halka açık internette barındırıldı. Yalnızca adreslerin ortak anahtarlarını içeriyordu.
2. Bir yönlendirme sistemi: Bu, tek işi, adreslerdeki işlemler için Bitcoin ağını izlemek ve bunları güvenli adrese iletmek olan tamamen bağımsız ve kilitli bir sistemdi. Adresler için hem genel hem de özel anahtarlar içeriyordu.

Uzun bir süre sonra, uygulamayı sürdürmeyi bıraktıktan sonra, genel alım sistemi ihlal edildi. Hemen kapattım, ancak saldırgan Bitcoin'i asla çalmayı başaramadı çünkü genel sistem hiçbir özel anahtar içermedi.

Strateji No. 5: Common Sense En İyi Uygulamalarını Kullanın

Bazı uygulamaların açıklamaya ihtiyacı yoktur. Muhtemelen bunların önemli olduğunu biliyorsunuzdur, ancak (kendim dahil) kaç kişinin birkaç düğmeyi çevirmeyi unuttuğuna sürekli şaşırıyorum. Bu kontrol listesini buraya bırakacağım:

1. Güvenlik duvarınızı açın
2. Diskinizi şifreleyin
3. Şifreli yedeklemeleri etkinleştir
4. SSH anahtarlarını kullan
5. Güvenli bir internet bağlantısı kullanın

Güvenlik duvarınızı açın

Bir güvenlik duvarı, bir dizi kurala dayalı olarak bilgisayarınızdan gelen ve bilgisayarınızdan gelen ağ trafiğini kontrol eder. Yeni programların ağınıza erişmesine izin verilip verilmeyeceğini açıkça sorarak çalışır ve ilk savunma hattınızdır.

İşletim sisteminiz muhtemelen yerleşik bir güvenlik duvarı ile birlikte gelir. Açık olduğundan emin olun.

Diskinizi şifreleyin

Tam disk şifreleme, tüm diskinizin içeriğini parolanız olmadan işe yaramaz hale getirmek için bu sihirli yetenektir. Dizüstü bilgisayarınızın kaybolması veya çalınması durumunda kimsenin verilerinize erişemeyeceğinden emin olabilirsiniz. Bunu etkinleştirmek, Mac'te FileVault'u açmak kadar basit olabilir.

Modern cep telefonlarında ayrıca varsayılan olarak etkinleştirilmiş tam disk şifrelemesi bulunur.

Yedeklerinizi şifreleyin

Donanım arızalanır, bu hayatın bir gerçeği. Makineniz bir gün arızalanacak veya PC'nize bir virüs bulaşacak veya (titreme) bir fidye yazılımı virüsü PC'nizi ele geçirecek. Ama pragmatik bir insan olarak, muhtemelen zaten bir yedek akış kurulumunuz var, eminim… değil mi?

Ancak, yedeklerinizle bile uyanık kalmalısınız. Yedeklerinizin şifrelendiğinden emin olun, böylece kaybolsalar veya çalınsalar bile, size emanet edilen verilerin güvenliğini korumak için makul önlemleri aldığınızdan emin olabilirsiniz.

Mac'iniz varsa, Mac'inizdeki Time Machine uygulaması yedeklemeleri otomatik olarak şifreler.

SSH anahtarlarını kullan

Bu makaleden bir şey çıkarırsanız, makinelerde SSH parolaları kullanmayı bırakın. Parolaları paylaşmak zordur ve sızdırılırlarsa tüm makineniz tehlikeye girer. Bunun yerine, yalnızca ssh-keygen çalıştırarak bir SSH anahtarı oluşturun.

Uzak bir makinede oturum açmak için, yerel ~/.ssh/id_rsa.pub dosyanızın içeriğini uzak makinede ~/.ssh/authorized_keys /.ssh/authorized_keys dizinine kopyalamanız yeterlidir. Uzak makinede SSH hizmetini yeniden başlatmanız gerekebilir, ancak bu kadar.

Tüm ekibinizin SSH anahtarlarını uzak makineye ekleyin ve hiç kimse bir daha parola yazmak zorunda kalmayacak. Bir ekip üyesinin anahtarını iptal etmek, anahtarı uzak makineden çıkarmak kadar basittir.

Güvenli bir internet bağlantısı kullanın

Biriyle internet bağlantısını paylaştığınızda, bant genişliğinizden fazlasını paylaşırsınız. Web sitelerinin ve internetinizin yapılandırmasına bağlı olarak, en azından hangi web sitelerini ziyaret ettiğinizi tespit edebilir ve en kötü ihtimalle şifreler, mesajlar veya e-postalar dahil ilettiğiniz tüm bilgileri okuyabilirler.

Bu, etkinleştirilmesi çok basit ve aynı zamanda karıştırılması da son derece kolaydır. Bağlantınızın gizli olduğundan emin olmak için makul önlemleri alın. Yetkisiz kimsenin internet bağlantınıza erişimi olmadığından emin olun.

Kendi kişisel WiFi'nizi parolayla korumak için WPA2'yi kullanın ve yerel kafeden (veya herhangi bir genel WiFi'den) çalışıyorsanız, izlendiğinizi varsayın ve bir VPN proxy'si kullanın.

Abonelik tabanlı VPN'leri kullanmakta tereddüt ediyorum, özellikle de kendi VPN'inizi yuvarlamak çok basit olduğundan. Kendinizinkini barındırmak için bu tek satırlı VPN çözümünü kullanın.

Strateji No. 6: Sırlara Dikkatli Bakın

Sırlar ifşa edilmek için değildir. Bu yüzden onlara sır denir. Buna rağmen, Facebook Messenger aracılığıyla üretim PostgreSQL veritabanına şifre göndermekten kaç kez suçlu bulundunuz? Her zaman şunları yaptığınızdan emin olun:

• Aktarım sırasında gizli dizileri şifreleyin
• Sık sık döndürün

Aktarım sırasında gizli dizileri şifreleyin

Sohbet gibi kanallar aracılığıyla sır paylaşmanız gerekiyorsa, bunların şifreli olduğundan emin olun. Alıştırma olarak, sık kullandığınız ve en eski sohbet istemcinizi ziyaret edin. Facebook mesajları veya Whatsapp olabilir. Ne olursa olsun, mesajlarınızda “şifre” ifadesini açın ve arayın.

Bu sırlar şifrelenmiş olsaydı, mesajlarınıza erişimi olan hiç kimse bunlara erişemezdi.

Sırları sık sık döndür

Bir sır ne kadar uzun süre var olursa veya ne kadar çok paylaşılırsa, ele geçirilmiş olma olasılığı o kadar artar. Belirli bir süre sonra sırları ve şifreleri döndürmek iyi bir uygulama olarak kabul edilir.

Strateji No. 7: Kriptografik Kimlikler Oluşturun

Bu kesinlikle gelişmiş bir strateji, ancak kişisel olarak bunun neden yaygın bir uygulama olmadığını anlamıyorum. Şunu düşünün: İş arkadaşınız, güvenliğinizin ihlal edildiğine inanıyor. Gerçek size nasıl bir mesaj iletiyorlar? İnternetten biri önemli güvenlik açığı bilgilerini paylaşmak zorundaysa, bunu nasıl güvenli bir şekilde gönderir? Çalışanlarınızın taşıma sırasında bilgileri güvenli bir şekilde paylaşmasını nasıl sağlıyorsunuz?

Bunun en sevdiğim örneği, çalışanlarının PGP anahtarlarını kriptografik olarak imzaladıkları Coinbase'in keybase profilidir. Daha da ileri gittiler ve uyumluluk departmanlarına bir PGP anahtarı verdiler. Cidden, Coinbase, harika iş çıkardın!

Şahsen benim için, birinin çevrimiçi kimliğimin ele geçirildiğine dair makul bir şüphesi olması durumunda, keybase profilimde bulunan PGP anahtarını kullanarak bir mesaj imzalamamı istemeniz yeterlidir. Bu PGP anahtarına erişimi olan tek kişi benim ve diğer kimliklerim ele geçirilse bile bu anahtarın güvende kalmasını sağlamak için makul önlemler aldım.

Bir mesajın gerçekliği hakkında şüpheniz varsa, benden imzalamamı isteyin. Bana bir sır göndermen gerekiyorsa, onu benim ortak anahtarımla şifrele.

Net Bir Uzaktan Çalışan Güvenlik Politikası Uygulayın

Güvenlik politikası, bir sistem, kuruluş veya başka bir varlık için güvenli olmanın ne anlama geldiğinin bir tanımıdır. Bir organizasyon için, üyelerinin davranışları üzerindeki kısıtlamaların yanı sıra kapılar, kilitler, anahtarlar ve duvarlar gibi mekanizmalar tarafından düşmanlara dayatılan kısıtlamaları ele alır. - Vikipedi

Güvenlik politikası, eylemler gerçekleştirirken izlenmesi gereken zorunlu bir kural veya protokoldür. Yukarıdaki stratejiler faydalıdır, ancak onları takip etmeyi kolaylaştırmak için ekibinize takip etmesi gereken basit bir kurallar dizisi verin. Ekibiniz tam olarak ne yapacağını bildiğinde güvenliği bozmak daha zordur.

Uygulanacak bir uzaktan çalışan güvenlik politikasının örneklerini tartışalım.

Çalışanlarınız için uygulamanız gereken politikalar:

• Gizlilik Sözleşmeleri ve sözleşmeler: Hiçbir çalışanın uygun yasal altyapı olmadan herhangi bir gizli kaynağa erişimi olmadığından emin olun.
• Acil durum iletişim bilgileri: Uzak ekip üyenizin yanıt vermemesi durumunda çalışanınızın tam ve acil iletişim bilgilerini kaldırın.
• Yalnızca temel ayrıcalıkları verin: Ekip üyenizin işlevlerini yerine getirmek için belirli alanlara erişmesi gerekmiyorsa, onlara erişim izni vermeyin. Satış ekibinin bir üyesinin kod deponuza erişmesi gerekmez.
• Şifre yöneticileri: Çalışanlarınızın bir şifre yöneticisine erişimi olduğundan emin olun
• Güçlü kimlik doğrulama politikaları
  • Minimum parola gücü: Kişisel olarak parolalardan nefret ederim ve yönetici olduğum kuruluşlar için en az elli alfasayısal karakterden oluşan parolalara ihtiyaç duyarım. Parola yöneticisi kullanıyorsanız bu ilkeye uymak çok önemlidir.
  • Zorunlu parola sıfırlamaları: Gizli dizileri sık sık döndürmek için çalışanlarınızın parolalarının sık sık süresinin dolmasını sağlayın.
  • İki faktörlü kimlik doğrulama : Her yerde 2FA kullanın
• PGP anahtarları
• Şifreli sabit diskler
• Şifreli yedeklemeler

Çalışanlar ayrılır, ancak bilgilerinizi yanlarında götürmemeleri gerekir. Bu politikaları, çalışanlarınız şirketten ayrıldıktan sonra bile verileri saklamak için uyarlayın:

• Kurumsal e-posta hesapları: Çalışanlarınıza kendi alanınızda e-posta hesapları vermek, onların iletişimlerini devre dışı bırakmanıza ve denetlemenize olanak tanır.
• Gerçek zamanlı iletişim: E-posta harika olsa da bazen ekibinizin gerçek zamanlı olarak konuşması gerekir. Ekibinizin merkezi bir Slack veya IRC kanalına sahip olduğundan emin olun. Bu size, iletişimlerini gerektiği gibi devre dışı bırakma veya denetleme olanağı verir.
• Merkezi kod depoları: Tüm şirket kodunun bir şirket kodu deposunda saklandığından emin olun. GitHub gibi halka açık SaaS tekliflerine ilişkin şirket planları, tüm çalışan kodları üzerinde ayrıntılı bir kontrole ihtiyaç duyana kadar uygundur. İkinci durumda, kendi GitLab örneğinizi almayı düşünün.

Altyapınızı korumaya yönelik politikalar:

• Sistemleri Güncel Tutun: Güvenlik açıkları her gün keşfedilir ve yamalanır, bu düzeltmeleri uyguladığınızdan emin olmak sizin işiniz. Bir ihlalin, haftalar önce yamalanan güvenlik açığından kaynaklandığını keşfetmekten daha kötü bir şey olamaz.
• Üretim ve hazırlama ortamlarını kilitleyin: Hiçbir çalışanın üretim veya hazırlama ortamlarına erişimi olmamalıdır. Bazen sadece karıştırırlar.
• Güçlü bir CI/CD akışı oluşturun: Her zaman "iyi" kod dağıtmak istersiniz ve basit CI/CD süreci her zaman bunu sağlar.
• Kutsanmış depoyu koruyun: Otomatik bir CI/CD süreciniz varsa, kutsanmış deponuzun yalnızca proje yöneticisi tarafından düzenlenebilir olduğundan emin olun.
• Bir inceleme süreci tanımlayın: "Kötü" hiçbir kodun fark edilmeden geçmesini sağlamak için bir inceleme süreci oluşturun. Bu, birleştirmeden önce son bir bağımsız "Bana iyi görünüyor" (LGTM) yorumunu istemek kadar basit olabilir.
• SSH Anahtarları: Uygulamanız SSH erişimi verilmesini gerektiriyorsa, şifreler yerine SSH anahtarlarını kullandıklarından emin olun.
• BYOD'yi bırakmayı düşünün: Bütçe ekibi, BYOD'nin kağıtsız ofisten bu yana en iyi politika yeniliği olduğunu düşünebilir, ancak bunu karşılayabiliyorsanız, ekibinize sıkı güvenlik politikaları uygulayabileceğiniz kurumsal makineler sağlamayı düşünün.
• Şifreli Yedeklemeler: Verileriniz önemlidir.

Kod yazarken uygulanacak politikalar:

• Kodda sır yok: Sürüm kontrolünün doğası gereği, gizli anahtarların bulunmasının çok kolay olduğu, koda eklendiğinde verileri kaldırmak çok zor olabilir.
• Parolaları saklarken Bcrypt: Bir kimlik doğrulama sistemi tasarlarken, sisteminizi tasarlamak veya (yutmak) düz metin olarak saklamak yerine parolalarınızı karma ve tuzlamak için bcrypt kullanın.
• Günlüklerdeki hassas bilgileri filtreleyin: İster global biberiniz, uygulamanızın oturum imzalama anahtarı veya bir kullanıcının oturum açma girişimi olsun, bunların erişimi olan herkesin okuyabileceği sistem günlük dosyalarınıza sızmadığından emin olun.
• Gereken en az ayrıcalığı verin: Uygulamanızın yalnızca READ ayrıcalıklarına ihtiyacı varsa, WRITE ayrıcalıkları vermeyin. En az ayrıcalık ilkesine bağlı kalın.

Müdahale Planı Oluşturun

Güvenlik ihlalleri ara sıra meydana gelir ve otopsi sırasında öğrenmek için bolca zaman olsa da, önemli olan tüm dijital varlıkları güvence altına almak için açık bir yol olmasıdır.

Bir güvenlik ihlali olması durumunda bir acil durum planı hazırlamak için zaman ayırın. Eylemlerinizi aşağıdaki senaryolarda değerlendirin:

• Hassas verileri olan bir cihazı kaybedersiniz.
• Altyapınıza yetkisiz bir kişi tarafından erişilmiş olabilir.
• Ekibinizdeki birinin tuhaf bir şekilde kendilerinden farklı davrandığını gözlemlersiniz.
• Bir güvenlik açığı keşfedildi.

Yanıt planınıza dahil etmeniz gerekenler:

• Özenli belgeler: Ekran kaydını etkinleştirin, ekibinizin karşılaştıkları her şeyi paylaşmaları için bir wiki kurun.
• İhlal kapsamı: İhlalin kapsamına bağlı olarak bu, bir kullanıcı hesabını devre dışı bırakmak, bir sunucuyu çevrimdışına almak veya üretimi kapatıp kullanıcılarınızla iletişim kurmak kadar basit olabilir.
• Dahili iletişim kurun: Özel bir Slack kanalı başlatın veya herkesin karşılaştıklarını bildirmesinin bir yolunu bulun.
• Yardım getirmek: İhlalden etkilenen tüm ekipleri arayın. Bu, yetkililerle iletişime geçmek için de iyi bir zaman olabilir.
• Araştırın: Neyin, ne ölçüde ihlal edildiğini ve normal işlemlere devam etmek için neler yapabileceğimizi öğrenin.
• Tekrar çevrimiçi olma: Mümkün olan en kısa sürede normal işlemlere devam etmek için bir düzeltme oluşturun, test edin ve yayınlayın. Kullanıcılarınız çalışmak için hizmetinize bağımlıdır ve istikrarlı ve güvenli hizmeti garanti ettiğiniz anda tekrar çevrimiçi olun.
• Kullanıcılarınızla konuşun: Kullanıcılarınızı karanlıkta bırakmayın. Yapabileceğiniz en kötü şey, kullanıcılarınıza neler olduğunu açıklamadan hizmetinizi durdurmaktır. Canlı bir güncelleme kanalı kurun; bu, onları bilgilendirmek için Twitter'ı kullanmak kadar basit olabilir. Olay ele alındıktan sonra, ne olduğu, nasıl olduğu ve gelecekte benzer ihlalleri önlemek için ne yaptığınız hakkında bir otopsi raporu yayınlayın.

Güvenlik olayları olur. Önemli olan yanıtınızı nasıl ele aldığınızdır. Şimdiye kadarki en sevdiğim yanıtlardan biri, 2015 yılında LastPass'in anormal ağ etkinliği tespit ettiğinde zorunlu ana parola sıfırlamaları yayınlamasıydı. Uzun süredir LastPass kullanıcısıyım ve son zamanlardaki güvenlik sorunlarına rağmen, müşterilerinin ihtiyaçlarına öncelik vererek yanıt vermelerini seviyorum.

Önerilen Kaynaklar

Tekrarlamak gerekirse: Mükemmel güvenlik diye bir şey yoktur. Önemli olan tek şey, verilerinizi güvende tutmak için makul bir çaba gösterdiğinizden emin olmanızdır.

Bu güvenlik uygulamaları, sizi ve uzaktaki ekibinizi hacklemeyi önemli ölçüde zorlaştırmalıdır.

Kanundan kaçan kaçak bir bilgisayar korsanının gerçek hikayesini okumak istiyorsanız Kevin Mitnick'ten Ghost in the Wires'ı öneririm.

Karşı tarafın nasıl düşündüğü hakkında daha fazla bilgi edinmek istiyorsanız, şunu okumanızı tavsiye ederim:

• Sosyal Mühendislik: İnsan Hackleme Sanatı, Christopher Hadnagy
• Aldatma Sanatı Kevin Mitnick ve William L. Simon

Suçum merak etmek.