遠程團隊安全最佳實踐指南

已發表: 2022-03-11

每當我告訴我的朋友我為一個從未見過的客戶遠程工作時，他們都會問我：你遠程工作安全嗎？我的回答是響亮的“是的……但是，這取決於您創建遠程工作者安全策略的程度。”

我住在巴基斯坦，在那裡我編寫對地球另一端的客戶有價值的代碼。我的客戶從未與我握手，也從未見過我在哪里工作。然而，我希望確保客戶機密和代碼受到保護。在您的團隊成員不熟悉您的面孔或聲音的世界中，您如何防止安全漏洞？答案是：非常小心。

不久前，我們認為為了保證應用程序的性能和安全性，我們需要在我們的私有數據中心中運行它們。然後雲出現了，我們接受了在可擴展的按需平台上運行應用程序的成本和性能優勢，而無需在房間內維護一組服務器。

讓我告訴你一個眾所周知的秘密：

沒有云。
這只是別人的電腦。

現在，Uber ¹和 Stripe ²等公司在雲提供商的服務器上存儲和處理實時客戶位置信息以及信用卡和支付，同時遵守 PCI 合規等嚴格的安全標準。他們通過採取嚴格的政策來做到這一點，以確保他們的生產數據保持安全。

如果公司可以保證他們的整個生產環境在他們的私有數據中心之外運行時仍然安全，我們當然可以使用遠程開發團隊來確保您的開發安全。畢竟，整個公司都能夠完全遠程運行。 Toptal 是一家僅限遠程的公司，我們正在招聘。

什麼是“安全”以及如何“確保安全”

在整篇文章中，當我談到“安全”時，我指的是信息安全。

“信息安全”一詞是指保護信息和信息系統免受未經授權的訪問、使用、披露、中斷、修改或破壞。 – 44 美國法典§ 3542

沒有完美的安全性，但“安全”意味著您已採取合理的措施來加強信息安全。

具體來說，當您說“我的工作環境是安全的”時，您的意思是說您已採取合理措施保護您所關心的數據、代碼或其他機密信息，並確保其完整性。您還採取措施確保您訪問敏感信息系統的權限不會被您自己或未經授權的個人以不利於擁有此信息的組織和這些系統的目標的方式使用。

遠程團隊確實比集中式團隊擁有更大的攻擊面。與您可以在防火牆和公司工作站後面物理鎖定機密信息的集中式團隊不同，作為遠程工作人員，我們鼓勵甚至要求您攜帶自己的設備 (BYOD)。更重要的是，由於您的大部分通信都是在線進行的，因此您更容易受到社會工程和身份盜竊的影響。但是，有了正確的策略集，您當然可以將違規風險降到最低。

安全方面沒有靈丹妙藥。通常，在安全性和便利性之間存在權衡，由您決定您希望採取多遠的安全實踐，但請記住，您的團隊只有最弱的成員才安全。讓我們看一下一些常見的安全攻擊、防禦策略，最後討論一個示例遠程安全工作者策略。

三種最常見的對抗性攻擊類型

如果你不知道你將要面對的是什麼，你就沒有準備好。對手可以在攻擊中使用多種策略，但大多數策略可分為三類。雖然此列表並不詳盡，但以下是惡意黑客可能使用的三種常見攻擊媒介類型：

社會工程學
網絡釣魚
惡意軟件感染

社會工程學

也被認為是人類黑客，社會工程是操縱人們以不符合他們最大利益的方式行事的做法；這可能包括洩露機密信息。

社會工程攻擊可能會試圖利用您的同情心，試圖讓您規避良好做法，或者製造一種緊迫感，讓您通過擔心如果您不遵守會對您採取負面行動而繞過最佳做法。

社會工程學的例子包括：

一位女士打電話給手機運營商，並說服支持人員更改某人的帳戶，而 YouTube 上播放了一段嬰兒哭泣的視頻。
攻擊者通過 CFO 的電子郵件地址向 CEO 發送電子郵件，並授權 180 萬美元的資金轉移。

網絡釣魚

網絡釣魚是竊取您的憑據的最常見方法。想像一個看起來像 Facebook 的網站，你登錄後認為它是真實的。網絡釣魚是指攻擊者創建的網站看起來合法但不合法。

你能認出假臉書嗎？提示：它不在 Facebook.com 上。

有時黑客可以毒害你的互聯網並將他們的網站注入 Facebook 域，這被稱為中間人攻擊，但不要擔心，你的瀏覽器會警告你這些。

魚叉式網絡釣魚是另一種形式的網絡釣魚，其中網絡釣魚頁面可能是為您或您的組織定制的。這使您更有可能愛上它，尤其是與社會工程學結合使用時。

我給你講一個故事：當我在學校時，一個最近了解網絡釣魚的人創建了一個虛假的 Facebook 網站，並將計算機實驗室的主頁更改為他的創作。接下來他知道，這個人有三百個臉書賬號密碼。這次攻擊專門針對我的學校，結果證明是一次成功的魚叉式網絡釣魚攻擊。

並且認為只要有人費心查看地址欄，所有這些密碼就會保持安全。

惡意軟件感染

那裡有數百種不同類型的惡意軟件。有些是無害的或只是煩人，但有些可能非常危險。需要注意的最重要的惡意軟件類型是：

間諜軟件：靜默安裝並記錄您的擊鍵、屏幕、音頻和視頻。
遠程管理工具 (RAT)：允許完全控制您的計算機。
勒索軟件：加密所有重要文件並讓您為解密密鑰付費。

為了故意讓您在計算機上安裝自定義惡意軟件，攻擊者通常使用社交工程：

攻擊者在公司停車場周圍放置“丟失”的 USB 驅動器以獲取員工登錄憑據。
一名男子將咖啡灑在簡歷上，要求接待員為他打印一份副本，因為他正在接受采訪，從而導致公司計算機被 USB 中的惡意負載感染。（來自人類黑客藝術的例子）。

您現在需要的七種網絡防禦策略

我們已經討論了最常見的對抗性攻擊方法，但我們如何避免它們？

策略 1：正確的密碼管理

我討厭密碼。在那裡，我說了算。我堅信用戶名和密碼組合是現有的最弱的用戶身份驗證形式。密碼只不過是由現有的最糟糕的偽隨機數生成器生成的一串短字符串：人類的大腦。

我需要一個秘密詞，嗯？我的中間名和出生年份怎麼樣，肯定沒有人能猜到！ – 每個人曾經

更糟糕的是，為了方便起見，人們傾向於重複使用密碼。這使得某人可以使用相同的密碼登錄銀行和家庭 WiFi，同時密碼很可能以他們最喜歡的樂隊的名稱結尾。驚恐的事件！

多年前，我決定做以下事情：

使用密碼管理器
使用強密碼短語而不是密碼

使用密碼管理器

當我說在安全性和便利性之間進行權衡時，它不適用於這裡。要么您是安全的並使用密碼管理器，要么您不是。中間沒有。您必須使用密碼管理器以獲得良好的密碼安全性。我會解釋的。

您的所有密碼都是唯一的嗎？
如果我發現了您的一些密碼，您的其餘密碼會保持安全嗎？
您的所有密碼都是使用至少 32 位熵創建的嗎？
您的密碼是否僅以加密形式存儲？
您是否完全記得註冊時使用的每一個密碼？
您是否對本網站的密碼洩露持肯定態度？

如果您對上述任何問題的回答為“否”，則您需要一個密碼管理器。一個好的密碼管理器會為您隨機生成密碼，並安全地存儲它們。您使用什麼密碼管理器並不重要，只要您使用一個即可！

我使用 LastPass 是因為我喜歡他們的事件報告的透明性、與朋友分享我的憑據並隨時撤消分享的能力，而且我喜歡移動同步是他們免費計劃的一部分這一事實。

我已經使用 LastPass 多年了，他們的安全挑戰告訴我，我是他們前 1% 的安全意識用戶。

強密碼短語而不是密碼

tl;dr：使用它來生成密碼。 12個字應該夠了。

這聽起來可能違反直覺，因為我在上面要求您使用密碼管理器，但在某些情況下密碼是不可避免的：您需要為您的密碼管理器設置一個強主密碼，或者登錄您的計算機。在這些情況下，請使用具有高熵的安全且令人難忘的密碼。

說到熵，讓我們來談談它。我所說的這個“熵”是什麼？

熵是一個統計參數，它在某種意義上衡量語言中文本的每個字母平均產生多少信息。如果以最有效的方式將語言翻譯成二進制數字（0 或 1），則熵 H 是原始語言每個字母所需的二進制數字的平均數。 ——克勞德·香農

如果那句話很難消化，那也沒關係。基本上，密碼的熵是從集合中隨機選擇的，是以 2 為基數表示的集合中元素的總數。例如：如果您的密碼長度為 4 個字符，且只能包含小寫字母，則熵為隨機生成的密碼為 19 位，因為：

小寫字母有26個元素
由這些字母組成的 4 個字符串是26^4 = 456,976
以 2 為底的 456,976 是log(456,976) / log(2) = 19 位（四捨五入到最接近的位）

高熵密碼的問題在於它們最終難以記住，例如c05f$KVB#*6y 。為了讓它們更容易記住，如果我們不使用單個字母，而是使用整個單詞呢？並使用了一千個單詞的字典？突然我們的字母表變成了一千個元素，我們可以用 7 個單詞實現與 11 個字符相同的熵。

現在的不同之處在於，我們使用的不是密碼，而是密碼短語，它的長度要長得多。

以下 XKCD 漫畫最好地解釋了這個概念：

生成安全隨機密碼的最簡單方法是前往此處。

策略 2：使用多因素身份驗證 (MFA)

兩因素身份驗證 (2FA) 或兩步驗證都是同一事物的名稱。這是需要稍微習慣的事情之一，但 2FA 的安全優勢遠遠超過成本，並且兩次讓我免於帳戶洩露！

MFA 背後的想法很簡單。我們可以使用三件事來驗證您的身份：

你知道的事情（秘密）
你有的東西（令牌）
你是什麼（你的生物學）

使用兩個比只使用一個更安全。

大多數網站通過要求密碼來支持第一個身份驗證因素，但越來越多的服務也開始支持第二個因素。第三個因素通常被 Web 服務忽略，因為它需要專門的硬件；就像手機上的指紋傳感器一樣。

如果您是團隊的管理員，請考慮為用戶創建強制策略以進行 2FA 設置。這可確保密碼洩露不會導致帳戶洩露。

“你擁有的東西”有兩種流行的形式：

您的手機
U2F 鍵

使用手機進行 2FA

我想說的是：不要將 SMS 代碼用於 2FA。惡意人員劫持您的電話號碼已成為常見做法。故事幾乎總是一樣的：有人對運營商進行社交工程，將您的電話號碼轉移到另一家運營商。我認識至少一個人成為這次襲擊的受害者。

相反，使用基於時間的一次性密碼 (TOTP)，也稱為“Google Authenticator”方法。但是，我建議不要使用 Google Authenticator，而是使用 Authy，因為它會在雲上加密和備份您的 2FA 令牌。然後，即使您更換了設備，您也可以恢復您的 2FA 令牌……事實上，您可以在多個設備上使用相同的令牌。這很方便。

使用 U2F 密鑰進行 2FA

這是最簡單、最強大的 2FA 方法。我有一個 Yubikey Neo，可以在手機和電腦上使用。為了證明我的身份，我只需插入我的硬件令牌並按下一個按鈕。我的代幣是獨一無二的，是一種實物代幣；我可以把它放在鑰匙鏈上或錢包裡。

策略三：時刻保持警惕

無論您認為自己有多安全，適度的懷疑都是一件好事。警惕人們要求你做任何不尋常的事情。您是否收到有人要求您重設密碼的短信？等一下，然後與他們進行視頻通話。請他們證明自己的身份。沒有人會因為你的謹慎而責怪你。

如果他們真的想抓住你，這不是妄想症。 ——哈羅德·芬奇，相關人士

他們真的是來抓你的。有時，惡意用戶沒有理由去做他們所做的事情，除了這樣做的意願。

我的一個朋友曾經收到一位老熟人的消息，詢問他們是否願意成為他們在 Facebook 上的“可信賴聯繫人”。我的朋友同意了，並被要求回復一個他們會在手機上收到的代碼，我的朋友立即給出了這個代碼……這就是我的朋友被社會工程學為她的 Gmail 帳戶提供重置令牌的方式。如果我的朋友從一開始就保持警惕，她就永遠不會丟失電子郵件。

策略四：根據最小特權原則設計系統

最小權限原則要求在計算環境的特定抽象層中，每個模塊（如進程、用戶或程序，取決於主題）必須能夠僅訪問必要的信息和資源出於其合法目的。 – 維基百科

如果用戶、應用程序或服務不需要某些特權，請不要將其授予。您可以從這個原則推導出許多規則，但我將把它們留到下一節安全策略中。

讓我告訴你一個故事：我曾經設計過一個應用程序，它可以接受用戶在為他們生成的唯一地址上的比特幣付款，然後將它們轉發到一個中央安全存儲地址。如果你不熟悉比特幣的工作原理，這裡有一個簡化的解釋：你需要一個公鑰來接收比特幣（比如一個帳號）和一個相應的私鑰來消費它（比如一個賬戶密碼）。比特幣中的帳號和密碼是加密鏈接的，不能更改。

我有幾個選擇來設計這個系統，但我決定走更長的路線。我決定為了提示用戶付款，應用程序不需要訪問私鑰。因此，我沒有設計一個可以接收和轉發比特幣支付的大型系統，而是設計了兩個系統：

接收系統：從用戶那裡接收比特幣並託管在公共互聯網上。它只包含地址的公鑰。
轉發系統：這是一個完全獨立且鎖定的系統，其唯一工作是監視比特幣網絡地址上的交易並將它們轉發到安全地址。它包含地址的公鑰和私鑰。

很久以後，在我停止維護應用程序後，公共接收系統被破壞了。我立即將其關閉，但攻擊者從未設法竊取比特幣，因為公共系統根本不包含任何私鑰。

策略 5：使用常識最佳實踐

有些做法不需要解釋。您可能知道它們很重要，但我經常對有多少人（包括我自己）忘記撥動幾個開關感到驚訝。我將把這份清單留在這裡：

打開你的防火牆
加密您的磁盤
啟用加密備份
使用 SSH 密鑰
使用安全的互聯網連接

打開你的防火牆

防火牆根據一組規則控制進出您的計算機的網絡流量。它通過明確詢問您是否允許新程序訪問您的網絡來工作，並且是您的第一道防線。

您的操作系統可能帶有內置的防火牆。確保它已打開。

加密您的磁盤

全盤加密是一種神奇的能力，可以在沒有密碼的情況下使整個磁盤的內容變得無用。如果您的筆記本電腦丟失或被盜，您可以放心，沒有人可以訪問您的數據。啟用此功能就像在 Mac 上打開 FileVault 一樣簡單。

現代手機還默認啟用全盤加密。

加密您的備份

硬件出現故障，這是不爭的事實。你的機器有一天會出現故障，或者病毒會感染你的電腦，或者（顫抖）勒索軟件病毒會接管你的電腦。但作為一個務實的人，您可能已經設置了備份流程，我敢肯定……不是嗎？

但是，即使有備份，您也必須保持警惕。確保您的備份已加密，這樣即使它們丟失或被盜，您也可以放心，您已採取合理措施保護受託數據的安全。

如果您有 Mac，Mac 上的 Time Machine 應用程序會自動加密備份。

使用 SSH 密鑰

如果您從本文中拿走任何東西，請停止使用密碼通過 SSH 連接到機器。密碼很難共享，如果它們被洩露，您的整個機器都會受到損害。相反，只需運行ssh-keygen即可創建 SSH 密鑰。

要登錄遠程機器，只需將本地~/.ssh/id_rsa.pub的內容複製到遠程機器中的~/.ssh/authorized_keys /.ssh/authorized_keys 即可。您可能需要在遠程機器上重新啟動 SSH 服務，但僅此而已。

將您整個團隊的 SSH 密鑰添加到遠程計算機上，無需任何人再次輸入密碼。撤銷團隊成員的密鑰就像從遠程機器上移除密鑰一樣簡單。

使用安全的互聯網連接

當您與某人共享 Internet 連接時，您共享的不僅僅是帶寬。根據網站和您的互聯網的配置，它們至少可以檢測您訪問的網站，最壞的情況是讀取您傳輸的所有信息，包括密碼、消息或電子郵件。

這很容易啟用，也非常容易搞砸。採取合理的預防措施以確保您的連接是私密的。確保沒有未經授權的人可以訪問您的互聯網連接。

使用 WPA2 密碼保護您自己的個人 WiFi，如果您在當地咖啡店（或任何公共 WiFi）工作，則假設您正在被監視並使用 VPN 代理。

我對使用基於訂閱的 VPN 猶豫不決，特別是因為滾動你自己的 VPN 是如此簡單。使用此單線 VPN 解決方案來託管您自己的。

策略六：小心對待秘密

秘密不是要公開的。這就是為什麼它們被稱為秘密。儘管如此，您有多少次因為通過 Facebook Messenger 將密碼發送到生產 PostgreSQL 數據庫而感到內疚？確保您始終：

加密傳輸中的秘密
經常旋轉它們

加密傳輸中的秘密

如果您必須通過聊天等渠道共享機密，請確保它們已加密。作為練習，訪問您經常使用和最舊的聊天客戶端。它可能是 Facebook 消息或 Whatsapp。不管它是什麼，打開並在您的消息中搜索短語“密碼”。

如果這些機密已被加密，任何有權訪問您的消息的人都無法使用它們。

經常輪換秘密

秘密存在的時間越長或被共享的次數越多，它被洩露的可能性就越大。在一段時間後輪換秘密和密碼被認為是一種很好的做法。

策略 7：建立加密身份

這當然是一種先進的策略，但我個人不明白為什麼這不是一種普遍的做法。考慮一下：您的同事認為您受到了損害。他們如何將信息傳達給真實的你？如果互聯網上的某個人必須共享重要的漏洞信息，他們如何安全地發送？您如何確保您的員工在傳輸過程中安全地共享信息？

我最喜歡的例子是 Coinbase 的 keybase 配置文件，他們在其中對員工的 PGP 密鑰進行加密簽名。他們更進一步，為合規部門提供了 PGP 密鑰。說真的，Coinbase，幹得好！

就我個人而言，如果有人合理懷疑我的在線身份已被洩露，只需要求我使用我的密鑰庫配置文件中可用的 PGP 密鑰簽署一條消息。我是唯一有權訪問此 PGP 密鑰的人，並且我已採取合理的預防措施以確保此密鑰的安全，即使我的其他身份被洩露。

如果對消息的真實性有疑問，請讓我簽名。如果您需要向我發送秘密，請使用我的公鑰對其進行加密。

實施明確的遠程工作人員安全策略

安全策略是對系統、組織或其他實體安全意味著什麼的定義。對於一個組織來說，它解決了對其成員行為的限制，以及門、鎖、鑰匙和牆壁等機制對對手施加的限制。 – 維基百科

安全策略是執行操作時必須遵循的強制性規則或協議。上述策略很有幫助，但為了使它們更容易遵循，請為您的團隊提供一組簡單的規則來遵循。當您的團隊確切知道該做什麼時，就更難搞砸安全性了。

讓我們討論要實施的遠程工作人員安全策略的示例。

為您的員工實施的政策：

NDA 和合同：確保沒有適當的法律基礎，任何員工都無法訪問任何機密資源。
緊急聯繫信息：如果您的遠程團隊成員沒有響應，請記下您員工的完整和緊急聯繫信息。
僅授予基本權限：如果您的團隊成員不需要訪問某些區域來執行其職能，請不要授予他們訪問權限。銷售團隊的成員不需要訪問您的代碼存儲庫。
密碼管理器：確保您的員工可以使用密碼管理器
強大的身份驗證策略
- 最小的密碼強度：我個人討厭密碼，對於我是管理員的組織，我要求密碼至少包含 50 個字母數字字符。如果您使用的是密碼管理器，則遵守此政策是微不足道的。
- 強制密碼重置：確保員工的密碼經常過期以經常輪換密碼。
- 雙重身份驗證：到處使用 2FA
PGP 密鑰
加密硬盤
加密備份

員工離開，但他們不應該隨身攜帶您的信息。即使您的員工離開公司，也要調整這些政策以保留數據：

公司電子郵件帳戶：在您自己的域中為您的員工提供電子郵件帳戶允許您禁用和審核他們的通信。
實時交流：儘管電子郵件很棒，但有時您的團隊需要實時交流。確保您的團隊有一個集中的 Slack 或 IRC 頻道。這使您能夠根據需要禁用或審核他們的通信。
集中式代碼存儲庫：確保所有公司代碼都存儲在公司代碼存儲庫中。除非您需要對所有員工代碼進行細粒度控制，否則公司對 GitHub 等公共 SaaS 產品的計劃很好。在後一種情況下，請考慮獲取您自己的 GitLab 實例。

保護您的基礎設施的政策：

保持系統更新：每天都會發現和修補安全漏洞，確保您應用這些修復程序是您的工作。沒有什麼比發現漏洞是由幾週前修補的漏洞造成的更糟糕的了。
鎖定生產和登台環境：任何員工都不應訪問生產或登台環境。有時他們只是搞砸了。
創建強大的 CI/CD 流程：您總是希望部署“好的”代碼，而直接的 CI/CD 流程始終可以確保這一點。
保護祝福存儲庫：如果您有一個自動化的 CI/CD 流程，請確保您的祝福存儲庫只能由項目經理編輯。
定義一個審查過程：為了確保沒有“壞”代碼通過被忽視，創建一個審查過程。這可以像在合併之前要求最後一個獨立的“我覺得不錯”（LGTM）評論一樣簡單。
SSH 密鑰：如果您的應用程序需要提供 SSH 訪問權限，請確保它們使用 SSH 密鑰而不是密碼。
考慮放棄 BYOD：預算團隊可能認為 BYOD 是自無紙辦公室以來最好的策略創新，但如果您負擔得起，請考慮為您的團隊提供可以實施嚴格安全策略的公司機器。
加密備份：您的數據很重要。

編寫代碼時的策略：

代碼中沒有秘密：由於版本控制的性質，在代碼中添加數據時可能很難刪除，而密鑰很容易找到。
存儲密碼時使用 Bcrypt：在設計身份驗證系統時，使用 bcrypt 對密碼進行散列和加鹽，而不是設計系統，或 (gulp) 以純文本形式存儲。
從日誌中過濾敏感信息：無論是您的全局胡椒、應用程序的會話簽名密鑰還是用戶的登錄嘗試，請確保這些信息不會洩露到您的系統日誌文件中，任何有權訪問的人都可以閱讀它們。
授予所需的最低權限：如果您的應用程序只需要READ權限，請不要授予它WRITE權限。堅持最小權限原則。

創建響應計劃

安全漏洞確實有時會發生，雖然在事後分析中會有足夠的時間進行學習，但重要的是有一條明確的途徑來保護所有數字資產。

如果確實發生安全漏洞，請花時間制定應急計劃。考慮您在以下情況下的操作：

您丟失了包含敏感數據的設備。
您的基礎設施可能已被未經授權的一方訪問。
您觀察到團隊中的某個人的行為與他們自己不同。
發現了一個安全漏洞。

您的應對計劃中應包括的事項：

勤奮的文檔：啟用屏幕錄製，為您的團隊設置一個 wiki 以共享他們遇到的所有內容。
違規遏制：根據違規的範圍，這可能就像禁用用戶帳戶、使服務器離線或關閉生產並聯繫您的用戶一樣簡單。
建立內部溝通：啟動一個專門的 Slack 頻道，或者找到一種方法讓任何人報告他們遇到的事情。
尋求幫助：呼叫所有受違規影響的團隊。這可能也是聯繫當局的好時機。
調查：找出被破壞的內容、破壞的程度以及我們可以採取哪些措施來恢復正常運營。
重新上線：創建、測試和發布修復程序以盡快恢復正常操作。您的用戶依賴您的服務來工作，一旦您可以保證穩定、安全的服務，就可以重新上線。
與您的用戶交談：不要讓您的用戶蒙在鼓裡。你能做的最糟糕的事情是停止你的服務而不向你的用戶解釋發生了什麼。建立實時更新通道；這可能就像使用 Twitter 讓他們了解情況一樣簡單。處理完事件後，發布一份事後報告，講述發生了什麼、如何發生以及您為防止未來發生類似違規行為而採取的措施。

安全事件發生。重要的是你如何處理你的反應。到目前為止，我最喜歡的回應之一是在 2015 年，當 LastPass 在檢測到異常網絡活動時發布強制主密碼重置。我一直是 LastPass 的長期用戶，儘管他們最近出現了安全問題，但我喜歡他們通過將客戶的需求放在首位來回應客戶的方式。