เมื่อใดก็ตามที่ฉันบอกเพื่อนว่าฉันทำงานจากระยะไกลให้กับลูกค้าที่ฉันไม่เคยพบพวกเขาจะถามฉันว่า: คุณปลอดภัยไหมที่จะทำงานจากระยะไกล คำตอบของฉันคือ 'ใช่ ... แต่ขึ้นอยู่กับว่าคุณสร้างนโยบายความปลอดภัยของผู้ปฏิบัติงานระยะไกลได้ดีเพียงใด'
ฉันอาศัยอยู่ในปากีสถานซึ่งฉันผลิตโค้ดที่มีคุณค่าให้กับลูกค้าในอีกฟากหนึ่งของโลก ลูกค้าของฉันไม่เคยจับมือฉันหรือเห็นว่าฉันทำงานที่ไหน อย่างไรก็ตามฉันคาดว่าจะมั่นใจได้ว่าความลับของลูกค้าและรหัสยังคงได้รับการปกป้อง ในโลกที่สมาชิกในทีมไม่คุ้นเคยกับใบหน้าหรือน้ำเสียงของคุณคุณจะป้องกันการละเมิดความปลอดภัยได้อย่างไร คำตอบคือ: โดยระมัดระวังให้มาก.
เมื่อไม่นานมานี้เราเชื่อว่าเพื่อรับประกันประสิทธิภาพและความปลอดภัยของแอปพลิเคชันของเราเราจำเป็นต้องเรียกใช้แอปพลิเคชันเหล่านี้ในดาต้าเซ็นเตอร์ส่วนตัวของเรา จากนั้น เมฆ เข้ามาและเราได้รับประโยชน์ด้านต้นทุนและประสิทธิภาพของการเรียกใช้แอปพลิเคชันของเราบนแพลตฟอร์มแบบออนดีมานด์ที่ปรับขนาดได้โดยไม่ต้องดูแลเซิร์ฟเวอร์จำนวนมากในห้อง
ให้ฉันบอกคุณเกี่ยวกับความลับที่รู้จักกันดี:
ไม่มีเมฆตอนนี้ บริษัท ต่างๆเช่น Uber หนึ่ง และ Stripe 2 จัดเก็บและประมวลผลข้อมูลตำแหน่งของลูกค้าแบบเรียลไทม์และบัตรเครดิตและการชำระเงินบนเซิร์ฟเวอร์ของผู้ให้บริการคลาวด์ในขณะที่ปฏิบัติตามมาตรฐานความปลอดภัยที่เข้มงวดเช่นการปฏิบัติตาม PCI โดยใช้นโยบายที่เข้มงวดเพื่อให้มั่นใจว่าข้อมูลการผลิตจะยังคงปลอดภัย
หาก บริษัท ต่างๆสามารถรับประกันได้ว่าสภาพแวดล้อมการผลิตทั้งหมดของพวกเขายังคงปลอดภัยแม้ว่าจะทำงานอยู่นอกศูนย์ข้อมูลส่วนตัวของพวกเขาเราสามารถรับประกันความปลอดภัยของการพัฒนาของคุณโดยใช้ทีมพัฒนาจากระยะไกลได้อย่างแน่นอน ท้ายที่สุดทั้ง บริษัท สามารถทำงานจากระยะไกลได้ทั้งหมด ApeeScape เป็น บริษัท ระยะไกลเท่านั้นและ เรากำลังจ้างงาน .
ตลอดบทความนี้เมื่อฉันพูดถึง“ ความปลอดภัย” ฉันหมายถึง ความปลอดภัยของข้อมูล .
คำว่า 'ความปลอดภัยของข้อมูล' หมายถึงการปกป้องข้อมูลและระบบสารสนเทศจากการเข้าถึงการใช้การเปิดเผยการหยุดชะงักการปรับเปลี่ยนหรือการทำลายโดยไม่ได้รับอนุญาต - 44 รหัสสหรัฐฯ§ 3542
มี ไม่มีสิ่งที่เรียกว่าการรักษาความปลอดภัยที่สมบูรณ์แบบ แต่“ ปลอดภัย” หมายความว่าคุณได้รับ มาตรการที่เหมาะสม เพื่อบังคับใช้ความปลอดภัยของข้อมูล
โดยเฉพาะอย่างยิ่งเมื่อคุณพูดว่า“ สภาพแวดล้อมการทำงานของฉันปลอดภัย” คุณหมายถึงการบอกว่าคุณได้ใช้มาตรการที่เหมาะสมเพื่อปกป้องข้อมูลรหัสหรือข้อมูลที่เป็นความลับอื่น ๆ ที่อยู่ในความดูแลของคุณและรับรองความถูกต้อง นอกจากนี้คุณยังได้ดำเนินการเพื่อให้แน่ใจว่าสิทธิ์ของคุณในการเข้าถึงระบบข้อมูลที่ละเอียดอ่อนจะไม่ถูกใช้โดยตัวคุณเองหรือบุคคลที่ไม่ได้รับอนุญาตในลักษณะที่เป็นอันตรายต่อเป้าหมายขององค์กรที่เป็นเจ้าของข้อมูลนี้และระบบเหล่านี้
ทีมระยะไกลมีพื้นผิวการโจมตีที่ใหญ่กว่าทีมจากส่วนกลาง ซึ่งแตกต่างจากทีมส่วนกลางที่คุณสามารถล็อกข้อมูลที่เป็นความลับหลังไฟร์วอลล์และเวิร์กสเตชันของ บริษัท ได้ในฐานะผู้ปฏิบัติงานระยะไกลคุณจะได้รับการสนับสนุนหรือแม้กระทั่งจำเป็นต้องนำอุปกรณ์ของคุณมาเอง (BYOD) ยิ่งไปกว่านั้นเนื่องจากการสื่อสารส่วนใหญ่ของคุณเกิดขึ้นทางออนไลน์คุณจึงมีความอ่อนไหวต่อวิศวกรรมสังคมและ การโจรกรรมข้อมูลส่วนตัว . อย่างไรก็ตามด้วยชุดนโยบายที่เหมาะสมคุณสามารถลดความเสี่ยงจากการละเมิดได้อย่างแน่นอน
ไม่มีกระสุนเงินเพื่อความปลอดภัย บ่อยครั้งที่มีการแลกเปลี่ยนระหว่างเฉดสีของความปลอดภัยและความสะดวกสบายและขึ้นอยู่กับคุณที่จะกำหนดว่าคุณต้องการใช้แนวทางปฏิบัติด้านความปลอดภัยของคุณไปไกลแค่ไหน แต่อย่าลืมว่าทีมของคุณมีความปลอดภัยเท่ากับสมาชิกที่อ่อนแอที่สุดเท่านั้น มาดูการโจมตีด้านความปลอดภัยทั่วไปกลยุทธ์การป้องกันและในที่สุดก็พูดคุยเกี่ยวกับตัวอย่างนโยบายเจ้าหน้าที่รักษาความปลอดภัยระยะไกล
คุณไม่ได้เตรียมพร้อมหากคุณไม่รู้ว่าคุณกำลังจะต้องเจอกับอะไร ฝ่ายตรงข้ามสามารถใช้กลยุทธ์มากมายในการโจมตี แต่ส่วนใหญ่แบ่งออกเป็นสามประเภท แม้ว่ารายการนี้จะไม่ครอบคลุมทั้งหมด แต่เป็นเวกเตอร์การโจมตีทั่วไป 3 ประเภทที่แฮกเกอร์ประสงค์ร้ายอาจใช้:
นอกจากนี้ยังถือว่าเป็นการแฮ็กโดยมนุษย์วิศวกรรมสังคมคือแนวทางปฏิบัติในการจัดการบุคคลให้กระทำในลักษณะที่ไม่เป็นประโยชน์สูงสุด ซึ่งอาจรวมถึงการเปิดเผยข้อมูลที่เป็นความลับ
การโจมตีทางวิศวกรรมสังคมอาจพยายามใช้ประโยชน์จากความเห็นอกเห็นใจของคุณเพื่อพยายามทำให้คุณหลีกเลี่ยงแนวทางปฏิบัติที่ดีหรือสร้างความรู้สึกเร่งด่วนที่พวกเขาทำให้คุณข้ามแนวทางปฏิบัติที่ดีที่สุดโดยกลัวว่าจะมีการกระทำเชิงลบกับคุณหากคุณไม่ปฏิบัติตาม
ตัวอย่างของวิศวกรรมสังคม ได้แก่ :
ฟิชชิงเป็นวิธีที่ใช้บ่อยที่สุดในการขโมยข้อมูลรับรองของคุณ ลองนึกภาพเว็บไซต์ที่ดูเหมือน Facebook ที่คุณลงชื่อเข้าใช้โดยคิดว่าเป็นของจริง ฟิชชิงคือการที่ผู้โจมตีสร้างเว็บไซต์ที่ดูถูกต้องตามกฎหมาย แต่ไม่เป็นเช่นนั้น
คุณสามารถมองเห็น Facebook ปลอมได้หรือไม่? คำแนะนำ: เป็นสิ่งที่ไม่ได้อยู่ใน Facebook.com
บางครั้งแฮกเกอร์สามารถวางยาพิษอินเทอร์เน็ตของคุณและฉีดเว็บไซต์ของพวกเขาบนโดเมน Facebook ซึ่งเรียกว่าการโจมตีแบบ Man in The Middle แต่ไม่ต้องกังวลเบราว์เซอร์ของคุณสามารถเตือนคุณได้
Spear phishing เป็นฟิชชิ่งอีกรูปแบบหนึ่งที่อาจมีการกำหนดหน้าฟิชชิ่งสำหรับคุณหรือองค์กรของคุณ สิ่งนี้ทำให้คุณมีแนวโน้มที่จะตกหลุมรักมันมากขึ้นโดยเฉพาะเมื่อรวมกับวิศวกรรมสังคม
ฉันจะเล่าเรื่องราวให้คุณฟัง: ตอนที่ฉันเรียนอยู่ในโรงเรียนมีคนที่เพิ่งเรียนรู้เกี่ยวกับฟิชชิงได้สร้างเว็บไซต์ Facebook ปลอมและเปลี่ยนหน้าแรกในห้องปฏิบัติการคอมพิวเตอร์เป็นการสร้างของเขา สิ่งต่อไปที่เขารู้บุคคลนี้มีรหัสผ่านบัญชี Facebook สามร้อยรหัส การโจมตีนี้มีเป้าหมายที่โรงเรียนของฉันโดยเฉพาะและกลายเป็นการโจมตีแบบฟิชชิ่งแบบหอกที่ประสบความสำเร็จ
และคิดว่ารหัสผ่านเหล่านั้นทั้งหมดจะยังคงปลอดภัยหากมีเพียงใครบางคนใส่ใจที่จะค้นหาที่แถบที่อยู่
มีมัลแวร์หลายร้อยประเภท บางอย่างไม่เป็นอันตรายหรือน่ารำคาญ แต่บางอย่างอาจเป็นอันตรายมาก ประเภทของมัลแวร์ที่สำคัญที่สุดที่ต้องระวัง ได้แก่
ในการจงใจให้คุณติดตั้งมัลแวร์ที่กำหนดเองในคอมพิวเตอร์ของคุณผู้โจมตีมักใช้วิศวกรรมสังคม:
เราได้พูดถึงวิธีการโจมตีของฝ่ายตรงข้ามที่พบบ่อยที่สุด แต่เราจะปลอดภัยจากวิธีการเหล่านี้ได้อย่างไร
ฉันเกลียดรหัสผ่าน ที่นั่นฉันพูดมัน ฉันเชื่อมั่นว่าการใช้ชื่อผู้ใช้และรหัสผ่านร่วมกันเป็นรูปแบบการตรวจสอบผู้ใช้ที่อ่อนแอที่สุดที่มีอยู่ รหัสผ่านไม่ได้เป็นอะไรมากไปกว่าสตริงอักขระสั้น ๆ ที่สร้างขึ้นโดยตัวสร้างหมายเลขเทียมที่เลวร้ายที่สุดที่มีอยู่นั่นคือจิตใจของมนุษย์
ฉันต้องการคำลับใช่ไหม แล้วชื่อกลางและปีเกิดของฉันไม่มีใครเดาได้แน่นอน! - มนุษย์ทุกคน
ที่แย่ไปกว่านั้นคือเพื่อความสะดวกผู้คนมักจะใช้รหัสผ่านซ้ำเพื่อความสะดวก นั่นทำให้บางคนสามารถใช้รหัสผ่านเดียวกันสำหรับการเข้าสู่ระบบธนาคารและ WiFi ที่บ้านได้ ในขณะที่ทำให้รหัสผ่านลงท้ายด้วยชื่อวงดนตรีโปรดของพวกเขา . สยองขวัญ!
ปีที่แล้วฉันตัดสินใจที่จะทำสิ่งต่อไปนี้:
เมื่อฉันบอกว่ามีการแลกเปลี่ยนระหว่างเฉดสีของความปลอดภัยและความสะดวกสบายมันใช้ไม่ได้กับที่นี่ ไม่ว่าคุณจะปลอดภัยและใช้โปรแกรมจัดการรหัสผ่านหรือไม่ก็ตาม ไม่มีในระหว่าง คุณจำเป็นต้องใช้โปรแกรมจัดการรหัสผ่านเพื่อความปลอดภัยของรหัสผ่านที่ดี ฉันจะอธิบาย
หากคุณตอบว่า“ ไม่” สำหรับคำถามใด ๆ ข้างต้นคุณต้องมีผู้จัดการรหัสผ่าน ผู้จัดการรหัสผ่านที่ดีจะสุ่มสร้างรหัสผ่านให้คุณและจัดเก็บอย่างปลอดภัย ไม่สำคัญว่าคุณจะใช้ตัวจัดการรหัสผ่านใดตราบเท่าที่คุณใช้!
ฉันใช้ LastPass เพราะฉันชอบความโปร่งใสในการรายงานเหตุการณ์ของพวกเขาความสามารถในการแบ่งปันข้อมูลรับรองของฉันกับเพื่อน ๆ และเพิกถอนการแบ่งปันได้ทุกเมื่อที่ฉันต้องการและฉันชอบที่การซิงค์มือถือเป็นส่วนหนึ่งของแผนบริการฟรีของพวกเขา
ฉันใช้ LastPass มาหลายปีแล้วและความท้าทายด้านความปลอดภัยของพวกเขาบอกว่าฉันอยู่ในกลุ่มผู้ใช้ที่ใส่ใจด้านความปลอดภัยสูงสุด 1%
สิ่งนี้อาจฟังดูขัดจังหวะเนื่องจากฉันขอให้คุณใช้โปรแกรมจัดการรหัสผ่านข้างต้น แต่มีบางกรณีที่หลีกเลี่ยงรหัสผ่านไม่ได้: คุณจะต้องมีรหัสผ่านหลักที่รัดกุมสำหรับผู้จัดการรหัสผ่านของคุณหรือเพื่อเข้าสู่ระบบคอมพิวเตอร์ของคุณ ในกรณีเหล่านี้ให้ใช้ข้อความรหัสผ่านที่ปลอดภัยและน่าจดจำซึ่งมีเอนโทรปีสูง
เมื่อพูดถึงเอนโทรปีเรามาพูดถึงเรื่องนี้กัน “ เอนโทรปี” ที่ฉันพูดถึงคืออะไร?
เอนโทรปีเป็นพารามิเตอร์ทางสถิติที่ใช้วัดในแง่หนึ่งว่าข้อมูลถูกสร้างขึ้นโดยเฉลี่ยเท่าใดสำหรับตัวอักษรแต่ละตัวของข้อความในภาษา หากภาษาถูกแปลเป็นเลขฐานสอง (0 หรือ 1) ด้วยวิธีที่มีประสิทธิภาพสูงสุดเอนโทรปี H คือจำนวนเลขฐานสองโดยเฉลี่ยที่ต้องการต่อตัวอักษรของภาษาต้นฉบับ - Claude Shannon
ไม่เป็นไรถ้าคำพูดนั้นย่อยยาก โดยทั่วไปเอนโทรปีสำหรับรหัสผ่านซึ่งสุ่มเลือกจากชุดคือจำนวนองค์ประกอบทั้งหมดในชุดที่แสดงในฐาน 2 ตัวอย่างเช่นหากคุณมีรหัสผ่านยาว 4 อักขระที่มีได้เฉพาะอักษรตัวพิมพ์เล็กเอนโทรปีสำหรับ รหัสผ่านที่สร้างแบบสุ่มจะเป็น 19 บิตเนื่องจาก:
26^4
= 456,976log(456,976) / log(2)
= 19 บิต (ปัดเศษเป็นบิตที่ใกล้ที่สุด)ปัญหาเกี่ยวกับรหัสผ่านเอนโทรปีที่สูงคือรหัสผ่านที่จำยากเช่น c05f$KVB#*6y
เพื่อให้น่าจดจำยิ่งขึ้นถ้าแทนที่จะใช้ตัวอักษรเดี่ยวเราใช้ทั้งคำแทน และใช้พจนานุกรมพันคำ? ทันใดนั้นตัวอักษรของเราก็มีความยาวเป็นพันองค์ประกอบและเราสามารถบรรลุเอนโทรปีเดียวกันได้ใน 7 คำที่มี 11 ตัวอักษร
ความแตกต่างตอนนี้คือแทนที่จะใช้บัตรผ่าน คำ เรากำลังใช้บัตร วลี ซึ่งมีความยาวมากขึ้น
การ์ตูน XKCD ต่อไปนี้อธิบายแนวคิดนี้ได้ดีที่สุด:
วิธีที่ง่ายที่สุดในการสร้างข้อความรหัสผ่านแบบสุ่มที่ปลอดภัยคือไป ที่นี่ .
Two-factor Authentication (2FA) หรือการยืนยันแบบ 2 ขั้นตอนล้วนเป็นชื่อเดียวกัน นี่เป็นหนึ่งในสิ่งเหล่านั้นที่ต้องทำความคุ้นเคยเล็กน้อย แต่ประโยชน์ด้านความปลอดภัยของ 2FA นั้นเกินค่าใช้จ่ายไปมากและได้ช่วยฉันจากการละเมิดบัญชีถึงสองครั้ง
แนวคิดเบื้องหลัง MFA นั้นง่ายมาก มีสามสิ่งที่เราสามารถใช้เพื่อรับรองความถูกต้องของคุณ:
คู่มือเตรียมสอบใบรับรองบริการเว็บ amazon
การใช้สองอย่างนั้นปลอดภัยกว่าการใช้เพียงอย่างเดียว
เว็บไซต์ส่วนใหญ่สนับสนุนปัจจัยแรกของการตรวจสอบสิทธิ์โดยต้องใช้รหัสผ่าน แต่จำนวนบริการที่เพิ่มขึ้นได้เริ่มรองรับปัจจัยที่สองเช่นกัน ปัจจัยที่สามมักจะถูกทิ้งไว้โดยบริการบนเว็บเนื่องจากต้องใช้ฮาร์ดแวร์เฉพาะ เช่นเซ็นเซอร์ลายนิ้วมือบนโทรศัพท์ของคุณ
หากคุณเป็นผู้ดูแลระบบของทีมให้พิจารณาสร้างนโยบายบังคับเพื่อให้ผู้ใช้ตั้งค่า 2FA ได้ เพื่อให้แน่ใจว่าการบุกรุกรหัสผ่านจะไม่ส่งผลให้บัญชีถูกบุกรุก
“ สิ่งที่คุณมี” ยอดนิยมมีสองรูปแบบ:
ฉันอยากจะพูดแบบนี้ทันที: อย่าใช้รหัส SMS สำหรับ 2FA กลายเป็นเรื่องปกติที่ผู้ไม่ประสงค์ดีจะขโมยหมายเลขโทรศัพท์ของคุณ เรื่องราว เกือบจะเหมือนกันทุกครั้ง: โซเชียลบางคนออกแบบผู้ให้บริการในการย้ายหมายเลขโทรศัพท์ของคุณไปยังผู้ให้บริการรายอื่น ฉันรู้จักคนอย่างน้อยหนึ่งคนที่ตกเป็นเหยื่อของการโจมตีนี้
ให้ใช้รหัสผ่านแบบครั้งเดียวตามเวลา (TOTP) หรือที่เรียกว่าเมธอด“ Google Authenticator” แทน อย่างไรก็ตามแทนที่จะใช้ Google Authenticator ฉันขอแนะนำให้ใช้ Authy เนื่องจากเข้ารหัสและสำรองข้อมูลโทเค็น 2FA ของคุณบนคลาวด์ จากนั้นคุณสามารถกู้คืนโทเค็น 2FA ของคุณได้แม้ว่าคุณจะเปลี่ยนอุปกรณ์ก็ตาม ... ในความเป็นจริงคุณสามารถใช้โทเค็นเดียวกันบนอุปกรณ์หลายเครื่อง สะดวกมาก
นี่เป็นวิธี 2FA ที่ง่ายและทรงพลังที่สุด ฉันมี Yubikey Neo ที่สามารถใช้กับโทรศัพท์และคอมพิวเตอร์ของฉันได้ ในการพิสูจน์ตัวตนของฉันฉันเพียงแค่เสียบโทเค็นฮาร์ดแวร์ของฉันแล้วกดปุ่ม โทเค็นของฉันไม่เหมือนใครและเป็นโทเค็นทางกายภาพ ฉันสามารถพกไว้กับพวงกุญแจหรือกระเป๋าสตางค์ก็ได้
ไม่ว่าคุณจะเชื่อว่าคุณปลอดภัยแค่ไหน แต่ความสงสัยก็เป็นสิ่งที่ดี ระวังคนที่ขอให้คุณทำอะไรที่ไม่ธรรมดา คุณได้รับข้อความจากคนที่ขอให้คุณรีเซ็ตรหัสผ่านหรือไม่? รอสักครู่แล้วเริ่มแฮงเอาท์วิดีโอกับพวกเขา ขอให้พวกเขาพิสูจน์ตัวตน ไม่มีใครจับผิดคุณได้เพราะระมัดระวังตัว
ไม่ใช่เรื่องหวาดระแวงหากพวกเขาออกไปหาคุณจริงๆ - Harold Finch บุคคลที่น่าสนใจ
พวกเขาพร้อมที่จะรับคุณจริงๆ บางครั้งก็ไม่มีเหตุผลที่ผู้ใช้ที่ประสงค์ร้ายจะทำในสิ่งที่ทำนอกเหนือจากความตั้งใจที่จะทำ
เพื่อนคนหนึ่งของฉันเคยได้รับข้อความจากคนรู้จักเก่าที่ถามว่าพวกเขาต้องการเป็น 'ผู้ติดต่อที่เชื่อถือได้' บน Facebook หรือไม่ เพื่อนของฉันเห็นด้วยและถูกขอให้ตอบกลับพร้อมกับรหัสที่พวกเขาจะได้รับทางโทรศัพท์ซึ่งเพื่อนของฉันให้มาในทันที ... และนั่นคือวิธีที่เพื่อนของฉันได้รับการออกแบบทางสังคมเพื่อให้โทเค็นรีเซ็ตสำหรับบัญชี Gmail ของเธอ ถ้าเพื่อนของฉันเฝ้าระวังตั้งแต่แรกเธอจะไม่ทำอีเมลหาย
หลักการของสิทธิพิเศษน้อยที่สุดกำหนดให้ในชั้นนามธรรมเฉพาะของสภาพแวดล้อมคอมพิวเตอร์ทุกโมดูล (เช่นกระบวนการผู้ใช้หรือโปรแกรมขึ้นอยู่กับหัวเรื่อง) ต้องสามารถเข้าถึงได้เฉพาะข้อมูลและทรัพยากรที่จำเป็นเท่านั้น เพื่อวัตถุประสงค์ที่ถูกต้องตามกฎหมาย - วิกิพีเดีย
หากผู้ใช้แอปพลิเคชันหรือบริการไม่ต้องการสิทธิ์บางอย่างอย่าให้สิทธิ์แก่ผู้ใช้ คุณสามารถได้รับกฎมากมายจากหลักการนี้ แต่ฉันจะบันทึกไว้สำหรับหัวข้อถัดไปเกี่ยวกับนโยบายความปลอดภัย
ให้ฉันเล่าเรื่องราวให้คุณฟัง: ครั้งหนึ่งฉันเคยออกแบบแอปพลิเคชันที่รับการชำระเงินด้วย Bitcoin จากผู้ใช้ตามที่อยู่ที่สร้างขึ้นโดยเฉพาะสำหรับพวกเขาแล้วส่งต่อไปยังที่อยู่ที่จัดเก็บข้อมูลส่วนกลางที่ปลอดภัย หากคุณไม่คุ้นเคยกับวิธีการทำงานของ Bitcoin นี่คือคำอธิบายที่เข้าใจง่าย: คุณต้องมีคีย์สาธารณะเพื่อรับ Bitcoin (เช่นหมายเลขบัญชี) และคีย์ส่วนตัวที่เกี่ยวข้องเพื่อใช้จ่าย (เช่นพินบัญชี) หมายเลขบัญชีและพินใน Bitcoin เชื่อมโยงกันแบบเข้ารหัสและไม่สามารถเปลี่ยนแปลงได้
ฉันมีหลายทางเลือกในการออกแบบระบบนี้ แต่ฉันตัดสินใจใช้เส้นทางที่ยาวกว่าเล็กน้อย ฉันตัดสินใจว่าในการแจ้งให้ผู้ใช้ชำระเงินแอปพลิเคชันไม่จำเป็นต้องเข้าถึงคีย์ส่วนตัว ดังนั้นแทนที่จะออกแบบระบบขนาดใหญ่ระบบเดียวที่จะรับและส่งต่อการชำระเงิน Bitcoin ฉันจึงสร้างสองระบบ:
ไม่นานต่อมาหลังจากที่ฉันหยุดดูแลแอประบบรับสาธารณะก็ถูกละเมิด ฉันปิดมันทันที แต่ผู้โจมตีไม่เคยขโมย Bitcoin เพราะระบบสาธารณะไม่มีคีย์ส่วนตัวเลย
การปฏิบัติบางอย่างไม่จำเป็นต้องมีคำอธิบาย คุณอาจรู้ว่าพวกเขามีความสำคัญ แต่ฉันรู้สึกประหลาดใจอยู่ตลอดเวลาที่มีคนจำนวนมาก (รวมถึงตัวฉันเอง) ลืมที่จะพลิกสวิตช์สองสามตัว ฉันจะทิ้งรายการตรวจสอบไว้ที่นี่:
ไฟร์วอลล์ควบคุมการรับส่งข้อมูลเครือข่ายเข้าและออกจากคอมพิวเตอร์ของคุณตามชุดของกฎ ทำงานโดยถามคุณอย่างชัดเจนว่าจะอนุญาตให้โปรแกรมใหม่เข้าถึงเครือข่ายของคุณหรือไม่และเป็นแนวป้องกันแรกของคุณหรือไม่
ระบบปฏิบัติการของคุณน่าจะมาพร้อมกับไฟร์วอลล์ในตัวตรวจสอบให้แน่ใจว่าเปิดอยู่
การเข้ารหัสดิสก์แบบเต็มคือความสามารถอันมหัศจรรย์นี้ในการแสดงเนื้อหาในดิสก์ทั้งหมดของคุณโดยไร้ประโยชน์หากไม่มีรหัสผ่านของคุณ ในกรณีที่แล็ปท็อปของคุณสูญหายหรือถูกขโมยคุณสามารถมั่นใจได้ว่าจะไม่มีใครเข้าถึงข้อมูลของคุณได้ การเปิดใช้งานทำได้ง่ายเพียงแค่เปิดเครื่อง FileVault บน Mac
โทรศัพท์มือถือสมัยใหม่ยังเปิดใช้การเข้ารหัสดิสก์แบบเต็มตามค่าเริ่มต้น
ฮาร์ดแวร์ล้มเหลวเป็นความจริงของชีวิต เครื่องของคุณจะล้มเหลวในวันหนึ่งหรือไวรัสจะติดพีซีของคุณหรือ (สั่น) ไวรัส ransomware จะเข้ายึดพีซีของคุณ แต่ในฐานะที่เป็นคนชอบปฏิบัติคุณอาจมีการตั้งค่าโฟลว์สำรองอยู่แล้วฉันแน่ใจว่า ... ไม่มีคุณ?
อย่างไรก็ตามแม้จะมีการสำรองข้อมูลของคุณคุณก็ต้องระมัดระวัง ตรวจสอบให้แน่ใจว่าข้อมูลสำรองของคุณได้รับการเข้ารหัสเพื่อให้แม้ว่าข้อมูลเหล่านั้นสูญหายหรือถูกขโมยคุณสามารถมั่นใจได้ว่าคุณได้ใช้มาตรการที่เหมาะสมเพื่อปกป้องความปลอดภัยของข้อมูลที่คุณได้รับความไว้วางใจ
หากคุณมี Mac แอพ Time Machine บน Mac ของคุณจะเข้ารหัสข้อมูลสำรองโดยอัตโนมัติ
หากคุณนำสิ่งใดไปจากบทความนี้ให้หยุดใช้รหัสผ่านเพื่อ SSH ในเครื่อง รหัสผ่านเป็นเรื่องยากที่จะแบ่งปันและหากเคยรั่วไหลทั้งเครื่องของคุณก็จะถูกบุกรุก ให้สร้างคีย์ SSH แทนโดยเรียกใช้ ssh-keygen
ในการเข้าสู่เครื่องระยะไกลเพียงแค่คัดลอกเนื้อหาในเครื่องของคุณ ~/.ssh/id_rsa.pub
ถึง ~/.ssh/authorized_keys
ในเครื่องระยะไกล คุณอาจต้องรีสตาร์ทบริการ SSH บนเครื่องระยะไกล แต่ก็เสร็จแล้ว
เพิ่มคีย์ SSH ของทีมคุณทั้งหมดในเครื่องระยะไกลและจะไม่มีใครต้องพิมพ์รหัสผ่านอีก การเพิกถอนคีย์ของสมาชิกในทีมทำได้ง่ายๆเพียงแค่ถอดคีย์ออกจากเครื่องระยะไกล
เมื่อคุณแชร์การเชื่อมต่ออินเทอร์เน็ตกับบุคคลอื่นคุณจะแชร์มากกว่าแบนด์วิดท์ของคุณ ขึ้นอยู่กับการกำหนดค่าของเว็บไซต์และอินเทอร์เน็ตของคุณอย่างน้อยที่สุดก็สามารถตรวจจับได้ว่าคุณเข้าเยี่ยมชมเว็บไซต์ใดและที่แย่ที่สุดก็คืออ่านข้อมูลทั้งหมดที่คุณส่งรวมถึงรหัสผ่านข้อความหรืออีเมล
วิธีนี้ง่ายมากในการเปิดใช้งานและง่ายต่อการทำเลอะเช่นกัน ใช้ความระมัดระวังตามสมควรเพื่อให้แน่ใจว่าการเชื่อมต่อของคุณเป็นแบบส่วนตัว ตรวจสอบให้แน่ใจว่าไม่มีใครที่ไม่ได้รับอนุญาตเข้าถึงการเชื่อมต่ออินเทอร์เน็ตของคุณ
ใช้ WPA2 เพื่อใช้รหัสผ่านเพื่อป้องกัน WiFi ส่วนตัวของคุณเองและหากคุณกำลังทำงานจากร้านกาแฟในพื้นที่ (หรือ WiFi สาธารณะใด ๆ ) จะถือว่าคุณถูกเฝ้าดูและใช้พร็อกซี VPN
ฉันลังเลที่จะใช้ VPN ตามการสมัครสมาชิกโดยเฉพาะอย่างยิ่งเนื่องจากการใช้งาน VPN ของคุณเองนั้นง่ายมาก ใช้สิ่งนี้ โซลูชัน VPN แบบบรรทัดเดียว เป็นเจ้าภาพของคุณเอง
ไม่ควรเปิดเผยความลับ นั่นคือเหตุผลที่พวกเขาเรียกว่า ความลับ . อย่างไรก็ตามคุณมีความผิดในการส่งรหัสผ่านไปยังฐานข้อมูล PostgreSQL ที่ใช้งานจริงผ่าน Facebook Messenger กี่ครั้ง? ตรวจสอบให้แน่ใจว่าคุณ:
หากคุณต้องแชร์ความลับผ่านช่องทางต่างๆเช่นแชทตรวจสอบให้แน่ใจว่ามีการเข้ารหัส ในแบบฝึกหัดให้ไปที่ไคลเอนต์แชทที่ใช้บ่อยและเก่าแก่ที่สุดของคุณ อาจเป็นข้อความ Facebook หรือ Whatsapp ไม่ว่าจะเป็นอะไรให้เปิดและค้นหาวลี 'รหัสผ่าน' ในข้อความของคุณ
หากความลับเหล่านี้ได้รับการเข้ารหัสความลับเหล่านี้จะไม่สามารถใช้ได้กับทุกคนที่สามารถเข้าถึงข้อความของคุณได้
ยิ่งมีความลับอยู่นานขึ้นหรือมีการแชร์มากขึ้นความลับก็ยิ่งมีโอกาสถูกบุกรุกมากขึ้น ถือเป็นแนวทางปฏิบัติที่ดีในการหมุนเวียนความลับและรหัสผ่านหลังจากช่วงเวลาหนึ่ง
นี่เป็นกลยุทธ์ขั้นสูงอย่างแน่นอน แต่โดยส่วนตัวแล้วฉันไม่เข้าใจว่าเหตุใดจึงไม่ใช่แนวทางปฏิบัติที่แพร่หลาย พิจารณาสิ่งนี้: เพื่อนร่วมงานของคุณเชื่อว่าคุณถูกบุกรุก พวกเขาส่งข้อความถึงตัวคุณจริงได้อย่างไร? หากมีคนจากอินเทอร์เน็ตต้องแชร์ข้อมูลช่องโหว่ที่สำคัญพวกเขาจะส่งข้อมูลอย่างปลอดภัยได้อย่างไร คุณจะมั่นใจได้อย่างไรว่าพนักงานของคุณแบ่งปันข้อมูลอย่างปลอดภัยระหว่างการส่งต่อ?
ตัวอย่างที่ฉันชอบคือ Coinbase’s โปรไฟล์คีย์เบส โดยพวกเขาลงนามในคีย์ PGP ของพนักงานแบบเข้ารหัส พวกเขาก้าวไปไกลกว่านี้และให้ แผนกการปฏิบัติตามคีย์ PGP . อย่างจริงจัง Coinbase เยี่ยมมาก!
สำหรับฉันโดยส่วนตัวในกรณีที่มีคนสงสัยตามสมควรว่าข้อมูลประจำตัวออนไลน์ของฉันถูกบุกรุกเพียงขอให้ฉันลงชื่อในข้อความโดยใช้คีย์ PGP ที่มีอยู่ใน คีย์เบส ข้อมูลส่วนตัว. ฉันเป็นคนเดียวที่สามารถเข้าถึงคีย์ PGP นี้ได้และฉันได้ใช้ความระมัดระวังตามสมควรเพื่อให้แน่ใจว่าคีย์นี้ยังคงปลอดภัยแม้ว่าข้อมูลประจำตัวอื่น ๆ ของฉันจะถูกบุกรุกก็ตาม
หากมีข้อสงสัยเกี่ยวกับความถูกต้องของข้อความโปรดขอให้ฉันเซ็นชื่อ หากคุณต้องการส่งความลับให้ฉันเข้ารหัสด้วยคีย์สาธารณะของฉัน
นโยบายความปลอดภัยคือคำจำกัดความของความหมายของความปลอดภัยสำหรับระบบองค์กรหรือหน่วยงานอื่น ๆ สำหรับองค์กรจะกล่าวถึงข้อ จำกัด เกี่ยวกับพฤติกรรมของสมาชิกตลอดจนข้อ จำกัด ที่กำหนดไว้กับฝ่ายตรงข้ามโดยกลไกต่างๆเช่นประตูล็อคกุญแจและกำแพง - Wikipedia
นโยบายความปลอดภัยเป็นกฎบังคับหรือโปรโตคอลที่ต้องปฏิบัติตามเมื่อดำเนินการ กลยุทธ์ข้างต้นมีประโยชน์ แต่เพื่อให้ง่ายต่อการปฏิบัติตามควรตั้งกฎที่ตรงไปตรงมาให้ทีมของคุณปฏิบัติตาม การรักษาความปลอดภัยยุ่งเหยิงยากขึ้นเมื่อทีมของคุณรู้แน่ชัดว่าต้องทำอะไร
เรามาดูตัวอย่างนโยบายความปลอดภัยของผู้ปฏิบัติงานระยะไกลที่จะนำไปใช้กัน
นโยบายที่จะนำไปใช้สำหรับไฟล์ พนักงาน :
พนักงานลาออก แต่ไม่ควรนำข้อมูลของคุณไปด้วย ปรับใช้นโยบายเหล่านี้เพื่อรักษาไว้ ข้อมูล แม้ว่าพนักงานของคุณจะลาออกจาก บริษัท :
จะฟังอะไรด้วย sdr
นโยบายในการปกป้องไฟล์ โครงสร้างพื้นฐาน :
นโยบายเมื่อเขียน รหัส :
READ
สิทธิพิเศษอย่าให้ WRITE
สิทธิพิเศษ. ยึดหลักสิทธิพิเศษน้อยที่สุดการละเมิดความปลอดภัยอาจเกิดขึ้นได้ในบางโอกาสและแม้ว่าจะมีเวลามากมายสำหรับการเรียนรู้ในระหว่างการชันสูตรพลิกศพสิ่งที่สำคัญก็คือมีเส้นทางที่ชัดเจนในการรักษาความปลอดภัยของสินทรัพย์ดิจิทัลทั้งหมด
ใช้เวลาในการจัดทำแผนฉุกเฉินในกรณีที่มีการละเมิดความปลอดภัยเกิดขึ้น พิจารณาการกระทำของคุณในสถานการณ์ต่อไปนี้:
สิ่งที่ต้องรวมไว้ในแผนการตอบสนองของคุณ:
เหตุการณ์ด้านความปลอดภัยเกิดขึ้น สิ่งที่สำคัญคือคุณจัดการกับคำตอบของคุณอย่างไร หนึ่งในคำตอบที่ฉันชอบที่สุดคือในปี 2015 เมื่อ LastPass ออกรหัสผ่านหลักที่บังคับให้รีเซ็ตเมื่อตรวจพบ กิจกรรมเครือข่ายที่ผิดปกติ . ฉันเป็นผู้ใช้ LastPass มานานและแม้ว่าจะเป็น ล่าสุด ปัญหาด้านความปลอดภัยฉันชอบวิธีที่พวกเขาตอบสนองต่อลูกค้าโดยให้ความสำคัญกับความต้องการเป็นอันดับแรก
ขอย้ำ: ไม่มีสิ่งที่เรียกว่าการรักษาความปลอดภัยที่สมบูรณ์แบบ สิ่งสำคัญคือคุณต้องแน่ใจว่าคุณได้ใช้ความพยายามอย่างเหมาะสมเพื่อให้ข้อมูลของคุณปลอดภัย
แนวทางปฏิบัติด้านความปลอดภัยเหล่านี้จะทำให้คุณและทีมจากระยะไกลแฮ็กได้ยากขึ้นอย่างมาก
หากคุณต้องการอ่านเรื่องราวที่แท้จริงของแฮ็กเกอร์ผู้ลี้ภัยที่หลบหนีจากกฎหมายฉันขอแนะนำ ผีในสายไฟ โดย Kevin Mitnick
หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความคิดของอีกฝ่ายฉันขอแนะนำให้อ่าน:
อาชญากรรมของฉันคือความอยากรู้อยากเห็น