portaldacalheta.pt
  • หลัก
  • การจัดการโครงการ
  • การเพิ่มขึ้นของระยะไกล
  • การบริหารโครงการ
  • เครื่องมือและบทช่วยสอน
การบริหารโครงการ

คู่มือแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยสำหรับทีมระยะไกล



เมื่อใดก็ตามที่ฉันบอกเพื่อนว่าฉันทำงานจากระยะไกลให้กับลูกค้าที่ฉันไม่เคยพบพวกเขาจะถามฉันว่า: คุณปลอดภัยไหมที่จะทำงานจากระยะไกล คำตอบของฉันคือ 'ใช่ ... แต่ขึ้นอยู่กับว่าคุณสร้างนโยบายความปลอดภัยของผู้ปฏิบัติงานระยะไกลได้ดีเพียงใด'

ฉันอาศัยอยู่ในปากีสถานซึ่งฉันผลิตโค้ดที่มีคุณค่าให้กับลูกค้าในอีกฟากหนึ่งของโลก ลูกค้าของฉันไม่เคยจับมือฉันหรือเห็นว่าฉันทำงานที่ไหน อย่างไรก็ตามฉันคาดว่าจะมั่นใจได้ว่าความลับของลูกค้าและรหัสยังคงได้รับการปกป้อง ในโลกที่สมาชิกในทีมไม่คุ้นเคยกับใบหน้าหรือน้ำเสียงของคุณคุณจะป้องกันการละเมิดความปลอดภัยได้อย่างไร คำตอบคือ: โดยระมัดระวังให้มาก.



ส่วนหัวนโยบายความปลอดภัยของผู้ปฏิบัติงานระยะไกล



เมื่อไม่นานมานี้เราเชื่อว่าเพื่อรับประกันประสิทธิภาพและความปลอดภัยของแอปพลิเคชันของเราเราจำเป็นต้องเรียกใช้แอปพลิเคชันเหล่านี้ในดาต้าเซ็นเตอร์ส่วนตัวของเรา จากนั้น เมฆ เข้ามาและเราได้รับประโยชน์ด้านต้นทุนและประสิทธิภาพของการเรียกใช้แอปพลิเคชันของเราบนแพลตฟอร์มแบบออนดีมานด์ที่ปรับขนาดได้โดยไม่ต้องดูแลเซิร์ฟเวอร์จำนวนมากในห้อง



ให้ฉันบอกคุณเกี่ยวกับความลับที่รู้จักกันดี:

ไม่มีเมฆ
เป็นแค่คอมพิวเตอร์ของคนอื่น

ตอนนี้ บริษัท ต่างๆเช่น Uber หนึ่ง และ Stripe 2 จัดเก็บและประมวลผลข้อมูลตำแหน่งของลูกค้าแบบเรียลไทม์และบัตรเครดิตและการชำระเงินบนเซิร์ฟเวอร์ของผู้ให้บริการคลาวด์ในขณะที่ปฏิบัติตามมาตรฐานความปลอดภัยที่เข้มงวดเช่นการปฏิบัติตาม PCI โดยใช้นโยบายที่เข้มงวดเพื่อให้มั่นใจว่าข้อมูลการผลิตจะยังคงปลอดภัย



หาก บริษัท ต่างๆสามารถรับประกันได้ว่าสภาพแวดล้อมการผลิตทั้งหมดของพวกเขายังคงปลอดภัยแม้ว่าจะทำงานอยู่นอกศูนย์ข้อมูลส่วนตัวของพวกเขาเราสามารถรับประกันความปลอดภัยของการพัฒนาของคุณโดยใช้ทีมพัฒนาจากระยะไกลได้อย่างแน่นอน ท้ายที่สุดทั้ง บริษัท สามารถทำงานจากระยะไกลได้ทั้งหมด ApeeScape เป็น บริษัท ระยะไกลเท่านั้นและ เรากำลังจ้างงาน .

“ ความปลอดภัย” คืออะไรและฉันจะ“ ปลอดภัย” ได้อย่างไร

ตลอดบทความนี้เมื่อฉันพูดถึง“ ความปลอดภัย” ฉันหมายถึง ความปลอดภัยของข้อมูล .



คำว่า 'ความปลอดภัยของข้อมูล' หมายถึงการปกป้องข้อมูลและระบบสารสนเทศจากการเข้าถึงการใช้การเปิดเผยการหยุดชะงักการปรับเปลี่ยนหรือการทำลายโดยไม่ได้รับอนุญาต - 44 รหัสสหรัฐฯ§ 3542

มี ไม่มีสิ่งที่เรียกว่าการรักษาความปลอดภัยที่สมบูรณ์แบบ แต่“ ปลอดภัย” หมายความว่าคุณได้รับ มาตรการที่เหมาะสม เพื่อบังคับใช้ความปลอดภัยของข้อมูล



โดยเฉพาะอย่างยิ่งเมื่อคุณพูดว่า“ สภาพแวดล้อมการทำงานของฉันปลอดภัย” คุณหมายถึงการบอกว่าคุณได้ใช้มาตรการที่เหมาะสมเพื่อปกป้องข้อมูลรหัสหรือข้อมูลที่เป็นความลับอื่น ๆ ที่อยู่ในความดูแลของคุณและรับรองความถูกต้อง นอกจากนี้คุณยังได้ดำเนินการเพื่อให้แน่ใจว่าสิทธิ์ของคุณในการเข้าถึงระบบข้อมูลที่ละเอียดอ่อนจะไม่ถูกใช้โดยตัวคุณเองหรือบุคคลที่ไม่ได้รับอนุญาตในลักษณะที่เป็นอันตรายต่อเป้าหมายขององค์กรที่เป็นเจ้าของข้อมูลนี้และระบบเหล่านี้

ทีมระยะไกลมีพื้นผิวการโจมตีที่ใหญ่กว่าทีมจากส่วนกลาง ซึ่งแตกต่างจากทีมส่วนกลางที่คุณสามารถล็อกข้อมูลที่เป็นความลับหลังไฟร์วอลล์และเวิร์กสเตชันของ บริษัท ได้ในฐานะผู้ปฏิบัติงานระยะไกลคุณจะได้รับการสนับสนุนหรือแม้กระทั่งจำเป็นต้องนำอุปกรณ์ของคุณมาเอง (BYOD) ยิ่งไปกว่านั้นเนื่องจากการสื่อสารส่วนใหญ่ของคุณเกิดขึ้นทางออนไลน์คุณจึงมีความอ่อนไหวต่อวิศวกรรมสังคมและ การโจรกรรมข้อมูลส่วนตัว . อย่างไรก็ตามด้วยชุดนโยบายที่เหมาะสมคุณสามารถลดความเสี่ยงจากการละเมิดได้อย่างแน่นอน



ไม่มีกระสุนเงินเพื่อความปลอดภัย บ่อยครั้งที่มีการแลกเปลี่ยนระหว่างเฉดสีของความปลอดภัยและความสะดวกสบายและขึ้นอยู่กับคุณที่จะกำหนดว่าคุณต้องการใช้แนวทางปฏิบัติด้านความปลอดภัยของคุณไปไกลแค่ไหน แต่อย่าลืมว่าทีมของคุณมีความปลอดภัยเท่ากับสมาชิกที่อ่อนแอที่สุดเท่านั้น มาดูการโจมตีด้านความปลอดภัยทั่วไปกลยุทธ์การป้องกันและในที่สุดก็พูดคุยเกี่ยวกับตัวอย่างนโยบายเจ้าหน้าที่รักษาความปลอดภัยระยะไกล

การโจมตีฝ่ายตรงข้ามที่พบบ่อยที่สุดสามประเภท

คุณไม่ได้เตรียมพร้อมหากคุณไม่รู้ว่าคุณกำลังจะต้องเจอกับอะไร ฝ่ายตรงข้ามสามารถใช้กลยุทธ์มากมายในการโจมตี แต่ส่วนใหญ่แบ่งออกเป็นสามประเภท แม้ว่ารายการนี้จะไม่ครอบคลุมทั้งหมด แต่เป็นเวกเตอร์การโจมตีทั่วไป 3 ประเภทที่แฮกเกอร์ประสงค์ร้ายอาจใช้:



  • วิศวกรรมสังคม
  • ฟิชชิง
  • การติดมัลแวร์

คุกคามนโยบายความปลอดภัยของผู้ปฏิบัติงานระยะไกลของคุณ

วิศวกรรมสังคม

นอกจากนี้ยังถือว่าเป็นการแฮ็กโดยมนุษย์วิศวกรรมสังคมคือแนวทางปฏิบัติในการจัดการบุคคลให้กระทำในลักษณะที่ไม่เป็นประโยชน์สูงสุด ซึ่งอาจรวมถึงการเปิดเผยข้อมูลที่เป็นความลับ

การโจมตีทางวิศวกรรมสังคมอาจพยายามใช้ประโยชน์จากความเห็นอกเห็นใจของคุณเพื่อพยายามทำให้คุณหลีกเลี่ยงแนวทางปฏิบัติที่ดีหรือสร้างความรู้สึกเร่งด่วนที่พวกเขาทำให้คุณข้ามแนวทางปฏิบัติที่ดีที่สุดโดยกลัวว่าจะมีการกระทำเชิงลบกับคุณหากคุณไม่ปฏิบัติตาม

ตัวอย่างของวิศวกรรมสังคม ได้แก่ :

  • ผู้หญิงคนหนึ่งโทรหาผู้ให้บริการเครือข่ายมือถือและพูดคุยกับตัวแทนฝ่ายสนับสนุนเกี่ยวกับการเปลี่ยนบัญชีของใครบางคนในขณะที่ก คลิป YouTube ทารกร้องไห้เป็นพื้นหลัง .
  • ผู้โจมตีส่งอีเมลถึงซีอีโอผ่านที่อยู่อีเมลของ CFO และอนุญาตก การโอนเงิน 1.8 ล้านดอลลาร์ .

ฟิชชิง

ฟิชชิงเป็นวิธีที่ใช้บ่อยที่สุดในการขโมยข้อมูลรับรองของคุณ ลองนึกภาพเว็บไซต์ที่ดูเหมือน Facebook ที่คุณลงชื่อเข้าใช้โดยคิดว่าเป็นของจริง ฟิชชิงคือการที่ผู้โจมตีสร้างเว็บไซต์ที่ดูถูกต้องตามกฎหมาย แต่ไม่เป็นเช่นนั้น

คุณสามารถมองเห็น Facebook ปลอมได้หรือไม่? คำแนะนำ: เป็นสิ่งที่ไม่ได้อยู่ใน Facebook.com

บางครั้งแฮกเกอร์สามารถวางยาพิษอินเทอร์เน็ตของคุณและฉีดเว็บไซต์ของพวกเขาบนโดเมน Facebook ซึ่งเรียกว่าการโจมตีแบบ Man in The Middle แต่ไม่ต้องกังวลเบราว์เซอร์ของคุณสามารถเตือนคุณได้

Spear phishing เป็นฟิชชิ่งอีกรูปแบบหนึ่งที่อาจมีการกำหนดหน้าฟิชชิ่งสำหรับคุณหรือองค์กรของคุณ สิ่งนี้ทำให้คุณมีแนวโน้มที่จะตกหลุมรักมันมากขึ้นโดยเฉพาะเมื่อรวมกับวิศวกรรมสังคม

ฉันจะเล่าเรื่องราวให้คุณฟัง: ตอนที่ฉันเรียนอยู่ในโรงเรียนมีคนที่เพิ่งเรียนรู้เกี่ยวกับฟิชชิงได้สร้างเว็บไซต์ Facebook ปลอมและเปลี่ยนหน้าแรกในห้องปฏิบัติการคอมพิวเตอร์เป็นการสร้างของเขา สิ่งต่อไปที่เขารู้บุคคลนี้มีรหัสผ่านบัญชี Facebook สามร้อยรหัส การโจมตีนี้มีเป้าหมายที่โรงเรียนของฉันโดยเฉพาะและกลายเป็นการโจมตีแบบฟิชชิ่งแบบหอกที่ประสบความสำเร็จ

และคิดว่ารหัสผ่านเหล่านั้นทั้งหมดจะยังคงปลอดภัยหากมีเพียงใครบางคนใส่ใจที่จะค้นหาที่แถบที่อยู่

การติดมัลแวร์

มีมัลแวร์หลายร้อยประเภท บางอย่างไม่เป็นอันตรายหรือน่ารำคาญ แต่บางอย่างอาจเป็นอันตรายมาก ประเภทของมัลแวร์ที่สำคัญที่สุดที่ต้องระวัง ได้แก่

  • สปายแวร์: ติดตั้งและบันทึกการกดแป้นพิมพ์หน้าจอเสียงและวิดีโอของคุณอย่างเงียบ ๆ
  • Remote Administration Tools (RATs): อนุญาตให้ควบคุมคอมพิวเตอร์ของคุณได้อย่างสมบูรณ์
  • Ransomware: เข้ารหัสไฟล์สำคัญทั้งหมดของคุณและทำให้คุณจ่ายเงินสำหรับคีย์ถอดรหัส

ในการจงใจให้คุณติดตั้งมัลแวร์ที่กำหนดเองในคอมพิวเตอร์ของคุณผู้โจมตีมักใช้วิศวกรรมสังคม:

  • ผู้โจมตี ไดรฟ์ USB ที่ 'สูญหาย' ของพืช รอบที่จอดรถของ บริษัท เพื่อเก็บเกี่ยวข้อมูลรับรองการเข้าสู่ระบบของพนักงาน
  • ชายคนหนึ่งที่ทำกาแฟหกใส่เรซูเม่ขอให้พนักงานต้อนรับพิมพ์สำเนาของบางอย่างให้เขาเนื่องจากเขามีการสัมภาษณ์จึงทำให้คอมพิวเตอร์ของ บริษัท ติดไวรัสจากข้อมูลที่เป็นอันตรายใน USB (ตัวอย่างจาก ศิลปะการแฮ็กของมนุษย์ ).

เจ็ดกลยุทธ์การป้องกันไซเบอร์ที่คุณต้องการตอนนี้

เราได้พูดถึงวิธีการโจมตีของฝ่ายตรงข้ามที่พบบ่อยที่สุด แต่เราจะปลอดภัยจากวิธีการเหล่านี้ได้อย่างไร

กลยุทธ์ที่ 1: การจัดการรหัสผ่านที่เหมาะสม

ฉันเกลียดรหัสผ่าน ที่นั่นฉันพูดมัน ฉันเชื่อมั่นว่าการใช้ชื่อผู้ใช้และรหัสผ่านร่วมกันเป็นรูปแบบการตรวจสอบผู้ใช้ที่อ่อนแอที่สุดที่มีอยู่ รหัสผ่านไม่ได้เป็นอะไรมากไปกว่าสตริงอักขระสั้น ๆ ที่สร้างขึ้นโดยตัวสร้างหมายเลขเทียมที่เลวร้ายที่สุดที่มีอยู่นั่นคือจิตใจของมนุษย์

ฉันต้องการคำลับใช่ไหม แล้วชื่อกลางและปีเกิดของฉันไม่มีใครเดาได้แน่นอน! - มนุษย์ทุกคน

ที่แย่ไปกว่านั้นคือเพื่อความสะดวกผู้คนมักจะใช้รหัสผ่านซ้ำเพื่อความสะดวก นั่นทำให้บางคนสามารถใช้รหัสผ่านเดียวกันสำหรับการเข้าสู่ระบบธนาคารและ WiFi ที่บ้านได้ ในขณะที่ทำให้รหัสผ่านลงท้ายด้วยชื่อวงดนตรีโปรดของพวกเขา . สยองขวัญ!

ปีที่แล้วฉันตัดสินใจที่จะทำสิ่งต่อไปนี้:

  1. ใช้โปรแกรมจัดการรหัสผ่าน
  2. ใช้ข้อความรหัสผ่านที่คาดเดายากแทนรหัสผ่าน

ใช้ Password Manager

เมื่อฉันบอกว่ามีการแลกเปลี่ยนระหว่างเฉดสีของความปลอดภัยและความสะดวกสบายมันใช้ไม่ได้กับที่นี่ ไม่ว่าคุณจะปลอดภัยและใช้โปรแกรมจัดการรหัสผ่านหรือไม่ก็ตาม ไม่มีในระหว่าง คุณจำเป็นต้องใช้โปรแกรมจัดการรหัสผ่านเพื่อความปลอดภัยของรหัสผ่านที่ดี ฉันจะอธิบาย

  1. รหัสผ่านทั้งหมดของคุณไม่ซ้ำกันหรือไม่?
  2. หากฉันค้นพบรหัสผ่านบางส่วนของคุณรหัสผ่านส่วนที่เหลือของคุณจะยังคงปลอดภัยหรือไม่
  3. รหัสผ่านทั้งหมดของคุณถูกสร้างขึ้นโดยใช้เอนโทรปีอย่างน้อย 32 บิตหรือไม่?
  4. รหัสผ่านของคุณถูกเก็บไว้ในรูปแบบที่เข้ารหัสหรือไม่?
  5. คุณจำรหัสผ่านเดียวทุกรหัสที่คุณเคยใช้เมื่อสมัครได้หรือไม่
  6. คุณคิดบวกสำหรับการรั่วไหลของรหัสผ่านที่ เว็บไซต์นี้ เหรอ?

หากคุณตอบว่า“ ไม่” สำหรับคำถามใด ๆ ข้างต้นคุณต้องมีผู้จัดการรหัสผ่าน ผู้จัดการรหัสผ่านที่ดีจะสุ่มสร้างรหัสผ่านให้คุณและจัดเก็บอย่างปลอดภัย ไม่สำคัญว่าคุณจะใช้ตัวจัดการรหัสผ่านใดตราบเท่าที่คุณใช้!

ฉันใช้ LastPass เพราะฉันชอบความโปร่งใสในการรายงานเหตุการณ์ของพวกเขาความสามารถในการแบ่งปันข้อมูลรับรองของฉันกับเพื่อน ๆ และเพิกถอนการแบ่งปันได้ทุกเมื่อที่ฉันต้องการและฉันชอบที่การซิงค์มือถือเป็นส่วนหนึ่งของแผนบริการฟรีของพวกเขา

ฉันใช้ LastPass มาหลายปีแล้วและความท้าทายด้านความปลอดภัยของพวกเขาบอกว่าฉันอยู่ในกลุ่มผู้ใช้ที่ใส่ใจด้านความปลอดภัยสูงสุด 1%

รหัสผ่านที่ชัดเจนแทนที่จะเป็นรหัสผ่าน

tl; dr: ใช้ นี้ เพื่อสร้างข้อความรหัสผ่าน 12 คำก็น่าจะเพียงพอแล้ว

สิ่งนี้อาจฟังดูขัดจังหวะเนื่องจากฉันขอให้คุณใช้โปรแกรมจัดการรหัสผ่านข้างต้น แต่มีบางกรณีที่หลีกเลี่ยงรหัสผ่านไม่ได้: คุณจะต้องมีรหัสผ่านหลักที่รัดกุมสำหรับผู้จัดการรหัสผ่านของคุณหรือเพื่อเข้าสู่ระบบคอมพิวเตอร์ของคุณ ในกรณีเหล่านี้ให้ใช้ข้อความรหัสผ่านที่ปลอดภัยและน่าจดจำซึ่งมีเอนโทรปีสูง

เมื่อพูดถึงเอนโทรปีเรามาพูดถึงเรื่องนี้กัน “ เอนโทรปี” ที่ฉันพูดถึงคืออะไร?

เอนโทรปีเป็นพารามิเตอร์ทางสถิติที่ใช้วัดในแง่หนึ่งว่าข้อมูลถูกสร้างขึ้นโดยเฉลี่ยเท่าใดสำหรับตัวอักษรแต่ละตัวของข้อความในภาษา หากภาษาถูกแปลเป็นเลขฐานสอง (0 หรือ 1) ด้วยวิธีที่มีประสิทธิภาพสูงสุดเอนโทรปี H คือจำนวนเลขฐานสองโดยเฉลี่ยที่ต้องการต่อตัวอักษรของภาษาต้นฉบับ - Claude Shannon

ไม่เป็นไรถ้าคำพูดนั้นย่อยยาก โดยทั่วไปเอนโทรปีสำหรับรหัสผ่านซึ่งสุ่มเลือกจากชุดคือจำนวนองค์ประกอบทั้งหมดในชุดที่แสดงในฐาน 2 ตัวอย่างเช่นหากคุณมีรหัสผ่านยาว 4 อักขระที่มีได้เฉพาะอักษรตัวพิมพ์เล็กเอนโทรปีสำหรับ รหัสผ่านที่สร้างแบบสุ่มจะเป็น 19 บิตเนื่องจาก:

  1. มี 26 องค์ประกอบในตัวอักษรพิมพ์เล็ก
  2. สตริงอักขระ 4 ตัวที่ประกอบด้วยตัวอักษรเหล่านั้นคือ 26^4 = 456,976
  3. 456,976 แสดงในฐาน 2 คือ log(456,976) / log(2) = 19 บิต (ปัดเศษเป็นบิตที่ใกล้ที่สุด)

ปัญหาเกี่ยวกับรหัสผ่านเอนโทรปีที่สูงคือรหัสผ่านที่จำยากเช่น c05f$KVB#*6y เพื่อให้น่าจดจำยิ่งขึ้นถ้าแทนที่จะใช้ตัวอักษรเดี่ยวเราใช้ทั้งคำแทน และใช้พจนานุกรมพันคำ? ทันใดนั้นตัวอักษรของเราก็มีความยาวเป็นพันองค์ประกอบและเราสามารถบรรลุเอนโทรปีเดียวกันได้ใน 7 คำที่มี 11 ตัวอักษร

ความแตกต่างตอนนี้คือแทนที่จะใช้บัตรผ่าน คำ เรากำลังใช้บัตร วลี ซึ่งมีความยาวมากขึ้น

การ์ตูน XKCD ต่อไปนี้อธิบายแนวคิดนี้ได้ดีที่สุด:

รหัสผ่านและรหัสผ่าน

วิธีที่ง่ายที่สุดในการสร้างข้อความรหัสผ่านแบบสุ่มที่ปลอดภัยคือไป ที่นี่ .

กลยุทธ์ที่ 2: ใช้การรับรองความถูกต้องแบบหลายปัจจัย (MFA)

Two-factor Authentication (2FA) หรือการยืนยันแบบ 2 ขั้นตอนล้วนเป็นชื่อเดียวกัน นี่เป็นหนึ่งในสิ่งเหล่านั้นที่ต้องทำความคุ้นเคยเล็กน้อย แต่ประโยชน์ด้านความปลอดภัยของ 2FA นั้นเกินค่าใช้จ่ายไปมากและได้ช่วยฉันจากการละเมิดบัญชีถึงสองครั้ง

แนวคิดเบื้องหลัง MFA นั้นง่ายมาก มีสามสิ่งที่เราสามารถใช้เพื่อรับรองความถูกต้องของคุณ:

คู่มือเตรียมสอบใบรับรองบริการเว็บ amazon
  1. สิ่งที่คุณรู้ (ความลับ)
  2. สิ่งที่คุณมี (โทเค็น)
  3. สิ่งที่คุณเป็น (ชีววิทยาของคุณ)

การใช้สองอย่างนั้นปลอดภัยกว่าการใช้เพียงอย่างเดียว

เว็บไซต์ส่วนใหญ่สนับสนุนปัจจัยแรกของการตรวจสอบสิทธิ์โดยต้องใช้รหัสผ่าน แต่จำนวนบริการที่เพิ่มขึ้นได้เริ่มรองรับปัจจัยที่สองเช่นกัน ปัจจัยที่สามมักจะถูกทิ้งไว้โดยบริการบนเว็บเนื่องจากต้องใช้ฮาร์ดแวร์เฉพาะ เช่นเซ็นเซอร์ลายนิ้วมือบนโทรศัพท์ของคุณ

หากคุณเป็นผู้ดูแลระบบของทีมให้พิจารณาสร้างนโยบายบังคับเพื่อให้ผู้ใช้ตั้งค่า 2FA ได้ เพื่อให้แน่ใจว่าการบุกรุกรหัสผ่านจะไม่ส่งผลให้บัญชีถูกบุกรุก

“ สิ่งที่คุณมี” ยอดนิยมมีสองรูปแบบ:

  1. โทรศัพท์ของคุณ
  2. คีย์ U2F

ใช้โทรศัพท์ของคุณสำหรับ 2FA

ฉันอยากจะพูดแบบนี้ทันที: อย่าใช้รหัส SMS สำหรับ 2FA กลายเป็นเรื่องปกติที่ผู้ไม่ประสงค์ดีจะขโมยหมายเลขโทรศัพท์ของคุณ เรื่องราว เกือบจะเหมือนกันทุกครั้ง: โซเชียลบางคนออกแบบผู้ให้บริการในการย้ายหมายเลขโทรศัพท์ของคุณไปยังผู้ให้บริการรายอื่น ฉันรู้จักคนอย่างน้อยหนึ่งคนที่ตกเป็นเหยื่อของการโจมตีนี้

ให้ใช้รหัสผ่านแบบครั้งเดียวตามเวลา (TOTP) หรือที่เรียกว่าเมธอด“ Google Authenticator” แทน อย่างไรก็ตามแทนที่จะใช้ Google Authenticator ฉันขอแนะนำให้ใช้ Authy เนื่องจากเข้ารหัสและสำรองข้อมูลโทเค็น 2FA ของคุณบนคลาวด์ จากนั้นคุณสามารถกู้คืนโทเค็น 2FA ของคุณได้แม้ว่าคุณจะเปลี่ยนอุปกรณ์ก็ตาม ... ในความเป็นจริงคุณสามารถใช้โทเค็นเดียวกันบนอุปกรณ์หลายเครื่อง สะดวกมาก

ใช้ปุ่ม U2F สำหรับ 2FA

นี่เป็นวิธี 2FA ที่ง่ายและทรงพลังที่สุด ฉันมี Yubikey Neo ที่สามารถใช้กับโทรศัพท์และคอมพิวเตอร์ของฉันได้ ในการพิสูจน์ตัวตนของฉันฉันเพียงแค่เสียบโทเค็นฮาร์ดแวร์ของฉันแล้วกดปุ่ม โทเค็นของฉันไม่เหมือนใครและเป็นโทเค็นทางกายภาพ ฉันสามารถพกไว้กับพวงกุญแจหรือกระเป๋าสตางค์ก็ได้

ยุทธศาสตร์ที่ 3: ความระมัดระวังอย่างต่อเนื่อง

ไม่ว่าคุณจะเชื่อว่าคุณปลอดภัยแค่ไหน แต่ความสงสัยก็เป็นสิ่งที่ดี ระวังคนที่ขอให้คุณทำอะไรที่ไม่ธรรมดา คุณได้รับข้อความจากคนที่ขอให้คุณรีเซ็ตรหัสผ่านหรือไม่? รอสักครู่แล้วเริ่มแฮงเอาท์วิดีโอกับพวกเขา ขอให้พวกเขาพิสูจน์ตัวตน ไม่มีใครจับผิดคุณได้เพราะระมัดระวังตัว

ไม่ใช่เรื่องหวาดระแวงหากพวกเขาออกไปหาคุณจริงๆ - Harold Finch บุคคลที่น่าสนใจ

พวกเขาพร้อมที่จะรับคุณจริงๆ บางครั้งก็ไม่มีเหตุผลที่ผู้ใช้ที่ประสงค์ร้ายจะทำในสิ่งที่ทำนอกเหนือจากความตั้งใจที่จะทำ

เพื่อนคนหนึ่งของฉันเคยได้รับข้อความจากคนรู้จักเก่าที่ถามว่าพวกเขาต้องการเป็น 'ผู้ติดต่อที่เชื่อถือได้' บน Facebook หรือไม่ เพื่อนของฉันเห็นด้วยและถูกขอให้ตอบกลับพร้อมกับรหัสที่พวกเขาจะได้รับทางโทรศัพท์ซึ่งเพื่อนของฉันให้มาในทันที ... และนั่นคือวิธีที่เพื่อนของฉันได้รับการออกแบบทางสังคมเพื่อให้โทเค็นรีเซ็ตสำหรับบัญชี Gmail ของเธอ ถ้าเพื่อนของฉันเฝ้าระวังตั้งแต่แรกเธอจะไม่ทำอีเมลหาย

ยุทธศาสตร์ที่ 4: ออกแบบระบบตามหลักการสิทธิพิเศษน้อยที่สุด

หลักการของสิทธิพิเศษน้อยที่สุดกำหนดให้ในชั้นนามธรรมเฉพาะของสภาพแวดล้อมคอมพิวเตอร์ทุกโมดูล (เช่นกระบวนการผู้ใช้หรือโปรแกรมขึ้นอยู่กับหัวเรื่อง) ต้องสามารถเข้าถึงได้เฉพาะข้อมูลและทรัพยากรที่จำเป็นเท่านั้น เพื่อวัตถุประสงค์ที่ถูกต้องตามกฎหมาย - วิกิพีเดีย

หากผู้ใช้แอปพลิเคชันหรือบริการไม่ต้องการสิทธิ์บางอย่างอย่าให้สิทธิ์แก่ผู้ใช้ คุณสามารถได้รับกฎมากมายจากหลักการนี้ แต่ฉันจะบันทึกไว้สำหรับหัวข้อถัดไปเกี่ยวกับนโยบายความปลอดภัย

ให้ฉันเล่าเรื่องราวให้คุณฟัง: ครั้งหนึ่งฉันเคยออกแบบแอปพลิเคชันที่รับการชำระเงินด้วย Bitcoin จากผู้ใช้ตามที่อยู่ที่สร้างขึ้นโดยเฉพาะสำหรับพวกเขาแล้วส่งต่อไปยังที่อยู่ที่จัดเก็บข้อมูลส่วนกลางที่ปลอดภัย หากคุณไม่คุ้นเคยกับวิธีการทำงานของ Bitcoin นี่คือคำอธิบายที่เข้าใจง่าย: คุณต้องมีคีย์สาธารณะเพื่อรับ Bitcoin (เช่นหมายเลขบัญชี) และคีย์ส่วนตัวที่เกี่ยวข้องเพื่อใช้จ่าย (เช่นพินบัญชี) หมายเลขบัญชีและพินใน Bitcoin เชื่อมโยงกันแบบเข้ารหัสและไม่สามารถเปลี่ยนแปลงได้

ฉันมีหลายทางเลือกในการออกแบบระบบนี้ แต่ฉันตัดสินใจใช้เส้นทางที่ยาวกว่าเล็กน้อย ฉันตัดสินใจว่าในการแจ้งให้ผู้ใช้ชำระเงินแอปพลิเคชันไม่จำเป็นต้องเข้าถึงคีย์ส่วนตัว ดังนั้นแทนที่จะออกแบบระบบขนาดใหญ่ระบบเดียวที่จะรับและส่งต่อการชำระเงิน Bitcoin ฉันจึงสร้างสองระบบ:

  1. ระบบรับ: สิ่งนี้ได้รับ Bitcoin จากผู้ใช้และโฮสต์บนอินเทอร์เน็ตสาธารณะ มีเพียงกุญแจสาธารณะสำหรับที่อยู่
  2. ระบบส่งต่อ: นี่เป็นระบบที่เป็นอิสระอย่างสมบูรณ์และถูกล็อคโดยมีหน้าที่เพียงอย่างเดียวคือเฝ้าดูเครือข่าย Bitcoin เพื่อทำธุรกรรมตามที่อยู่และส่งต่อไปยังที่อยู่ที่ปลอดภัย มีทั้งคีย์สาธารณะและคีย์ส่วนตัวสำหรับที่อยู่

ไม่นานต่อมาหลังจากที่ฉันหยุดดูแลแอประบบรับสาธารณะก็ถูกละเมิด ฉันปิดมันทันที แต่ผู้โจมตีไม่เคยขโมย Bitcoin เพราะระบบสาธารณะไม่มีคีย์ส่วนตัวเลย

กลยุทธ์ที่ 5: ใช้ Common Sense Best Practices

การปฏิบัติบางอย่างไม่จำเป็นต้องมีคำอธิบาย คุณอาจรู้ว่าพวกเขามีความสำคัญ แต่ฉันรู้สึกประหลาดใจอยู่ตลอดเวลาที่มีคนจำนวนมาก (รวมถึงตัวฉันเอง) ลืมที่จะพลิกสวิตช์สองสามตัว ฉันจะทิ้งรายการตรวจสอบไว้ที่นี่:

  1. เปิดไฟร์วอลล์ของคุณ
  2. เข้ารหัสดิสก์ของคุณ
  3. เปิดใช้งานการสำรองข้อมูลที่เข้ารหัส
  4. ใช้คีย์ SSH
  5. ใช้การเชื่อมต่ออินเทอร์เน็ตที่ปลอดภัย

เปิดไฟร์วอลล์ของคุณ

ไฟร์วอลล์ควบคุมการรับส่งข้อมูลเครือข่ายเข้าและออกจากคอมพิวเตอร์ของคุณตามชุดของกฎ ทำงานโดยถามคุณอย่างชัดเจนว่าจะอนุญาตให้โปรแกรมใหม่เข้าถึงเครือข่ายของคุณหรือไม่และเป็นแนวป้องกันแรกของคุณหรือไม่

ระบบปฏิบัติการของคุณน่าจะมาพร้อมกับไฟร์วอลล์ในตัวตรวจสอบให้แน่ใจว่าเปิดอยู่

เข้ารหัสดิสก์ของคุณ

การเข้ารหัสดิสก์แบบเต็มคือความสามารถอันมหัศจรรย์นี้ในการแสดงเนื้อหาในดิสก์ทั้งหมดของคุณโดยไร้ประโยชน์หากไม่มีรหัสผ่านของคุณ ในกรณีที่แล็ปท็อปของคุณสูญหายหรือถูกขโมยคุณสามารถมั่นใจได้ว่าจะไม่มีใครเข้าถึงข้อมูลของคุณได้ การเปิดใช้งานทำได้ง่ายเพียงแค่เปิดเครื่อง FileVault บน Mac

โทรศัพท์มือถือสมัยใหม่ยังเปิดใช้การเข้ารหัสดิสก์แบบเต็มตามค่าเริ่มต้น

เข้ารหัสข้อมูลสำรองของคุณ

ฮาร์ดแวร์ล้มเหลวเป็นความจริงของชีวิต เครื่องของคุณจะล้มเหลวในวันหนึ่งหรือไวรัสจะติดพีซีของคุณหรือ (สั่น) ไวรัส ransomware จะเข้ายึดพีซีของคุณ แต่ในฐานะที่เป็นคนชอบปฏิบัติคุณอาจมีการตั้งค่าโฟลว์สำรองอยู่แล้วฉันแน่ใจว่า ... ไม่มีคุณ?

อย่างไรก็ตามแม้จะมีการสำรองข้อมูลของคุณคุณก็ต้องระมัดระวัง ตรวจสอบให้แน่ใจว่าข้อมูลสำรองของคุณได้รับการเข้ารหัสเพื่อให้แม้ว่าข้อมูลเหล่านั้นสูญหายหรือถูกขโมยคุณสามารถมั่นใจได้ว่าคุณได้ใช้มาตรการที่เหมาะสมเพื่อปกป้องความปลอดภัยของข้อมูลที่คุณได้รับความไว้วางใจ

หากคุณมี Mac แอพ Time Machine บน Mac ของคุณจะเข้ารหัสข้อมูลสำรองโดยอัตโนมัติ

ใช้คีย์ SSH

หากคุณนำสิ่งใดไปจากบทความนี้ให้หยุดใช้รหัสผ่านเพื่อ SSH ในเครื่อง รหัสผ่านเป็นเรื่องยากที่จะแบ่งปันและหากเคยรั่วไหลทั้งเครื่องของคุณก็จะถูกบุกรุก ให้สร้างคีย์ SSH แทนโดยเรียกใช้ ssh-keygen

ในการเข้าสู่เครื่องระยะไกลเพียงแค่คัดลอกเนื้อหาในเครื่องของคุณ ~/.ssh/id_rsa.pub ถึง ~/.ssh/authorized_keys ในเครื่องระยะไกล คุณอาจต้องรีสตาร์ทบริการ SSH บนเครื่องระยะไกล แต่ก็เสร็จแล้ว

เพิ่มคีย์ SSH ของทีมคุณทั้งหมดในเครื่องระยะไกลและจะไม่มีใครต้องพิมพ์รหัสผ่านอีก การเพิกถอนคีย์ของสมาชิกในทีมทำได้ง่ายๆเพียงแค่ถอดคีย์ออกจากเครื่องระยะไกล

ใช้การเชื่อมต่ออินเทอร์เน็ตที่ปลอดภัย

เมื่อคุณแชร์การเชื่อมต่ออินเทอร์เน็ตกับบุคคลอื่นคุณจะแชร์มากกว่าแบนด์วิดท์ของคุณ ขึ้นอยู่กับการกำหนดค่าของเว็บไซต์และอินเทอร์เน็ตของคุณอย่างน้อยที่สุดก็สามารถตรวจจับได้ว่าคุณเข้าเยี่ยมชมเว็บไซต์ใดและที่แย่ที่สุดก็คืออ่านข้อมูลทั้งหมดที่คุณส่งรวมถึงรหัสผ่านข้อความหรืออีเมล

วิธีนี้ง่ายมากในการเปิดใช้งานและง่ายต่อการทำเลอะเช่นกัน ใช้ความระมัดระวังตามสมควรเพื่อให้แน่ใจว่าการเชื่อมต่อของคุณเป็นแบบส่วนตัว ตรวจสอบให้แน่ใจว่าไม่มีใครที่ไม่ได้รับอนุญาตเข้าถึงการเชื่อมต่ออินเทอร์เน็ตของคุณ

ใช้ WPA2 เพื่อใช้รหัสผ่านเพื่อป้องกัน WiFi ส่วนตัวของคุณเองและหากคุณกำลังทำงานจากร้านกาแฟในพื้นที่ (หรือ WiFi สาธารณะใด ๆ ) จะถือว่าคุณถูกเฝ้าดูและใช้พร็อกซี VPN

ฉันลังเลที่จะใช้ VPN ตามการสมัครสมาชิกโดยเฉพาะอย่างยิ่งเนื่องจากการใช้งาน VPN ของคุณเองนั้นง่ายมาก ใช้สิ่งนี้ โซลูชัน VPN แบบบรรทัดเดียว เป็นเจ้าภาพของคุณเอง

ยุทธศาสตร์ที่ 6: รักษาความลับด้วยความระมัดระวัง

ไม่ควรเปิดเผยความลับ นั่นคือเหตุผลที่พวกเขาเรียกว่า ความลับ . อย่างไรก็ตามคุณมีความผิดในการส่งรหัสผ่านไปยังฐานข้อมูล PostgreSQL ที่ใช้งานจริงผ่าน Facebook Messenger กี่ครั้ง? ตรวจสอบให้แน่ใจว่าคุณ:

  • เข้ารหัสความลับระหว่างการส่ง
  • หมุนบ่อยๆ

เข้ารหัสความลับระหว่างการส่ง

หากคุณต้องแชร์ความลับผ่านช่องทางต่างๆเช่นแชทตรวจสอบให้แน่ใจว่ามีการเข้ารหัส ในแบบฝึกหัดให้ไปที่ไคลเอนต์แชทที่ใช้บ่อยและเก่าแก่ที่สุดของคุณ อาจเป็นข้อความ Facebook หรือ Whatsapp ไม่ว่าจะเป็นอะไรให้เปิดและค้นหาวลี 'รหัสผ่าน' ในข้อความของคุณ

หากความลับเหล่านี้ได้รับการเข้ารหัสความลับเหล่านี้จะไม่สามารถใช้ได้กับทุกคนที่สามารถเข้าถึงข้อความของคุณได้

หมุนความลับบ่อยๆ

ยิ่งมีความลับอยู่นานขึ้นหรือมีการแชร์มากขึ้นความลับก็ยิ่งมีโอกาสถูกบุกรุกมากขึ้น ถือเป็นแนวทางปฏิบัติที่ดีในการหมุนเวียนความลับและรหัสผ่านหลังจากช่วงเวลาหนึ่ง

ยุทธศาสตร์ที่ 7: สร้างรหัสประจำตัวในการเข้ารหัส

นี่เป็นกลยุทธ์ขั้นสูงอย่างแน่นอน แต่โดยส่วนตัวแล้วฉันไม่เข้าใจว่าเหตุใดจึงไม่ใช่แนวทางปฏิบัติที่แพร่หลาย พิจารณาสิ่งนี้: เพื่อนร่วมงานของคุณเชื่อว่าคุณถูกบุกรุก พวกเขาส่งข้อความถึงตัวคุณจริงได้อย่างไร? หากมีคนจากอินเทอร์เน็ตต้องแชร์ข้อมูลช่องโหว่ที่สำคัญพวกเขาจะส่งข้อมูลอย่างปลอดภัยได้อย่างไร คุณจะมั่นใจได้อย่างไรว่าพนักงานของคุณแบ่งปันข้อมูลอย่างปลอดภัยระหว่างการส่งต่อ?

ตัวอย่างที่ฉันชอบคือ Coinbase’s โปรไฟล์คีย์เบส โดยพวกเขาลงนามในคีย์ PGP ของพนักงานแบบเข้ารหัส พวกเขาก้าวไปไกลกว่านี้และให้ แผนกการปฏิบัติตามคีย์ PGP . อย่างจริงจัง Coinbase เยี่ยมมาก!

สำหรับฉันโดยส่วนตัวในกรณีที่มีคนสงสัยตามสมควรว่าข้อมูลประจำตัวออนไลน์ของฉันถูกบุกรุกเพียงขอให้ฉันลงชื่อในข้อความโดยใช้คีย์ PGP ที่มีอยู่ใน คีย์เบส ข้อมูลส่วนตัว. ฉันเป็นคนเดียวที่สามารถเข้าถึงคีย์ PGP นี้ได้และฉันได้ใช้ความระมัดระวังตามสมควรเพื่อให้แน่ใจว่าคีย์นี้ยังคงปลอดภัยแม้ว่าข้อมูลประจำตัวอื่น ๆ ของฉันจะถูกบุกรุกก็ตาม

หากมีข้อสงสัยเกี่ยวกับความถูกต้องของข้อความโปรดขอให้ฉันเซ็นชื่อ หากคุณต้องการส่งความลับให้ฉันเข้ารหัสด้วยคีย์สาธารณะของฉัน

ใช้นโยบายความปลอดภัยของผู้ปฏิบัติงานระยะไกลที่ชัดเจน

นโยบายความปลอดภัยคือคำจำกัดความของความหมายของความปลอดภัยสำหรับระบบองค์กรหรือหน่วยงานอื่น ๆ สำหรับองค์กรจะกล่าวถึงข้อ จำกัด เกี่ยวกับพฤติกรรมของสมาชิกตลอดจนข้อ จำกัด ที่กำหนดไว้กับฝ่ายตรงข้ามโดยกลไกต่างๆเช่นประตูล็อคกุญแจและกำแพง - Wikipedia

นโยบายความปลอดภัยเป็นกฎบังคับหรือโปรโตคอลที่ต้องปฏิบัติตามเมื่อดำเนินการ กลยุทธ์ข้างต้นมีประโยชน์ แต่เพื่อให้ง่ายต่อการปฏิบัติตามควรตั้งกฎที่ตรงไปตรงมาให้ทีมของคุณปฏิบัติตาม การรักษาความปลอดภัยยุ่งเหยิงยากขึ้นเมื่อทีมของคุณรู้แน่ชัดว่าต้องทำอะไร

เรามาดูตัวอย่างนโยบายความปลอดภัยของผู้ปฏิบัติงานระยะไกลที่จะนำไปใช้กัน

นโยบายที่จะนำไปใช้สำหรับไฟล์ พนักงาน :

  • NDA และสัญญา: ตรวจสอบให้แน่ใจว่าไม่มีพนักงานเข้าถึงทรัพยากรที่เป็นความลับใด ๆ โดยไม่มีพื้นฐานทางกฎหมายที่เหมาะสม
  • ข้อมูลการติดต่อในกรณีฉุกเฉิน: ลบข้อมูลการติดต่อแบบเต็มและกรณีฉุกเฉินของพนักงานของคุณในกรณีที่สมาชิกทีมที่อยู่ห่างไกลไม่ตอบสนอง
  • ให้สิทธิพิเศษเฉพาะ: หากสมาชิกในทีมของคุณไม่ต้องการเข้าถึงบางพื้นที่เพื่อทำหน้าที่ของตนอย่าให้สิทธิ์เข้าถึง สมาชิกของทีมขายไม่จำเป็นต้องเข้าถึงที่เก็บรหัสของคุณ
  • ผู้จัดการรหัสผ่าน: ตรวจสอบให้แน่ใจว่าพนักงานของคุณสามารถเข้าถึงตัวจัดการรหัสผ่านได้
  • นโยบายการตรวจสอบสิทธิ์ที่เข้มงวด
    • ความปลอดภัยของรหัสผ่านน้อยที่สุด: ฉันเกลียดรหัสผ่านเป็นการส่วนตัวและสำหรับองค์กรที่ฉันเป็นผู้ดูแลระบบฉันต้องการรหัสผ่านที่มีอักขระที่เป็นตัวเลขและตัวอักษรอย่างน้อยห้าสิบตัว การปฏิบัติตามนโยบายนี้เป็นเรื่องเล็กน้อยหากคุณใช้โปรแกรมจัดการรหัสผ่าน
    • รีเซ็ตรหัสผ่านบังคับ: ตรวจสอบให้แน่ใจว่ารหัสผ่านของพนักงานของคุณหมดอายุบ่อยครั้งเพื่อหมุนเวียนความลับบ่อยๆ
    • การรับรองความถูกต้องด้วยสองปัจจัย : ใช้ 2FA ได้ทุกที่
  • คีย์ PGP
  • ฮาร์ดดิสก์ที่เข้ารหัส
  • การสำรองข้อมูลที่เข้ารหัส

พนักงานลาออก แต่ไม่ควรนำข้อมูลของคุณไปด้วย ปรับใช้นโยบายเหล่านี้เพื่อรักษาไว้ ข้อมูล แม้ว่าพนักงานของคุณจะลาออกจาก บริษัท :

จะฟังอะไรด้วย sdr
  • บัญชีอีเมลขององค์กร: การให้บัญชีอีเมลของพนักงานในโดเมนของคุณเองทำให้คุณสามารถปิดใช้งานและตรวจสอบการสื่อสารของพวกเขาได้
  • การสื่อสารตามเวลาจริง: แม้ว่าอีเมลจะดีมาก แต่บางครั้งทีมของคุณก็จำเป็นต้องพูดคุยแบบเรียลไทม์ ตรวจสอบให้แน่ใจว่าทีมของคุณมีช่อง Slack หรือ IRC แบบรวมศูนย์ วิธีนี้ช่วยให้คุณสามารถปิดใช้งานหรือตรวจสอบการสื่อสารของพวกเขาได้ตามต้องการ
  • ที่เก็บรหัสส่วนกลาง: ตรวจสอบให้แน่ใจว่ารหัส บริษัท ทั้งหมดถูกเก็บไว้ในที่เก็บรหัส บริษัท แผนของ บริษัท เกี่ยวกับข้อเสนอ SaaS สาธารณะเช่น GitHub นั้นใช้ได้จนกว่าคุณจะต้องมีการควบคุมรหัสพนักงานทั้งหมดอย่างละเอียด ในกรณีหลังนี้ให้พิจารณารับอินสแตนซ์ GitLab ของคุณเอง

นโยบายในการปกป้องไฟล์ โครงสร้างพื้นฐาน :

  • ปรับปรุงระบบ: มีการค้นพบและแก้ไขช่องโหว่ด้านความปลอดภัยทุกวันจึงเป็นหน้าที่ของคุณที่จะต้องดำเนินการแก้ไขปัญหาเหล่านี้ ไม่มีอะไรแย่ไปกว่าการพบว่าการละเมิดเกิดจากช่องโหว่ที่ได้รับการแก้ไขเมื่อสัปดาห์ก่อน
  • ล็อกสภาพแวดล้อมการผลิตและการจัดเตรียม: พนักงานไม่ควรมีสิทธิ์เข้าถึงสภาพแวดล้อมการผลิตหรือการจัดเตรียม บางครั้งพวกเขาก็แค่ ยุ่ง ขึ้น .
  • สร้างโฟลว์ CI / CD ที่แข็งแกร่ง: คุณต้องการปรับใช้โค้ดที่“ ดี” อยู่เสมอและกระบวนการ CI / CD ที่ตรงไปตรงมาจะช่วยให้มั่นใจได้เสมอ
  • ปกป้องที่เก็บที่มีความสุข: หากคุณมีกระบวนการ CI / CD อัตโนมัติตรวจสอบให้แน่ใจว่าที่เก็บข้อมูลที่ได้รับพรของคุณสามารถแก้ไขได้โดยผู้จัดการโครงการเท่านั้น
  • กำหนดกระบวนการตรวจสอบ: เพื่อให้แน่ใจว่าไม่มีโค้ดที่“ ไม่ดี” ทำให้ไม่มีใครสังเกตเห็นให้สร้างกระบวนการตรวจสอบ สิ่งนี้สามารถทำได้ง่ายเพียงแค่ต้องการแสดงความคิดเห็น 'ดูดีสำหรับฉัน' (LGTM) ที่เป็นอิสระในตอนท้ายก่อนที่จะรวมเข้าด้วยกัน
  • คีย์ SSH: ในโอกาสที่แอปพลิเคชันของคุณต้องการให้เข้าถึง SSH ตรวจสอบให้แน่ใจว่าพวกเขาใช้คีย์ SSH แทนรหัสผ่าน
  • พิจารณาทิ้ง BYOD: ทีมงบประมาณอาจคิดว่า BYOD เป็นนวัตกรรมด้านนโยบายที่ดีที่สุดเนื่องจากสำนักงานปลอดกระดาษ แต่ถ้าคุณสามารถจ่ายได้ให้พิจารณาจัดหาทีมของคุณด้วยเครื่องจักรขององค์กรที่คุณสามารถใช้นโยบายความปลอดภัยที่เข้มงวดได้
  • การสำรองข้อมูลที่เข้ารหัส: ข้อมูลของคุณมีความสำคัญ

นโยบายเมื่อเขียน รหัส :

  • ไม่มีความลับในรหัส: เนื่องจากลักษณะของการควบคุมเวอร์ชันอาจเป็นเรื่องยากมากที่จะลบข้อมูลเมื่อเพิ่มในโค้ดโดยที่ คีย์ลับหาง่ายมาก .
  • Bcrypt เมื่อจัดเก็บรหัสผ่าน: เมื่อออกแบบระบบการพิสูจน์ตัวตนให้ใช้ bcrypt เพื่อแฮชและเกลือรหัสผ่านของคุณแทนที่จะออกแบบระบบของคุณหรือ (อึก) จัดเก็บเป็นข้อความธรรมดา
  • กรองข้อมูลที่ละเอียดอ่อนจากบันทึก: ไม่ว่าจะเป็นพริกไทยระดับโลกคีย์การลงนามเซสชันของแอปพลิเคชันของคุณหรือความพยายามในการเข้าสู่ระบบของผู้ใช้ตรวจสอบให้แน่ใจว่าสิ่งเหล่านี้จะไม่รั่วไหลในไฟล์บันทึกระบบของคุณซึ่งทุกคนที่มีสิทธิ์เข้าถึงสามารถอ่านได้
  • ให้สิทธิ์น้อยที่สุดที่ต้องการ: หากแอปพลิเคชันของคุณต้องการเพียง READ สิทธิพิเศษอย่าให้ WRITE สิทธิพิเศษ. ยึดหลักสิทธิพิเศษน้อยที่สุด

สร้างแผนการตอบสนอง

การละเมิดความปลอดภัยอาจเกิดขึ้นได้ในบางโอกาสและแม้ว่าจะมีเวลามากมายสำหรับการเรียนรู้ในระหว่างการชันสูตรพลิกศพสิ่งที่สำคัญก็คือมีเส้นทางที่ชัดเจนในการรักษาความปลอดภัยของสินทรัพย์ดิจิทัลทั้งหมด

ใช้เวลาในการจัดทำแผนฉุกเฉินในกรณีที่มีการละเมิดความปลอดภัยเกิดขึ้น พิจารณาการกระทำของคุณในสถานการณ์ต่อไปนี้:

  • คุณสูญเสียอุปกรณ์ที่มีข้อมูลที่ละเอียดอ่อน
  • โครงสร้างพื้นฐานของคุณอาจถูกเข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาต
  • คุณสังเกตเห็นใครบางคนในทีมของคุณมีพฤติกรรมแปลก ๆ ไม่เหมือนตัวเอง
  • มีการค้นพบช่องโหว่ด้านความปลอดภัย

สิ่งที่ต้องรวมไว้ในแผนการตอบสนองของคุณ:

  • เอกสารขยัน: เปิดใช้งานการบันทึกหน้าจอตั้งค่าวิกิสำหรับทีมของคุณเพื่อแบ่งปันทุกสิ่งที่พวกเขาเจอ
  • การกักกันการละเมิด: ขึ้นอยู่กับขอบเขตของการละเมิดสิ่งนี้อาจทำได้ง่ายเพียงแค่ปิดใช้งานบัญชีผู้ใช้การใช้เซิร์ฟเวอร์ออฟไลน์หรือปิดการผลิตและติดต่อผู้ใช้ของคุณ
  • สร้างการสื่อสารภายใน: เริ่มช่อง Slack โดยเฉพาะหรือหาวิธีให้ทุกคนรายงานสิ่งที่พวกเขาเจอ
  • การให้ความช่วยเหลือ: โทรหาทีมทั้งหมดที่ได้รับผลกระทบจากการละเมิด นี่อาจเป็นเวลาที่ดีในการติดต่อเจ้าหน้าที่เช่นกัน
  • ตรวจสอบ: พิจารณาว่ามีอะไรบ้างที่ถูกละเมิดขอบเขตและสิ่งที่เราสามารถทำได้เพื่อกลับมาดำเนินการตามปกติ
  • กลับมาออนไลน์: สร้างทดสอบและเผยแพร่การแก้ไขเพื่อกลับมาดำเนินการตามปกติโดยเร็วที่สุด ผู้ใช้ของคุณขึ้นอยู่กับบริการของคุณในการทำงานและช่วงเวลาที่คุณสามารถรับประกันบริการที่มั่นคงและปลอดภัยกลับมาออนไลน์ได้
  • พูดคุยกับผู้ใช้ของคุณ: อย่าปล่อยให้ผู้ใช้ของคุณอยู่ในความมืด สิ่งที่แย่ที่สุดที่คุณทำได้คือหยุดบริการโดยไม่อธิบายว่าเกิดอะไรขึ้นกับผู้ใช้ของคุณ สร้างช่องอัพเดทสด ซึ่งอาจทำได้ง่ายเพียงแค่ใช้ Twitter เพื่อแจ้งให้ทราบ หลังจากจัดการเหตุการณ์ได้แล้วให้เผยแพร่รายงานการชันสูตรพลิกศพที่พูดถึงสิ่งที่เกิดขึ้นมันเกิดขึ้นได้อย่างไรและสิ่งที่คุณได้ทำเพื่อป้องกันการละเมิดในลักษณะเดียวกันนี้ในอนาคต

เหตุการณ์ด้านความปลอดภัยเกิดขึ้น สิ่งที่สำคัญคือคุณจัดการกับคำตอบของคุณอย่างไร หนึ่งในคำตอบที่ฉันชอบที่สุดคือในปี 2015 เมื่อ LastPass ออกรหัสผ่านหลักที่บังคับให้รีเซ็ตเมื่อตรวจพบ กิจกรรมเครือข่ายที่ผิดปกติ . ฉันเป็นผู้ใช้ LastPass มานานและแม้ว่าจะเป็น ล่าสุด ปัญหาด้านความปลอดภัยฉันชอบวิธีที่พวกเขาตอบสนองต่อลูกค้าโดยให้ความสำคัญกับความต้องการเป็นอันดับแรก

การอ่านที่แนะนำ

ขอย้ำ: ไม่มีสิ่งที่เรียกว่าการรักษาความปลอดภัยที่สมบูรณ์แบบ สิ่งสำคัญคือคุณต้องแน่ใจว่าคุณได้ใช้ความพยายามอย่างเหมาะสมเพื่อให้ข้อมูลของคุณปลอดภัย

แนวทางปฏิบัติด้านความปลอดภัยเหล่านี้จะทำให้คุณและทีมจากระยะไกลแฮ็กได้ยากขึ้นอย่างมาก

หากคุณต้องการอ่านเรื่องราวที่แท้จริงของแฮ็กเกอร์ผู้ลี้ภัยที่หลบหนีจากกฎหมายฉันขอแนะนำ ผีในสายไฟ โดย Kevin Mitnick

หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความคิดของอีกฝ่ายฉันขอแนะนำให้อ่าน:

  • วิศวกรรมสังคม: ศิลปะการแฮ็กของมนุษย์ โดย Christopher Hadnagy
  • ศิลปะแห่งการหลอกลวง โดย Kevin Mitnick และ William L. Simon

อาชญากรรมของฉันคือความอยากรู้อยากเห็น

การแสดงข้อมูล - แนวทางปฏิบัติและพื้นฐานที่ดีที่สุด

การออกแบบ Ui

การแสดงข้อมูล - แนวทางปฏิบัติและพื้นฐานที่ดีที่สุด
HSA สำหรับนักพัฒนา: คอมพิวเตอร์ที่แตกต่างกันสำหรับมวลชน

HSA สำหรับนักพัฒนา: คอมพิวเตอร์ที่แตกต่างกันสำหรับมวลชน

เทคโนโลยี

โพสต์ยอดนิยม
ตลาด Crowdfunding Equity ของสหรัฐมีการเติบโตขึ้นตามความคาดหวังหรือไม่?
ตลาด Crowdfunding Equity ของสหรัฐมีการเติบโตขึ้นตามความคาดหวังหรือไม่?
คู่มือสำคัญสำหรับ Qmake
คู่มือสำคัญสำหรับ Qmake
หลักการออกแบบ Mobile UX
หลักการออกแบบ Mobile UX
MIDI Tutorial: การสร้างแอปพลิเคชั่นเสียงบนเบราว์เซอร์ที่ควบคุมโดยฮาร์ดแวร์ MIDI
MIDI Tutorial: การสร้างแอปพลิเคชั่นเสียงบนเบราว์เซอร์ที่ควบคุมโดยฮาร์ดแวร์ MIDI
Init.js: คำแนะนำเกี่ยวกับสาเหตุและวิธีการใช้ JavaScript แบบ Full-Stack
Init.js: คำแนะนำเกี่ยวกับสาเหตุและวิธีการใช้ JavaScript แบบ Full-Stack
 
Splash of EarlGrey - UI การทดสอบแอพ ApeeScape Talent
Splash of EarlGrey - UI การทดสอบแอพ ApeeScape Talent
จาก Node.js ไปจนถึงการจ่ายภาษีอิสระของคุณ: บทสัมภาษณ์กับ Developer ที่ประสบความสำเร็จ
จาก Node.js ไปจนถึงการจ่ายภาษีอิสระของคุณ: บทสัมภาษณ์กับ Developer ที่ประสบความสำเร็จ
ขายธุรกิจของคุณ? หยุดทิ้งเงินไว้บนโต๊ะ
ขายธุรกิจของคุณ? หยุดทิ้งเงินไว้บนโต๊ะ
บทช่วยสอนเกี่ยวกับส่วนขยายแอป iOS 8
บทช่วยสอนเกี่ยวกับส่วนขยายแอป iOS 8
ผู้จัดการการเติบโต
ผู้จัดการการเติบโต
โพสต์ยอดนิยม
  • แหล่งเรียนรู้ c++
  • บอร์ดอารมณ์คืออะไร
  • ข้อจำกัดในการออกแบบคืออะไร
  • วิธีแฮกบัตรเครดิตออนไลน์
  • ทำไมฉันถึงต้องการ node.js
หมวดหมู่
  • การจัดการโครงการ
  • การเพิ่มขึ้นของระยะไกล
  • การบริหารโครงการ
  • เครื่องมือและบทช่วยสอน
  • © 2022 | สงวนลิขสิทธิ์

    portaldacalheta.pt