Hver gang jeg forteller vennene mine at jeg jobber eksternt for en klient jeg aldri har møtt, spør de meg: Er det trygt for deg å jobbe eksternt? Svaret mitt er et rungende 'Ja ... men det avhenger av hvor godt du lager sikkerhetspolitikken for ekstern arbeidstaker.'
Jeg bor i Pakistan hvor jeg produserer kode som er av verdi for klienter på den andre siden av planeten. Kundene mine har aldri ristet meg, eller sett hvor jeg jobber. Og likevel forventes det at jeg sørger for at klienthemmeligheter og kode forblir beskyttet. I en verden der teammedlemmene ikke er kjent med ansiktet eller stemmen din, hvordan forhindrer du sikkerhetsbrudd? Svaret er: Ved å være veldig forsiktig.
For ikke lenge siden trodde vi at vi måtte kjøre dem i vårt private datasenter for å garantere ytelsen og sikkerheten til applikasjonene våre. Og så Sky kom rundt, og vi omfavnet fordelene ved kostnader og ytelse ved å kjøre applikasjonene våre på en skalerbar plattform på forespørsel uten å ha en serverflåte i et rom.
La meg gi deg inn på en velkjent hemmelighet:
Det er ingen sky.Nå, selskaper som Uber en og Stripe 2 lagre og behandle sanntidsinformasjon om kundeplassering og kredittkort og betaling på en skyleverandørs server, mens du overholder strenge sikkerhetsstandarder som PCI-samsvar. De gjør dette ved å vedta strenge retningslinjer som vil sikre at produksjonsdataene deres forblir sikre.
Hvis selskaper kan garantere at hele produksjonsmiljøet forblir trygt til tross for at de kjører utenfor deres private datasentre, kan vi absolutt sikre sikkerheten for utviklingen din ved hjelp av eksterne utviklingsteam. Tross alt er hele selskaper i stand til å kjøre helt eksternt. ApeeScape er et eksternt selskap, og vi ansetter .
Når jeg snakker om 'sikkerhet', mener jeg hele denne artikkelen informasjonssikkerhet .
Uttrykket ‘informasjonssikkerhet’ betyr å beskytte informasjon og informasjonssystemer mot uautorisert tilgang, bruk, avsløring, forstyrrelse, modifisering eller ødeleggelse. - 44 amerikanske koder § 3542
Det er ingen ting som perfekt sikkerhet , men 'å være sikker' betyr at du har tatt rimelige tiltak for å håndheve informasjonssikkerhet.
Spesielt når du sier 'arbeidsmiljøet mitt er sikkert', mener du at du har tatt rimelige tiltak for å beskytte data, kode eller annen konfidensiell informasjon i din omsorg, og sørget for integriteten. Du har også tatt skritt for å sikre at rettighetene dine til å få tilgang til sensitive informasjonssystemer ikke vil bli brukt av deg selv, eller en uautorisert person, på en måte som er skadelig for målene til organisasjonen som eier denne informasjonen, og disse systemene.
Eksterne lag har en langt større angrepsflate enn sentraliserte lag. I motsetning til et sentralisert team der du fysisk kan låse konfidensiell informasjon bak brannmurer og firmaets arbeidsstasjoner, som fjernarbeider, blir du oppfordret eller til og med pålagt å ta med din egen enhet (BYOD). Dessuten, siden det meste av kommunikasjonen din skjer på nettet, er du langt mer utsatt for sosialteknikk og identitetstyveri . Imidlertid, med riktig politikk på plass, kan du absolutt minimere risikoen for brudd.
Det er ingen sølvkule for sikkerhet. Ofte er det en avveining mellom nyanser av sikkerhet og bekvemmelighet, og det er opp til deg å bestemme hvor langt du vil ta sikkerhetspraksis, men husk at teamet ditt bare er så sikkert som det svakeste medlemmet. La oss ta en titt på noen vanlige sikkerhetsangrep, forsvarsstrategier og til slutt diskutere en eksempelpolitikk for ekstern sikkerhetsarbeider.
Du er ikke forberedt hvis du ikke vet hva det er du skal møte. En motstander kan bruke mange strategier i sitt angrep, men de fleste faller i tre kategorier. Selv om denne listen ikke er uttømmende, er dette tre vanlige typer angrepsvektorer som ondsinnede hackere kan bruke:
Også ansett som menneskelig hacking, er sosialteknikk praksis å manipulere mennesker til å handle på en måte som ikke er i deres beste interesse; dette kan omfatte røpe konfidensiell informasjon.
Sosialtekniske angrep kan enten prøve å utnytte medfølelsen din i et forsøk på å få deg til å omgå god praksis, eller skape en følelse av haster der de får deg til å omgå beste praksis ved å frykte en negativ handling mot deg hvis du ikke overholder.
Eksempler på sosial engineering inkluderer:
Phishing er den vanligste metoden for å stjele legitimasjonen din. Se for deg et nettsted som ser ut som Facebook, der du logger inn, og tenker at det er den virkelige tingen. Phishing er når en angriper lager et nettsted som ser legitimt ut, men ikke er det.
Kan du få øye på den falske facebooken? Tips: Det er den som ikke er på Facebook.com.
Noen ganger kan hackere forgifte internett og injisere nettstedet deres på Facebook-domenet, dette kalles et Man in The Middle-angrep, men ikke bekymre deg, nettleseren din kan advare deg om disse.
Spear phishing er en annen form for phishing der phishing-siden kan skreddersys for deg eller din organisasjon. Dette gjør det mer sannsynlig at du faller for det, spesielt når det kombineres med sosialteknikk.
Jeg vil fortelle deg en historie: Da jeg var på skolen, opprettet en som nylig hadde lært om phishing, et falskt Facebook-nettsted og endret hjemmesidene i datalaboratoriet til skapelsen hans. Den neste tingen han visste, denne personen hadde tre hundre Facebook-passord. Dette angrepet ble spesielt rettet mot skolen min og viste seg å være et vellykket phishing-angrep.
Og å tro at alle disse passordene ville ha vært trygge hvis bare noen hadde giddet å se opp på adresselinjen.
Det er hundrevis av forskjellige typer skadelig programvare der ute. Noen er ufarlige eller bare irriterende, men noen kan være veldig farlige. De viktigste typene skadelig programvare å se etter er:
For å bevisst få deg til å installere tilpasset skadelig programvare på datamaskinen din, bruker angripere vanligvis sosial engineering:
Vi har diskutert de vanligste motstandsangrepsmetodene, men hvordan holder vi oss trygge for dem?
Jeg hater passord. Der sa jeg det. Jeg tror bestemt at kombinasjonen av brukernavn og passord er den svakeste formen for brukerautentisering som eksisterer. Et passord er ikke noe annet enn en kort streng med tegn som genereres av den verste tallgeneratoren som eksisterer: menneskesinnet.
Jeg trenger et hemmelig ord, ikke sant? Hva med mellomnavnet mitt og fødselsåret, det er sikkert ingen som klarer å gjette det! - Ethvert menneske noensinne
Det som er verre er at folk for enkelhets skyld pleier å bruke passord. Det gjør det mulig for noen å bruke samme passord for bankinnloggingen og hjemmets WiFi, samtidig som det er sannsynlig at passordet slutter med navnet på favorittbandet deres . Skrekken!
For mange år siden bestemte jeg meg for å gjøre følgende:
Da jeg sa at det er en avveining mellom nyanser av sikkerhet og bekvemmelighet, gjelder det ikke her. Enten er du sikker og bruker en passordbehandling, eller så er du ikke. Det er ingen mellom. Det er obligatorisk for deg å bruke en passordbehandling for god passordsikkerhet. Jeg skal forklare.
Hvis du svarte “nei” på noen av spørsmålene ovenfor, trenger du en passordbehandling. En god passordbehandling vil tilfeldig generere passordene dine for deg, og lagre dem trygt. Det spiller ingen rolle hvilken passordbehandling du bruker, så lenge du bruker en!
jeg bruker Lastpass fordi jeg liker hvor gjennomsiktige de er med hendelsesrapportene sine, muligheten til å dele legitimasjonen min med venner og tilbakekalle andelen når jeg vil, og jeg liker det faktum at mobil synkronisering er en del av deres gratis plan.
Jeg har brukt LastPass i årevis, og deres sikkerhetsutfordring forteller meg at jeg er i topp 1% av sikkerhetsbevisste brukere.
Dette kan høres kontraintuitivt ut siden jeg ba deg om å bruke en passordbehandling ovenfor, men det er tilfeller der passord er uunngåelig: du trenger et sterkt hovedpassord for passordadministratoren din, eller for å logge på datamaskinen din. I disse tilfellene bruker du en sikker og minneverdig passordfrase med høy entropi.
Når vi snakker om entropi, la oss snakke litt om det. Hva er denne 'entropien' jeg snakker om?
Entropien er en statistisk parameter som måler i en viss forstand hvor mye informasjon som produseres i gjennomsnitt for hver bokstav i en tekst på språket. Hvis språket oversettes til binære sifre (0 eller 1) på den mest effektive måten, er entropien H det gjennomsnittlige antall binære sifre som kreves per bokstav i originalspråket. - Claude Shannon
Det er greit hvis det sitatet var vanskelig å fordøye. I utgangspunktet er entropien for et passord, tilfeldig valgt fra et sett, det totale antallet elementer i settet uttrykt i base 2. For eksempel: Hvis du har et passord på 4 tegn, som bare kan inneholde små bokstaver, vil entropien for et tilfeldig generert passord ville være 19 bits fordi:
26^4
= 456,976log(456,976) / log(2)
= 19 bits (avrundet til nærmeste bit)Problemet med passord med høy entropi er at de ender opp med å bli vanskelig å huske, som c05f$KVB#*6y
. For å gjøre dem mer minneverdige, hva om vi brukte hele ord i stedet for å bruke enkeltbokstaver? Og brukt en ordbok på tusen ord? Plutselig blir alfabetet vårt tusen elementer langt, og vi kan oppnå den samme entropien i 7 ord som vi ville ha med 11 tegn.
Forskjellen nå er at i stedet for å bruke et pass ord , vi bruker et pass uttrykk , som er mye lengre.
Følgende XKCD-tegneserie forklarer best dette konseptet:
Den enkleste måten å generere en sikker tilfeldig passordfrase er å gå her .
Tofaktorautentisering (2FA) eller totrinnsverifisering er alle navn på det samme. Dette er en av de tingene som krever å bli litt vant til, men sikkerhetsfordelene med 2FA overgår langt kostnadene og har personlig reddet meg fra kontobrudd to ganger!
Ideen bak MFA er enkel. Det er tre ting vi kan bruke til å autentisere deg:
Å bruke to er sikrere enn bare å bruke en.
De fleste nettsteder støtter den første autentiseringsfaktoren ved å kreve passord, men et økende antall tjenester har også begynt å støtte den andre faktoren. Den tredje faktoren utelates vanligvis av webtjenester, siden den krever spesialisert maskinvare; som fingeravtrykkssensoren på telefonen din.
Hvis du er administrator for et team, bør du vurdere å opprette en obligatorisk policy for brukere som skal ha 2FA-oppsett. Dette sikrer at passordkompromiss ikke vil føre til kontokompromiss.
Det er to populære former for 'noe du har':
Jeg vil gjerne si dette rett fra balltre: ikke bruk SMS-koder for 2FA. Det blir vanlig praksis for ondsinnede å kapre telefonnummeret ditt. De historie er nesten alltid det samme: Noen sosialteknikere en transportør til å portere telefonnummeret ditt til en annen operatør. Jeg kjenner minst én person som er blitt offer for dette angrepet.
Bruk i stedet tidsbaserte engangspassord (TOTP), også kalt “Google Authenticator” -metoden. Imidlertid, i stedet for å bruke Google Authenticator, anbefaler jeg å bruke Authy siden den krypterer og sikkerhetskopierer dine 2FA-tokens på skyen. Du kan deretter gjenopprette 2FA-tokens, selv om du bytter enhet ... faktisk kan du bruke de samme tokens på flere enheter. Det er veldig praktisk.
Dette er den enkleste og kraftigste 2FA-metoden. Jeg har en Yubikey Neo som jeg kan bruke med telefonen og datamaskinen min. For å bevise identiteten min plugger jeg bare inn maskinvaretokenet mitt og trykker på en knapp. Tokenet mitt er unikt og er et fysisk tegn; Jeg kan bære den på nøkkelringen eller i lommeboken.
Uansett hvor sikker du tror du er, er en sunn mistenksomhet en god ting. Vær forsiktig med at folk ber deg gjøre noe utenom det vanlige. Fikk du en tekstmelding fra noen som ba deg tilbakestille passordet? Vent litt, og hopp på en videosamtale med dem. Be dem bevise sin identitet. Ingen kan utsette deg for å være forsiktig.
Det er ikke paranoia hvis de virkelig ønsker å hente deg. - Harold Finch, interesseperson
De er virkelig ute etter å få deg. Noen ganger er det ingen grunn for en ondsinnet bruker å gjøre det de gjør, bortsett fra viljen til å gjøre det.
En venn av meg mottok en gang en melding fra en gammel bekjent som spurte om de ville være deres “pålitelige kontakt” på Facebook. Venninnen min gikk med på det og ble bedt om å svare med en kode de ville motta på telefonen sin, som vennen min straks ga ... og det var slik min venn var sosialt konstruert til å gi reset-token for Gmail-kontoen sin. Hvis venninnen min hadde vært årvåken fra begynnelsen, hadde hun aldri mistet e-postene sine.
Prinsippet om minst privilegium krever at hver modul (for eksempel en prosess, en bruker eller et program, avhengig av emne), i et bestemt abstraksjonslag i et databehandlingsmiljø, må ha tilgang til bare den informasjonen og ressursene som er nødvendige for sitt legitime formål. - Wikipedia
Hvis en bruker, applikasjon eller tjeneste ikke krever visse rettigheter, ikke gi dem det. Du kan utlede mange regler fra dette prinsippet, men jeg lagrer dem til neste avsnitt om sikkerhetspolitikk.
La meg fortelle deg en historie: Jeg designer en gang en applikasjon som godtar Bitcoin-betalinger fra brukere på adresser som er generert unikt for dem, og deretter videresender dem til en sentral sikker lagringsadresse. Hvis du ikke er kjent med hvordan Bitcoin fungerer, er det en forenklet forklaring: Du trenger en offentlig nøkkel for å motta Bitcoin (som et kontonummer) og en tilsvarende privat nøkkel for å bruke den (som en kontopinne). Kontonumrene og pinnene i Bitcoin er kryptografisk knyttet og kan ikke endres.
Jeg hadde flere muligheter for å designe dette systemet, men jeg bestemte meg for å ta litt lengre rute. Jeg bestemte meg for at applikasjonen ikke trengte tilgang til de private nøklene for å be brukeren om å betale. Så i stedet for å designe ett stort system som skulle motta og videresende Bitcoin-betalinger, gjorde jeg to systemer:
Lang tid senere, etter at jeg sluttet å vedlikeholde appen, ble det offentlige mottakssystemet brutt. Jeg stengte den umiddelbart, men angriperen klarte aldri å stjele Bitcoin fordi det offentlige systemet ikke inneholdt noen private nøkler i det hele tatt.
Noen fremgangsmåter trenger ingen forklaring. Du kjenner sikkert til at de er viktige, men jeg blir stadig overrasket over hvor mange mennesker (inkludert meg selv) som glemmer å snu noen brytere. Jeg legger igjen denne sjekklisten her:
En brannmur styrer nettverkstrafikk til og fra datamaskinen din basert på et sett med regler. Det fungerer ved å eksplisitt spørre deg om du skal la nye programmer få tilgang til nettverket ditt og er din første forsvarslinje.
Operativsystemet leveres sannsynligvis med en innebygd brannmur. Forsikre deg om at den er slått på.
Full diskkryptering er denne magiske muligheten til å gjøre hele diskens innhold ubrukelig uten passordet ditt. I tilfelle datamaskinen går tapt eller blir stjålet, kan du være trygg på at ingen får tilgang til dataene dine. Aktivering av dette kan være så enkelt som å slå på FileVault på en Mac.
Moderne mobiltelefoner har også full diskkryptering aktivert som standard.
Maskinvare mislykkes, det er et faktum i livet. Maskinen din vil mislykkes en dag, eller et virus vil infisere PC-en din, eller (skjelve) et ransomware-virus vil overta PC-en din. Men som en pragmatisk person har du sannsynligvis allerede fått et reserveflytoppsett, jeg er sikker på ... har du ikke?
Selv med sikkerhetskopiene må du imidlertid være på vakt. Forsikre deg om at sikkerhetskopiene dine er kryptert slik at du kan være trygg på at du har tatt rimelige tiltak for å beskytte sikkerheten til dataene du ble betrodd, selv om de går tapt eller blir stjålet.
Hvis du har en Mac, krypterer Time Machine-appen automatisk din sikkerhetskopi.
Hvis du tar bort noe fra denne artikkelen, kan du slutte å bruke passord til SSH i maskiner. Passord er vanskelig å dele, og hvis de noen gang blir lekket, blir hele maskinen kompromittert. I stedet oppretter du en SSH-nøkkel ved å kjøre ssh-keygen
.
For å logge på en ekstern maskin, kopierer du bare innholdet til din lokale ~/.ssh/id_rsa.pub
til ~/.ssh/authorized_keys
i den eksterne maskinen. Du må kanskje starte SSH-tjenesten på nytt på den eksterne maskinen, men det er det.
Legg til hele teamets SSH-nøkler til den eksterne maskinen, og ingen trenger noen gang å skrive inn et passord igjen. Å tilbakekalle nøkkelen til et teammedlem er like enkelt som å fjerne nøkkelen fra den eksterne maskinen.
Når du deler en internettforbindelse med noen, deler du mer enn båndbredden. Avhengig av konfigurasjonen av nettsteder og internett, kan de i det minste oppdage hvilke nettsteder du besøker, og i verste fall lese all informasjonen du overfører, inkludert passord, meldinger eller e-poster.
Dette er veldig enkelt å aktivere og ekstremt lett å rote til også. Ta rimelige forholdsregler for å sikre at forbindelsen din er privat. Forsikre deg om at ingen uvedkommende har tilgang til internettforbindelsen din.
Bruk WPA2 for å passordbeskytte din egen WiFi, og hvis du jobber fra den lokale kaffebaren (eller en hvilken som helst offentlig WiFi), antar du at du blir overvåket og bruker en VPN-proxy.
Jeg nøler med å bruke abonnementsbaserte VPN-er, spesielt siden å rulle dine egne er så enkelt. Bruk denne en-linjers VPN-løsning å være vert for din egen.
Hemmeligheter er ikke ment å bli avslørt. Derfor blir de kalt hemmeligheter . Til tross for det, hvor mange ganger har du vært skyldig i å sende passordet til produksjonen av PostgreSQL-databasen via Facebook Messenger? Sørg for at du alltid:
Hvis du må dele hemmeligheter via kanaler som chat, må du sørge for at de er kryptert. Som en øvelse, besøk din ofte brukte og eldste chatklient. Det kan være Facebook-meldinger eller Whatsapp. Uansett hva det er, åpne og søk etter uttrykket “passord” i meldingene dine.
Hvis disse hemmelighetene hadde blitt kryptert, ville de ikke være tilgjengelig for noen med tilgang til meldingene dine.
Jo lenger en hemmelighet eksisterer eller jo mer den har blitt delt, jo mer sannsynlig har den blitt kompromittert. Det regnes som en god praksis å rotere hemmeligheter og passord etter en viss periode.
Dette er absolutt en avansert strategi, men jeg personlig forstår ikke hvorfor dette ikke er en utbredt praksis. Tenk på dette: Kollegaen din mener at du er blitt kompromittert. Hvordan får de en melding til den virkelige deg? Hvis noen fra internett må dele viktig sårbarhetsinformasjon, hvordan sender de den sikkert? Hvordan sikrer du at dine ansatte trygt deler informasjon under transport?
Mitt favoritteksempel på dette er Coinbase's nøkkelbasisprofil , der de kryptografisk signerer PGP-nøklene til sine ansatte. De har gått lenger og gitt sine compliance-avdelingen en PGP-nøkkel . Seriøst, Coinbase, flott arbeid!
For meg personlig, i tilfelle noen har en rimelig tvil om at min online identitet er blitt kompromittert, ber jeg meg bare om å signere en melding ved hjelp av PGP-nøkkelen som er tilgjengelig på min tastebase profil. Jeg er den eneste personen med tilgang til denne PGP-nøkkelen, og jeg har tatt rimelige forholdsregler for å sikre at denne nøkkelen forblir trygg selv om mine andre identiteter er kompromittert.
Hvis du er i tvil om ektheten til en melding, kan du be meg om å signere den. Hvis du trenger å sende meg en hemmelighet, krypterer du den med min offentlige nøkkel.
Sikkerhetspolitikk er en definisjon av hva det betyr å være sikker for et system, organisasjon eller annen enhet. For en organisasjon adresserer den begrensningene for medlemmets oppførsel, samt begrensninger som pålegges motstandere av mekanismer som dører, låser, nøkler og vegger. - Wikipedia
En sikkerhetspolicy er en obligatorisk regel eller protokoll som må følges når du utfører handlinger. Strategiene ovenfor er nyttige, men for å gjøre dem lettere å følge, gi teamet ditt et enkelt sett med regler å følge. Det er vanskeligere å ødelegge sikkerheten når teamet ditt vet nøyaktig hva de skal gjøre.
La oss diskutere eksempler på en ekstern sikkerhetspolicy for arbeidstakere å implementere.
Retningslinjer å implementere for din ansatte :
Ansatte drar, men de bør ikke ta informasjonen din med seg. Tilpass disse retningslinjene for å beholde data selv etter at de ansatte forlater selskapet:
Retningslinjer for å beskytte din infrastruktur :
Retningslinjer når du skriver kode :
READ
privilegier, ikke gi det WRITE
privilegier. Følg prinsippet om minst privilegium.Sikkerhetsbrudd skjer noen ganger, og selv om det vil være god tid til å lære under en post mortem, er det viktig at det er en klar vei for å sikre alle digitale eiendeler.
Ta deg tid til å utarbeide en beredskapsplan i tilfelle det oppstår et sikkerhetsbrudd. Vurder handlingene dine i følgende scenarier:
Ting å inkludere i responsplanen din:
Sikkerhetshendelser skjer. Det som betyr noe er hvordan du håndterer svaret ditt. Et av mine favorittresponser var langt i 2015 da LastPass utstedte obligatorisk tilbakestilling av hovedpassord da de oppdaget avvikende nettverksaktivitet . Jeg har lenge vært bruker av LastPass, og til tross for deres nylig sikkerhetsproblemer, jeg elsker måten de reagerer på kundene sine ved å plassere deres behov først.
For å gjenta: Det er ikke noe som heter perfekt sikkerhet. Alt som betyr noe er at du sørger for at du har gjort en rimelig innsats for å holde dataene dine trygge.
Disse sikkerhetsrutinene skal gjøre deg og ditt eksterne team betydelig vanskeligere å hacke.
Hvis du vil lese en sann historie om en flyktet hacker på flukt fra loven, anbefaler jeg Ghost in the Wires av Kevin Mitnick.
Hvis du vil lære mer om hvordan den andre siden tenker, anbefaler jeg å lese:
Min forbrytelse er nysgjerrighet.