Hver gang jeg forteller vennene mine at jeg jobber eksternt for en klient jeg aldri har møtt, spør de meg: Er det trygt for deg å jobbe eksternt? Svaret mitt er et rungende 'Ja ... men det avhenger av hvor godt du lager sikkerhetspolitikken for ekstern arbeidstaker.'

Jeg bor i Pakistan hvor jeg produserer kode som er av verdi for klienter på den andre siden av planeten. Kundene mine har aldri ristet meg, eller sett hvor jeg jobber. Og likevel forventes det at jeg sørger for at klienthemmeligheter og kode forblir beskyttet. I en verden der teammedlemmene ikke er kjent med ansiktet eller stemmen din, hvordan forhindrer du sikkerhetsbrudd? Svaret er: Ved å være veldig forsiktig.

For ikke lenge siden trodde vi at vi måtte kjøre dem i vårt private datasenter for å garantere ytelsen og sikkerheten til applikasjonene våre. Og så Sky kom rundt, og vi omfavnet fordelene ved kostnader og ytelse ved å kjøre applikasjonene våre på en skalerbar plattform på forespørsel uten å ha en serverflåte i et rom.

La meg gi deg inn på en velkjent hemmelighet:

Det er ingen sky.
Det er bare andres datamaskin.

Nå, selskaper som Uber ^en og Stripe ² lagre og behandle sanntidsinformasjon om kundeplassering og kredittkort og betaling på en skyleverandørs server, mens du overholder strenge sikkerhetsstandarder som PCI-samsvar. De gjør dette ved å vedta strenge retningslinjer som vil sikre at produksjonsdataene deres forblir sikre.

Hvis selskaper kan garantere at hele produksjonsmiljøet forblir trygt til tross for at de kjører utenfor deres private datasentre, kan vi absolutt sikre sikkerheten for utviklingen din ved hjelp av eksterne utviklingsteam. Tross alt er hele selskaper i stand til å kjøre helt eksternt. ApeeScape er et eksternt selskap, og vi ansetter .

Hva er 'sikkerhet' og hvordan kan jeg være 'sikker'

Når jeg snakker om 'sikkerhet', mener jeg hele denne artikkelen informasjonssikkerhet .

Uttrykket ‘informasjonssikkerhet’ betyr å beskytte informasjon og informasjonssystemer mot uautorisert tilgang, bruk, avsløring, forstyrrelse, modifisering eller ødeleggelse. - 44 amerikanske koder § 3542

Det er ingen ting som perfekt sikkerhet , men 'å være sikker' betyr at du har tatt rimelige tiltak for å håndheve informasjonssikkerhet.

Spesielt når du sier 'arbeidsmiljøet mitt er sikkert', mener du at du har tatt rimelige tiltak for å beskytte data, kode eller annen konfidensiell informasjon i din omsorg, og sørget for integriteten. Du har også tatt skritt for å sikre at rettighetene dine til å få tilgang til sensitive informasjonssystemer ikke vil bli brukt av deg selv, eller en uautorisert person, på en måte som er skadelig for målene til organisasjonen som eier denne informasjonen, og disse systemene.

Eksterne lag har en langt større angrepsflate enn sentraliserte lag. I motsetning til et sentralisert team der du fysisk kan låse konfidensiell informasjon bak brannmurer og firmaets arbeidsstasjoner, som fjernarbeider, blir du oppfordret eller til og med pålagt å ta med din egen enhet (BYOD). Dessuten, siden det meste av kommunikasjonen din skjer på nettet, er du langt mer utsatt for sosialteknikk og identitetstyveri . Imidlertid, med riktig politikk på plass, kan du absolutt minimere risikoen for brudd.

Det er ingen sølvkule for sikkerhet. Ofte er det en avveining mellom nyanser av sikkerhet og bekvemmelighet, og det er opp til deg å bestemme hvor langt du vil ta sikkerhetspraksis, men husk at teamet ditt bare er så sikkert som det svakeste medlemmet. La oss ta en titt på noen vanlige sikkerhetsangrep, forsvarsstrategier og til slutt diskutere en eksempelpolitikk for ekstern sikkerhetsarbeider.

De tre vanligste typene av motstandsangrep

Du er ikke forberedt hvis du ikke vet hva det er du skal møte. En motstander kan bruke mange strategier i sitt angrep, men de fleste faller i tre kategorier. Selv om denne listen ikke er uttømmende, er dette tre vanlige typer angrepsvektorer som ondsinnede hackere kan bruke:

• Sosial ingeniørfag
• Phishing
• Infeksjoner med skadelig programvare

Sosial ingeniørfag

Også ansett som menneskelig hacking, er sosialteknikk praksis å manipulere mennesker til å handle på en måte som ikke er i deres beste interesse; dette kan omfatte røpe konfidensiell informasjon.

Sosialtekniske angrep kan enten prøve å utnytte medfølelsen din i et forsøk på å få deg til å omgå god praksis, eller skape en følelse av haster der de får deg til å omgå beste praksis ved å frykte en negativ handling mot deg hvis du ikke overholder.

Eksempler på sosial engineering inkluderer:

• En kvinne ringer en mobiloperatør og snakker supportagenten til å endre andres konto mens a YouTube-klipp av en baby som gråter spiller i bakgrunnen .
• En angriper sender en administrerende direktør via CFOs e-postadresse og autoriserer en 1,8 millioner dollar overføring av midler .

Phishing

Phishing er den vanligste metoden for å stjele legitimasjonen din. Se for deg et nettsted som ser ut som Facebook, der du logger inn, og tenker at det er den virkelige tingen. Phishing er når en angriper lager et nettsted som ser legitimt ut, men ikke er det.

Kan du få øye på den falske facebooken? Tips: Det er den som ikke er på Facebook.com.

Noen ganger kan hackere forgifte internett og injisere nettstedet deres på Facebook-domenet, dette kalles et Man in The Middle-angrep, men ikke bekymre deg, nettleseren din kan advare deg om disse.

Spear phishing er en annen form for phishing der phishing-siden kan skreddersys for deg eller din organisasjon. Dette gjør det mer sannsynlig at du faller for det, spesielt når det kombineres med sosialteknikk.

Jeg vil fortelle deg en historie: Da jeg var på skolen, opprettet en som nylig hadde lært om phishing, et falskt Facebook-nettsted og endret hjemmesidene i datalaboratoriet til skapelsen hans. Den neste tingen han visste, denne personen hadde tre hundre Facebook-passord. Dette angrepet ble spesielt rettet mot skolen min og viste seg å være et vellykket phishing-angrep.

Og å tro at alle disse passordene ville ha vært trygge hvis bare noen hadde giddet å se opp på adresselinjen.

Infeksjon med skadelig programvare

Det er hundrevis av forskjellige typer skadelig programvare der ute. Noen er ufarlige eller bare irriterende, men noen kan være veldig farlige. De viktigste typene skadelig programvare å se etter er:

• Spionvare: Installerer og registrerer tastetrykk, skjerm, lyd og video stille.
• Fjernadministrasjonsverktøy (RAT): Tillat full kontroll over datamaskinen din.
• Ransomware: Krypterer alle viktige filer og får deg til å betale for dekrypteringsnøkkelen.

For å bevisst få deg til å installere tilpasset skadelig programvare på datamaskinen din, bruker angripere vanligvis sosial engineering:

• Angriper planter 'mistet' USB-stasjoner rundt selskapets parkeringsplass for å høste innloggingsopplysninger for ansatte
• En mann som sølte kaffe på CV-en sin, ber resepsjonisten om å skrive ut en kopi av noe fordi han har et intervju, og dermed får en datamaskin til å bli smittet av en ondsinnet nyttelast i en USB. (Eksempel fra Kunsten om menneskelig hacking ).

Syv cyberforsvarsstrategier du trenger akkurat nå

Vi har diskutert de vanligste motstandsangrepsmetodene, men hvordan holder vi oss trygge for dem?

Strategi nr. 1: riktig passordbehandling

Jeg hater passord. Der sa jeg det. Jeg tror bestemt at kombinasjonen av brukernavn og passord er den svakeste formen for brukerautentisering som eksisterer. Et passord er ikke noe annet enn en kort streng med tegn som genereres av den verste tallgeneratoren som eksisterer: menneskesinnet.

Jeg trenger et hemmelig ord, ikke sant? Hva med mellomnavnet mitt og fødselsåret, det er sikkert ingen som klarer å gjette det! - Ethvert menneske noensinne

Det som er verre er at folk for enkelhets skyld pleier å bruke passord. Det gjør det mulig for noen å bruke samme passord for bankinnloggingen og hjemmets WiFi, samtidig som det er sannsynlig at passordet slutter med navnet på favorittbandet deres . Skrekken!

For mange år siden bestemte jeg meg for å gjøre følgende:

1. Bruk en passordbehandling
2. Bruk sterke passfraser i stedet for passord

Bruk en Password Manager

Da jeg sa at det er en avveining mellom nyanser av sikkerhet og bekvemmelighet, gjelder det ikke her. Enten er du sikker og bruker en passordbehandling, eller så er du ikke. Det er ingen mellom. Det er obligatorisk for deg å bruke en passordbehandling for god passordsikkerhet. Jeg skal forklare.

1. Er alle passordene dine unike?
2. Hvis jeg oppdaget noen av passordene dine, vil resten av passordene dine være sikre?
3. Ble alle passordene dine opprettet med minst 32 biter entropi?
4. Lagres passordene dine bare i kryptert form?
5. Husker du perfekt hvert eneste passord du har brukt når du registrerer deg?
6. Viser du deg positiv for passordlekkasje kl dette nettstedet ?

Hvis du svarte “nei” på noen av spørsmålene ovenfor, trenger du en passordbehandling. En god passordbehandling vil tilfeldig generere passordene dine for deg, og lagre dem trygt. Det spiller ingen rolle hvilken passordbehandling du bruker, så lenge du bruker en!

jeg bruker Lastpass fordi jeg liker hvor gjennomsiktige de er med hendelsesrapportene sine, muligheten til å dele legitimasjonen min med venner og tilbakekalle andelen når jeg vil, og jeg liker det faktum at mobil synkronisering er en del av deres gratis plan.

Jeg har brukt LastPass i årevis, og deres sikkerhetsutfordring forteller meg at jeg er i topp 1% av sikkerhetsbevisste brukere.

Sterke passord i stedet for passord

tl; dr: Bruk dette for å generere en passordfrase. 12 ord skal være nok.

Dette kan høres kontraintuitivt ut siden jeg ba deg om å bruke en passordbehandling ovenfor, men det er tilfeller der passord er uunngåelig: du trenger et sterkt hovedpassord for passordadministratoren din, eller for å logge på datamaskinen din. I disse tilfellene bruker du en sikker og minneverdig passordfrase med høy entropi.

Når vi snakker om entropi, la oss snakke litt om det. Hva er denne 'entropien' jeg snakker om?

Entropien er en statistisk parameter som måler i en viss forstand hvor mye informasjon som produseres i gjennomsnitt for hver bokstav i en tekst på språket. Hvis språket oversettes til binære sifre (0 eller 1) på den mest effektive måten, er entropien H det gjennomsnittlige antall binære sifre som kreves per bokstav i originalspråket. - Claude Shannon

Det er greit hvis det sitatet var vanskelig å fordøye. I utgangspunktet er entropien for et passord, tilfeldig valgt fra et sett, det totale antallet elementer i settet uttrykt i base 2. For eksempel: Hvis du har et passord på 4 tegn, som bare kan inneholde små bokstaver, vil entropien for et tilfeldig generert passord ville være 19 bits fordi:

1. Det er 26 elementer i små bokstaver
2. En streng med 4 tegn sammensatt av disse bokstavene er 26^4 = 456,976
3. 456 976 uttrykt i base 2 er log(456,976) / log(2) = 19 bits (avrundet til nærmeste bit)

Problemet med passord med høy entropi er at de ender opp med å bli vanskelig å huske, som c05f$KVB#*6y. For å gjøre dem mer minneverdige, hva om vi brukte hele ord i stedet for å bruke enkeltbokstaver? Og brukt en ordbok på tusen ord? Plutselig blir alfabetet vårt tusen elementer langt, og vi kan oppnå den samme entropien i 7 ord som vi ville ha med 11 tegn.

Forskjellen nå er at i stedet for å bruke et pass ord , vi bruker et pass uttrykk , som er mye lengre.

Følgende XKCD-tegneserie forklarer best dette konseptet:

Den enkleste måten å generere en sikker tilfeldig passordfrase er å gå her .

Strategi nr. 2: Bruk multifaktorautentisering (MFA)

Tofaktorautentisering (2FA) eller totrinnsverifisering er alle navn på det samme. Dette er en av de tingene som krever å bli litt vant til, men sikkerhetsfordelene med 2FA overgår langt kostnadene og har personlig reddet meg fra kontobrudd to ganger!

Ideen bak MFA er enkel. Det er tre ting vi kan bruke til å autentisere deg:

1. Noe du vet (en hemmelighet)
2. Noe du har (et token)
3. Noe du er (din biologi)

Å bruke to er sikrere enn bare å bruke en.

De fleste nettsteder støtter den første autentiseringsfaktoren ved å kreve passord, men et økende antall tjenester har også begynt å støtte den andre faktoren. Den tredje faktoren utelates vanligvis av webtjenester, siden den krever spesialisert maskinvare; som fingeravtrykkssensoren på telefonen din.

Hvis du er administrator for et team, bør du vurdere å opprette en obligatorisk policy for brukere som skal ha 2FA-oppsett. Dette sikrer at passordkompromiss ikke vil føre til kontokompromiss.

Det er to populære former for 'noe du har':

1. Din telefon
2. En U2F-nøkkel

Bruker telefonen til 2FA

Jeg vil gjerne si dette rett fra balltre: ikke bruk SMS-koder for 2FA. Det blir vanlig praksis for ondsinnede å kapre telefonnummeret ditt. De historie er nesten alltid det samme: Noen sosialteknikere en transportør til å portere telefonnummeret ditt til en annen operatør. Jeg kjenner minst én person som er blitt offer for dette angrepet.

Bruk i stedet tidsbaserte engangspassord (TOTP), også kalt “Google Authenticator” -metoden. Imidlertid, i stedet for å bruke Google Authenticator, anbefaler jeg å bruke Authy siden den krypterer og sikkerhetskopierer dine 2FA-tokens på skyen. Du kan deretter gjenopprette 2FA-tokens, selv om du bytter enhet ... faktisk kan du bruke de samme tokens på flere enheter. Det er veldig praktisk.

Bruke en U2F-nøkkel for 2FA

Dette er den enkleste og kraftigste 2FA-metoden. Jeg har en Yubikey Neo som jeg kan bruke med telefonen og datamaskinen min. For å bevise identiteten min plugger jeg bare inn maskinvaretokenet mitt og trykker på en knapp. Tokenet mitt er unikt og er et fysisk tegn; Jeg kan bære den på nøkkelringen eller i lommeboken.

Strategi nr. 3: Konstant våkenhet

Uansett hvor sikker du tror du er, er en sunn mistenksomhet en god ting. Vær forsiktig med at folk ber deg gjøre noe utenom det vanlige. Fikk du en tekstmelding fra noen som ba deg tilbakestille passordet? Vent litt, og hopp på en videosamtale med dem. Be dem bevise sin identitet. Ingen kan utsette deg for å være forsiktig.

Det er ikke paranoia hvis de virkelig ønsker å hente deg. - Harold Finch, interesseperson

De er virkelig ute etter å få deg. Noen ganger er det ingen grunn for en ondsinnet bruker å gjøre det de gjør, bortsett fra viljen til å gjøre det.

En venn av meg mottok en gang en melding fra en gammel bekjent som spurte om de ville være deres “pålitelige kontakt” på Facebook. Venninnen min gikk med på det og ble bedt om å svare med en kode de ville motta på telefonen sin, som vennen min straks ga ... og det var slik min venn var sosialt konstruert til å gi reset-token for Gmail-kontoen sin. Hvis venninnen min hadde vært årvåken fra begynnelsen, hadde hun aldri mistet e-postene sine.

Strategi nr. 4: Designsystemer i henhold til prinsippet om minst privilegium

Prinsippet om minst privilegium krever at hver modul (for eksempel en prosess, en bruker eller et program, avhengig av emne), i et bestemt abstraksjonslag i et databehandlingsmiljø, må ha tilgang til bare den informasjonen og ressursene som er nødvendige for sitt legitime formål. - Wikipedia

Hvis en bruker, applikasjon eller tjeneste ikke krever visse rettigheter, ikke gi dem det. Du kan utlede mange regler fra dette prinsippet, men jeg lagrer dem til neste avsnitt om sikkerhetspolitikk.

La meg fortelle deg en historie: Jeg designer en gang en applikasjon som godtar Bitcoin-betalinger fra brukere på adresser som er generert unikt for dem, og deretter videresender dem til en sentral sikker lagringsadresse. Hvis du ikke er kjent med hvordan Bitcoin fungerer, er det en forenklet forklaring: Du trenger en offentlig nøkkel for å motta Bitcoin (som et kontonummer) og en tilsvarende privat nøkkel for å bruke den (som en kontopinne). Kontonumrene og pinnene i Bitcoin er kryptografisk knyttet og kan ikke endres.

Jeg hadde flere muligheter for å designe dette systemet, men jeg bestemte meg for å ta litt lengre rute. Jeg bestemte meg for at applikasjonen ikke trengte tilgang til de private nøklene for å be brukeren om å betale. Så i stedet for å designe ett stort system som skulle motta og videresende Bitcoin-betalinger, gjorde jeg to systemer:

1. Mottaksystemet: Dette mottok Bitcoin fra brukerne og var vert på det offentlige internett. Den inneholdt bare de offentlige nøklene for adressene.
2. Et videresendingssystem: Dette var et helt uavhengig og låst system som hadde som eneste jobb å se på Bitcoin-nettverket for transaksjoner på adressene og videresende dem til den sikre adressen. Den inneholdt både offentlige og private nøkler for adressene.

Lang tid senere, etter at jeg sluttet å vedlikeholde appen, ble det offentlige mottakssystemet brutt. Jeg stengte den umiddelbart, men angriperen klarte aldri å stjele Bitcoin fordi det offentlige systemet ikke inneholdt noen private nøkler i det hele tatt.

Strategi nr. 5: Bruk beste fornuft

Noen fremgangsmåter trenger ingen forklaring. Du kjenner sikkert til at de er viktige, men jeg blir stadig overrasket over hvor mange mennesker (inkludert meg selv) som glemmer å snu noen brytere. Jeg legger igjen denne sjekklisten her:

1. Slå på brannmuren
2. Krypter disken
3. Aktiver krypterte sikkerhetskopier
4. Bruk SSH-nøkler
5. Bruk en sikker internettforbindelse

Slå på brannmuren

En brannmur styrer nettverkstrafikk til og fra datamaskinen din basert på et sett med regler. Det fungerer ved å eksplisitt spørre deg om du skal la nye programmer få tilgang til nettverket ditt og er din første forsvarslinje.

Operativsystemet leveres sannsynligvis med en innebygd brannmur. Forsikre deg om at den er slått på.

Krypter disken

Full diskkryptering er denne magiske muligheten til å gjøre hele diskens innhold ubrukelig uten passordet ditt. I tilfelle datamaskinen går tapt eller blir stjålet, kan du være trygg på at ingen får tilgang til dataene dine. Aktivering av dette kan være så enkelt som å slå på FileVault på en Mac.

Moderne mobiltelefoner har også full diskkryptering aktivert som standard.

Krypter sikkerhetskopiene dine

Maskinvare mislykkes, det er et faktum i livet. Maskinen din vil mislykkes en dag, eller et virus vil infisere PC-en din, eller (skjelve) et ransomware-virus vil overta PC-en din. Men som en pragmatisk person har du sannsynligvis allerede fått et reserveflytoppsett, jeg er sikker på ... har du ikke?

Selv med sikkerhetskopiene må du imidlertid være på vakt. Forsikre deg om at sikkerhetskopiene dine er kryptert slik at du kan være trygg på at du har tatt rimelige tiltak for å beskytte sikkerheten til dataene du ble betrodd, selv om de går tapt eller blir stjålet.

Hvis du har en Mac, krypterer Time Machine-appen automatisk din sikkerhetskopi.

Bruk SSH-nøkler

Hvis du tar bort noe fra denne artikkelen, kan du slutte å bruke passord til SSH i maskiner. Passord er vanskelig å dele, og hvis de noen gang blir lekket, blir hele maskinen kompromittert. I stedet oppretter du en SSH-nøkkel ved å kjøre ssh-keygen.

For å logge på en ekstern maskin, kopierer du bare innholdet til din lokale ~/.ssh/id_rsa.pub til ~/.ssh/authorized_keys i den eksterne maskinen. Du må kanskje starte SSH-tjenesten på nytt på den eksterne maskinen, men det er det.

Legg til hele teamets SSH-nøkler til den eksterne maskinen, og ingen trenger noen gang å skrive inn et passord igjen. Å tilbakekalle nøkkelen til et teammedlem er like enkelt som å fjerne nøkkelen fra den eksterne maskinen.

Bruk en sikker internettforbindelse

Når du deler en internettforbindelse med noen, deler du mer enn båndbredden. Avhengig av konfigurasjonen av nettsteder og internett, kan de i det minste oppdage hvilke nettsteder du besøker, og i verste fall lese all informasjonen du overfører, inkludert passord, meldinger eller e-poster.

Dette er veldig enkelt å aktivere og ekstremt lett å rote til også. Ta rimelige forholdsregler for å sikre at forbindelsen din er privat. Forsikre deg om at ingen uvedkommende har tilgang til internettforbindelsen din.

Bruk WPA2 for å passordbeskytte din egen WiFi, og hvis du jobber fra den lokale kaffebaren (eller en hvilken som helst offentlig WiFi), antar du at du blir overvåket og bruker en VPN-proxy.

Jeg nøler med å bruke abonnementsbaserte VPN-er, spesielt siden å rulle dine egne er så enkelt. Bruk denne en-linjers VPN-løsning å være vert for din egen.

Strategi nr. 6: Behandle hemmeligheter med forsiktighet

Hemmeligheter er ikke ment å bli avslørt. Derfor blir de kalt hemmeligheter . Til tross for det, hvor mange ganger har du vært skyldig i å sende passordet til produksjonen av PostgreSQL-databasen via Facebook Messenger? Sørg for at du alltid:

• Krypter hemmeligheter under transport
• Roter dem ofte

Krypter hemmeligheter under transport

Hvis du må dele hemmeligheter via kanaler som chat, må du sørge for at de er kryptert. Som en øvelse, besøk din ofte brukte og eldste chatklient. Det kan være Facebook-meldinger eller Whatsapp. Uansett hva det er, åpne og søk etter uttrykket “passord” i meldingene dine.

Hvis disse hemmelighetene hadde blitt kryptert, ville de ikke være tilgjengelig for noen med tilgang til meldingene dine.

Roter hemmeligheter ofte

Jo lenger en hemmelighet eksisterer eller jo mer den har blitt delt, jo mer sannsynlig har den blitt kompromittert. Det regnes som en god praksis å rotere hemmeligheter og passord etter en viss periode.

Strategi nr. 7: Etablere kryptografiske identiteter

Dette er absolutt en avansert strategi, men jeg personlig forstår ikke hvorfor dette ikke er en utbredt praksis. Tenk på dette: Kollegaen din mener at du er blitt kompromittert. Hvordan får de en melding til den virkelige deg? Hvis noen fra internett må dele viktig sårbarhetsinformasjon, hvordan sender de den sikkert? Hvordan sikrer du at dine ansatte trygt deler informasjon under transport?

Mitt favoritteksempel på dette er Coinbase's nøkkelbasisprofil , der de kryptografisk signerer PGP-nøklene til sine ansatte. De har gått lenger og gitt sine compliance-avdelingen en PGP-nøkkel . Seriøst, Coinbase, flott arbeid!

For meg personlig, i tilfelle noen har en rimelig tvil om at min online identitet er blitt kompromittert, ber jeg meg bare om å signere en melding ved hjelp av PGP-nøkkelen som er tilgjengelig på min tastebase profil. Jeg er den eneste personen med tilgang til denne PGP-nøkkelen, og jeg har tatt rimelige forholdsregler for å sikre at denne nøkkelen forblir trygg selv om mine andre identiteter er kompromittert.

Hvis du er i tvil om ektheten til en melding, kan du be meg om å signere den. Hvis du trenger å sende meg en hemmelighet, krypterer du den med min offentlige nøkkel.

Implementere en tydelig sikkerhetspolicy for fjernarbeidere

Sikkerhetspolitikk er en definisjon av hva det betyr å være sikker for et system, organisasjon eller annen enhet. For en organisasjon adresserer den begrensningene for medlemmets oppførsel, samt begrensninger som pålegges motstandere av mekanismer som dører, låser, nøkler og vegger. - Wikipedia

En sikkerhetspolicy er en obligatorisk regel eller protokoll som må følges når du utfører handlinger. Strategiene ovenfor er nyttige, men for å gjøre dem lettere å følge, gi teamet ditt et enkelt sett med regler å følge. Det er vanskeligere å ødelegge sikkerheten når teamet ditt vet nøyaktig hva de skal gjøre.

La oss diskutere eksempler på en ekstern sikkerhetspolicy for arbeidstakere å implementere.

Retningslinjer å implementere for din ansatte :

• NDA og kontrakter: Sørg for at ingen ansatte har tilgang til konfidensielle ressurser uten passende juridisk grunnlag.
• Nødkontaktinformasjon: Ta ned ansattens fulle kontaktinformasjon og kontaktinformasjon i tilfelle det eksterne teammedlemmet ditt ikke svarer.
• Gi bare viktige privilegier: Hvis teammedlemmet ditt ikke trenger tilgang til visse områder for å utføre sin funksjon, ikke gi dem tilgang. Et medlem av salgsteamet trenger ikke tilgang til kodelageret ditt.
• Passordadministratorer: Sørg for at de ansatte har tilgang til en passordbehandling
• Sterke retningslinjer for autentisering
  • Minimal passordstyrke: Jeg hater personlig passord, og for organisasjoner der jeg er administrator, trenger jeg passord med minst femti alfanumeriske tegn. Det er trivielt å følge denne policyen hvis du bruker en passordbehandling.
  • Obligatorisk passord tilbakestilles: Forsikre deg om at de ansattes passord utløper ofte for ofte å rotere hemmeligheter.
  • To-faktor autentisering : Bruk 2FA overalt
• PGP-nøkler
• Krypterte harddisker
• Krypterte sikkerhetskopier

Ansatte drar, men de bør ikke ta informasjonen din med seg. Tilpass disse retningslinjene for å beholde data selv etter at de ansatte forlater selskapet:

• Bedriftens e-postkontoer: Å gi dine ansatte e-postkontoer på ditt eget domene lar deg deaktivere og revidere kommunikasjonen deres.
• Sanntids kommunikasjon: Selv om e-post er bra, noen ganger trenger teamet ditt å snakke i sanntid. Sørg for at teamet ditt har en sentralisert Slack- eller IRC-kanal. Dette gir deg muligheten til å deaktivere eller revidere kommunikasjonen deres etter behov.
• Sentraliserte kodelagre: Sørg for at all firmakode er lagret i et firmakodedepot. Firmaplaner om offentlige SaaS-tilbud som GitHub er fine til du trenger finkornet kontroll over all ansattes kode. I sistnevnte tilfelle bør du vurdere å få din egen GitLab-forekomst.

Retningslinjer for å beskytte din infrastruktur :

• Hold systemene oppdatert: Sikkerhetsproblemer oppdages og oppdateres hver dag. Det er din jobb å sikre at du bruker disse løsningene. Det er ingenting verre enn å oppdage at et brudd var forårsaket av sårbarhet som ble lappet for flere uker siden.
• Lås ned produksjons- og iscenesettelsesmiljøer: Ingen ansatte skal ha tilgang til produksjons- eller iscenesettelsesmiljøer. Noen ganger bare rot opp .
• Lag en sterk CI / CD-flyt: Du vil alltid distribuere “god” kode, og enkel CI / CD-prosess sørger alltid for dette.
• Beskytt det velsignede depotet: Hvis du har en automatisk CI / CD-prosess, må du forsikre deg om at det velsignede depotet ditt bare kan redigeres av prosjektlederen.
• Definere en gjennomgangsprosess: For å sikre at ingen 'dårlig' kode gjør det ubemerket, må du opprette en gjennomgangsprosess. Dette kan være så enkelt som å kreve endelig en uavhengig “Ser bra ut for meg” (LGTM) kommentar før sammenslåing.
• SSH-nøkler: I tilfelle applikasjonen din krever SSH-tilgang, må du sørge for at de bruker SSH-nøkler i stedet for passord.
• Vurder å slippe BYOD: Budsjettgruppen tror kanskje at BYOD er ​​den beste policyinnovasjonen siden det papirfrie kontoret, men hvis du har råd til det, bør du vurdere å forsyne teamet ditt med bedriftsmaskiner som du kan implementere streng sikkerhetspolitikk på.
• Krypterte sikkerhetskopier: Dataene dine er viktige.

Retningslinjer når du skriver kode :

• Ingen hemmeligheter i koden: På grunn av arten av versjonskontroll kan det være veldig vanskelig å fjerne data når de legges til i kode, hvor hemmelige nøkler er veldig enkle å finne .
• Bcrypt når du lagrer passord: Bruk når du designer et autentiseringssystem bcrypt å hashe og salte passordene dine i stedet for å designe systemet ditt, eller (gulp) lagre i ren tekst.
• Filtrer sensitiv informasjon fra logger: Enten det er din globale pepper, applikasjonens økesigneringsnøkkel eller brukerens påloggingsforsøk, sørg for at disse ikke lekker i systemloggfilene dine der alle med tilgang kan lese dem.
• Gi minst mulig privilegier: Hvis søknaden din bare trenger READ privilegier, ikke gi det WRITE privilegier. Følg prinsippet om minst privilegium.

Lag en responsplan

Sikkerhetsbrudd skjer noen ganger, og selv om det vil være god tid til å lære under en post mortem, er det viktig at det er en klar vei for å sikre alle digitale eiendeler.

Ta deg tid til å utarbeide en beredskapsplan i tilfelle det oppstår et sikkerhetsbrudd. Vurder handlingene dine i følgende scenarier:

• Du mister en enhet med sensitive data.
• Infrastrukturen din kan ha blitt benyttet av en uautorisert part.
• Du observerer at noen på laget ditt oppfører seg underlig i motsetning til seg selv.
• Det oppdages et sikkerhetsproblem.

Ting å inkludere i responsplanen din:

• Flittig dokumentasjon: Aktiver skjermopptak, sett opp en wiki for teamet ditt for å dele alt de kommer over.
• Bruddsinneslutning: Avhengig av omfanget av bruddet, kan dette være så enkelt som å deaktivere en brukerkonto, ta en server offline eller stenge produksjonen og kontakte brukerne dine.
• Etabler intern kommunikasjon: Start en dedikert Slack-kanal, eller finn en måte for alle å rapportere hva de kommer over.
• Å bringe inn hjelp: Ring alle lagene som er berørt av bruddet. Dette kan være et godt tidspunkt å kontakte myndighetene også.
• Undersøk: Finn ut hva som ble brutt, i hvilken grad og hva vi kan gjøre for å gjenoppta normal drift.
• Komme tilbake på nettet: Opprett, test og publiser en løsning for å gjenoppta normal drift så snart som mulig. Brukerne dine er avhengige av at tjenesten din fungerer, og i det øyeblikket du kan garantere stabil og sikker tjeneste, kom deg tilbake på nettet.
• Snakk med brukerne dine: Ikke la brukerne være i mørket. Det verste du kan gjøre er å stoppe tjenesten din uten å forklare hva som skjer for brukerne dine. Etablere en live oppdateringskanal; dette kan være så enkelt som å bruke Twitter for å holde dem informert. Etter at hendelsen er håndtert, kan du publisere en rapport etter mortem som snakker om hva som skjedde, hvordan det skjedde og hva du har gjort for å forhindre lignende brudd i fremtiden.

Sikkerhetshendelser skjer. Det som betyr noe er hvordan du håndterer svaret ditt. Et av mine favorittresponser var langt i 2015 da LastPass utstedte obligatorisk tilbakestilling av hovedpassord da de oppdaget avvikende nettverksaktivitet . Jeg har lenge vært bruker av LastPass, og til tross for deres nylig sikkerhetsproblemer, jeg elsker måten de reagerer på kundene sine ved å plassere deres behov først.

Anbefalt lesing

For å gjenta: Det er ikke noe som heter perfekt sikkerhet. Alt som betyr noe er at du sørger for at du har gjort en rimelig innsats for å holde dataene dine trygge.

Disse sikkerhetsrutinene skal gjøre deg og ditt eksterne team betydelig vanskeligere å hacke.

Hvis du vil lese en sann historie om en flyktet hacker på flukt fra loven, anbefaler jeg Ghost in the Wires av Kevin Mitnick.

Hvis du vil lære mer om hvordan den andre siden tenker, anbefaler jeg å lese:

• Social Engineering: The Art of Human Hacking av Christopher Hadnagy
• The Art of Deception av Kevin Mitnick og William L. Simon

Min forbrytelse er nysgjerrighet.