بهترین روشهای امنیتی برای تیمهای از راه دور

هر وقت به دوستانم می گویم که از راه دور برای مشتری که هرگز ملاقات نکرده ام کار می کنم، از من می پرسند: آیا کار از راه دور برای شما امن است؟ پاسخ من کاملاً مثبت است “بله … اما به این بستگی دارد که سیاست امنیتی کارگر از راه دور را به خوبی ایجاد کنید.”

من در پاکستان زندگی می کنم، جایی که کدی تولید می کنم که برای مشتریانی که در آن سوی کره زمین هستند دارای ارزش است. مشتری های من هرگز من را یا جایی که من کار می کنم را ندیده اند. و با این حال، انتظار می رود اطمینان حاصل کنم که اسرار مشتری و کد همچنان محافظت می شوند. در جهانی که اعضای تیم شما با چهره یا صدای شما آشنا نیستند، چگونه از نقض امنیت جلوگیری می کنید؟ پاسخ این است: با دقت زیاد.

چندی پیش، ما معتقد بودیم که برای تضمین عملکرد و امنیت برنامه های خود، باید آنها را در مرکز داده خصوصی خود اجرا کنیم. سپس ابر به وجود آمد و ما از مزایای هزینه و عملکرد اجرای برنامه های خود در یک سیستم عامل مقیاس پذیر و بدون نیاز به نگهداری ناوگان سرور در یک اتاق بهره مند شدیم.

به من اجازه دهید در مورد یک راز معروف به شما بگویم:

ابرنیست.
این فقط کامپیوتر شخص دیگری است.

اکنون، شرکت هایی مانند Uber 1 و Stripe 2 اطلاعات مکان مشتری و کارت اعتباری و پرداختهای آن را در سرور یک ارائه دهنده ابر ذخیره و پردازش می کنند، در حالی که استانداردهای سختگیرانه امنیتی مانند PCI را رعایت می کنند. آنها این کار را با اتخاذ سیاستهای سختگیرانه ای انجام می دهند که اطمینان حاصل کند داده های تولید آنها ایمن خواهد ماند.

اگر شرکت ها بتوانند تضمین کنند که با وجود فعالیت در خارج از مراکز داده خصوصی خود، کل محیط تولیدشان ایمن باقی بماند، مطمئناً می توانیم با استفاده از تیم های توسعه از راه دور امنیت توسعه شما را تضمین کنیم. از این گذشته، کل شرکت ها قادر به کار کاملاً از راه دور هستند. 

“امنیت” چیست و چگونه می توانم “امن” باشم

در کل این مقاله، منظور من از “امنیت” امنیت اطلاعات است .

اصطلاح “امنیت اطلاعات” به معنای محافظت از سیستم های اطلاعاتی در برابر دسترسی، استفاده، افشای اطلاعات، ایجاد اختلال، اصلاح یا تخریب غیر مجاز است. 

چیزی به نام امنیت کامل وجود ندارد، اما “امنیت” بدان معنی است که شما اقدامات منطقی برای اجرای امنیت اطلاعات انجام داده اید.

به طور خاص وقتی می گویید “محیط کار من امن است”، منظور شما این است که بگویید اقدامات منطقی برای محافظت از داده ها، کد یا سایر اطلاعات محرمانه مورد مراقبت خود انجام داده اید و از یکپارچگی آنها اطمینان حاصل کرده اید. شما همچنین اقداماتی انجام داده اید تا مطمئن شوید امتیازات شما برای دسترسی به سیستمهای اطلاعاتی حساس توسط خود شخص یا شخص غیر مجاز به شیوه ای مخرب برای اهداف سازمانی که صاحب این اطلاعات است و این سیستمها مورد استفاده قرار نخواهد گرفت.

تیم های از راه دور سطح حمله ی به مراتب بیشتری نسبت به تیم های متمرکز دارند. بر خلاف یک تیم متمرکز که می توانید اطلاعات محرمانه را پشت دیوارهای آتش و ایستگاه های کاری شرکت قفل کنید، به عنوان یک کارگر از راه دور، شما را ترغیب می کنند و یا حتی لازم هستند دستگاه خود (BYOD) را بیاورند. علاوه بر این، از آنجا که بیشتر ارتباطات شما به صورت آنلاین اتفاق می افتد، شما بسیار مستعد ابتلا به مهندسی اجتماعی و سرقت هویت هستید . با این وجود، با وجود سیاست های مناسب، مطمئناً می توانید خطر نقض را به حداقل برسانید.

اغلب اوقات، بین سایه های امنیت و راحتی یک داد و ستد وجود دارد و شما باید تعیین کنید که چقدر می خواهید اقدامات امنیتی خود را انجام دهید اما به یاد داشته باشید، تیم شما فقط به عنوان ضعیف ترین عضو خود ایمن است. بیایید نگاهی به برخی از حملات امنیتی مشترک، استراتژی های دفاعی، و در آخر بحث در مورد یک نمونه از سیاست های امنیتی از راه دور داشته باشیم.

آیا تمایل به آشنایی با موقعیت شغلی امنیت رایانه دارید؟اکنون بیاموزید.

این آموزش به شما در درک امنیت و تسلط بر این موضوع کمک می کند.

سه نوع متداول حملات خصمانه

شما آماده نیستید اگر نمی دانید قرار است با چه روبرو شوید. یک دشمن می تواند از استراتژی های زیادی در حمله خود استفاده کند، اما اکثر آنها در سه دسته قرار می گیرند. اگرچه این لیست جامع نیست، این سه نوع رایج است که هکرهای مخرب از ناقلین حمله استفاده می کنند:

  • مهندسی اجتماعی
  • فیشینگ
  • عفونت های مخرب

مهندسی اجتماعی

مهندسی اجتماعی هنر دستکاری مردم است بنابراین آنها از اطلاعات محرمانه دست می کشند. انواع اطلاعاتی که این مجرمان به دنبال آنها هستند ممکن است متفاوت باشد، اما هنگامی که افراد مورد هدف قرار می گیرند، مجرمان معمولاً سعی می کنند شما را فریب دهند تا رمزهای عبور یا اطلاعات بانکی خود را به آنها بدهید، یا برای نصب مخفیانه نرم افزار مخرب به رایانه خود دسترسی پیدا می کنید که به آنها امکان دسترسی به رمزهای عبور و اطلاعات بانکی و همچنین امکان کنترل آنها بر روی رایانه شما را می دهد.

مجرمان از تاکتیک های مهندسی اجتماعی استفاده می کنند زیرا معمولاً بهره گیری از تمایل طبیعی شما برای اعتماد آسان تر از کشف راه های هک نرم افزار است. به عنوان مثال، فریب دادن شخصی برای دادن رمز عبور به شما بسیار آسان تر از این است که بخواهید رمز ورود وی را هک کنید (مگر اینکه رمز عبور واقعاً ضعیف باشد).

فیشینگ

فیشینگ رایج ترین روش برای سرقت مدارک شما است. یک وب سایت را تصور کنید که دقیقاً شبیه فیس بوک باشد، در آنجا وارد شوید، فکر می کنید واقعی است. فیشینگ (phishing) زمانی است که یک مهاجم وب سایتی را ایجاد می کند که قانونی به نظر می رسد اما اینگونه نیست.

آیا می توانید فیس بوک جعلی را پیدا کنید؟ نکته: این موردی است که در Facebook.com وجود ندارد.

گاهی هکرها می توانند اینترنت شما را مسموم کنند و وب سایت خود را در دامنه فیس بوک تزریق کنند، این حمله Man in The Middle نامیده می شود، اما نگران نباشید، مرورگر شما می تواند در مورد این موارد به شما هشدار دهد.

فیشینگ نیزه نوعی دیگر از فیشینگ است که صفحه فیشینگ ممکن است به صورت سفارشی برای شما یا سازمان شما ساخته شود. این احتمال را برای شما بیشتر می کند که به خصوص وقتی با مهندسی اجتماعی ترکیب می شود، آن را قبول کنید.

من برای شما داستانی تعریف می کنم: هنگامی که در مدرسه بودم، شخصی که اخیراً در مورد فیشینگ آموخته بود، یک وب سایت جعلی فیس بوک ایجاد کرد و صفحات اصلی آزمایشگاه رایانه را به وب سایت جعلی خود تغییر داد. در نتیجه کار، این شخص سیصد رمز ورود به حساب فیس بوک داشت. این حمله به طور خاص در مدرسه من هدف قرار گرفت و معلوم شد که یک حمله موفقیت آمیز فیشینگ نیزه ای است. ولی اگر فقط کسی زحمت نگاه کردن به نوار آدرس را می گرفت تمام این رمزهای عبور ایمن می ماندند.

آلودگی بدافزار

صدها نوع بدافزار مختلف وجود دارد. بعضی از آنها بی ضرر یا فقط آزار دهنده هستند، اما بعضی دیگر می توانند بسیار خطرناک باشند. مهمترین انواع بدافزارها برای مراقبت عبارتند از:

  • Spyware : بطور مخفیانه، صفحه، صدا و تصویر شما را نصب و ضبط می کند.
  • ابزارهای کنترل از راه دور (RATs): کنترل کامل رایانه را مجاز می کند.
  • Ransomware: تمام پرونده های مهم شما را رمزگذاری می کند و باعث می شود هزینه کلید رمزگشایی را پرداخت کنید.

برای اینکه شما را وادار کنند تا بدافزار سفارشی را در رایانه خود نصب کنید، مهاجمان معمولاً از مهندسی اجتماعی استفاده می کنند.

هفت راهبرد دفاع سایبری که اکنون به آنها نیاز دارید

ما در مورد متداول ترین روش های حمله خصمانه بحث کرده ایم، اما چگونه از آنها در امان بمانیم؟

استراتژی شماره 1: مدیریت صحیح رمز عبور

من از رمزهای عبور متنفرم. آنجا گفتم من کاملاً معتقدم که ترکیب نام کاربری و رمز عبور ضعیف ترین شکل احراز هویت کاربر است. رمز عبور چیزی بیش از یک رشته کوتاه از کاراکترهای تولید شده توسط بدترین مولد اعداد شبیه موجود نیست: ذهن انسان.

من به یک کلمه رمز احتیاج دارم، ها؟ چه می شود ترکیبی از نام و سال تولد من، مطمئنا هیچ کس قادر به حدس زدن نیست! هر انسانی همیشه این تصور رادر ذهنش دارد.

بدتر اینکه مردم بخاطر راحتی خود از رمزهای عبور یکسان برای جاهای مختلف مثلا برای ورود به سیستم بانکی و WiFi خانه خود استفاده کند و رمز وای فای را به دیگران هم می دهد.

سالها پیش تصمیم گرفتم موارد زیر را انجام دهم:

  1. از مدیر رمز عبور استفاده کنید.
  2. به جای رمزهای عبور از عبارات عبور قوی استفاده کنید.

از مدیر رمز عبور استفاده کنید

وقتی گفتم بین سایه های امنیت و راحتی معامله وجود دارد، در اینجا صدق نمی کند. یا ایمن هستید و از مدیر رمز عبور استفاده می کنید، یا نه. هیچ چیزی در این میان وجود ندارد. استفاده از مدیر رمز عبور برای داشتن امنیت خوب رمز عبور برای شما اجباری است. 

  1. آیا همه رمزهای عبور شما منحصر به فرد هستند؟
  2. اگر برخی از گذرواژه های شما را کشف کنم، آیا بقیه گذرواژه های شما ایمن خواهند ماند؟
  3. آیا تمام گذرواژه های شما با استفاده از حداقل 32 بیت آنتروپی ایجاد شده است؟
  4. آیا گذرواژه های شما فقط به صورت رمزگذاری شده ذخیره می شوند؟
  5. آیا هر رمز عبوری را که هنگام ثبت نام استفاده کرده اید کاملاً به یاد دارید؟

اگر به هر یک از سوالات بالا “نه” پاسخ داده اید، به یک مدیر رمز عبور نیاز دارید. یک مدیر رمز عبور خوب، گذرواژه های شما را به صورت تصادفی برای شما تولید می کند و آنها را با خیال راحت ذخیره می کند. مهم نیست که از کدام مدیر رمز عبور استفاده می کنید، به شرطی که از یکی از آن استفاده کنید!

من سالهاست که از LastPass استفاده می کنم و چالش امنیتی آنها به من می گوید که من جزء 1٪ کاربران امنیتی آگاه هستم.

عبارات عبور قوی به جای رمزهای عبور

این از آنجا که من در بالا از شما خواستم تا از یک مدیر رمز عبور استفاده کنید، ضد شهودی به نظر می رسد، اما مواردی وجود دارد که گذرواژه ها اجتناب ناپذیر هستند: شما برای مدیر رمز عبور خود به یک رمز عبور اصلی قوی یا ورود به سیستم رایانه نیاز خواهید داشت. در این موارد از یک عبارت عبور امن و به یاد ماندنی با آنتروپی بالا استفاده کنید.

صحبت از آنتروپی است، بگذارید کمی در مورد آن صحبت کنیم. این “آنتروپی” که من صحبت می کنم چیست؟

آنتروپی یک پارامتر آماری است که به معنایی خاص، میزان متوسط ​​تولید هر حرف از متن در زبان را اندازه گیری می کند. اگر زبان به کارآمدترین روش به رقم باینری (0 یا 1) ترجمه شود، آنتروپی H میانگین تعداد ارقام باینری مورد نیاز برای هر حرف از زبان اصلی است. – کلود شانون

مشکلی که در رمزهای عبور آنتروپی زیاد وجود دارد این است که در نهایت به خاطر سپردن آنها دشوار است، مانند c05f$KVB#*6y. برای به یاد ماندنی تر شدن آنها، چه می شود اگر به جای استفاده از حروف منفرد، از کلمات کامل استفاده کنیم؟ از دیکشنری هزار کلمه ای استفاده کرده اید؟ ناگهان الفبای ما هزار عنصر می شود و ما می توانیم در 7 کلمه به همان آنتروپی برسیم که با 11 حرف داشته باشیم.

اکنون تفاوت این است که به جای استفاده از کلمه عبور، ما از عبارتی استفاده می کنیم که طول آن بسیار طولانی تر است.

کمیک XKCD زیر این مفهوم را به بهترین وجه توضیح می دهد:

استراتژی شماره 2: از احراز هویت چند عاملی (MFA) استفاده کنید

احراز هویت دو عاملی (2FA) یا تأیید صحت 2 مرحله ای همه نام های یک چیز هستند. این یکی از مواردی است که نیاز به کمی عادت دارد، اما مزایای امنیتی 2FA بسیار بیشتر از هزینه ها است و شخصاً دو بار من را از نقض حساب نجات داده است!

ایده پشت MFA ساده است. سه مورد وجود دارد که می توانیم برای احراز هویت شما استفاده کنیم:

  1. چیزی که می دانید (یک راز)
  2. چیزی که شما دارید (نشانه)
  3. چیزی که هستی (زیست شما)

استفاده از دو مورد ایمن تر از فقط استفاده از یک مورد است.

بیشتر وب سایت ها با نیاز به رمز عبور از اولین فاکتور احراز هویت پشتیبانی می کنند، اما تعداد بیشتری از خدمات پشتیبانی از عامل دوم را نیز شروع کرده اند. عامل سوم معمولاً توسط سرویسهای وب کنار گذاشته می شود زیرا به سخت افزار تخصصی نیاز دارد. مانند حسگر اثر انگشت در تلفن شما.

اگر مدیر یک تیم هستید، ایجاد یک سیاست اجباری برای کاربران برای راه اندازی 2FA را در نظر بگیرید. این تضمین می کند که سازش رمز عبور منجر به سازش حساب نمی شود.

استراتژی شماره 3: هوشیاری مداوم

صرف نظر از میزان ایمنی شما داشتن سوء ظن سالم چیز خوبی است. مراقب افرادی باشید که از شما می خواهند هر کار غیرعادی انجام دهند. آیا از شخصی پیام متنی دریافت کرده اید که از شما می خواهد رمز ورود خود را تنظیم کنید؟ یک دقیقه صبر کنید و با آنها تماس ویدیویی بگیرید. از آنها بخواهید هویت خود را ثابت کنند. هیچ کس نمی تواند شما را به دلیل احتیاط مقصر بداند.

استراتژی شماره 4: سیستم های طراحی مطابق با اصل حداقل امتیاز

اصل حداقل امتیاز مستلزم این است که در یک لایه انتزاعی خاص از یک محیط محاسباتی، هر ماژول (مانند فرآیند، کاربر یا برنامه، بسته به موضوع) باید فقط به اطلاعات و منابع لازم دسترسی داشته باشد.

بگذارید یک داستان برای شما تعریف کنم: من یک بار در حال طراحی برنامه ای بودم که پرداخت Bitcoin از کاربران را در آدرس های منحصر به فرد برای آنها بپذیرد و سپس آنها را به یک آدرس ذخیره سازی امن مرکزی منتقل کند. برای دریافت بیت کوین (مانند شماره حساب) به یک کلید عمومی و یک کلید خصوصی مربوطه برای خرج کردن آن نیاز دارید (مانند پین حساب). شماره حساب ها و پین های موجود در بیت کوین به صورت رمزنگاری به هم پیوند دارند و نمی توان آنها را تغییر داد.

من چندین گزینه برای طراحی این سیستم داشتم، اما تصمیم گرفتم مسیر کمی طولانی تری را طی کنم. من تصمیم گرفتم که برای درخواست کاربر به پرداخت هزینه، برنامه نیازی به دسترسی به کلیدهای خصوصی نداشته باشد. بنابراین، من به جای طراحی یک سیستم بزرگ که پرداخت Bitcoin را دریافت و ارسال می کند، دو سیستم ایجاد کردم:

  1. سیستم دریافت: این بیت کوین از کاربران دریافت شده و در اینترنت عمومی میزبانی می شود. فقط کلیدهای عمومی آدرس ها را شامل می شد.
  2. سیستم حمل و نقل: این یک سیستم کاملاً مستقل و قفل شده بود که تنها کارش تماشای شبکه بیت کوین برای انجام معاملات در آدرس ها و انتقال آنها به آدرس امن بود. این کلید شامل کلیدهای عمومی و خصوصی برای آدرس ها بود.

مدت ها بعد، بعد از اینکه دیگر برنامه را متوقف نکردم، سیستم دریافت عمومی شکسته شد. من بلافاصله آن را تعطیل کردم، اما مهاجم هرگز موفق به سرقت بیت کوین نشد زیرا سیستم عمومی به هیچ وجه کلید خصوصی نداشت.

استراتژی شماره 5: از بهترین شیوه های عقل سلیم استفاده کنید

بعضی از اعمال نیازی به توضیح ندارند. شما احتمالاً مهم بودن آنها را می دانید، اما من از اینکه چند نفر (از جمله خود من) فراموش می کنند این چک لیست را اینجا می گذارم:

  1. فایروال خود را روشن کنید.
  2. دیسک خود را رمزگذاری کنید.
  3. پشتیبان گیری رمزگذاری شده را فعال کنید.
  4. از کلیدهای SSH استفاده کنید.
  5. از اتصال اینترنتی ایمن استفاده کنید.

استراتژی شماره 6: با اسرار با احتیاط رفتار کنید

قرار نیست اسرار افشا شود. به همین دلیل به آنها اسرارگفته می شود. با وجود آن، چند بار مرتکب ارسال رمز ورود به پایگاه داده تولیدی PostgreSQL از طریق Facebook Messenger شده اید؟ اطمینان حاصل کنید که همیشه:

  • رمزها را در حین ارسال رمزگذاری کنید. (اگر این اسرار رمزگذاری شده باشد، هیچ کس با دسترسی به پیام های شما در دسترس نخواهد بود.)
  • مرتباً آنها را بچرخانید. (چرخش اسرار و رمزهای عبور بعد از مدت زمان مشخص یک روش خوب تلقی می شود.)

استراتژی شماره 7: ایجاد هویت رمزنگاری

این مطمئناً یک استراتژی پیشرفته است، اما من شخصاً نمی فهمم که چرا این یک عمل گسترده نیست. این را در نظر بگیرید: همکار شما معتقد است که شما در معرض خطر قرار گرفته اید. چگونه آنها پیامی به شما واقعی منتقل می کنند؟ اگر شخصی از اینترنت مجبور باشد اطلاعات مهم آسیب پذیری را به اشتراک بگذارد، چگونه آنها را به صورت ایمن ارسال می کند؟ چگونه اطمینان حاصل می کنید که کارمندان شما به طور ایمن اطلاعات را در حمل و نقل به اشتراک می گذارند.

برای من، شخصاً، درصورتی که کسی در به خطر افتادن هویت آنلاین من تردید منطقی داشته باشد، به سادگی از من بخواهید با استفاده از کلید PGP موجود در نمایه پایه کلید خود پیامی را امضا کنم. من تنها کسی هستم که به این کلید PGP دسترسی دارم و اقدامات احتیاطی منطقی را برای اطمینان از سالم ماندن این کلید انجام داده ام حتی اگر سایر هویت های من به خطر بیفتد.

اگر در صحت یک پیام شک دارید، از من بخواهید آن را امضا کنم. اگر می خواهید یک رمز برای من بفرستید، آن را با کلید عمومی من رمزگذاری کنید.

نتیجه گیری

دوباره تکرار می کنم: چیزی به نام امنیت کامل وجود ندارد. همه آنچه مهم است این است که اطمینان حاصل کنید که تلاش منطقی برای ایمن نگه داشتن اطلاعات خود انجام داده اید.

این اقدامات امنیتی باید هک کردن شما و تیم راه دور شما را به میزان قابل توجهی دشوار کند.

آیا تمایل به آشنایی با موقعیت شغلی امنیت رایانه دارید؟اکنون بیاموزید.

این آموزش به شما در درک امنیت و تسلط بر این موضوع کمک می کند.