远程团队安全最佳实践指南

本文概述

• 什么是”安全”以及我如何”安全”
• 三种最常见的对抗性攻击
• 你现在需要的七种网络防御策略
• 实施明确的远程工作者安全策略
• 创建响应计划
• 推荐读物

每当我告诉朋友我为从未见过的客户进行远程工作时, 他们都会问我：远程工作是否安全？我的回答是一个响亮的”是的……但是, 这取决于你创建远程工作者安全策略的程度。”

我住在巴基斯坦, 在那里我生产对地球另一端的客户有价值的代码。我的客户从未与我握手, 也从未见过我在哪里工作。但是, 我希望确保客户端机密和代码受到保护。在你的团队成员不熟悉你的脸孔或声音的世界中, 如何防止安全漏洞？答案是：非常小心。

不久之前, 我们认为要保证应用程序的性能和安全性, 我们需要在私有数据中心中运行它们。然后, 云出现了, 我们获得了在可扩展的按需平台上运行应用程序的成本和性能优势, 而无需在机房中维护服务器群。

请允许我介绍一个众所周知的秘密：

没有云。

这只是别人的计算机。

现在, Uber1和Stripe2之类的公司在云提供商的服务器上存储和处理实时客户位置信息以及信用卡和付款, 同时遵守诸如PCI兼容之类的严格安全标准。他们通过采取严格的政策来做到这一点, 以确保其生产数据将保持安全。

如果公司即使在私有数据中心之外运行也能保证整个生产环境仍然安全, 那么我们肯定可以使用远程开发团队确保开发的安全性。毕竟, 整个公司都可以完全远程运行。 srcmini是一家仅限远程的公司, 我们正在招聘。

什么是”安全”以及我如何”安全”

在本文中, 当我谈论”安全性”时, 我指的是信息安全性。

术语”信息安全”是指保护信息和信息系统, 防止未经授权的访问, 使用, 披露, 破坏, 修改或破坏。 –美国法典第44条第3542条

没有完美的安全性, 但”保持安全”意味着你已采取合理的措施来加强信息安全性。

具体来说, 当你说”我的工作环境是安全的”时, 是指你已采取合理措施保护你所护理的数据, 代码或其他机密信息, 并确保其完整性。你还采取了一些措施, 以确保你自己或未经授权的个人不会使用访问敏感信息系统的特权, 而这会损害拥有此信息的组织和这些系统的目标。

远程团队的攻击面确实比集中团队大得多。与可以在物理上锁定防火墙和公司工作站后面的机密信息的集中式团队不同, 作为远程​​工作者, 我们鼓励甚至要求你带上自己的设备(BYOD)。而且, 由于大多数通信都是在线进行的, 因此你更容易受到社交工程和身份盗用的影响。但是, 有了正确的策略集, 你当然可以最大程度地降低违规风险。

没有安全的灵丹妙药。通常, 在安全性和便利性之间要权衡取舍, 由你决定要采取多远的安全措施, 但请记住, 你的团队的安全性仅取决于其最弱的成员。让我们看一些常见的安全攻击, 防御策略, 最后讨论一个示例远程安全工作者策略。

三种最常见的对抗性攻击

如果你不知道要面对的是什么, 你就没有准备。攻击者可以使用多种策略进行攻击, 但大多数策略可以分为三类。尽管此列表并不详尽, 但它们是恶意黑客可能使用的三种常见的攻击媒介：

• 社会工程学
• 网络钓鱼
• 恶意软件感染

社会工程学

社会工程学也被认为是黑客行为, 是一种操纵人们以不符合其最大利益的方式行事的实践。这可能包括泄露机密信息。

社交工程攻击可能试图利用你的同情心来试图使你规避良好做法, 或者产生一种紧迫感, 使你担心自己不遵守规定会采取不利行动, 从而使你绕过最佳做法。

社会工程的示例包括：

• 一个女人打电话给移动电话运营商, 并与支持人员说要更改某人的帐户, 而一个婴儿哭泣的YouTube剪辑在后台播放。
• 攻击者通过CFO的电子邮件地址向CEO发送电子邮件, 并授权进行180万美元的资金转移。

网络钓鱼

网络钓鱼是窃取凭据的最常见方法。想象一下一个看起来像Facebook的网站, 你在这里登录并认为这是真实的。网络钓鱼是指攻击者创建看上去合法但不合法的网站。

你能发现假Facebook吗？提示：这不是Facebook.com上的那个。

有时, 黑客可能会毒害你的互联网并将其网站注入到Facebook域中, 这称为”中间人攻击”, 但请不要担心, 你的浏览器会警告你这些问题。

鱼叉式网络钓鱼是网络钓鱼的另一种形式, 其中网络钓鱼页面可能是为你或你的组织定制的。这使你更有可能屈服于它, 尤其是与社会工程学结合使用时。

我给你讲一个故事：在我上学时, 一个最近了解网络钓鱼的人创建了一个虚假的Facebook网站, 并将计算机实验室中的主页更改为他的创建。他知道的第二件事, 这个人有300个Facebook帐户密码。这次攻击专门针对我的学校, 结果证明是成功的鱼叉式网络钓鱼攻击。

并认为, 如果只有某人费心查找地址栏, 所有这些密码都将保持安全。

恶意软件感染

有数百种不同类型的恶意软件。有些无害或只是令人讨厌, 但有些可能非常危险。要寻找的最重要的恶意软件类型是：

• 间谍软件：静默安装并记录你的击键, 屏幕, 音频和视频。
• 远程管理工具(RAT)：允许完全控制计算机。
• 勒索软件：加密所有重要文件, 并让你支付解密密钥的费用。

为了有意让你在计算机上安装自定义恶意软件, 攻击者通常使用社交工程：

• 攻击者在公司停车场周围”丢失” USB驱动器, 以获取员工登录凭据。
• 一名将咖啡洒在简历上的人要求接待员给他打印一份复印件, 因为他接受了采访, 从而导致公司计算机被USB中的恶意负载感染。 (来自”人类黑客艺术”的示例)。

你现在需要的七种网络防御策略

我们已经讨论了最常见的对抗攻击方法, 但是我们如何避免这种攻击呢？

策略1：正确的密码管理

我讨厌密码。在那里, 我说了。我坚信, 用户名和密码的组合是现有用户身份验证的最弱形式。密码不过是由现有的最差的伪随机数生成器(人脑)生成的一小串字符串。

我需要一个秘密的话, 是吗？我的姓氏和出生年份如何, 肯定没有人能猜到！ –每个人

更糟糕的是, 为了方便起见, 人们倾向于重用密码。这使得某人可以使用相同的密码进行银行登录和家庭WiFi, 同时使该密码很可能以他们最喜欢的乐队的名称结尾。惊恐的事件！

几年前, 我决心做以下事情：

1. 使用密码管理器
2. 使用强密码短语代替密码

使用密码管理器

我说过要在安全性和便利性之间进行权衡, 但这不适用于此处。你是否安全并且使用密码管理器, 或者你不是安全的。两者之间没有。为了确保良好的密码安全性, 必须使用密码管理器。我会解释。

1. 你所有的密码都是唯一的吗？
2. 如果我发现了你的某些密码, 其余的密码会保持安全吗？
3. 是否使用至少32位熵创建了所有密码？
4. 你的密码仅以加密形式存储吗？
5. 你是否完全记得注册时使用的每个密码？
6. 你是否肯定会在此网站上泄漏密码？

如果你对以上任何问题的回答为”否”, 则需要一个密码管理器。好的密码管理器会为你随机生成你的密码, 并将其安全存储。只要使用一个密码管理器, 都没有关系！

我之所以使用LastPass, 是因为我喜欢他们的事件报告透明, 可以与朋友共享我的凭据并可以随时撤消共享, 并且我喜欢移动同步是他们免费计划的一部分。

我使用LastPass已经有多年了, 他们的安全挑战告诉我, 在他们关注安全性最高的用户中, 我位列前1％。

强大的密码短语而不是密码

tl; dr：使用它来生成密码短语。 12个单词就足够了。

这听起来有点违反直觉, 因为我在上面要求你使用密码管理器, 但是在某些情况下, 密码是不可避免的：你将需要一个强大的主密码来使用密码管理器, 或登录到计算机。在这些情况下, 请使用具有高熵的安全且难忘的密码短语。

说到熵, 让我们谈谈它。我所说的”熵”是什么？

熵是一种统计参数, 在某种意义上可以衡量该语言中每个文本字母平均产生多少信息。如果以最有效的方式将语言翻译成二进制数字(0或1), 则熵H是原始语言每个字母所需的二进制数字的平均数。 –克劳德·香农(Claude Shannon)

如果引用难以理解, 那也没关系。基本上, 从集合中随机选择的密码的熵是用基数2表示的集合中元素的总数。例如：如果密码长度为4个字符, 只能包含小写字母, 则密码的熵随机生成的密码为19位, 因为：

1. 小写字母中有26个元素
2. 由这些字母组成的4个字符串是26 ^ 4 = 456, 976
3. 以2为底的456, 976是log(456, 976)/ log(2)= 19位(四舍五入到最接近的位)

高熵密码的问题在于它们最终难以记住, 例如c05f $ KVB＃* 6y。为了使它们更令人难忘, 如果我们不使用单个字母, 而是使用整个单词呢？并用了一千个单词的字典？突然, 我们的字母表变成了1000个元素, 并且我们可以在7个单词中获得与11个字符相同的熵。

现在的区别是, 我们使用的是密码短语, 而不是使用密码, 密码短语的长度更长。

以下XKCD漫画最能解释这个概念：

生成安全随机密码短语的最简单方法是转到此处。

策略2：使用多因素身份验证(MFA)

两要素验证(2FA)或两步验证都是同一事物的名称。这是需要习惯的事情之一, 但是2FA的安全性优势远远超过了成本, 并且使我个人两次免遭帐户违规的侵害！

MFA背后的想法很简单。我们可以使用三件事来对你进行身份验证：

1. 你所知道的(秘密)
2. 你有的东西(令牌)
3. 你是什​​么(你的生物学)

使用两个比仅使用一个更安全。

大多数网站通过要求输入密码来支持认证的第一要素, 但是越来越多的服务也开始支持第二要素。第三个因素通常被Web服务忽略, 因为它需要专用的硬件。就像手机上的指纹传感器一样。

如果你是团队的管理员, 请考虑为用户创建2FA设置强制性策略。这样可以确保密码泄露不会导致帐户泄露。

“你拥有的东西”有两种流行的形式：

1. 你的手机
2. U2F钥匙

将手机用于2FA

我想马上说这句话：不要在2FA中使用SMS代码。恶意人员劫持你的电话号码已成为一种常见的做法。故事几乎总是一样的：有人社交设计了一个运营商, 将你的电话号码转移到另一个运营商。我知道至少有一个人成为这次袭击的受害者。

相反, 请使用基于时间的一次性密码(TOTP), 也称为” Google Authenticator”方法。但是, 我建议你使用Authy, 而不是使用Google Authenticator, 因为它会加密并备份你在云中的2FA令牌。然后, 即使你更改设备, 也可以还原2FA令牌…实际上, 你可以在多个设备上使用相同的令牌。非常方便

对2FA使用U2F密钥

这是最简单, 最强大的2FA方法。我有一个Yubikey Neo, 可以在手机和计算机上使用。为了证明我的身份, 我只需要插入硬件令牌并按下一个按钮即可。我的令牌是唯一的, 是物理令牌；我可以将其放在钥匙扣或钱包中。

策略3：时刻保持警惕

无论你相信自己有多安全, 对自己的怀疑都是一件好事。警惕有人要求你做任何与众不同的事情。你是否收到某人发来的短信, 要求你重设密码？等待一分钟, 然后与他们进行视频通话。请他们证明自己的身份。没有人会因为谨慎而责备你。

如果他们真的想得到你, 那不是偏执狂。 –感兴趣的人Harold Finch

他们真的很想得到你。有时候, 除了愿意这样做以外, 没有理由让恶意用户去做他们所做的事情。

我的一个朋友曾经从一位老朋友那里收到一条消息, 询问他们是否愿意成为Facebook上的”受信任的联系人”。我的朋友同意了, 并要求我回复他们在手机上收到的验证码, 然后我的朋友迅速给出了……这就是我的朋友通过社交方式为她的Gmail帐户提供重置令牌的方式。如果我的朋友从一开始就保持警惕, 她将永远不会丢失电子邮件。

策略4：基于最小权限原则的设计系统

最小特权原则要求, 在计算环境的特定抽象层中, 每个模块(例如进程, 用户或程序, 取决于主题)都必须只能访问必要的信息和资源。出于其合法目的。 –维基百科

如果用户, 应用程序或服务不需要某些特权, 请不要将其授予他们。你可以从该原则中得出许多规则, 但是我会将它们保存在下一个有关安全策略的部分中。

让我告诉你一个故事：我曾经设计过一个应用程序, 该应用程序将接受用户为他们唯一生成的地址上的比特币付款, 然后将其转发到中央安全存储地址。如果你不熟悉比特币的工作原理, 这里有一个简化的解释：你需要一个公共密钥来接收比特币(例如一个帐号), 并需要一个相应的私钥来使用它(例如一个帐户密码)。比特币中的帐号和密码是加密链接的, 无法更改。

我有几种选择来设计该系统, 但是我决定走更长的路线。我决定为了提示用户付款, 该应用程序不需要访问私钥。因此, 我没有设计一个可以接收和转发比特币付款的大型系统, 而是创建了两个系统：

1. 接收系统：该系统从用户那里接收比特币, 并托管在公共互联网上。它仅包含地址的公共密钥。
2. 转发系统：这是一个完全独立且锁定的系统, 唯一的工作是监视比特币网络中地址上的交易并将其转发到安全地址。它包含地址的公钥和私钥。

很久以后, 在我停止维护该应用程序之后, 公共接收系统遭到破坏。我立即将其关闭, 但攻击者从未设法窃取比特币, 因为公共系统根本不包含任何私钥。

策略5：使用常识最佳做法

有些做法无需解释。你可能知道它们很重要, 但是我经常被这么多人(包括我自己)忘记拨动几个开关感到惊讶。我将在此保留此清单：

1. 打开防火墙
2. 加密磁盘
3. 启用加密备份
4. 使用SSH密钥
5. 使用安全的互联网连接

打开防火墙

防火墙根据一组规则控制往返计算机的网络流量。它的工作原理是明确询问你是否允许新程序访问你的网络, 这是你的第一道防线。

你的操作系统可能内置了防火墙。请确保已将其打开。

加密磁盘

全盘加密是一种神奇的功能, 无需密码即可使整个磁盘的内容失效。万一你的笔记本电脑丢失或被盗, 你可以放心, 没有人能够访问你的数据。启用它就像在Mac上打开FileVault一样简单。

现代蜂窝电话默认还启用了全盘加密。

加密备份

硬件出现故障, 这是事实。你的计算机将在一天之内发生故障, 或者病毒将感染你的PC, 或者(颤抖)勒索软件病毒将接管你的PC。但是作为一个务实的人, 你可能已经设置了备用流程, 我敢肯定……不是吗？

但是, 即使有备份, 也必须保持警惕。确保备份已加密, 以便即使丢失或被盗, 也可以放心, 你已采取合理措施保护托管数据的安全。

如果你使用的是Mac, 则Mac上的Time Machine应用程序会自动加密备份。

使用SSH密钥

如果你不喜欢本文, 请停止使用密码SSH进入计算机。密码很难共享, 并且一旦泄露, 你的整个计算机就会受到威胁。相反, 只需运行ssh-keygen即可创建SSH密钥。

要登录到远程计算机, 只需将本地〜/ .ssh / id_rsa.pub的内容复制到远程计算机中的〜/ .ssh / authorized_keys。你可能需要在远程计算机上重新启动SSH服务, 仅此而已。

将你整个团队的SSH密钥添加到远程计算机上, 无需再输入密码。撤销团队成员的密钥就像从远程计算机上删除密钥一样简单。

使用安全的互联网连接

当你与某人共享Internet连接时, 你共享的资源超过了带宽。根据网站和Internet的配置, 它们至少可以检测到你访问的网站, 并且最坏的情况是读取你传输的所有信息, 包括密码, 消息或电子邮件。

这非常容易启用, 也非常容易搞砸。请采取合理的预防措施, 以确保你的连接是私人的。确保没有未经授权的人可以访问你的互联网连接。

使用WPA2来密码保护自己的个人WiFi, 如果你正在当地的咖啡店(或任何公共WiFi)工作, 请假设你正在被监视并使用VPN代理。

我不愿意使用基于订阅的VPN, 特别是因为滚动自己的VPN非常简单。使用此单线VPN解决方案托管你自己的VPN。

策略6：谨慎对待秘密

秘密并不意味着要泄露。这就是为什么它们被称为秘密。尽管如此, 你还是有几次通过Facebook Messenger将密码发送到生产PostgreSQL数据库中而感到内?？确保你始终：

• 加密传输中的秘密
• 经常旋转它们

加密传输中的秘密

如果你必须通过聊天等渠道共享机密, 请确保将其加密。作为练习, 请访问你经常使用且最古老的聊天客户端。可能是Facebook消息或Whatsapp。无论它是什么, 都打开并在邮件中搜索短语” password”。

如果这些机密已被加密, 则任何对你的邮件具有访问权限的人都将无法使用它们。

经常旋转秘密

秘密存在的时间越长, 或被分享的次数越多, 它就越有可能被泄露。在一定时间后轮换机密和密码被认为是一种好习惯。

策略7：建立加密身份

这当然是一种高级策略, 但是我个人不明白为什么这不是一种普遍的做法。考虑一下：你的同事认为你受到了伤害。他们如何将信息传达给真实的你？如果互联网上的某人必须共享重要的漏洞信息, 他们如何安全地发送它？你如何确保你的员工安全地共享运输中的信息？

我最喜欢的示例是Coinbase的密钥库配置文件, 在该配置文件中, 他们用密码对员工的PGP密钥进行签名。他们走得更远, 为合规部门提供了PGP密钥。说真的, Coinbase, 太棒了！

就我个人而言, 如果有人可以合理怀疑我的在线身份被盗用, 只需请我使用我的密钥库配置文件中提供的PGP密钥对消息进行签名。我是唯一可以使用此PGP密钥的人, 并且我已采取合理的预防措施以确保即使我的其他身份受到威胁, 该密钥也仍然安全。

如果对邮件的真实性有疑问, 请让我签名。如果你需要向我发送秘密, 请使用我的公共密钥对其进行加密。

实施明确的远程工作者安全策略

安全策略是对系统, 组织或其他实体安全的含义的定义。对于组织而言, 它解决了其成员行为的约束以及诸如门, 锁, 钥匙和墙壁之类的机制对对手施加的约束。 –维基百科

安全策略是执行操作时必须遵循的强制性规则或协议。上面的策略很有帮助, 但是为了使它们更易于遵循, 请为你的团队提供一套简单易行的规则。当你的团队确切知道该怎么做时, 很难破坏安全性。

让我们讨论要实施的远程工作者安全策略的示例。

为你的员工实施的政策：

• NDA和合同：确保没有适当的法律基础, 任何员工都无法访问任何机密资源。
• 紧急联系信息：如果你的远程团队成员没有响应, 请记下员工的完整和紧急联系信息。
• 仅授予基本特权：如果你的团队成员不需要访问某些区域即可执行其职能, 请不要授予他们访问权限。销售团队的成员不需要访问你的代码存储库。
• 密码管理员：确保你的员工可以访问密码管理员
• 强大的身份验证策略
  • 最低强度的密码：我个人不喜欢密码, 而且对于我是管理员的组织, 我要求密码至少包含五十个字母数字字符。如果你使用的是密码管理器, 那么遵守此政策很简单。
  • 强制重置密码：确保你的员工密码经常过期, 以便经常轮换机密。
  • 两因素身份验证：在任何地方都使用2FA
• PGP密钥
• 加密硬盘
• 加密备份

员工离职, 但他们不应该随身携带你的信息。调整这些策略以保留数据, 即使你的员工离开公司也是如此：

• 公司电子邮件帐户：在你自己的域中为员工提供电子邮件帐户可让你禁用和审核他们的通信。
• 实时通信：尽管电子邮件非常有用, 但有时你的团队仍需要实时交谈。确保你的团队拥有集中的Slack或IRC渠道。这使你能够根据需要禁用或审核其通信。
• 集中的代码存储库：确保所有公司代码都存储在公司代码存储库中。在需要对所有员工代码进行细粒度控制之前, 公司在GitHub等公共SaaS产品上的计划是可以的。在后一种情况下, 请考虑获取自己的GitLab实例。

保护你的基础架构的策略：

• 保持系统更新：每天都会发现并修补安全漏洞, 你的工作就是确保应用这些修补程序。没有什么比发现漏洞是由几周前修补的漏洞引起的更糟糕的了。
• 锁定生产和登台环境：任何员工都不能访问生产或登台环境。有时他们只是搞砸了。
• 创建强大的CI / CD流程：你始终想部署”好的”代码, 而简单的CI / CD流程始终可以确保这一点。
• 保护受祝福的存储库：如果你具有自动CI / CD流程, 请确保受祝福的存储库只能由项目经理编辑。
• 定义审核过程：为确保没有”不好的”代码使其不被忽视, 请创建一个审核过程。这很简单, 只需在合并前至少要求一个独立的”对我好”(LGTM)注释即可。
• SSH密钥：如果你的应用程序需要提供SSH访问权限, 请确保它们使用SSH密钥而不是密码。
• 考虑放弃BYOD：预算团队可能认为BYOD是自无纸办公以来最好的政策创新, 但是如果你负担得起, 请考虑为你的团队提供可以实施严格安全策略的公司机器。
• 加密备份：你的数据很重要。

编写代码时的政策：

• 代码中没有秘密：由于版本控制的性质, 在代码中添加秘密密钥非常容易找到时, 删除数据可能非常困难。
• 存储密码时使用Bcrypt：设计身份验证系统时, 请使用bcrypt对密码进行哈希处理和加盐处理, 而不是设计系统, 或者使用(gulp)以纯文本格式存储。
• 从日志中过滤掉敏感信息：无论是全局代码, 应用程序的会话签名密钥还是用户的登录尝试, 请确保这些信息不会泄漏到系统日志文件中, 任何有访问权限的人都可以读取它们。
• 授予所需的最少特权：如果你的应用程序仅需要READ特权, 则不要为其授予WRITE特权。坚持最小特权原则。

创建响应计划

有时确实会发生安全漏洞, 尽管在验尸期间有很多时间可以学习, 但重要的是要有一条保护所有数字资产的明确途径。

如果确实发生安全漏洞, 请花点时间制定应急计划。在以下情况下考虑你的操作：

• 你丢失了具有敏感数据的设备。
• 你的基础架构可能已被未经授权的一方访问。
• 你观察到团队中某人的行为与他们自己不同。
• 发现安全漏洞。

你的响应计划中应包括的内容：

• 勤奋的文档：启用屏幕录像, 为你的团队设置一个Wiki, 以共享他们遇到的一切。
• 违规遏制：根据违规的范围, 这可能很简单, 例如禁用用户帐户, 使服务器脱机, 关闭生产并联系用户。
• 建立内部沟通：启动专用的Slack渠道, 或为任何人提供报告他们所遇到的事情的方法。
• 寻求帮助：致电受到违规影响的所有团队。这也是与当局联系的好时机。
• 调查：找出违反的内容, 范围以及我们可以做些什么来恢复正常操作。
• 重新联机：创建, 测试和发布修复程序, 以尽快恢复正常运行。你的用户依靠你的服务来工作, 而当你可以保证稳定, 安全的服务后, 就可以重新上网。
• 与你的用户交谈：不要让你的用户陷入困境。你最糟糕的事情是停止服务, 而无需向用户说明情况。建立实时更新渠道；这可能就像使用Twitter使他们保持最新状态一样简单。处理完事件后, 请发布事后报告, 讨论发生了什么, 如何发生以及为防止将来再次发生类似违规行为而采取的措施。

发生安全事件。重要的是你如何应对。到目前为止, 我最喜欢的响应之一是在2015年, LastPass在检测到异常网络活动时发出了强制性的主密码重置。我一直是LastPass的长期用户, 尽管他们最近遇到了安全问题, 但我喜欢他们将客户放在第一位来回应客户的方式。

推荐读物

重申：没有完美的安全性之类的东西。重要的是要确保你已做出合理的努力来确保数据安全。

这些安全措施应使你和你的远程团队更难被黑客入侵。

如果你想从法律上了解逃犯的真实故事, 我推荐Kevin Mitnick撰写的《连线中的幽灵》。

如果你想进一步了解对方的想法, 建议阅读：

• 社会工程：Christopher Hadnagy的骇客入侵艺术
• 凯文·米特尼克(Kevin Mitnick)和威廉·西蒙(William L.Simon)的欺骗艺术

我的犯罪是出于好奇。