Jestem paranoikiem bezpieczeństwa. Bez kapelusza z folii aluminiowej, ale lubię być czujny. Jedna prawda, według której żyję, jest taka, że nikt nie jest poniżej uwagi hakerów i innych złych aktorów cyberbezpieczeństwa. Jeśli jesteś freelancerem lub właścicielem małej firmy, nigdy nie myśl, że nie jesteś na ich radarze.
Jak każdy inny biznes, hakerzy mają różne modele biznesowe. Niektórzy inwestują w długie oszustwa i celują w wysokie marki (pomyśl: ataki ransomware na dużych operatorów, takich jak rurociągi i zakłady pakowania mięsa). Ale inni źli aktorzy mają model „spryskaj i módl się”. Pracują nad głośnością i są zadowoleni z niższych ujęć na atak. Hej, jeśli wyślą setki tysięcy e-maili phishingowych i dostaną 0.1% współczynnika konwersji, to dla nich wygrana. Ich celem są osoby i firmy, które ich zdaniem mają słabe bezpieczeństwo cybernetyczne, takie jak freelancerzy i małe firmy.
Ale bezpieczeństwo cyfrowe i cyberbezpieczeństwo to duże i skomplikowane dziedziny. Jeśli jesteś freelancerem, płacisz tylko za swoją podstawową pracę, co oznacza, że mniej prawdopodobne jest, że będziesz chciał poświęcać czas (lub pieniądze) na bezpieczeństwo. To z natury czyni cię wrażliwym.
Zwalczyłem więc wszystkie moje paranoiczne instynkty związane z bezpieczeństwem i podzielę się z tobą moim stosem zabezpieczeń.
-
Menedżer haseł
-
Uwierzytelnianie wieloskładnikowe
-
VPN
-
Bezpieczeństwo punktów końcowych
-
Szyfrowane przechowywanie
-
Ochrona przed kradzieżą
-
Tworzenie kopii zapasowych i przywracanie
-
Urządzenia zapasowe
Model zagrożeń bezpieczeństwa freelancera
Model zagrożeń to proces oceny tego, co należy chronić, gdzie znajdują się największe luki w zabezpieczeniach i jak ustalić priorytety zasobów cyberbezpieczeństwa.
Oto ogólny obraz mojego modelu zagrożenia:
-
W pracy używam od jednego do pięciu podłączonych urządzeń, więc mam ograniczoną liczbę urządzeń, przez które hakerzy mogą mnie uderzyć.
-
Nie mam innych użytkowników i ich urządzeń do zarządzania.
-
Często pracuję w publicznych sieciach Wi-Fi, co wiąże się z dużym ryzykiem, jeśli nie podejmę żadnych środków bezpieczeństwa.
-
Korzystam z aplikacji lokalnych i opartych na chmurze, z których wiele jest zintegrowanych, co sprawia, że moje najsłabsze ogniwo jest słabym punktem dla nich wszystkich.
-
Przechowuję informacje i pliki zarówno lokalnie, jak i w chmurze.
-
Przechowuję i mam dostęp do niektórych informacji od klientów, które wymagają zachowania poufności ze względu na NDA i moje podejście do obsługi klienta, co oznacza, że chcę podjąć dodatkowe środki ostrożności w celu ochrony ich poufności.
-
Nie gromadzę ani nie przechowuję żadnych danych objętych szczególną ochroną prawną, takich jak dane dotyczące zdrowia, dane uczniów ani żadnych informacji umożliwiających identyfikację osób.
-
Mój biznes i środki do życia zależą w 100% od mojej zdolności do pracy i komunikowania się online. Utrzymanie ciągłości biznesowej po cyberataku jest głównym celem.
Stos zabezpieczeń, który mam, uwzględnia to wszystko — i więcej. Jeśli dodanie wszystkich tych kategorii narzędzi wydaje się przytłaczające, zacznij od zaledwie kilku. Nawet wtedy staniesz się trudniejszym celem do trafienia.
I uwaga: wymienię konkretnych dostawców, ale nie rekomenduję żadnych produktów. Zachowaj należytą staranność przy wyborze produktów.
Narzędzia bezpieczeństwa do kontroli dostępu
Każde naruszenie bezpieczeństwa obejmuje jakiś rodzaj nieautoryzowanego dostępu. Kontrolowanie dostępu powinno stanowić istotną część programu cyberbezpieczeństwa.
Menedżer haseł (PWM)
Hakerzy zwykle uzyskują dostęp za pomocą haseł na dwa sposoby.
-
Atak polegający na łamaniu haseł metodą brutalnej siły umożliwia odnalezienie prostych haseł. Dziesięć najpopularniejszych haseł 2021 roku obejmuje takich niezłomnych użytkowników, jak „123456” i „hasło”. Każde hasło z listy Top Ten 2021 można złamać w mniej niż minutę. Dalej, ludzie. Bądź lepszy.
-
Dzięki inżynierii społecznej hakerzy mogą dowiedzieć się o tobie wystarczająco dużo, aby zgadywać (cześć, drugie imię). Ponowne użycie haseł zwiększa podatność na zagrożenia, zwłaszcza gdy używasz ich ponownie zły Hasła.
Menedżer haseł generuje długie, złożone hasła, które zapamiętuje. Musisz zapamiętać tylko jedno hasło, które jest długim ciągiem powiązanych ze sobą słów. Korzystanie z renomowanego, bezpiecznego menedżera haseł jest również o wiele bezpieczniejsze niż poleganie na przeglądarce do przechowywania haseł. Nie rób tego. Dashlane i Bitwarden to dwie popularne opcje PWM.
Niewykorzystana wartość: Użyj menedżera haseł do przechowywania rzeczywistej strony logowania — nie tylko hasła. Oszustwa typu phishing próbują skłonić Cię do kliknięcia łącza do ich wyrafinowanej, fałszywej strony logowania. Twój menedżer haseł może Cię tutaj chronić, nie wypełniając automatycznie strony, która nie pasuje dokładnie do zapisanego adresu URL. Niektóre PWM robią to tylko wtedy, gdy wybierzesz tę opcję, więc upewnij się, że to ustawienie zostało włączone. Oto jak wygląda opcja Dashlane:
Jeśli nie jesteś przedsiębiorcą solo: Wybierz wersję biznesową, która dodaje warstwę zabezpieczeń administracyjnych, która zarządza dostępem wielu użytkowników do menedżera haseł.
Uwierzytelnianie wieloskładnikowe (MFA) lub dwuskładnikowe (2FA).
Gdy włączysz 2FA lub MFA, dodasz dodatkową warstwę kontroli dostępu do swoich haseł. Dzięki dodatkowemu uwierzytelnianiu hakerzy nie mogą dostać się do Twoich aplikacji, nawet jeśli znają Twoje hasło. Uwierzytelnianie może przybrać kilka form, takich jak jednorazowy kod wysłany do Ciebie SMS-em, dostawa za pośrednictwem aplikacji uwierzytelniającej, takiej jak Authy, lub dostawa za pomocą oddzielnego urządzenia.
Uwierzytelnianie biometryczne zyskuje na popularności, zarówno w przypadku aplikacji, jak i dostępu do sprzętu — a uwierzytelnianie głosowe wydaje się być jego nową granicą. Ale moim paranoicznym zdaniem uwierzytelnianie głosowe nie jest wystarczająco dojrzałe, aby używać go do celów bezpieczeństwa.
Jeśli przeszkadza Ci dodatkowy krok 2FA/MFA, pomyśl strategicznie o tym, które aplikacje wymagają najwyższego poziomu ochrony. Zwykle można to ustawić tak, aby aplikacja „ufała” Twojemu urządzeniu przez pewien czas, zanim będziesz musiał ponownie przejść przez proces 2FA/MFA.
Niewykorzystana wartość: Prawdopodobnie korzystasz z aplikacji, które już obsługują 2FA lub MFA, więc wdrożenie nie będzie wymagało dużego wysiłku. Przejdź do ustawień zabezpieczeń we wszystkich swoich aplikacjach — jeśli 2FA jest opcją, powinieneś ją tam zobaczyć. Oto jak to wygląda na Twoim koncie Google:
Jeśli nie jesteś przedsiębiorcą solo: Jeśli Twoja organizacja korzysta z Google Workspace lub Office 365, możesz skonfigurować weryfikację dwuskładnikową i wymagać jej od wszystkich autoryzowanych użytkowników.
Wirtualna sieć prywatna (VPN)
Każdy, kto korzysta z publicznej sieci Wi-Fi, powinien w tym celu korzystać z wirtualnej sieci prywatnej (VPN). Oprogramowanie VPN tworzy prywatny, zaszyfrowany tunel dla Twojego ruchu internetowego, co utrudnia hakerom przechwycenie. Bez niego każdy haker w tej samej poczekalni na lotnisku, kawiarni lub hali wystawowej może z łatwością monitorować niechronioną komunikację przepływającą przez publiczną sieć Wi-Fi. Chroniona hasłem publiczna sieć Wi-Fi nie oznacza, że sieć jest bezpieczna.
Dostępnych jest wiele usług VPN, w tym ExpressVPN, Tailscale i ProtonVPN, ale koniecznie sprawdź, co różni dostawcy pozwalają Ci kontrolować — każdy z nich oferuje inne ustawienia. Bez względu na to, który wybierzesz, połączenie z jednym z serwerów VPN wymaga tylko jednego kliknięcia.
Niewykorzystana wartość: Twoje prywatne domowe połączenie internetowe może być bezpieczniejsze niż publiczne Wi-Fi, ale nadal stanowi wspólne ryzyko, dlatego warto korzystać z VPN także w domu. Ponadto: używaj oprogramowania VPN na wszystkich podłączonych urządzeniach, nie tylko na komputerach.
Jeśli nie jesteś przedsiębiorcą solo: Jeśli zezwalasz na pracę zdalną, Twoja polityka bezpieczeństwa VPN powinna wymagać od pracowników korzystania z VPN na wszystkich urządzeniach, w tym na urządzeniach osobistych, za każdym razem, gdy urządzenie łączy się z aplikacjami biznesowymi. Jeśli Twoja firma ma sieć lokalną, skorzystaj z usług innych firm, które mogą doradzić i/lub zarządzać instalacją sprzętu VPN.
Bezpieczeństwo punktów końcowych
Używam „ochrony punktów końcowych” jako nieprecyzyjnego ogólnego terminu na określenie zestawu narzędzi zabezpieczających, które chronią cię przed różnorodnymi zagrożeniami. Łączy je to, że chronią Twoje urządzenia przed użyciem jako punktów wejścia do siania spustoszenia.
Potocznie są one często określane jako oprogramowanie antywirusowe lub chroniące przed złośliwym oprogramowaniem, ale tak naprawdę to tylko dwa podzbiory ochrony zapewnianej przez te pakiety bezpieczeństwa. Jeśli używasz tylko zapory sieciowej, oprogramowania antywirusowego lub chroniącego przed złośliwym oprogramowaniem, tracisz:
-
Ochrona przed oprogramowaniem ransomware
-
Szersze wykrywanie zagrożeń w kanałach komunikacji i ruchu w chmurze
-
Skanowanie poprawek, które identyfikuje oprogramowanie, które nie jest aktualne
-
Filtrowanie stron internetowych lub ograniczanie dostępu
To jedne z najczęściej stosowanych dodatkowych zabezpieczeń. Sugerowałbym sprawdzenie pakietów bezpieczeństwa dla małych firm od Sophos i Kaspersky, ponieważ oba są wszechstronne, wysoko oceniane i niedrogie (ale znowu – upewnij się, że znajdziesz ten, który jest odpowiedni dla Ciebie). Oto jak wygląda dashboard dla pojedynczego użytkownika.
Niewykorzystana wartość: Wiele z tych pakietów zapewnia również zwiększone zabezpieczenia przed przejęciem przez hakerów kamery internetowej lub mikrofonu — wartościowa ochrona w naszej nowej erze codziennych wideokonferencji.
Jeśli nie jesteś przedsiębiorcą solo: Pakiety te zapewniają również szereg narzędzi do zarządzania użytkownikami, w tym nadzór i blokowanie niektórych witryn internetowych i aplikacji. Niektóre oferują również zarządzane usługi wykrywania zagrożeń/zarządzanych zabezpieczeń IT, które mogą być cenne, jeśli Twoja mała firma nie ma takiej wiedzy specjalistycznej.
Szyfrowane przechowywanie
Mimo że nie gromadzę ani nie przechowuję danych, które nakładają prawne wymogi bezpieczeństwa, lubię mieć możliwość rozszerzenia wyższego poziomu bezpieczeństwa na niektóre dokumenty i informacje. Robię to za pomocą zaszyfrowanego mechanizmu przechowywania, niezależnego od mojego dysku lokalnego lub innych aplikacji opartych na chmurze.
Możesz wybierać między szafkami szyfrującymi opartymi na chmurze a zaszyfrowaną pamięcią zewnętrzną, w tym pendrive’ami (lub jednym i drugim). Jakiekolwiek medium wybierzesz, będziesz potrzebować złożonego hasła jako klucza szyfrującego. Jeśli to stracisz, stracisz dostęp do wszystkiego, co zaszyfrowałeś i nie będziesz mógł tego przywrócić.
Wiele opcji oprogramowania do zarządzania plikami i cyberbezpieczeństwa w chmurze zawiera narzędzie zapewniające dodatkowe bezpieczeństwo wybranym plikom. Na przykład Dropbox ma Dropbox Vault, a Folder Lock jest częścią pakietu rozwiązań bezpieczeństwa NewSoftwares.
Niewykorzystana wartość: Twój lokalny system operacyjny pozwoli Ci zaszyfrować pliki, dyski lub całą maszynę.
Jeśli nie jesteś przedsiębiorcą solo: Google Workspace i Office365 oferują również opcje szyfrowania, w tym szyfrowanie komunikacji. Wymaga to pewnej konfiguracji, ale sprawi, że udostępnianie plików i komunikacja w organizacji i poza nią będzie bezpieczniejsza.
Narzędzia bezpieczeństwa na wypadek, gdyby coś poszło nie tak
Jak zauważyłem w moim modelu zagrożeń, ciągłość biznesowa jest dla mnie priorytetem. Powinno to dotyczyć wszystkich i każdej organizacji, ale jako niezależna pisarka, która żyje i umiera przy swoim laptopie i połączeniu internetowym, czuję, że mój margines błędu jest tutaj niewielki.
Ochrona przed kradzieżą
Jako pracownik mobilny muszę myśleć o tym, co się stanie, jeśli którekolwiek z moich urządzeń zostanie zgubione lub skradzione.
Oprogramowanie antykradzieżowe nie zapobiegnie kradzieży Twojego urządzenia, ale daje narzędzia do ograniczenia szkód. Może pozwolić ci zdalnie zaszyfrować urządzenie lub całkowicie je wyczyścić. Jeśli używasz go w telefonie, możesz zdalnie zresetować go do ustawień fabrycznych. Obejmuje również śledzenie lokalizacji i inne narzędzia, które pomogą Ci odzyskać urządzenie i zidentyfikować, kto go używa (na przykład użycie kamery internetowej do robienia zdjęć złodziejowi).
Niewykorzystana wartość: Jeśli chcesz, aby złodziej też miał zły dzień, niektóre narzędzia obejmują aktywację alarmu na skradzionej maszynie. Inne opcje obejmują wypychanie wiadomości na ekran, informowanie złodzieja o zrobieniu mu zdjęcia lub o tym, gdzie się znajduje. Narzędzia te zachęcają złodzieja do porzucenia urządzenia.
Jeśli nie jesteś przedsiębiorcą solo: Jeśli zapewniasz pracownikom laptopy lub inne urządzenia, rozwiązania te często obejmują funkcję śledzenia zasobów, a ich opcje blokady są również przydatne, jeśli masz oddzielonego pracownika, który nie zwrócił swoich urządzeń.
Tworzenie kopii zapasowych i przywracanie
Jeśli padłeś ofiarą ataku ransomware, zniszczenia dokonanego przez hakerów lub utraconej maszyny, chcesz mieć kopie zapasowe swoich dokumentów i aplikacji w innym miejscu. Pozwala to zachować ciągłość biznesową podczas oddzielnego radzenia sobie z atakiem.
Podobnie jak w przypadku szyfrowania, dostępne są opcje tworzenia kopii zapasowych zarówno sprzętowych, jak i opartych na chmurze. W rzeczywistości użycie kombinacji opcji tworzenia kopii zapasowych w celu zapewnienia nadmiarowości nie jest złym pomysłem. Wybierając rozwiązanie do tworzenia kopii zapasowych oparte na chmurze, takie jak Carbonite lub Backupify, upewnij się, że rozumiesz, co faktycznie tworzy kopię zapasową, a co jest poza zakresem.
Dla wszystkich: Przyjrzyj się uważnie, jak będzie przebiegał proces przywracania — a nie tylko kopia zapasowa — podczas wybierania narzędzia i/lub usługi innej firmy. Im większa sieć, tym bardziej skomplikowane przywracanie. Nie chcesz tworzyć nowych problemów z bezpieczeństwem, gdy przywracasz systemy i pracowników. Nie chcesz również, aby powolne przywracanie zakłócało operacje lub relacje z klientami.
Urządzenia zapasowe
Jeśli mam urządzenie skradzione, zgubione lub złośliwie zablokowane, potrzebuję dostępu do innego urządzenia bez utraty rytmu. Moje oprogramowanie antykradzieżowe pomoże chronić urządzenie poza moją kontrolą, ale potrzebuję innego urządzenia, aby zainicjować niektóre z tych zabezpieczeń. Co równie ważne, muszę szybko wrócić do pracy. Nie chcę kupować nowego laptopa pod presją dwóch godzin.
Na moich dodatkowych urządzeniach nie ma zainstalowanego zwykłego zestawu aplikacji i nie używam ich w inny sposób. Urządzenia dodatkowe nie powinny znajdować się na orbicie twoich urządzeń aktywnych — w przeciwnym razie mogą być zagrożone w ramach pierwotnego włamania.
Niewykorzystana wartość: Jeśli przeprowadzasz aktualizację, a Twoje obecne urządzenie jest sprawne, ustaw je jako kopię zapasową. Po prostu przywróć ustawienia fabryczne i bądź na bieżąco z aktualizacjami systemu operacyjnego. Inną opcją jest zakup niedrogiego laptopa na wypadek sytuacji awaryjnych. Dzięki temu nie będziesz się spieszyć z wyborem nowej maszyny.
Cyberbezpieczeństwo to proces ciągły
To jest (w większości) kompletny obraz mojego obecnego stosu zabezpieczeń, ale zawsze myślę o dodaniu nowych narzędzi, które poprawią moje bezpieczeństwo. Ciągle o tym myślę, ponieważ utrzymywanie silnego cyberbezpieczeństwa to ciągły proces.
Punktem wyjścia jest identyfikacja modelu zagrożeń, a następnie jego ciągła ponowna ocena oraz program cyberbezpieczeństwa. Być może narzędzie, które posiadasz, nie zadziałało tak, jak trzeba w obliczu cyberataku. Pojawią się nieznane zagrożenia. W miarę rozwoju Twojej firmy będziesz odkrywać nowe luki w zabezpieczeniach. W miarę rozwoju będziesz mieć więcej zasobów do inwestowania w cyberbezpieczeństwo.
Korzystanie z odpowiednich narzędzi ma kluczowe znaczenie dla budowania silnej pozycji w zakresie bezpieczeństwa, ale narzędzia to tylko jeden element układanki. Sposób, w jaki z nich korzystasz — i inne zachowania związane z bezpieczeństwem — są równie ważne.
