“Zaphod เป็นแค่ผู้ชายคนนี้เหรอ”
– Halfrunt, Hitchhiker's Guide to the Galaxy โดย ดักลาส อดัมส์ หนังสือนะ ไม่ใช่หนัง ไม่ใช่หนังแน่นอน
บางคน (??) ให้ความสำคัญกับความปลอดภัยทางไซเบอร์ การเข้ารหัสแบบ end-to-end และถูกมองข้ามเมื่อได้รู้ว่า Enigma ทำงานอย่างไรในครั้งแรก คนเหล่านี้มักมีความสนใจโดยกำเนิดในการสร้างความปลอดภัยทางไซเบอร์ส่วนบุคคลที่ไม่น่าหัวเราะ
น่าเสียดายที่คนส่วนใหญ่คิดว่าการรักษาความปลอดภัยทางไซเบอร์เป็นทางเลือก คนส่วนใหญ่พูดว่า:
“ไม่มีใครตั้งเป้าหมายลิลเลยฉัน”
“ฉันไม่มีอะไรต้องปิดบังอยู่แล้ว”
“ฉันยุ่งเกินกว่าจะเรียนรู้สิ่งเหล่านี้ทั้งหมด เหตุใดจึงไม่มีใครให้สรุปแนวทางปฏิบัติที่ดีที่สุดง่ายๆ ที่ฉันสามารถอ่านคร่าวๆ ได้ในเวลาประมาณเจ็ดนาที”
สำหรับคนเหล่านั้น ฉันพูดว่า สวัสดี ผู้อ่านที่ไม่มีรูปร่างสมมติ! ต่อไปนี้คือข้อมูลสรุปง่ายๆ เกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดซึ่งคุณสามารถอ่านคร่าวๆ ได้ในเวลาประมาณเจ็ดนาที
เดี๋ยวก่อน ทำไมฉันถึงสนใจ
คุณอาจไม่เข้าใจว่าทำไมการรักษาความปลอดภัยในโลกไซเบอร์จึงมีความสำคัญเมื่อคุณเป็นเพียงคนทั่วไป แน่นอน คุณไม่ต้องการให้อุปกรณ์ถูกแฮ็กหรือข้อมูลส่วนตัวของคุณถูกขโมย แต่ก็ไม่ใช่ว่าจะมีใครมาตาม คุณ โดยเฉพาะใช่ไหม
เฮ้ อเล็กซ์ ฉันจะ "ถูก" ในราคา 400 ดอลลาร์ ไม่น่าจะมีใครพยายามขโมย โดยเฉพาะ . ของคุณ แม้ว่าฉันต้องยอมรับว่าพรมเปอร์เซียของคุณน่าจะผูกห้องไว้ด้วยกัน ในทางกลับกัน การทำความเข้าใจความปลอดภัยทางไซเบอร์อาจช่วยให้เข้าใจถึงความปลอดภัยทางไซเบอร์ได้หากคุณนึกถึงผลที่ลอยต่ำ
คุณมีผลไม้ ฉันมีผลไม้ โจจากด้านล่างของบล็อกมีหุ่นยนต์จับผลไม้ที่ขับเคลื่อนด้วยฟลักซ์ 1.21 กิกะวัตต์ โจไม่รู้ว่าเราสองคนมีตัวตนอยู่จริง แต่หุ่นยนต์ของเขาไป (เร็วมาก) จากบ้านหนึ่งไปอีกบ้านหนึ่ง ไปรอบๆ ตึกเพื่อหาผลไม้ ถ้าประตูหน้าบ้านฉันล็อคและคุณยังคงเปิดอยู่ หุ่นยนต์ของโจจะแย่งผลไม้ของใคร?
ถ้าฟังดูเหมือนน่าเบื่อ แก่ ปกติ ความปลอดภัย คุณพูดถูก! การรักษาความปลอดภัยทางไซเบอร์ไม่ได้เกี่ยวกับการหาคาถาวิเศษที่ทำให้ผลไม้ของคุณปลอดภัยสูงสุด มันเกี่ยวกับการทำให้ผลไม้ของคุณปลอดภัยกว่าผลไม้ที่อยู่เคียงข้างคุณ คุณทำได้โดยใช้นิสัยที่รอบคอบ เช่นเดียวกับที่คุณเรียนรู้ที่จะล็อกประตูหน้าบ้านเพื่อป้องกันหุ่นยนต์ที่ฉกผลไม้
การละเมิดความปลอดภัยและเหตุการณ์เกิดขึ้นทุกวัน ส่วนใหญ่เกิดขึ้นเนื่องจากเครื่องสแกนอัตโนมัติใช้เครือข่ายกว้างและพบบุคคลหรือบริษัทที่มีการรักษาความปลอดภัยที่หละหลวมซึ่งแฮ็กเกอร์สามารถใช้ประโยชน์ได้ อย่าเป็นผู้ชายคนนั้น
เดี๋ยวก่อน ท่าความปลอดภัยจะเป็นอย่างไร
นี่คือวิธีที่สถาบันมาตรฐานและเทคโนโลยีแห่งชาติกำหนดมาตรการรักษาความปลอดภัย:
สถานะความปลอดภัยของเครือข่าย ข้อมูล และระบบขององค์กรโดยอิงตามทรัพยากรการรับประกันข้อมูล (เช่น บุคคล ฮาร์ดแวร์ ซอฟต์แวร์ นโยบาย) และความสามารถที่มีอยู่เพื่อจัดการการป้องกันขององค์กรและตอบสนองตาม สถานการณ์เปลี่ยนไป (สิ่งพิมพ์พิเศษ NIST 800–30, B-11)
สิ่งสำคัญข้างต้นคือ "ความสามารถในการจัดการการป้องกันขององค์กร" ในบริบทของการรักษาความปลอดภัยส่วนบุคคล คุณคือองค์กร ยินดีด้วย. ขอให้คุณไปในที่ที่ไม่มีใครเคยไปอย่างกล้าหาญ
ก่อนที่คุณจะสำรวจโลกใหม่ที่แปลกประหลาด (มัน คือ อินเทอร์เน็ต) มีขั้นตอนที่คุณสามารถทำได้เพื่อจัดการการป้องกันของคุณ คำว่า "ความสามารถ" นั้นเหมาะสม เนื่องจากการมีบางสิ่งเข้าที่จะทำให้คุณมีอำนาจในการรักษาความปลอดภัยทางไซเบอร์ได้เป็นอย่างดี นี่คือสามขั้นตอนที่ฉันคิดว่าสำคัญและมีประโยชน์มากที่สุด:
- ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย
- ใช้ VPN
- พัฒนาความสงสัยที่ดีต่อสุขภาพ
ด้วยกุญแจสามดอกนี้ ท่าทางการรักษาความปลอดภัยในโลกไซเบอร์ของคุณจะเปลี่ยนจากการเป็นหุ่นยนต์รับประทานอาหารกลางวันเป็น War Games — ซึ่งการเคลื่อนไหวที่ชนะสำหรับผู้โจมตีคือไม่ต้องเล่น
1. ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย
รหัสผ่านตายแล้ว ทางคอมพิวเตอร์นั้นแก้ปัญหาได้ และการถอดรหัสรหัสผ่านก็ใช้เวลาไม่นาน น่าเสียดายที่หลายคนยังช่วยให้กระบวนการเร็วขึ้นโดยใช้รหัสผ่านเดียวกันที่ถูกบุกรุกสำหรับหลายบัญชี ทำให้ตัวเองตกอยู่ในความเสี่ยงที่จะเกิดประโยชน์ที่คาดไม่ถึง วลีรหัสผ่านยาวและซับซ้อนกว่า และจะใช้เวลาในการถอดรหัสมากขึ้น ฉันขอแนะนำพวกเขา ถึงอย่างนั้น รหัสผ่านของคุณก็ไม่สำคัญ
อย่างน้อยในตอนนี้ คำตอบก็คือการรับรองความถูกต้องแบบหลายปัจจัย (MFA) MFA ประกอบด้วยปัจจัยการตรวจสอบสิทธิ์สามประเภท:
- สิ่งที่คุณรู้ เช่น วลีรหัสผ่าน
- สิ่งที่คุณมี เช่น ชิปพินการ์ดหรือโทรศัพท์ และ
- สิ่งที่คุณเป็น เช่น ใบหน้าหรือลายนิ้วมือ
ปัจจัยเหล่านี้สองอย่างหรือมากกว่านั้นดีกว่ารหัสผ่านเพียงอย่างเดียวโดยเฉพาะอย่างยิ่งหากรหัสผ่านของคุณอยู่ในรายการนี้
ผู้ให้บริการบัญชีและไซต์โซเชียลมีเดียสนับสนุนปัจจัยการรับรองความถูกต้องหลายประการ หากคุณมีทางเลือก หลีกเลี่ยงการใช้ข้อความเป็นวิธีรับรหัสการตรวจสอบสิทธิ์ การตรวจสอบสิทธิ์ทาง SMS ทำให้คุณเสี่ยงต่อการถูกโจมตีด้วยการเปลี่ยนซิม —โปรดส่งคำถามเพิ่มเติมไปที่ Jack Dorsey ให้ใช้แอปรับรองความถูกต้อง เช่น Google Authenticator เพื่อสร้างรหัสบนอุปกรณ์ของคุณแทน เพื่อให้แน่ใจว่าคุณเพียงคนเดียวที่ใช้อุปกรณ์นั้นจะมีรหัสการตรวจสอบความถูกต้องที่ถูกต้อง ไม่มีอำนาจใดใน 'กลอนสามารถหยุดคุณได้
แอป Google Authenticator ทำงานได้กับอุปกรณ์เฉพาะที่คุณตั้งค่าไว้ ดังนั้นเมื่อคุณได้อุปกรณ์ใหม่ คุณจะต้องย้าย Google Authenticator ไปยังโทรศัพท์เครื่องใหม่ของคุณ คีย์การตรวจสอบสิทธิ์ของฮาร์ดแวร์ เช่น YubiKey อาจลดความยุ่งยากเมื่อเปลี่ยนอุปกรณ์ แต่ยังไม่ได้รับการสนับสนุนอย่างกว้างขวางเท่ากับแอปตรวจสอบสิทธิ์
2. ใช้ VPN
ความแตกต่างระหว่างการใช้ VPN กับการไม่ใช้ VPN ก็เหมือนกับว่า The Dark Knight Rises นั้นดีจริง ๆ และ Batman v Superman นั้นแย่มากจริงๆ แฟรนไชส์เดียวกัน มาตรฐานต่างกันโดยสิ้นเชิง
สมมติว่าคุณส่งจดหมายจำนวนมาก แต่อย่ากังวลที่จะใส่จดหมายลงในซองจดหมายหรือพับครึ่ง ใครก็ตามที่มองดูจะรู้ว่าคุณไม่ใช่ Dread Pirate Roberts จริงๆ เมื่อคุณใช้ Virtual Private Network โดยเฉพาะอย่างยิ่งหากคุณมักจะเชื่อมต่อกับ WiFi สาธารณะ ก็เหมือนกับการใส่จดหมายของคุณลงในซองจดหมายที่ปิดผนึกด้วยการเข้ารหัสแล้วส่งผ่านบริการจัดส่งพิเศษที่มองไม่เห็น ไม่มีใครนอกจากผู้รับที่กำหนดไว้เท่านั้นที่สามารถอ่านจดหมายของคุณได้ และไม่มีใครนอกจากคุณและผู้จัดส่งรู้ว่าจดหมายนั้นส่งถึงใคร
VPN ป้องกันไม่ให้ผู้อื่นอ่านการสื่อสารของคุณ เช่น ผู้โจมตีที่ฉวยโอกาสซึ่งสแกน WiFi แบบเปิด และแม้แต่ผู้ให้บริการอินเทอร์เน็ต (ISP) ของคุณเองที่อาจขายข้อมูลการใช้งานของคุณเพื่อเป็นเงินเป็นดอลลาร์สำหรับการโฆษณา
การเลือกผู้ให้บริการ VPN ที่น่าเชื่อถือนั้นจำเป็นต้องมีการวิจัย และเนื้อหาเพียงพอสำหรับบทความแยกต่างหาก ในจุดเริ่มต้น ให้มองหาผู้ให้บริการที่มีนโยบายต่อต้านการบันทึก และคาดว่าจะต้องจ่ายเงินระหว่าง 5-10 ดอลลาร์ต่อเดือนสำหรับบริการ หลีกเลี่ยงแอปและบริการ VPN ฟรีที่มีนโยบายความเป็นส่วนตัวที่คลุมเครือ โดยทั่วไปแล้วคุณจะเสียค่าใช้จ่ายมากกว่าที่คุณจะรู้
3. พัฒนาความสงสัยที่ดีต่อสุขภาพ
ในที่สุด จุดอ่อนที่สุดในการป้องกันความปลอดภัยทางไซเบอร์ก็คือตัวคุณ MFA และ VPN ทั้งหมดบนอินเทอร์เน็ตจะไม่ปกป้องคุณหากบอทหลอกลวงหรือมัลแวร์สามารถหลอกล่อให้คุณเปิดประตูหน้าได้ ใช่ ฉันรู้ว่ามันเป็นม้าไม้ที่ดูดีมาก ฟรีอีกด้วย สั่งเลยมั้ย? ไม่? แล้วอยู่ข้างนอกได้เลย
พัฒนานิสัยของการคาดเดาสิ่งที่ส่งถึงหน้าประตูเสมือนของคุณ การหลอกลวงทางอีเมล โทรศัพท์ และการส่งข้อความมีความซับซ้อน ตั้งแต่ปืนลูกซองที่ประกอบด้วยหุ่นยนต์ง่อนแง่น ไปจนถึงการโจมตีทางวิศวกรรมสังคมที่ซับซ้อนซึ่งใช้อคติทางปัญญาอย่างมีประสิทธิภาพมาก อย่าถือว่าคุณฉลาดเกินไปสำหรับพวกเขา มนุษย์เป็นสิ่งมีชีวิตที่คาดเดาได้มาก ท้ายที่สุดไม่มีใครคาดหวังการสืบสวนของสเปน
ให้ถามคำถามแทน ตรวจสอบการสื่อสารที่ขอให้คุณคลิกลิงก์หรือเยี่ยมชมเว็บไซต์อีกครั้ง แม้ว่าจะมาจากคนที่คุณรู้จักหรือบริษัทที่คุณใช้ก็ตาม หากคุณไม่แน่ใจว่าเพื่อนหรือธนาคารหรือแม่ของคุณส่งอีเมลนี้โดยอิงจากการโต้ตอบต่อหน้าครั้งก่อน ให้หยิบโทรศัพท์แล้วโทรหาพวกเขา แม้จะคิดว่ามั่นใจแล้ว ก็หยิบโทรศัพท์ขึ้นมาตรวจสอบ คุณยังโทรหาแม่ไม่พอ
โอ้ และถ้าคนในโทรศัพท์มาจากสำนักงานสรรพากรในพื้นที่ของคุณ หรือ IRS หรือ CRA และพวกเขากำลังจะหยุดบัญชีของคุณ เนื่องจากกรณีของการระบุตัวตนที่ผิดพลาด ส่งผลให้คุณถูกตั้งข้อหาไม่ชำระคืนเงินกู้ใน เรือยอทช์ 600 ฟุตในมาลิบู แค่วางสาย คุณรู้ดีกว่านั้น หน่วยงานด้านภาษีไม่มีโทรศัพท์
ชุดเริ่มต้นความปลอดภัยทางไซเบอร์ส่วนบุคคลของคุณ
ตอนนี้คุณมีกุญแจสามดอกเพื่อเปิดประตูสามประตูสู่ระบบความปลอดภัยทางไซเบอร์ส่วนบุคคลที่แข็งแกร่ง หากกุญแจเหล่านั้นช่วยไขความอยากรู้ของคุณได้ ก็ยังมีรูกระต่ายอีกมากมายให้ลงไป ฉันขอแนะนำ Security in Five podcast สำหรับคำแนะนำที่ดีของ Binary Blogger ซึ่งเป็นแรงบันดาลใจให้กับโพสต์นี้เป็นอย่างมาก Surveillance Self Defense นำเสนอเคล็ดลับของ Electronic Frontier Foundation ในการรักษาความปลอดภัยในการสื่อสารออนไลน์ Troy Hunt ยังมีซีรีส์ YouTube ที่มีชื่อว่า Internet Security Basics ซึ่งจะเจาะลึกถึงวิธีป้องกันตนเองทางออนไลน์
ในตอนนี้ ฉันหวังว่าคุณจะใช้พลังการรักษาความปลอดภัยทางไซเบอร์ที่เพิ่งค้นพบของคุณไปในทางที่ดี คำนึงถึงสิ่งที่คุณได้เรียนรู้ ช่วยคุณประหยัดได้
