– Halfrunt, Douglas Adams의 은하수를 여행하는 히치하이커를 위한 안내서. 영화가 아니라 책. 확실히 영화는 아닙니다.
어떤 사람들(??)은 사이버 보안, 종단 간 암호화에 열중하고 Enigma가 어떻게 작동하는지 처음 배웠을 때 완전히 미쳤습니다. 이러한 사람들은 웃을 수 없는 개인 사이버 보안 태세를 구축하는 데 타고난 관심을 갖고 있을 가능성이 높습니다.
불행히도 대부분의 사람들은 사이버 보안을 선택 사항으로 생각합니다. 대부분의 사람들은 다음과 같이 말합니다.
“저를 노리는 사람이 없습니다.”
"어쨌든 숨길 것이 없습니다."
“이 모든 것을 배우기에는 너무 바빠요. 내가 약 7분 만에 훑어볼 수 있는 모범 사례에 대한 간단한 요약을 누군가가 알려주지 않는 이유는 무엇입니까?”
그런 분들에게 가상의 무체 독자 여러분, 안녕하세요! 다음은 약 7분 안에 훑어볼 수 있는 모범 사례에 대한 간단한 요약입니다.
기다려 내가 왜 신경을 쓰는지
평범한 사람이라면 사이버 보안이 왜 중요한지 이해하기 어려울 수 있습니다. 물론, 기기가 해킹되거나 개인 데이터가 도난당하는 것을 원하지는 않지만 당신을 쫓는 사람이 있는 것은 아닙니다. , 특히, 맞습니까?
알렉스, 400달러면 "맞아" 할게요. 누군가 귀하의 특정을 훔치려 할 것 같지 않습니다. 당신의 페르시아 양탄자가 정말로 방을 하나로 묶을 것이라는 것을 인정해야하지만. 대신, 덜 매달린 과일의 관점에서 생각하면 사이버 보안을 이해하는 데 도움이 될 수 있습니다.
당신은 과일을 얻었습니다. 나는 과일을 얻었습니다. 블록 아래에서 조는 1.21기가와트 플럭스 커패시터로 구동되는 과일 따기 로봇을 가지고 있습니다. Joe는 우리 중 누구도 존재하지 않는다는 사실을 모르지만 그의 로봇은 과일을 찾기 위해 집집에서 집집으로 (매우 빠르게) 블록 주위를 돕니다. 내 현관문이 잠겨 있고 당신의 문이 열려 있다면 Joe의 로봇은 누구의 과일을 낚아채겠습니까?
지루하고 오래되고 일반 보안, 당신이 맞습니다! 사이버 보안은 과일을 최대한 안전하게 만드는 마법을 찾는 것이 아닙니다. 당신의 과일을 옆에 있는 과일보다 더 안전하게 만드는 것입니다. 과일을 갉아먹는 로봇을 막기 위해 현관문을 잠그는 법을 배운 것과 거의 같은 방식으로 사려 깊은 습관을 들이면 됩니다.
보안 침해 및 사고는 매일 발생합니다. 대부분은 자동화된 스캐너가 광범위한 네트워크를 구축하고 해커가 악용할 수 있는 보안이 느슨한 개인이나 회사를 발견했기 때문에 발생합니다. 그런 사람이 되지 마세요.
어쨌든 보안 태세를 기다립니다
국립 표준 기술 연구소(National Institute of Standards and Technology)가 보안 태세를 정의하는 방법은 다음과 같습니다.
정보 보증 자원(예:사람, 하드웨어, 소프트웨어, 정책)과 기업의 방어를 관리하고 다음과 같이 대응할 수 있는 기능을 기반으로 하는 기업 네트워크, 정보 및 시스템의 보안 상태 상황 변화. (NIST 특별 간행물 800–30, B-11)
위의 중요한 부분은 "기업 방어를 관리할 수 있는 기능"입니다. 개인 보안의 맥락에서 당신은 기업입니다. 축하합니다. 아무도 가본 적 없는 곳으로 과감하게 가십시오.
이상한 새로운 세계를 탐험하기 전에(그렇습니다) 결국 인터넷) 방어를 관리하기 위해 취할 수 있는 단계가 있습니다. "기능"이라는 단어는 적절합니다. 특정 사항을 갖추면 사이버 보안의 초강대국이 될 것입니다. 다음은 제가 가장 중요하고 유익하다고 생각하는 세 가지 단계입니다.
- 다단계 인증 사용
- VPN 사용
- 건전한 회의론 개발
이 세 가지 열쇠를 손에 넣으면 사이버 보안 태세가 로봇 런치에서 워 게임 (공격자의 승리가 플레이가 아닌 전쟁 게임)으로 바뀝니다.
1. 다단계 인증 사용
암호가 죽었습니다. 계산적으로는 해결된 문제이며 암호를 해독하는 것은 시간 문제일 뿐입니다. 불행히도 많은 사람들이 여전히 여러 계정에 대해 손상된 동일한 암호를 사용하여 프로세스 속도를 높이는 데 도움을 주어 상상도 할 수 없는 이익을 얻을 위험에 처해 있습니다. 암호 구문은 더 길고 복잡하며 해독하는 데 훨씬 더 많은 시간이 걸립니다. 나는 그들을 강력히 추천합니다. 그렇더라도 궁극적으로 비밀번호는 중요하지 않습니다.
적어도 현재로서는 답이 다단계 인증(MFA)입니다. MFA는 세 가지 종류의 인증 요소로 구성됩니다.
- 암호 문구와 같이 알고 있는 정보
- 칩 핀 카드나 전화와 같이 가지고 있는 것; 그리고
- 당신의 얼굴이나 지문과 같은 당신 자신의 존재
특히 귀하의 비밀번호가 이 목록에 있는 경우 이러한 요소 중 2개 이상이 비밀번호 하나만 사용하는 것보다 훨씬 낫습니다.
이제 계정 공급자와 소셜 미디어 사이트에서 여러 인증 요소를 광범위하게 지원합니다. 선택할 수 있는 경우 인증 코드를 수신하는 방법으로 문자 메시지를 사용하지 마십시오. SMS 인증을 사용하면 SIM 스왑 공격에 취약합니다. — 추가 질문은 Jack Dorsey에게 문의하세요. 대신 Google Authenticator와 같은 인증 앱을 사용하여 기기에서 코드를 생성하세요. 이렇게 하면 해당 특정 장치를 사용하는 사용자만 올바른 인증 코드를 갖게 됩니다. '절의 어떤 힘도 당신을 막을 수 없습니다.
Google OTP 앱은 설정한 특정 기기에서 작동하므로 새 기기를 구입하면 Google OTP를 새 휴대전화로 옮겨야 합니다. YubiKey와 같은 하드웨어 인증 키는 기기를 전환할 때 번거로움이 덜할 수 있지만 아직 인증 앱만큼 널리 지원되지는 않습니다.
2. VPN 사용
VPN을 사용하는 것과 사용하지 않는 것의 차이점은 다크 나이트 라이즈가 정말 좋았고 배트맨 대 슈퍼맨이 정말, 정말 나빴던 것과 같습니다. 같은 프랜차이즈, 완전히 다른 기준.
우편물을 많이 보내지만 편지를 봉투에 넣거나 반으로 접는 것을 귀찮게 하지 않는다고 가정해 봅시다. 누가 봐도 당신이 정말로 공포의 해적 로버츠가 아니라는 것을 알게 될 것입니다. 가상 사설망을 사용할 때, 특히 공용 WiFi에 자주 연결하는 경우 암호로 봉인된 봉투에 편지를 넣고 보이지 않는 특수 택배 서비스를 통해 보내는 것과 같습니다. 받는 사람 외에는 아무도 당신의 편지를 읽을 수 없으며 당신과 택배 외에는 편지가 누구에게 보내졌는지 알 수 없습니다.
VPN은 개방형 WiFi를 스캔하는 기회주의적 공격자, 심지어 광고 비용으로 사용 데이터를 판매할 수 있는 ISP(인터넷 서비스 제공업체)와 같은 다른 사람이 귀하의 통신 내용을 읽지 못하도록 합니다.
신뢰할 수 있는 VPN 제공업체를 선택하려면 약간의 조사가 필요하며 그 자체로 별도의 기사를 작성하기에 충분합니다. 시작점으로, 로깅에 대한 확고한 정책을 가진 공급자를 찾고 서비스에 대해 매월 $5-$10 USD를 지불할 것으로 예상합니다. 모호한 개인 정보 보호 정책이 있는 무료 VPN 앱 및 서비스를 피하십시오. 일반적으로 알고 있는 것보다 훨씬 더 많은 비용이 듭니다.
3. 건전한 회의론 개발
궁극적으로 사이버 보안 방어에서 가장 약한 고리는 바로 당신입니다. 인터넷의 모든 MFA 및 VPN은 사기 또는 맬웨어 봇이 사용자를 속여 정문을 열 수 있는 경우 사용자를 보호하지 못합니다. 네, 아주 멋지게 생긴 목마라는 것을 압니다. 또한 무료입니다. 주문하셨나요? 아니? 그러면 밖에 있을 수 있습니다.
가상 문앞에 배달된 물건을 두 번째 추측하는 습관을 기르십시오. 이메일, 전화 및 메시징 사기는 로봇 조립식 산탄총 폭발에서부터 인지 편향을 매우 효과적으로 사용하는 정교한 사회 공학 공격에 이르기까지 매우 정교합니다. 당신이 그들에게 너무 영리하다고 생각하지 마십시오. 인간은 예측 가능한 생물이다. 결국 아무도 스페인 종교 재판을 기대하지 않습니다.
대신 질문하십시오. 링크를 클릭하거나 웹사이트를 방문하도록 요청하는 커뮤니케이션을 다시 확인하십시오. 그것이 아는 사람이나 당신이 이용하는 회사에서 온 것일지라도 말입니다. 이전의 대면 상호 작용을 기반으로 친구, 은행 또는 어머니가 이 이메일을 보냈는지 확실하지 않은 경우 전화를 들어 전화하십시오. 확신이 들더라도 전화를 들어 확인하세요. 어쨌든 당신은 어머니에게 전화를 충분히 하지 않습니다.
아, 그리고 전화를 건 사람이 지역 세무서, IRS 또는 CRA에서 온 사람이고 잘못된 신원으로 인해 대출금을 상환하지 않아 형사처벌을 받게 되어 귀하의 계정을 동결하려고 하는 경우 말리부의 600피트 요트, 그냥 끊으세요. 당신은 그보다 더 잘 알고 있습니다. 세무 기관에는 전화가 없습니다.
개인 사이버 보안 스타터 팩
이제 강력한 개인 사이버 보안 태세에 대한 세 가지 관문을 여는 세 가지 열쇠가 있습니다. 그 열쇠가 또한 당신의 호기심을 풀었다면 더 많은 토끼 구멍이 있습니다. 이 게시물의 많은 부분에 영감을 준 Binary Blogger의 훌륭한 조언에 대해 Security in Five 팟캐스트를 강력히 추천합니다. Surveillance Self Defense는 전자 프론티어 재단의 온라인 통신 보안에 대한 팁을 제공합니다. Troy Hunt에는 온라인에서 자신을 보호하는 방법에 대해 자세히 설명하는 Internet Security Basics라는 제목의 YouTube 시리즈도 있습니다.
지금은 새로 발견한 사이버 보안 능력을 영원히 사용하시기 바랍니다. 당신이 배운 것을 염두에 두십시오. 절약할 수 있습니다.