あなたの新しいシステムがハッキングされないようにしますか?これらの13の手順に従ってください

セキュリティ設計の原則でハッキングされるのを防ぐことができますか?

セキュリティ

英国の監視機関GCHQのITセキュリティ部門は、安全なオンラインサービスを構築するための一連のガイドラインを発行しました。

機密データを利用する政府サービスは、ハッカーの定期的な標的であり、スパイ機関の情報保証部門であるCESGは、このような攻撃が成功すると、関連する組織にとっての損害、高価、恥ずかしい可能性がある。

GCHQはハッキングについて何かを知っています – そして、英国政府は現在、GCHQと法執行機関の他の部分がハッキングを実行することが許可される時期を明確にするのに役立つ議会を通じて新しい法律を制定しています。

英国の監視および諜報機関GCHQは、パスワードの使用に関するベストプラクティスのアドバイスのリストを提出しました。

CESGは、多くの場合、サービスをセキュリティを中心に設計して運用すると、最悪の場合のハッキングシナリオを回避できると述べています。攻撃に対して復元力があり、管理や更新が容易なサービスの作成に役立つ設計原則を公開しています。

プロジェクトを開始する前に考慮すべき7つのポイント、妥協するサービスをより困難にする11の方法、成功した攻撃の影響を最小限に抑える13の方法、および4つ目の詳細攻撃を検出して管理するための7つのアプローチ

CESGによると、ハッカーたちは基本的な脆弱性を悪用するために広く利用できるツールを使用しており、こうした「コモディティ」攻撃はうまく設計されたシステムによって阻止される可能性があるという調査結果が出ている。サービスの妥協を避けるための推奨事項には、

政府の暗号化計画は解読することが不可能である;戦争の新しい芸術:トロール、ハッカー、スパイが紛争のルールをどのように書き換えているか、秘密のデジタル武器競争の中:世界的なサイバーウォールの脅威に直面する;監視法は再考する必要があるが、ウェブデータの収集が続く;あなたのインターネット秘密の秘密戦争:どのようにオンライン監視がウェブへの信頼を失ったか;世界のサイバー軍を数える不可能な仕事

1.処理する前にすべての外部入力の検証または変換:検証可能な単純なデータ形式は、複雑な形式よりも優先されます。 PDFやスプレッドシートなどの複雑なファイル形式で悪意のあるコードをチェックするのは非常に難しいので、このコンテンツは悪質なコンテンツを「中和する」別の形式に変換する必要があります。

2.使い捨て環境での信頼できないコンテンツのレンダリング:マルウェアを安全に処理するように設計された環境で、外部から受け取った信頼できない複雑なコンテンツをレンダリングします。潜在的な悪質なコンテンツを処理した後にリセットされる環境を作成するために、仮想化を使用することを検討してください。

3.信頼性の高いソフトウェアをインポートし、その合法性を検証する:検証できる署名を持つソフトウェアを使用して、その完全性を証明し、これを自動的に実行します。

4.簡単なメンテナンスのための設計:定期的にパッチを確認してください。頻繁ではない小規模な更新よりも頻繁な小規模な更新が優先されます。

ホワイトハウスが連邦最高情報セキュリティ責任者を任命、セキュリティ、国防総省によるサイバー緊急対応の批判、セキュリティ、HTTP接続を安全でないと表示するChrome、セキュリティ、Hyperledgerプロジェクトがギャングバスターのように成長している

5.試してテストしたフレームワークを使用する:共通のフレームワークを構築するのではなく、独自のソフトウェアを作成することは、リスクの高い戦略です。

6.攻撃面を減らす:必要な最小限のインターフェースだけを公開する。共通のフレームワークを構築する場合は、不要なコンポーネントやライブラリを無効にしてください。

7.データへのアクセス権を持つユーザーを識別し、認証する必要があります。データは、ユーザーの身元、認証ステータス、および適切な属性を確認した後にのみリリースする必要があります。

8.管理者がアクセス制御を簡単に管理できるようにする。サービスのアクセス制御の統一されたビューを使用すると、管理者は許可をより簡単に維持することができます。

9.独自の暗号保護を構築しないでください。既存のアルゴリズムとプロトコルのみを使用することをお勧めします。

10.スピアフィッシングやウォーターホール攻撃からの保護:システム管理者は電子メールを表示したり、管理アカウントやデバイスからWebを参照したりしないでください。

11.ユーザーが適切なことを簡単に実行できるようにします。ユーザーがシステムの不備の回避策を開発したため、セキュリティ違反が頻繁に発生します。ユーザーが最も安全なサービスを使用するための最も簡単な方法を作成します。

CESGのセキュリティ原則の完全なセットは、ここで見つけることができます。

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

ChromeがHTTP接続に安全でないとラベル付けを開始する

Hyperledgerプロジェクトはギャングバスターのように成長しています