每个团队都需要的5个关键OpSec步骤

几周前，我们 Certora 的一名员工遭遇了一次小规模的黑客攻击，并很快得到了解决。这件事促使我反思自己在 Web3 领域的头八个月，以及我所学到的 DeFi 领域与更广泛的技术行业在安全方面的差异。

一方面，对于像我这样的网络安全专家来说，加入一个名副其实的应用密码学前沿行业，是非常令人兴奋的。看到我们行业的先进水平，以及先进的密码学如何被用于保证一个无需信任的系统的安全，这令人鼓舞。与此同时，我们行业中的许多佼佼者都成为了最简单攻击的受害者：利用 Telegram、Google Workspace、X 等通信工具漏洞的网络钓鱼活动。在最好的情况下，成为网络钓鱼的受害者是令人尴尬的，而在最坏的情况下，代价非常高昂。

为了避免这些失败，有几个重要的 OpSec 课程 在 Web3 之外的世界广为人知并被广泛遵循，我们应该从中学习。

像 Web3 中的许多公司一样，Certora 正走在漫长的 OpSec 之旅上。当我六月份加入公司时，多因素身份验证 (MFA) 是公司上下唯一强制执行的安全措施。正如业内许多黑客攻击事件所表明的那样，MFA 是必要的，但绝不是单独存在的充分条件。

从这个起点（我怀疑我们与该领域的许多公司有共同之处）开始，我们一直在逐步改进我们的 OpSec。我们的经验只能强调 我们安全路线图的紧迫性。我们看到通过所有可用的通信渠道，针对我们公司的网络钓鱼尝试每天都在不断涌现，因此警惕和强大的 OpSec 纪律至关重要。为了引导其他人立即采取行动，我认为梳理我的 OpSec 前 5 名 可能会有所帮助。在帮助越来越多的客户做同样事情的同时，我们仍在努力完成这些步骤。我建议任何从类似位置开始的人都遵循同样的路线图。

步骤 1：MFA 和登录安全

如上所述，MFA 作为一种 OpSec 策略是必要的，但并不充分。也就是说，如果你尚未实施 MFA，那么你就犯了一个严重的错误。一旦你停止阅读本文，改变做法最好是你议程上的第一件事。

并非所有的 MFA 都是一样的。我建议如下：

1. 避免使用短信和电子邮件作为 MFA 方法。有无数的理由说明这两种方法都不好。可以这么说，最佳实践早已禁止使用这些 MFA 方法。
2. TOTP（例如，Google Authenticator）很好，但不是很好。为什么？很容易诱骗用户在网络钓鱼网站上输入 TOTP 代码。下面引用的方法更难利用。
3. 基于推送的 MFA 更好。为什么？因为在 iOS/Android 上启动推送通知需要设备本身已在身份提供商处注册。例如，如果没有对 Google 基础架构进行重大破坏，网络钓鱼网站无法启动到 Gmail 应用程序的推送通知。
4. Passkeys 是最好的。生物识别很难伪造，而且在攻击者寻找唾手可得的目标的世界中，受生物识别因素保护的 passkeys 通常对他们来说太难实现了。
5. 密钥管理员（例如，你的 G suite 管理员）应该使用 Yubikeys。它们价格低廉且易于使用。没有理由不使用行业黄金标准的 MFA 来保护城堡的钥匙。

一旦你完成了 MFA 设置，你就可以继续执行下一步了。但是，在你宣布 MFA 之旅取得成功之前，请确保你没有忘记沿途的任何通信工具。在这个行业中，我们经常将 X、Signal 和 Telegram 结合使用，并且它们中的每一个都可以并且应该使用额外的身份验证因素来保护。

步骤 2：EDR 必不可少

如上所述，我们在 Certora 使用 SentinelOne。我们的一位客户使用 Sophos，我们代表我们的客户购买和配置了该 Sophos 系统。其他人使用 Cynet、Crowdstrike、Palo Alto 或市场上的其他替代方案。虽然 MITRE 攻击评估是 EDR 测试的黄金标准，但重要的是拥有正确配置的东西，而不是根据 MITRE 拥有最好的 EDR。

EDR 实施中的一个常见差距是 EDR 需要 Mac 计算机上的特殊权限。MacOS 要求安全扩展程序获得管理员用户的许可，才能有效地防止恶意软件。磁盘扫描需要更多权限，必须再次由管理员用户明确授予。对于那些可以防止恶意浏览的 EDR，还有一个网络扩展，必须授予适当的权限。安装过程无法强制进行这些权限更改 - 它们必须由每个用户手动完成 - 对于那些技术不太熟练或可能不熟悉 MacOS 设置应用程序深处的用户来说，这可能是一个相当大的挑战。但是，如果没有这些权限，你的 EDR 在 Mac 设备上基本上毫无用处。

至关重要 的是，在你使用的所有平台（Windows、Mac、Linux）上，你的 EDR 都已正确配置，具有所有必需的权限，并且你使用服务器端界面来验证所有端点是否具有所需的绿色复选标记（或类似标记），指示保护已生效。 不要以惨痛的代价来学习这一课 - 花时间耐心地与每个用户一起以正确的方式设置和配置 EDR，然后在服务器端仔细检查你的工作。

步骤 3：必须管理密码

添加一个 企业密码管理器 不是一件可有可无的事情。这是绝对必须的。 为什么？

首先，密码安全的最佳实践是让你的用户记住一个复杂的密码，并且除了作为其密码管理器的“主”密码之外，永远不要在任何地方使用该密码。要求用户记住一个从未在线存储的密码是合理的（离线备份可以在保险箱或类似的地方）。但是，要求用户记住多个这样的密码是不合理的。

如果你选择一个安全记录良好的知名企业密码管理器，你可以确信他们遵循行业领先的实践来保护你的密码。其他网站可能没有那么小心。使用你记住的优秀密码作为你的主密码，并且不要在其他任何地方重复使用该密码。 永远不要。此外，不要将其存储在 Chrome（或任何浏览器）的 Google 密码管理器中。此密码存在于你的脑海中以及离线的、锁定的安全位置。

其次，密码管理器使你的用户免受第三方网站不良密码处理的影响，并隔离网络钓鱼攻击的影响。用户无法记住无限数量的复杂密码。不可避免的结果是 重复使用密码，无论是完全相同还是非常接近。如果一个这样的密码被盗，一个聪明的攻击者就会拥有他们入侵你使用的每个第三方网站所需的东西，如果你重复使用了该密码。MFA 在这方面有所帮助，但如上所述，网络钓鱼攻击在强迫用户犯 MFA 错误方面越来越好。密码管理器管理的安全、随机密码可确保一次成功的网络钓鱼攻击只会产生一次局部影响。

第三，密码管理器允许进行受控的、经过许可的密码共享。 对于“热”帐户，即你用于日常工作的帐户，密码共享绝不是一个好主意。但是，许多第三方 SaaS 应用程序都有一个根帐户。根帐户应该始终是一个“冷”帐户，但它仍然有必须记录并与选定的一组公司管理员共享的凭据。密码管理器非常适合此目的：它们提供方便、安全的共享功能。在 Certora，我们采用了 1Password。我们的一些客户使用 Bitwarden。我们已经试验过 NordPass。所有这些都有其权衡，但如果你让我做出选择，我认为 1Password 是市场上最全面的解决方案。

一旦你安装了密码管理器，请采取额外的步骤 将你的所有密码重置为安全、随机且托管的密码。

步骤 4：管理帐户用于管理

全球 IT 部门早就知道你永远不应该使用管理帐户工作。电子邮件、网页浏览以及你在日常工作中执行的几乎所有其他操作都不需要具有安装/卸载软件或进行系统范围配置更改的权限的帐户。当你使用管理帐户工作时，你离一场重大灾难只有一步之遥。 如果你使用常规用户帐户工作，那么当你点击不应该点击的地方后出现密码提示时，你至少还有第二次机会重新考虑。

不幸的是，大多数用户在使用个人购买和配置的设备时仍然使用管理帐户工作。以这种方式设置你的系统更容易，但这是一个可怕、糟糕且危险的做法。所有用户都必须创建一个具有唯一密码的标准用户帐户，并尽快迁移到该帐户以进行日常工作。 允许你自己和你的员工犯一些错误，而不会引发下一次灾难。

进行此更改后，请教育你的所有员工，在几乎所有情况下，管理密码提示都是一个危险信号。除非在软件安装或维护过程中明确指导，否则请在密码提示处停止，取消，并在继续操作之前征求第二意见。

步骤 5：保持你的根帐户冷藏

一个 越来越普遍和危险的攻击媒介是使用 OAuth/Open ID 允许恶意的第三方应用程序访问公司帐户。大多数服务（例如，X）仅允许从根帐户启动 OAuth 连接。但是，问题在于用户经常使用根帐户工作。如果你在浏览器中打开一个 X 窗口，并通过根帐户登录到你的公司 X 帐户，那么一个恶意的第三方应用程序现在离 X 帐户接管只有一步之遥。这同样适用于许多其他第三方服务。永远不要使用根帐户工作。相反，请遵循最低权限原则。

当你设置一项新服务（X、Cloudflare、AWS 等）时，使用你将保持冷藏的根帐户创建该帐户。除非绝对必要执行无法以任何其他方式执行的功能，否则没有人会登录到此冷藏帐户。否则，根帐户凭据（以及用于 MFA 的 TOTP）会存储在密码管理器中，并与一小部分接受过类似教育的公司范围内的管理员共享，即此帐户是一个冷藏帐户。

创建具有每个用户完成其日常工作所需的权限的各个帐户。X 具有委托访问权限。Cloudflare 允许创建无限数量的用户帐户，其权限可以在域级别设置。AWS 拥有专门用于此目的的 IAM Identity Center。除了少数例外，几乎你使用的每个业务关键型应用程序都可以以这种方式配置。如果你尚未这样做，那么你就是在自找麻烦。

事情出错时该怎么办

当你在你的前 5 名之旅中，甚至可能在你完成所有步骤之后，事情仍然会出错。网络钓鱼攻击越来越复杂，它们可能会欺骗你的用户和你的 EDR。在某个时候，会出现问题。以下是你的做法：

1. 如果端点受到威胁，第一步是使该端点脱机。
2. 一旦设备脱机，除了完全恢复出厂设置和重新格式化之外，没有其他安全的恢复路径。我再怎么强调采用 Google Drive 或类似的在线存储选项的重要性，也不足以防止你因恢复出厂设置而丢失关键业务数据（但是，切勿设置文件夹同步功能，例如 Google Drive for Desktop……此功能是恶意软件传播的好方法）。
3. 如果你怀疑在线帐户（Google Workspace、X 等）受到威胁，请从以下步骤开始：

a. 立即更改密码。

b. 查看所有已登录的设备并将其全部注销。你使用的几乎每项服务都具有此功能。

c. 检查你的帐户是否有任何第三方连接（通过前面提到的 OAuth 登录过程），并删除你不能 100% 确定是合法的任何第三方连接。为了安全起见，你可以随时删除所有第三方连接并重新开始。小心驶得万年船。

4. 如果你的一个社交媒体帐户、你的电子邮件帐户或你的 Telegram 帐户受到威胁，请立即通知所有受影响的各方。通过不同的、受信任的通信方式进行通知。回到我文章的开头，如果我们的员工知道 Telegram 联系人受到威胁，那将会有很大帮助。不要让你自己的联系人经历同样的经历。如果你担心 Telegram 受到威胁，那么主动的电话、短信或（如果你必须）电子邮件可能会大有帮助。

这篇文章可能会再写 10 页篇幅，但也许你应该了解到的关于运营安全的第一条也是最重要的一课是，无所作为的惯性是你最强大的敌人。从前 5 名开始。如果出现问题，请按照我在上面概述的方式立即有效地做出响应。攻击者总是在寻找阻力最小的路径。 尽最大努力确保那条路径不是你。

我在前 5 名中没有涉及的内容

如果你达到了前 5 名，你就完成了？不，还没有。在 Certora，我们的路线图上还有更多内容，我建议任何公司都这样做：

• 强制执行很重要。 这里的目标是确保登录到关键服务受到设备状态基本检查的限制：安装了最新的 OS 补丁；EDR 处于活动状态；等等。Google 提供上下文感知访问。Microsoft 具有条件访问。选择一个并实施它。
• 跨你在线使用的所有第三方应用程序的 SSO 至关重要。 通常情况下，我们和我们的客户使用的大多数帐户（但不是全部）都受到强大的 MFA 方法的保护。那些未受保护的少数帐户将会受到威胁。使用 SSO 强制执行统一的登录安全标准。对于 Google Workspace 用户，这通常就像单击“使用 Google 登录”按钮一样简单。不能再简单了，所以请尽快停止使用你的一次性、无 MFA 的帐户登录。
• 如果你必须为 TOTP 使用 身份验证器应用程序，或者你为你的密码管理器安装了一个应用程序，请采取额外的步骤 在你打开该应用程序时启用生物识别身份验证。 Google Authenticator 具有此功能，Microsoft Authenticator 以及来自 1Password 和 BitWarden 的应用程序也具有此功能。
• 保护你的密码管理器浏览器扩展。要求使用生物识别技术解锁它，并要求每 24 小时重新输入一次主密码。通过强制重新输入主密码查看来保护根帐户凭据。
• 我们现在的大部分工作都是在浏览器中完成的。恶意的浏览器扩展是一个真实存在的危险（特别是考虑到最近针对 Javascript/Typescript 生态系统的供应链攻击的爆发）。Chrome 企业版是实施组织范围内插件控制政策的一种好方法。
• Google Workspace 和 Microsoft M365 的内置网络钓鱼保护功能可能需要一些改进。有很棒的 第三方工具 可帮助 保护你的用户免受最新的网络钓鱼攻击。 采用一个。
• 用户需要帮助才能保证安全。网络钓鱼培训并不昂贵，而且有效。市场上有许多适用于网络钓鱼培训的优秀解决方案。我们碰巧使用 KnowBe4，但还有其他不错的选择。
• 用户始终在其移动设备上访问电子邮件，但并非所有电子邮件客户端都是一样的。特别是，gmail 应用程序会在电子邮件上显示 Apple Mail 不会显示的网络钓鱼警告。如果你是 Google Workspace 客户，请采用 gmail 应用程序（如果你是 Microsoft M365 客户，则采用 Outlook 应用程序）。

如果你走到这一步，下一轮 OpSec 已超出本文的范围。但是，你尚未完成……要么直接问我接下来会发生什么，要么这可能是未来文章的主题。

• 原文链接： certora.com/blog/top-5-o...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～