门外汉的安全框架

由于技术漏洞和漏洞几乎每天都在新闻中出现，变得同样险恶，美国总统选举也开始升温。回过头来看，穆勒报告的大部分内容似乎没有被那些应该或需要更好地了解的人所吸收，而且越来越多难以解释的信息的传播充其量也是令人恼火的，这些信息令人困惑，并与对安全格局的理性理解相矛盾。

为了提供帮助，我将为非技术人员提供一个简单的安全模型，从公共信息中提取出来，用于政治和私人生活。史努比的读者可能会发现，这些天我的头衔里有“安全工程师”，但这些都不是过去或现在任何雇主的观点。

1)安全参与者是(A)威胁行为者，他们试图利用某些技术漏洞以某种方式伤害您或您的任务，以及(B)安全合作伙伴，他们试图通过提供与您对其理解的安全性相匹配的服务来挫败这些努力或帮助您，

2)成熟行为是您可以学习如何更好地与安全合作伙伴合作或以其他方式降低威胁行为者实现其目标的风险的习惯，以及。

3)安全框架是您选择的将您的行为与个人生活决策相结合以实现您的使命的方式。

虽然“提升”你的成熟度有助于抵御有时抽象的网络攻击者概念，但它也有助于你保持事物的有序(例如密码)，这在你的日常生活中也会有很大帮助。

威胁参与者的数量和可用的资源差异很大，因此创建包含四个粗略类别的频谱是有帮助的：

第四级的参与者是技术性的，有大量的时间可以花，并且可以利用这些时间来发现你的一些令人难堪的或可利用的东西，并推动他们的目标。他们可能会找到你的地址并毒打你，试图通过仔细检查你的公共记录或你写的东西来羞辱你，或者试图猜测你的电子邮件密码重置问题。

重要的是，不要将这些方法视为“不是真正的黑客攻击”。虽然它们并不老练，但有很多机会造成伤害(一个很大的“攻击面”)，而且它们非常便宜，而且只需很小的努力就能取得巨大的成功。穆勒的团队描述的爱尔兰共和军活动包括3500万美元的虚假信息、影响和镇压活动，以影响2016年大选(其中包括)，仅在这一级别。

第三级演员在技术复杂性上有了很大的飞跃。他们通常不是业余人士，而是在西方法律和司法管辖之外工作的职业专业人士。他们可能有预算花在市场上，为你在黑客服务中使用的密码向某人付费，或者他们可能会进行精心制作的钓鱼活动：链接到伪造网站的棘手电子邮件，试图让你交出密码、一次性登录码或安全问题的答案。

穆勒团队描述的GRU活动就属于这一类。这一层的一个明确的“上限”是，他们的所有工具和漏洞要么可以公开获得，要么可以从许多供应商那里以商品价格获得。这使得攻击成本很低，被挫败的攻击造成的伤害最小。

二级参与者购买非公共武器化攻击套件的预算要大得多，因此要采取重大措施防止被抓。通常，挫败的攻击成本与成功的攻击收益之比在这一层反转，公开露面的攻击者比受害者的成本更高。根据Podcast的报道，FSB在2016年大选之前和期间都是这一级别的演员，尽管有关这些袭击的公开信息显然缺乏细节。

第1级参与者花费大量资金研究其他人不知道的新漏洞，并部署监控基础设施来复制或消除这些漏洞。最近一个值得注意的例子是中国针对维吾尔人的大规模黑客攻击(苹果的新闻稿是值得的)，这只是一个主要是物理空间操作的一小部分，也是值得学习的。这是关于它的一篇很棒的“副”杂志的文章。

正如您可能已经注意到的，这些层描述的是技术复杂性和成本/收益风险比，而不是影响，也不是持久性，而且一些参与者可以在多个层构成协调的威胁组。它们是创建威胁模型的基础，是您预期和想要防御的攻击类型。

与威胁层并行，让我们列出一些成熟度级别，您可以在其中进行操作以将它们控制在海湾中-。

在A级，你仔细考虑你在互联网上说的话，意识到互联网上的陌生人是真实的人，并采取相应的行动。你感同身受，想想如果有人把你说的话截屏发给你的雇主或家人，会是什么样子。在把你的地址、房子的照片或钥匙发布到网上之前，你要三思而后行。

您检查您的密码重置流程，并且不要选择陌生人可能会回答的安全问题。你知道，与从国税局打来电话的人交谈和拨打你知道属于国税局的电话号码后与人交谈是有很大区别的。

这可以防止或减轻第四层攻击者，我认为他们非常聪明，非常敬业，尽管有一点被误导的中学生，但他们会让你难堪或骚扰你。

在B级，您可以使用密码管理器(PM)来管理所有密码和安全问题。您认识到，在PM之外的任何内容中输入密码都是一件奇怪而危险的事情。你会意识到，一封精心制作的钓鱼邮件和网站会在正确的时间发送给你，这会让你上当受骗。你对此并不介意，因为你记住的密码会进入你的PM，而不是不属于你的计算机，而你的PM会为你复查是否只将正确的密码发送到正确的地方。我最喜欢的PM是1Password，但是Dashlan看起来不错，我听说它更好用。我建议不要使用LastPass，因为他们在代码和架构中犯了令人尴尬的糟糕错误，但我确信它已经变得更好了，所以如果还有其他原因(例如，您的公司或家人已经让您习惯了)，我建议您继续使用它。

你使用PM是因为你意识到，如果你给一个网站一个密码，你不应该把它给另一个网站，因为即使你的屏幕上显示*当你输入密码时，网站的制作和维护人员可以看到它，有时甚至是他们重用了代码的陌生人也可以看到它，或者他们可以阅读日志的同事也可以看到它。不良行为很难捕捉，也更难证明，但不道德的开发人员可以很容易地将网站编程为说“密码错误”，这样你就可以尝试其他一些网站。

您使用PM是因为它可以让您轻松地为每个网站设置随机密码，并且您可以让它检查您是否正在登录您认为可以抵御网络钓鱼攻击的站点。您期待着一个辉煌的未来，我们使用指纹或面部扫描登录网站，但您会非常放心地知道，您记住的密码将保留在本地，并且您的远程密码对每个安全合作伙伴都是唯一的。

最重要的是，你可以高枕无忧，因为你知道这些行为可以保护你免受凭证填充攻击和精心制作的网络钓鱼，这些攻击在2016年侵入了民主党领导层的电子邮件。

在C级，您可以在安全补丁发布后数小时内安装它们。安全更新转变为武器化攻击的时间长短千差万别，你不能冒险，因为你意识到，如果你晚上有时间洗澡，你就有时间更新你的笔记本电脑。

对我来说，帮助我缩短更新时间的最大行为是在晚上结束工作，关闭笔记本电脑。就像自动管理的密码一样，我发现在保持最小的工作环境以及检查和关闭所有内容来结束一天的过程中，我有很强的组织感。

如果你不确定你下载和运行的东西是否来自可靠的来源，你可能还会得到一个病毒扫描程序。在Mac上，我会相信任何被推荐为“客观之友”的东西，因为Sophos是拥有最多资源和跨平台产品的。我个人并不使用它，但如果我关心的人要求推荐，我会建议他们先试一试。

这将挫败Tier 3攻击的许多努力，但不是全部。确保你只从你信任的公司下载程序，并使用像uBlock Origin这样的广告拦截程序，这将有助于限制你的浏览器与之交谈的地点数量，但(很少会！)。中断一些站点，直到您了解高级设置。如果决定这样做，您将把“红色药丸”带进机器幕后偷看的世界，并处理许多微小的不便，以获得真正的、但大小令人怀疑的好处。

在D级，你进入了这个世界，做一些相对不方便和略有帮助的事情，比如使用uMatrix在默认情况下删除浏览器中的第三方内容，以及投资一个单独的虚拟机(例如在MacOS上，220美元应该可以让你获得运行运行Chrome的Windows 10的Parallels)，用于在Trusted Security Partners之外安装“各种”应用程序和浏览网页。这可以阻止利用未知或未打补丁的浏览器漏洞或意外安装间谍软件的影响。

更极端的是，你可以开始使用不同的硬件来处理不同敏感度的任务，例如，用于网页浏览的ChromeOS笔记本电脑与专门用于检查电子邮件的OpenBSD笔记本电脑位于不同的网络上。这进一步增加了通过您访问的网站进入您的敏感系统进行成功攻击的成本。让我们不要太担心这个级别，因为这里的威胁参与者每次攻击都面临着巨大的风险和自己的对手，远远超过了对大多数人成功攻击的价值。

这些级别为您的Personal Security Framework提供了构建块，并且不包括大型组织可能能够解决该问题的资源类型。花点时间想一想攻击者你应该担心什么，以及达到A、B和C级别100%的最好方法可能是什么。可以把D级想象成一个狂热的游乐场，在那里你可以把所有的小不便都放在那里，这样你就可以把各种能力的攻击者都砍掉了。

这个框架旨在帮助您组织关于提升网络安全的想法，而不是一次一个完成，也不会以任何顺序完成：对您来说，在午餐时更新您的设备将比将所有密码迁移到长的随机密码更容易。你可能很有条理，但也习惯了在网上面对陌生人，所以A级对你来说可能是最难的。这些级别是按照与级别匹配的顺序排序的，您使用它们的顺序取决于您和您的需要。

值得注意的是，一些人可能更愿意以不那么费力但更容易接近的方式改变他们的生活方式：简单地小心地输入电脑，或者说靠近手机(或手表！)，或者根本不使用电脑。这似乎是一个日益失败的提议。技术给个人和组织带来的好处一直是，也将继续是指数级的，而不是线性的，所以对于我们这些不负责操作核离心机的人来说，简单地转向上面概述的A-B-C级安全是一个明显的双赢建议。

另外，值得注意的是，这个框架故意留下了很多空白--您可能想知道“通过SMS或2FA启用一次性登录码怎么样？”或者“如果有人偷了我的手提电脑包怎么办？”是的，2FA在第2层有一点帮助，但对抗的攻击比PM少，而且有半预期的问题。物理安全是一个非常大的话题，虽然这在家庭中很常见，在家庭中，通过非技术手段解决这个问题更好，但对于其他威胁参与者来说，这是一个非常危险和复杂的攻击。

除非你是一名记者、律师或有某种敏感信息的角色，否则你的数据的访问权实际上只会流向广告商。

正如我在2015年所写的那样，我认为这不是真的。建立在法治基础上的开放社会，有赖于“老百姓”一定的“本位”保障。因为他们中的一些人每天都会决定成为举报人，或者开始与律师谈论是什么导致了一起重要的集体诉讼，或者联系监管机构，告知他们应该注意的事情。他们的安全对我们社会的运转至关重要，因此每个人的安全都是如此。

感谢所有帮助我校对和阐述的人。如果你觉得我错过了其他值得一提的东西，请随时在lobste.rs帖子上提出，或者直接给我发电子邮件到[电子邮件受保护]。据我所知，您的电子邮件将通过Google和Apple服务器，由Apple存储在Google Cloud Storage上。请不要加密，因为我确信他们笔记本电脑的内部控制比我们的要好。