在这一点上,说人们现在比以往任何时候都更关心在线隐私并不是一个新颖的观察。 然而,令人着迷的是,自7年前个人数字安全问题爆发以来,个人数字安全的兴趣一直很高。 换句话说,数字隐私意识没有经历短暂的激增,而是得到了维持。
这对我来说特别令人鼓舞,因为我获得技术背景的原因正是为了获得自己的数字自主权。
我和任何人一样都知道,在提高一个人的数字安全方面,并不总是很清楚。 在这个问题上得到一个手柄似乎是试图跳上一列移动的火车。 为了扩展隐喻,这篇文章可能会给你一个运行的开始。
我的希望是,从一个不久以前可能比你现在了解得更少的人的角度来看,你将发展足够的基础来独自前进。
你从哪里开始? 很简单,和你自己。 安全的整个目的是保护有价值的东西,而有价值的东西对每个人来说都是不同的。 因此,只有在确定了值的对象之后,安全性才是可能的。 只有这样,你才能评估要走多远才能保护它。
在你思考手段之前,你必须选择结尾。 在数字安全的情况下,你需要弄清楚你试图保护的是什么。 这可能和你的设备上的某些文件,或者你与同事通信的内容一样简单。
它可能更抽象。 例如,由于您的行为,有关您的某些个人详细信息-虽然不包含在文件中-可以推断并自动捕获为类似于文件的数据流,称为“元数据”。
在数字安全的背景下,一切本质上都是以信息的形式出现的,所以你需要对你所守护的信息进行长时间而艰苦的思考,以及它可以采取的所有形式或它可以访问的方式.. 这可能是一个相当大的任务,但它变得更容易与实践。
定义你想要保护的信息给你第一个组成部分,包括所谓的“威胁模型”-基本上你的高层战略观点如何保持你的信息安全。 在你的威胁模型中,你的价值信息被更简洁的“资产”命名。
一旦你定义了你的资产,现在是时候识别你的“对手”了,这是那些想要拿走你资产的实体的荣耀名称。 这对你的威胁模型最终会是什么产生了很大的影响-你持有资产的策略将看起来非常不同,这取决于你的对手是你爱管闲事的邻居还是敌对的政府。
在考虑你的对手时,列举现实的威胁是至关重要的。 这似乎是违反直觉的,但是,正如你在这本入门书的结尾所看到的,它实际上无助于高估你的敌人。
“对手”这个词可能会引起一种邪恶的复仇者,但不必如此。 虽然你不应该夸大你的对手,也不应该忽视它。 虽然很容易挑出一个对手,比如一个犯罪黑客团体(如果这确实是你的),因为它的公开恶意,你的对手可能是一个服务,你愿意使用,但不完全信任。 关键是,你需要对每一个想要你的资产的玩家进行编目,不管原因是什么。
随着这两个支柱的到位,是时候完成三脚架:核算你的资产和对手,你需要扩大对手拥有的手段,最重要的是,你拥有的手段和你愿意去保护你的资产的长度。 这最后两件事并不总是相同的,因此有区别。
幸运的是,如果你知道如何使用这些工具,就有大量的工具可以确保你的资产安全。 更好的是,最有效的都是免费的。 实践中真正的极限是自律.. 请记住,一个强大的保障是无用的,没有决心持续地使用它而不放松。
我喜欢认为对手占据了三类:
这是我自己的分类,而不是被接受的行业术语,但我的希望是,它清楚地说明了你可能面临的对手的种类,足以帮助你的威胁建模。
你必须自己判断这些类别中哪一个最恰当地描述了你的对手,但是有一些快速的诊断,你可以运行来描述你需要寻找的东西,基于你的资产以及对手本身。
如果你不认为你的工作特别敏感,只想减轻不断和无情地存储和分析亲密的个人细节的蠕变因素,你将面临一个类别1的场景。 大多数人可能会发现自己置身于这条船上,特别是如果你在任何程度上依赖于广告收入驱动的科技公司运营的社交网络或通信服务。
对于那些拥有高价值信息的人,比如六位数以上的财务数据,有一个很好的机会,你需要武装自己对抗第二类攻击者。 你所处理的信息的有利可图的性质意味着你可能会吸引特定和积极的演员来破坏你的防御,从你那里窃取它。
处理真正敏感的数据,这种可能对某些人造成生死的数据,会使你暴露在第三类对手面前。 如果你是一个国家一级的行为者,比如国家安全记者或国防部门的专业人士,你已经知道了。 如果抵御第三类攻击者是你的现实,你需要更多的操作安全比我可能提供给你。 我对待第三类演员将更多的是为了给读者画一幅完整的图画,并传达一种可能的对策的规模感。
到目前为止,你应该有一个意识,你的资产是什么,它吸引了什么对手。 这与我的四部分系列的路线图是一致的。 随后的分期付款将侧重于确定您的资产和对手需要哪些工具和实践。
本系列的下三篇文章将为您配备一些工具来对抗每个对手类别。 在描述第1类威胁的下一期中,您将学习对每个人都有益的数字卫生,对大多数人来说是足够的,但对那些在第2类和第3类中与敌人对峙的人来说是不够的。
接下来的文章,以及教育那些预期来自第二类的威胁,可能会吸引那些想要超越第一类的人群。 它还将为那些为抵抗第三类攻击的艰难道路而奋斗的人建造一座桥梁,但它本身是不够的。
最后一篇文章不是关注软件工具本身,而是努力勾勒出在信息安全领域打击最令人畏惧的对手所需的思维模式。 考虑到第三类威胁固有的巨大能力,目标是描述那些需要抵御威胁的人的评价心态。
我会留给你一个离别的想法,为这个系列定下基调:无论你的威胁模型是如何形成的,你都将面临安全和方便之间的权衡。 你永远不会同时拥有两者,它们的反比关系意味着一个增加,另一个减少。 一个可行的威胁模型是找到两者之间的平衡,你可以坚持,但这仍然解决了现有的威胁。 保持这种平衡的唯一方法是通过纪律。
这就是为什么过度杀死对手的计划不起作用的原因。 他们所做的只是为了你不需要的安全而交换比你所能容忍的更多的方便,这导致完全放弃威胁模型,而不是修改它。 相反,如果你找到了你的平衡,并有了保持平衡的意愿,你就会走上成功的道路。
正如你将看到的那样,这条路充满挑战,而且漫长,可能是无穷无尽的,但纯粹在旅行中是有回报的。 唯一令人满意的事情就是把新公司带过来。 所以,下次见,等我们找到线索。
乔纳森·特拉西自2017年以来一直是ECT新闻网专栏作家。 他的主要兴趣是计算机安全(特别是Linux桌面)、加密以及政治和时事分析。 他是一名全职自由撰稿人和音乐家.. 他的背景包括在芝加哥捍卫权利法案委员会发表的文章中提供技术评论和分析。