Разные электронные почты / разные надежные пароли. Храните их в одном месте. Никогда не используйте повторяющиеся пароли, особенно для аккаунтов с персонально идентифицируемой и конфиденциальной информацией (например, Facebook, Gmail, AppleID, Twitter, банки/платежи, криптовалютные счета). Используйте пароли, которые генерируются случайным образом и состоят из 20+ символов. Если вы заметили подозрительную активность с паролями или неудачные входы в любой из ваших аккаунтов, смените все пароли, начиная с чувствительных и авторизационных аккаунтов, таких как основная электронная почта и банковские/криптовалютные аккаунты. Хорошими вариантами являются 1Password и LastPass.
# Проблема 3
Никогда не связывайте номера телефонов с криптоплатформами. Используйте E-SIM симки, если вам необходимо привязать телефон. Чтобы заблокировать свою SIM, свяжитесь с оператором мобильной связи. Попросите их НИКОГДА не вносить изменения в ваш номер телефона/SIM, если вы физически не явитесь в определенный магазин с минимум двумя документами, удостоверяющими личность. Это (должно) помешать хакерам звонить в AT&T, T-Mobile или Vodafone, выдавать себя за вас и просить перенести ваш номер телефона на новый телефон. Работает также с Российскими операторами такими как МТС, Билайн, Мегафон, Теле2, Йота и тд.
Вместо 2FA на основе SMS используйте Google Authenticator (iOS/Android) или приложения Authy для iOS или Android. Google Authenticator быстрее и проще в настройке, но Authy предлагает более надежные возможности восстановления учетной записи. Имейте в виду, что коды, генерируемые приложениями 2FA, зависят от конкретного устройства. Ваша учетная запись не сохраняется в облаке Google или iCloud, поэтому если вы потеряете телефон, вам придется потратить некоторое время на подтверждение своей личности, чтобы восстановить 2FA. Дополнительная безопасность стоит этих хлопот!
# Проблема 5
Холодное хранение и отдельный "горячий" кошелек. Используйте multisig (например, gnosis-safe) или хотя бы аппаратный кошелек. Никогда не храните свою сид фразу в цифровом виде. Сид фразы должны храниться на бумажных карточках, входящих в комплект аппаратных кошельков! Это означает, никогда не печатайте ее, не храните ее в Интернете и не фотографируйте ее.
Никогда не делайте того, чего не понимаете. Всегда проверяйте, какой токен вы аппрувите, какую транзакцию подписываете, какие активы отправляете и т.д. - будьте предельно точны при совершении любой финансовой операции. Помните, что один из возможных векторов атаки - поставить вас в ситуацию, которая побудит вас сделать что-либо (войти в систему или что-то в этом роде).
Будьте осторожны, используя свой реальный домашний адрес в Интернете для целей доставки. Утечки данных стали ежедневным явлением, и многие утечки включают имена и адреса клиентов. Ваш физический адрес не так легко изменить, как номер телефона или адрес электронной почты, поэтому будьте особенно внимательны к тому, где вы используете его в Интернете. Если вы заказываете пиццу с помощью криптовалюты, закажите еес доставкой. При совершении покупок в Интернете используйте другой (общедоступный) адрес для доставки посылок. В качестве вариантов здесь можно использовать место работы или ящики-дропбоксы в таких службах доставки, как FedEx и местная почтовая служба.
Помните: вы можете стать мишенью Мы являемся естественной мишенью для всевозможных атак - от обычных киберпреступников до конкурентного шпионажа (звучит драматично, но это реальность!). При этом не имеет значения, в какой отрасли вы работаете. Если у вас есть какая-либо конфиденциальная, закрытая информация (а давайте посмотрим правде в глаза, большинство людей, занимающихся криптовалютами, имеют такую информацию), то вы вполне можете стать мишенью. Это хорошая вещь, о которой всегда нужно помнить.
Сохраняйте бдительность - Создайте культуру скептицизма, в которой сотрудники и друзья будут чувствовать себя комфортно, проверяя дважды, прежде чем нажать на ссылку или ответить на запрос о предоставлении конфиденциальной информации, и вы получите гораздо более безопасную организацию в целом.
OpSec часто используется в общественных местах. Например, если члены вашей команды обсуждают рабочие вопросы в ближайшем кафе за обедом, во время конференции или за кружкой пива, есть вероятность, что кто-то может подслушать. Как говорится, свободные губы могут потопить корабль, поэтому убедитесь, что вы не обсуждаете конфиденциальную информацию компании, находясь на публике. Многих ошибок OpSec можно избежать, если быть более осведомленным о своем окружении и контексте, в котором вы говорите: что вы говорите, где вы находитесь, с кем вы говорите и кто может вас подслушать. Неплохо было бы рассказать о правилах "нет-нет" для вашей конкретной компании во время вводного инструктажа и периодически напоминать о них сотрудникам.
Определите свои конфиденциальные данные, включая исследования, интеллектуальную собственность, финансовую отчетность, информацию о клиентах и сотрудниках. Это те данные, на защите которых вам нужно будет сосредоточить свои ресурсы.
Определите возможные угрозы. Для каждой категории информации, которую вы считаете конфиденциальной, вы должны определить, какие виды угроз существуют. Хотя вам следует опасаться третьих лиц, пытающихся украсть вашу информацию, вам также следует остерегаться внутренних угроз, таких как нерадивые сотрудники и недовольные работники.
Проанализируйте дыры в системе безопасности и другие уязвимости. Оцените текущие средства защиты и определите, какие существуют лазейки или слабые места, если таковые имеются, которые могут быть использованы для получения доступа к вашим конфиденциальным данным.
Оцените уровень риска, связанный с каждой уязвимостью. Проранжируйте уязвимости, используя такие факторы, как вероятность осуществления атаки, степень ущерба, который вы понесете, и количество работы и времени, которое вам потребуется для восстановления. Чем выше вероятность и ущерб от атаки, тем большее внимание следует уделять снижению связанного с ней риска.
Принятие контрмер. Последний шаг операционной безопасности заключается в создании и реализации плана по устранению угроз и снижению рисков. Это может включать обновление оборудования, создание новых политик в отношении конфиденциальных данных или обучение сотрудников рациональным методам обеспечения безопасности и политикам компании. Меры противодействия должны быть простыми и понятными. Сотрудники должны быть в состоянии выполнить необходимые меры с их стороны с дополнительным обучением или без него.
Автоматизируйте задачи, чтобы уменьшить необходимость вмешательства человека. Люди являются самым слабым звеном в инициативах операционной безопасности любой организации, потому что они совершают ошибки, упускают детали, забывают и обходят процессы.
Реагирование на инциденты и планирование аварийного восстановления всегда являются важнейшими компонентами надежной системы безопасности. Даже если операционные меры безопасности надежны, у вас должен быть план по выявлению рисков, реагированию на них и смягчению потенциального ущерба.
Управление рисками подразумевает способность выявлять угрозы и уязвимости до того, как они превратятся в проблемы. Операционная безопасность заставляет менеджеров глубоко погружаться в свою деятельность и выяснять, где информация может быть легко нарушена. Взгляд на операции с точки зрения злоумышленника позволяет менеджерам обнаружить уязвимые места, которые они могли бы не заметить, и принять необходимые контрмеры для защиты конфиденциальных данных. Самое главное здесь - условно понять процесс атаки. Их вектор.
В качестве примера: хакер поставил вам на компьютер некий RAT (троян удаленного доступа), и теперь у хакера есть два пути. Если взлом "веерный", т.е. массовый, то хакер украдет ваши cookies, и другую информацию, чтобы потом эти данные продать на вторичном рынке для обработки этих логов ламерами. От этого должна помочь классическая opsec, упомянутая в 1-10.
Или второй вариант - прямая атака, при которой хакер сделает фишинговую страницу на вашем роутере, через которую вы введете свой пароль (отравление DNS-сервера). То есть, чтобы предотвратить атаку, в идеале нужно разделять машины и сети. Также следует проверять сертификаты.
Хакер также может совершить атаку на буфер обмена, когда вы скопируете адрес отправки и он изменится на адрес хакера. Причем начало и конец будут совпадать с оригинальным адресом, что будет представлять собой смесь векторов атаки - вектор социальной инженерии, фишинг и классическое вредоносное ПО.
Уровень безопасности обычно зависит от вашей модели угроз и от того, какому противнику вы противостоите. Поэтому трудно определить, насколько хороша ваша система защиты. Но я бы сказал, что он звучит довольно хорошо. Рекомендую посмотреть:
Взаимодействуйте только с протоколами DeFi, которым вы доверяете - Потратьте время на то, чтобы ознакомиться с некоторыми предыдущими понятиями, которые мы рассматривали, такими как стакинг, фарминг, NFT, и изучите любые другие новые термины, с которыми вы можете столкнуться, прежде чем вкладывать криптовалюту в DApp, который использует любую из этих стратегий.
Используйте надежные сервисы. Использование безопасного, простого в использовании криптокошелька для взаимодействия с приложениями DeFi является необходимым условием безопасной и удобной работы с DeFi. Взаимодействие со смарт-контрактами может быть сложным для начинающих пользователей, поэтому использование удобного для новичков криптокошелька с поддержкой DApp является разумным способом снижения рисков, возникающих из-за случайных ошибок со стороны пользователя.
Будьте в курсе наиболее распространенных атак. Следите за сайтами хакеров, последними стандартами безопасности, узнайте, что и зачем делают Nitrokey и Yubikey. В заключение - прочитайте, что такое OSINT и counterOSINT, чтобы возможные преступники не смогли собрать нужные данные.