امن بودن نسبت به چی؟

به خاطر دارم که زمانی که در اسنپ گروثری (اسنپ‌مارکت فعلی) مشغول به کار بودم، شرکت سیاستی اتخاذ کرد که تیم شبکه و امنیت با پشتک‌وارو‌های مختلف مارو مجبور به استفاده از DNS داخلی شرکت می‌کرد (که خب مارو هم مجبور به پشت‌وارو‌های مختلف برای انجام ندادنش).. در توضیح اطلاعیه‌ای که در این مورد نوشته بودن اومده بود که این برای امنیت بیشتره.

"امنیت بیشتر"، به نظرم تعریف امن بودن، کاملا وابسته به تهدیدیه که می‌خوایم نسبت به اون امن باشیم. توی مثال بالا،‌ تهدید از سمت کارکنانه، و منظور از امنیت بیشتر در واقع امنیت بیشتر شرکت در مقابل تهدیداتی از سمت کارکنانش و البته در نتیجه‌ی اون ضعف امنیت و حریم شخصی ما نسبت به شرکت بود.

آیا فعال کردن 2FA با شماره موبایل امنیت ما رو بیشتر می‌کنه؟ خب الان می‌دونیم که باید اول به این فکر کنیم، که نسبت به چه تهدیدی می‌خوایم امن باشیم:

• تهدید مهاجم مستقلی که به طریقی مرحله اول احراز هویت - که می‌تونه پسوردمون باشه - رو رد کرده و الان ما می‌خوایم جلوشو بگیریم؟

• تهدید این که به هر دلیلی حاکمیت تصمیم گرفته قانونی یا فراقانونی به اکانتمون دسترسی داشته باشه و ما می‌خوایم جلوشو بگیریم؟

توی مثال اول، فعال کردن 2FA با شماره موبایل به ما کمک کنه جلوی مهاجم رو با این فرض که دسترسی‌ای برای تایید 2FA نداره بگیریم. پس نسبت به این تهدید امنیتمون بیشتر شده.

توی مثال دوم اما، اونا به راحتی با توجه به دسترسی‌ای که به شبکه دارن،‌ بدون این که حتی اندازه مهاجم مثال اول پیش رفته باشن می‌تونن با همین 2FA اکانتمون رو takeover کنن. پس امنیت ما نسبت به این تهدید کمتر شده.

من تهدید اول رو خیلی کمتر جدی می‌بینم، شاید با تعویض به موقع پسورد، لاگ‌اوت کردن، انتخاب پسورد درست و رعایت نکاتی از این جنس، اصلا همچین تهدیدی جدی نباشه.

آیا cloud encryption مارو امن می‌کنه؟ بازم می‌دونیم که باید فکر کنیم نسبت به چه تهدیدی؟ در مورد کسی که به همین زیرساخت دسترسی فیزیکی داره؟ یا می‌تونه با تفنگ به دست بیاره؟

این پست رو نوشتم و بعد از فشردن دکمه انتشار، نوشت که باید قبل از انتشار پست، شماره موبایل‌م رو به اکانت‌م اضافه کنم.