Prevenire il phishing / spear phishing dei dipendenti

3

Riceviamo molte e-mail di phishing mirate ai nostri dipendenti, quelle semi-sofisticate in cui parlano di un progetto o forniscono un riassunto. Poi torniamo da loro e ci inviano un "PDF allegato", che è sempre un collegamento a un sito di phishing che richiede una password Google o Dropbox.

Siamo abbastanza bravi a individuare questi chilometri di distanza, soprattutto perché il falso sito di Google o Dropbox è schifoso usando immagini / grafica pixelate, ortografia strana ecc. (Perché non vanno semplicemente su Dropbox.com e ne copiano La sorgente HTML è oltre me, ma è la loro perdita.) La mia paura è che stiamo ricevendo sempre più di queste e-mail e alla fine uno di loro probabilmente ci supererà. Riceviamo anche molte e-mail di spear phishing (in cui lo spammer contraffa il nostro dominio nel campo inviato) ma per fortuna utilizziamo Google Apps per l'e-mail aziendale che sembra avere il 100% di track record per filtrarle direttamente allo spam.

Per combatterlo ho messo in atto quanto segue:

  • password univoche per tutti i siti, utilizzando 1password
  • Autenticazione a 2 fattori per i siti che lo consentono
  • Avast anti-virus che blocca alcuni siti di phishing / malware (ma non sempre ha un sito elencato, probabilmente solo circa il 25% dei siti che ho trovato preleva)

Cose che sto pensando di implementare:

  • OpenDNS sul router di ufficio (per creare un altro livello di filtraggio simile a Avast sopra, credo che OpenDNS abbia una lista nera di phishing / malware.) L'unico svantaggio di OpenDNS è che riguarderà solo i dipendenti in loco a meno che non sia stato installato manualmente come primario DNS su ciascun dispositivo.)

C'è qualcos'altro che dovrei cercare di implementare per prevenire questi attacchi?

    
posta sam 12.12.2016 - 14:53
fonte

4 risposte

4

Le grandi compagnie stesse inviano regolarmente messaggi di phishing ai propri dipendenti in modo semi-automatico. Se un dipendente è intrappolato, viene informato come "cosa hai fatto? Vs. cosa avresti dovuto fare".

Il problema è che la debolezza degli obiettivi di phishing non è una debolezza tecnica, è una debolezza umana non tecnica. Quindi, secondo me, avrai un successo limitato solo se cerchi di affrontare questo problema con una soluzione puramente tecnica. Cercherò di investire il più possibile nella formazione per la consapevolezza e far sì che i dipendenti si rendano consapevoli attraverso la formazione, la formazione e la formazione.

La formazione può essere supportata da un paio di semplici regole molto concrete come:

  • se qualcuno ti chiama e ti chiede qualcosa di appariscente, prova a identificare il chiamante attraverso la rubrica telefonica aziendale e richiamalo /
  • non distribuire mai informazioni riservate (come password) via telefono, email
  • se il supporto di rete / telefono ti chiama sorprendentemente dicendo che hanno bisogno del tuo supporto contatta il numero di telefono XYZ per confermare che questo è VERAMENTE supporto di rete / telefono (in questo caso devi impostare un servizio al numero XYZ che è a conoscenza di tutte le attività di manutenzione nella tua azienda)
  • TBC

Assicurati che ogni dipendente legga e comprenda ciò e faccia firmare loro l'approvazione.

La mia linea di fondo: gli investimenti nell'assetto organizzativo per evitare che ciò accada sono probabilmente almeno altrettanto importanti delle contromisure tecniche.

    
risposta data 18.01.2017 - 17:01
fonte
1

Il middleware di sicurezza può davvero aiutare qui se hai il budget per questo.

Strumenti come il sistema di gestione unificata delle minacce di Sophos o il gateway di gestione delle minacce di Microsoft (anche se penso che sia praticamente morto ora) forniscono una protezione costantemente monitorata contro le minacce conosciute ed emergenti & può davvero aiutare quando un utente ha un fallimento cerebrale (come facciamo tutti di volta in volta).

Anche un servizio di filtraggio della posta di terze parti può essere d'aiuto. Uso Mailroute sulla mia email personale / di famiglia perché ho ottenuto un buon affare su di esso alcuni anni fa.

Molto dipende molto dai rischi per la tua organizzazione. Vale la pena documentare sia i rischi che il loro impatto corrispondente (se il rischio è stato realizzato) sia nel danno alla reputazione che nel costo diretto. In questo modo puoi creare un business case per spendere una quantità appropriata di denaro.

    
risposta data 12.12.2016 - 16:56
fonte
0

A livello MTA, implementa SPF, firme DKIM e DMARC. Le campagne di phishing per educare i tuoi utenti possono essere implementate attraverso strumenti come phishme.com (commerciale) o SET di TrustedSec (open-source).

    
risposta data 18.01.2017 - 15:42
fonte
-1

Hai dato un'occhiata ai filtri web basati su DNS, che potrebbero essere una soluzione migliore per le tue esigenze: ho usato WebTitan e ne sono molto felice. Fanno anche un buon filtro spam.

È positivo che tu stia identificando facilmente le e-mail di phishing, ma ho visto alcuni phishing che sono quasi impossibili da rilevare. Alta qualità, pochi errori di ortografia, buone immagini, ecc. Individuare quelli possono essere complicati. A seconda del livello di rischio che affronti, potrebbe valere la pena condurre esercizi di simulazione di phishing. Ci sono alcuni venditori là fuori. PhishMe sono molto buoni e hanno degli ottimi strumenti e materiale didattico. È un servizio a pagamento, ma offre un ottimo simulatore di phishing per le piccole imprese che è gratuito.

    
risposta data 07.11.2017 - 18:20
fonte

Leggi altre domande sui tag