2 domande:
- Quali sono gli argomenti contro che avvisano gli utenti finali che compongono messaggi di posta elettronica che collegano a domini esterni non elencati in bianco?
- Sono disponibili strumenti, inclusa la gestione dei dialoghi necessari con gli utenti, che intercettano le e-mail come descritto di seguito?
Nella funzione di impiegato aziendale, di recente ho ricevuto un'e-mail che mi chiedeva di compilare un sondaggio online. È stato utilizzato uno strumento esterno, in modo che sia l'indirizzo di posta elettronica del mittente sia il link al sondaggio si trovassero su un dominio esterno. Non c'era alcun collegamento a un sito interno autorevole in cui questo sito esterno era in bianco.
Immagino tu accetti che questo non è OK (1) . Logicamente ne conseguirebbe che si addestrerebbe gli utenti a non comporre tali e-mail, in quanto ciò abbasserebbe la vigilanza dei colleghi. Ma quando porto questo problema con i miei manager, loro rispondono "è OK per fare clic su questo link", senza ulteriori azioni intraprese.
Sarebbe una soluzione qui introdurre, a livello aziendale, un filtro di sorta che:
- Controlla la posta elettronica in arrivo che contiene collegamenti esterni provenienti da domini elencati non bianchi.
- Infer (dal nome o altrimenti) se il mittente sembra identificarsi come interno.
- Interrompi o aggiungi l'e-mail (rimuovi link, fornisci avvertenze incluso 1) best practice e 2) elenca i collegamenti rimossi in un modo che richiede il lavoro manuale per eseguirli, ad es. inserimento di parentesi quadre attorno al TLD o simili).
- Considera anche l'aggiunta di e-mail, inclusi collegamenti a siti elencati in bianco, che forniscono sicurezza e sensibilizzazione.
- Avvisa il presunto mittente di ciò che è successo e di nuovo fornisce consigli sulle migliori pratiche.
Immagino che ciò aumenterebbe la vigilanza e renderebbe più difficile l'esecuzione di attacchi reali, ma non ho visto una tale salvaguardia implementata per i clienti per cui ho lavorato recentemente, tutti con esperienza di attacchi di spear phishing.
Quindi di nuovo, le domande sono:
- Quali sono gli argomenti per non implementare detto filtro?
- Qualsiasi provider (ad esempio Fireeye ) fornisce tale filtro (2 ) OOTB, preferibilmente supportando un ADFS & Infrastruttura basata su Exchange?
(1) Razionale: l'e-mail non può essere distinta dallo spear phishing; prove aneddotiche suggerisce che anche i professionisti IT soccombono facilmente a questa forma di attacco; spear phishing "[account] per il 91% degli attacchi" [ W ]; le aziende mature addestrano i propri utenti a non fare clic sui collegamenti a domini esterni che non sono elencati internamente in modo bianco.
(2) La funzionalità dovrebbe includere 1) raggiungere gli utenti interni presunti che, con buone intenzioni, hanno utilizzato strumenti esterni per creare e-mail di massa, come nel caso d'uso descritto sopra, e 2) gestione una lista bianca autorevole che può essere resa visibile agli utenti finali.
Nota: la domanda è stata riformulata da "Perché non avvisiamo gli utenti finali che compongono email che si collegano a domini esterni?".