L'utente finale compone il collegamento e-mail al dominio esterno: best practice?

1

2 domande:

  • Quali sono gli argomenti contro che avvisano gli utenti finali che compongono messaggi di posta elettronica che collegano a domini esterni non elencati in bianco?
  • Sono disponibili strumenti, inclusa la gestione dei dialoghi necessari con gli utenti, che intercettano le e-mail come descritto di seguito?

Nella funzione di impiegato aziendale, di recente ho ricevuto un'e-mail che mi chiedeva di compilare un sondaggio online. È stato utilizzato uno strumento esterno, in modo che sia l'indirizzo di posta elettronica del mittente sia il link al sondaggio si trovassero su un dominio esterno. Non c'era alcun collegamento a un sito interno autorevole in cui questo sito esterno era in bianco.

Immagino tu accetti che questo non è OK (1) . Logicamente ne conseguirebbe che si addestrerebbe gli utenti a non comporre tali e-mail, in quanto ciò abbasserebbe la vigilanza dei colleghi. Ma quando porto questo problema con i miei manager, loro rispondono "è OK per fare clic su questo link", senza ulteriori azioni intraprese.

Sarebbe una soluzione qui introdurre, a livello aziendale, un filtro di sorta che:

  • Controlla la posta elettronica in arrivo che contiene collegamenti esterni provenienti da domini elencati non bianchi.
  • Infer (dal nome o altrimenti) se il mittente sembra identificarsi come interno.
  • Interrompi o aggiungi l'e-mail (rimuovi link, fornisci avvertenze incluso 1) best practice e 2) elenca i collegamenti rimossi in un modo che richiede il lavoro manuale per eseguirli, ad es. inserimento di parentesi quadre attorno al TLD o simili).
    • Considera anche l'aggiunta di e-mail, inclusi collegamenti a siti elencati in bianco, che forniscono sicurezza e sensibilizzazione.
  • Avvisa il presunto mittente di ciò che è successo e di nuovo fornisce consigli sulle migliori pratiche.

Immagino che ciò aumenterebbe la vigilanza e renderebbe più difficile l'esecuzione di attacchi reali, ma non ho visto una tale salvaguardia implementata per i clienti per cui ho lavorato recentemente, tutti con esperienza di attacchi di spear phishing.

Quindi di nuovo, le domande sono:

  • Quali sono gli argomenti per non implementare detto filtro?
  • Qualsiasi provider (ad esempio Fireeye ) fornisce tale filtro (2 ) OOTB, preferibilmente supportando un ADFS & Infrastruttura basata su Exchange?

(1) Razionale: l'e-mail non può essere distinta dallo spear phishing; prove aneddotiche suggerisce che anche i professionisti IT soccombono facilmente a questa forma di attacco; spear phishing "[account] per il 91% degli attacchi" [ W ]; le aziende mature addestrano i propri utenti a non fare clic sui collegamenti a domini esterni che non sono elencati internamente in modo bianco.

(2) La funzionalità dovrebbe includere 1) raggiungere gli utenti interni presunti che, con buone intenzioni, hanno utilizzato strumenti esterni per creare e-mail di massa, come nel caso d'uso descritto sopra, e 2) gestione una lista bianca autorevole che può essere resa visibile agli utenti finali.

Nota: la domanda è stata riformulata da "Perché non avvisiamo gli utenti finali che compongono email che si collegano a domini esterni?".

    
posta bjornte 13.03.2017 - 10:54
fonte

2 risposte

1

Una ragione è che questo tipo di filtraggio a un certo punto infastidirà qualcuno (forse qualcuno in alto), e inizieranno a fare eccezioni. Se si ritiene che il filtro abbia un impatto negativo sull'attività commerciale, suppongo che il filtro andrà (o verrà ridimensionato) e il problema persisterà ancora.

Avere qualche tipo di avvertimento potrebbe funzionare meglio (cioè causare meno attriti) rispetto al blocco della posta (o cambiare i collegamenti), ma sarei preoccupato di quanto sarà efficace, rispetto a quanto lavoro è da mantenere.

Una cosa che potresti considerare è dimostrare il problema e spingere per la formazione degli utenti. Un buon punto di partenza per questo è link - che è fondamentalmente una breve panoramica di sptoolkit (il collegamento per il quale non funziona più). Un'alternativa apparentemente valida (e ancora disponibile) è gophish ( link ).

In generale, eseguire periodici "corsi di formazione" con tali strumenti e fornire agli utenti feedback sulle loro azioni è un po 'efficace nel sensibilizzare e incoraggiare il pensiero critico (fino a un certo punto), nonché incoraggiare gli utenti a segnalare qualsiasi cosa sospetta .

    
risposta data 13.03.2017 - 11:03
fonte
1

Non c'è una risposta al tipo di domande "Why do not we" perché sono basate su false premesse: si presume che poiché tu non lo fai, nessuno lo fa. Nello specifico, ci sono molti strumenti di sicurezza della posta che ti permetteranno di fare cose semplici come filtrare la posta in base alle espressioni regolari (che è sufficiente per eseguire il filtro che stai richiedendo).

Ora, ci sono altri elementi che non stai prendendo in considerazione. Ad esempio, un'organizzazione potrebbe utilizzare tecnologie come DKIM, SPF o anche S / MIME per convalidare l'autenticità dei messaggi e aiutare l'utente a valutare la validità dei messaggi. Dal momento che non vi è semplicemente alcun modo per evitare che la posta in arrivo venga falsificata ("ciao, sono Brenda dalla contabilità. Questa è la mia posta privata. Potresti per favore ...") il passo più efficace per proteggere la tua organizzazione è insegnare agli utenti di cercare indicatori di identificazione positivi (come il nome del dominio di origine e, se possibile, la firma digitale dei messaggi in arrivo).

    
risposta data 13.03.2017 - 11:01
fonte

Leggi altre domande sui tag