Perché Outlook non gestisce gli URL di phishing [chiuso]

Naviga le tue risposte
0

Ci sono due problemi MAJOR nella mia azienda (come presumo anche in molti altri).

  1. Utenti che fanno clic sui link nelle e-mail di phishing
  2. Utenti che aprono (e eseguono) allegati infetti da malware.

Sì, dovrei bloccare gli allegati e lo faccio. Tutto tranne PDF, Excel, word e ppt che semplicemente non riesco a meno che non vogliamo andare fuori mercato. Tutto il resto è bloccato a livello del server.

Sì, so che gli utenti dovrebbero essere istruiti. Loro sono. Ma fanno ancora clic sui collegamenti e aprono gli allegati. Più istruzione? Certo, ma non raggiungerò mai il 100%. Neanche il 75%. Quindi qual è la soluzione? Gestiamo sia IDS che IPS con monitoraggio 24/7 tramite SOC. Tutte le e-mail vengono monitorate e tutti gli allegati vengono eseguiti in una sandbox prima di essere consegnati agli utenti finali. Anche gli URL nelle e-mail vengono controllati (tramite una soluzione di terze parti contro una blacklist basata su cloud). Inoltre, tutti i client eseguono un antivirus endpoint multistrato. Gli utenti finali sono ANCORA infetti poiché gli allegati contengono nuovi ceppi di malware o 0 giorni e gli URL non sono ancora stati inseriti nella lista nera. Credo che alcune soluzioni semplici siano trascurate in generale per quanto riguarda il phishing. Sei d'accordo? (Vedi sotto.)

Usiamo Outlook come client di posta elettronica e le domande che mi pongo ogni giorno sono le ragioni per cui Outlook non ha una protezione anti-phishing migliore. Ad esempio:

  1. Perché Outlook non controlla se il testo del link contiene un URL diverso da <a href-URL> . Perché l'utente deve avere l'aspirapolvere su ogni URL e prendere la sua decisione?

  2. Perché Outlook non controlla se il campo FROM differisce dall'intestazione dell'e-mail della busta? Il trucco più antico nel manuale di phishing. Perché dovrei lasciare che gli utenti provino a notarlo da soli?

  3. Perché non posso chiedere a Outlook di eseguire la scansione di tutte le email per determinate "pericolose parole di phishing" come ad es. FedEx, Visa, Mastercard, password, conto bancario, reimpostazione della password, conferma account ecc ecc. Sì, so su DLP ma ora sto parlando di una soluzione lato client per le e-mail in arrivo.

  4. Perché non è possibile disattivare TUTTI i collegamenti in TUTTE le e-mail in Outlook? Per quanto ne so, è possibile solo per e-mail in chiaro. Ciò non lo renderà sicuro al 100%, ma almeno impedirà alle persone di fare clic sui collegamenti senza pensare (ad esempio, copia-incolla).

  5. Perché Outlook non può comunicare a un utente che l'e-mail che hanno appena ricevuto proviene da un mittente sconosciuto (cioè non nella sua rubrica) e ha un allegato? Tutto sommato, questo è spesso altamente sospetto.

Quanto sopra è solo cose molto semplici che potrebbero essere implementate all'interno del programma di posta elettronica dal lato del client e rendere la vita più facile per gli utenti finali e per gli amministratori di sistema.

Che cosa mi manca in questa linea di ragionamento? Deve essere qualcosa poiché questo non è implementato in alcun software di posta elettronica. O è? Qualsiasi idea su questo è molto apprezzata.

    
posta user1298720 13.09.2016 - 19:14
fonte

1 risposta

1

Wow, ci sono un sacco in questa domanda per provare e passare.

In primo luogo, cosa potresti mancare? Suggerirei due cose dall'esperienza. In primo luogo, i PC client dovrebbero eseguire solo applicazioni autorizzate, tutto il resto dovrebbe essere bloccato. Questo annulla masse di malware.

In secondo luogo, eliminare l'accesso a tutti i server di annunci noti, alle sorgenti di malware e ai server di comando e controllo (C3), a livello di router / firewall. È possibile ottenere elenchi per supportarlo se lo si desidera, ma la maggior parte delle persone utilizza un server di filtraggio intelligente come quelli di Sophos e altri. Ho anche una sceneggiatura che fa questo per il mio router Ubiquiti casa - geniale. Questo elimina molti rischi di malware e attacchi drive-by da annunci canaglia. Proteggerà anche da alcuni, almeno, di quei brutti link.

Successivamente, la domanda non scritta: perché la spazzatura di Outlook e gli altri client non sono molto migliori? Questo mi imbarazza pure. Con tutti i progressi della UX, della teoria dell'informazione e della nostra comprensione del pensiero, si potrebbe pensare che avremmo un sistema di comunicazione scritto di base notevolmente migliore ormai. Tutto quello che riesco a pensare è che le e-mail e le relative tecnologie di comunicazione sono seriamente poco raffinate per gli sviluppatori. Quindi vengono ignorati gravemente.

Ora le specifiche:

  1. Intendi qualcosa come <a href="//our-intranet.com">Intranet Home Page</a> ? Penso che potresti scoprire che ritagliare un bel po 'di email legittime in formato HTML. Come si trova in aziende grandi e piccole ovunque.

  2. Due problemi qui.

    In primo luogo, la tua email server dovrebbe farlo, non lasciarla al client.

    In secondo luogo, ci sono casi in cui questo è usato (anche se è legittimamente forse discutibile). I sistemi esterni che inviano email come e-mail aziendale sono il caso tipico. Alcune mailing list basate su cloud utilizzate internamente, a volte scansionano i sistemi di posta elettronica. Tutti questi sono visti regolarmente spoofing dagli indirizzi. Non è una buona pratica, ma è ancora troppo usata.

  3. Perché a) le parole che elevi sono parole valide per molte organizzazioni eb) perché anche questo dovrebbe essere fatto dal server e non dal client. Guarda ad esempio lo Spamassassin open source.

    Questo non è un compito semplice e devi cercare di essere intelligente sulle combinazioni di parole e altri marcatori - questa è una cosa che non è una precisa identificazione - una persona spazzatura è una email legittima. Certo, i cattivi hanno accesso agli stessi strumenti e si adattano di conseguenza.

    La DLP riguarda la perdita di dati piuttosto che la scoperta di spam / maware. Gli sono strumenti lato client che eseguono questa operazione e il processo di individuazione della posta indesiderata di Outlook esegue un tentativo bloccato. Avrai bisogno di strumenti di terze parti per farlo correttamente.

  4. Questo è certamente teoricamente possibile poiché è ciò che accade nella cartella spazzatura di Outlook. Non ho idea del perché questa non sia un'opzione per altrove, comunque.

    Tuttavia, Outlook è pensato per essere uno strumento di posta elettronica aziendale e in realtà la maggior parte delle aziende utilizza giustamente le e-mail HTML per evitare che le persone inviino costantemente documenti Word di una pagina ("memo" di AKA) l'un l'altro come nel 19 ° C. Quindi, di nuovo, ci deve essere un equilibrio - non dire che l'equilibrio è giusto, basta indicarlo.

  5. Ancora una volta, questa non è l'esperienza di molti grandi utenti aziendali che sono il cardine dei clienti di Outlook. Ricevo costantemente e-mail con allegati di persone che non sono nella mia lista di contatti immediati.

    Tuttavia non sarebbe difficile regolare il servizio di controllo dello spam basato sul server per includerlo di norma.

Abbi fiducia in me, sento il tuo grido di disperazione. Trovo che più in alto si ottiene la catena organizzativa, più è probabile che qualcuno cada anche nei link di malware / phishing!

Abbiamo ottenuto buoni risultati con un costante drip feed di promemoria e avvertenze. Assicurati di eseguire sempre una "scansione antivirus" abbastanza invadente usando un tecnico alla scrivania (o in remoto) anche per guidare il messaggio a casa, anche se sai che uno non è realmente necessario. ;)

È anche bello fare un patto con i tuoi dirigenti senior, quindi fare alcuni esercizi di phishing interni - dopo aver avvertito tutti che hai intenzione di farlo. Se riesci a catturare qualcuno di anziano, prova a vedere se sono abbastanza coraggiosi da essere usati come esempio. In ogni caso, pubblica alcuni risultati e ripeti alcuni mesi più tardi.

    
risposta data 13.09.2016 - 23:03
fonte

Leggi altre domande sui tag

Gli OTP basati su contatori possono essere riutilizzati immediatamente in più servizi? Hello Request TLS Handshake Message in Session ID basato su Resource Session