El usuario final compone el correo electrónico que enlaza con el dominio externo: ¿Mejores prácticas?

1

2 preguntas:

  • ¿Cuáles son los argumentos contra que advierten a los usuarios finales que redactan correos electrónicos vinculados a dominios externos que no figuran en la lista blanca?
  • ¿Hay herramientas disponibles, que incluyen el manejo de los diálogos necesarios con los usuarios, que intercepta correos electrónicos como se describe a continuación?

En la función de empleado corporativo, recientemente recibí un correo electrónico solicitándome que completara una encuesta en línea. Se utilizó una herramienta externa, de modo que tanto la dirección de correo electrónico del remitente como el enlace a la encuesta se encontraban en un dominio externo. No había un enlace a un sitio interno autorizado donde este sitio externo estaba en la lista blanca.

Supongo que acepta que esto no está bien (1) . Lógicamente, se seguiría que uno capacitaría a los usuarios para que no redactaran tales correos electrónicos, ya que eso disminuiría la vigilancia de los colegas. Pero cuando menciono este problema con mis gerentes, responden que "está bien hacer clic en este enlace", no se toman más medidas.

Una solución aquí sería introducir, a nivel corporativo, un filtro de tipos que:

  • Supervise el correo electrónico entrante que contiene enlaces externos que pertenecen a dominios que no figuran en la lista blanca.
  • Inferir (de nombre o de otra manera) si el remitente parece identificarse como interno.
  • Detenga o agregue el correo electrónico (elimine los enlaces, ofrezca una advertencia que incluya 1) las mejores prácticas y 2) haga una lista de los enlaces eliminados de una manera que requiera trabajo manual para ejecutarlos, por ejemplo. insertando corchetes alrededor del TLD o similar).
    • Considere también agregar correos electrónicos que incluyan enlaces a sitios incluidos en la lista blanca, brindando confianza y creando conciencia.
  • Avise al supuesto remitente sobre lo que ha ocurrido y nuevamente proporcione consejos sobre las mejores prácticas.

Supongo que esto aumentaría la vigilancia y dificultaría la realización de ataques reales, pero no he visto tal salvaguarda implementada para los clientes en los que he trabajado recientemente, todos los cuales tienen experiencia con ataques reales de phishing con lanza.

De nuevo, las preguntas son:

  • ¿Cuáles son los argumentos para no implementar dicho filtro?
  • ¿Algún proveedor (por ejemplo, Fireeye ) proporciona dicho filtrado (2 ) OOTB, preferiblemente compatible con un ADFS & ¿Infraestructura basada en el intercambio?

(1) Justificación: el correo electrónico no se puede distinguir del phishing de lanza; evidencia anecdótica sugiere que incluso los profesionales de TI sucumben fácilmente a esta forma de ataque; spear phishing "[cuentas] para el 91% de los ataques" [ W ]; las corporaciones maduras capacitan a sus usuarios para que no hagan clic en los enlaces a dominios externos que no estén autorizados de forma interna en la lista interna.

(2) La funcionalidad debe incluir 1) llegar a usuarios internos supuestos que, con buenas intenciones, han utilizado herramientas externas para crear correos electrónicos masivos, como en el caso de uso descrito anteriormente, y 2) administrar una lista blanca autoritativa que puede ser visible para los usuarios finales.

Nota: La pregunta se ha reformulado en "¿Por qué no avisamos a los usuarios finales que redactan correos electrónicos que enlazan a dominios externos?".

    
pregunta bjornte 13.03.2017 - 10:54
fuente

2 respuestas

1

Una razón es que este tipo de filtrado en algún momento molestará a alguien (posiblemente a alguien alto), y se empezarán a hacer excepciones. Si se considera que el filtro tiene un impacto negativo en el negocio, asumo que el filtro se irá (o se reducirá), y todavía tendrá su problema.

Tener algún tipo de advertencia podría funcionar mejor (es decir, causar menos fricción) que bloquear correos electrónicos (o cambiar los enlaces), pero me preocuparía cuán efectivo será eso, en comparación con cuánto trabajo es mantenerlo.

Una cosa que podría considerar es demostrar el problema e impulsar la educación del usuario. Un buen punto de partida para esto es enlace , que es básicamente un breve resumen de sptoolkit (el Enlace para el que ya no funciona). Una alternativa aparentemente viable (y aún disponible) es gophish ( enlace ).

En general, ejecutar 'entrenamientos' periódicos con tales herramientas y proporcionar a los usuarios retroalimentación acerca de sus acciones es algo efectivo para crear conciencia y alentar el pensamiento crítico (hasta cierto punto), así como alentar a los usuarios a reportar cualquier cosa sospechosa .

    
respondido por el iwaseatenbyagrue 13.03.2017 - 11:03
fuente
1

No hay respuesta al tipo de preguntas "por qué no lo hacemos" porque se basan en premisas falsas: supones que porque no lo haces, nadie lo hace. Específicamente, hay muchas herramientas de seguridad de correo que te permitirán hacer cosas tan simples como filtrar el correo según expresiones regulares (lo cual es suficiente para realizar el filtrado que estás solicitando).

Ahora, hay elementos adicionales que no estás teniendo en cuenta. Por ejemplo, una organización puede usar tecnologías como DKIM, SPF o incluso S / MIME para validar la autenticidad de los mensajes y ayudar al usuario final a evaluar la validez de los mensajes. Ya que simplemente no hay manera de evitar que el correo entrante sea una falsificación ("hola, soy Brenda de la contabilidad. Este es mi correo privado. Podría por favor ...") el paso más eficiente para proteger su organización es enseñar los usuarios deben buscar marcadores de identificación positivos (como el nombre del dominio de origen y, si es posible, la firma digital de los mensajes entrantes).

    
respondido por el Stephane 13.03.2017 - 11:01
fuente

Lea otras preguntas en las etiquetas