従業員のフィッシング/スピアフィッシングの防止
従業員やプロジェクトについて話したり、概要を説明したりする高度なフィッシングメールを、標的型フィッシングメールで受け取ります。その後、私たちはそれらに戻り、「添付PDF」を送信します。これは常に、GoogleまたはDropboxのパスワードを必要とするフィッシングサイトへのリンクです。
主に偽のGoogleまたはDropboxサイトがピクセル化された画像/グラフィックス、奇妙なスペルなどを使用しているため、私たちはこれらを1マイル離れた場所で見つけるのが得意です(Dropbox.comにアクセスしてHTMLソースをコピーしないのはなぜですか?私を超えて、しかしそれは彼らの損失です。)私の恐怖は、私たちがこれらの電子メールをますます受け取るようになり、最終的にはそのうちの1つがおそらく私たちを通り越してしまうことです。多くのスピアフィッシングメールも受信しています(スパマーが送信済みフィールドでドメインを偽装している場合)。ただし、幸運なことに、Google Apps for businessメールを使用しています。これは、これらを直接スパムにフィルタリングした100%の実績があるようです。
それと戦うために、私は次のものを用意しました:
- 1passwordを使用した、すべてのサイトの一意のパスワード
- 許可するサイトの2要素認証
- 一部のフィッシング/マルウェアサイトをブロックするアバストアンチウイルスWeb拡張機能(ただし、必ずしもすべてのサイトがリストされているわけではありません。おそらく、私が遭遇したサイトの約25%しか拾いません)
私が実装しようと考えていること:
- オフィスルーター上のOpenDNS(OpenDNSには自動フィッシング/マルウェアブラックリストがあると思うので、上記のアバストと同様の別のフィルター層を作成します。OpenDNSの欠点は、それぞれにプライマリDNSとして手動でインストールされていない限り、オンサイトの従業員のみを対象とすることです。端末。)
これらの攻撃を防ぐために実装する必要があるものは他にありますか?
大企業自身が半自動で定期的にフィッシングメールを従業員に送信しています。従業員が閉じ込められた場合、その従業員は「あなたは何をしましたか?何をしなければならなかったか」のように通知されます。
問題は、弱点フィッシングの標的が技術的な弱点ではなく、人間の非技術的な弱点であることです。したがって、私の意見では、純粋に技術的なソリューションでこれに対処しようとすると、限られた成功しか得られません。意識向上トレーニングにできる限り投資し、トレーニング、トレーニング、トレーニングを通じて従業員が意識を維持できるようにします。
トレーニングは、次のようないくつかの非常に具体的なルールによってバックアップできます。
- 誰かがあなたに電話して、怪しげに見える何かを要求した場合、企業の電話帳を介して発信者を特定し、彼/彼女にかけ直してみてください
- 電話やメールで機密情報(パスワードなど)を絶対に渡さない
- ネットワーク/電話サポートが意外にもあなたのサポートが電話番号XYZに連絡してこれが本当にネットワーク/電話サポートであることを確認する必要があると言った場合(この場合、すべてのメンテナンス活動を認識している番号XYZにサービスをセットアップする必要があります)あなたの会社で)
- TBC
すべての従業員がこれを読んで理解し、署名したことを確認してください。
私の要点:これを防ぐための組織設定への投資は、おそらく技術的な対策と同じくらい重要です。
セキュリティミドルウェアは、予算があれば、本当に役に立ちます。
ソフォスの統合脅威管理システムやMicrosoftの脅威管理ゲートウェイなどのツール(今はかなり死んでいると思います)は、既知の脅威と新たな脅威の両方に対して継続的に監視される保護を提供し、ユーザーが脳障害を起こしたときに本当に役立ちます(私たち全員が時々行う)。
サードパーティのメールフィルタリングサービスも役立ちます。私は数年前にかなりの取引を得たので、個人/家族のメールにMailrouteを使用しています。
多くのことは、実際には組織へのリスクに依存しています。リスクとそれに対応する影響(リスクが実現した場合)の両方を、評判の低下と直接コストの両方で文書化する価値があります。そうすれば、適切な金額を使うビジネスケースを作成できます。
MTAレベルで、SPF、DKIM署名、DMARCを実装します。ユーザーを教育するフィッシングキャンペーンは、phishme.com(商用)やTrustedSecのSET(オープンソース)などのツールを使用して実装できます。