web-dev-qa-db-ja.com

ユーザーに「電子メールのパスワードリンクをクリックしない」ように指示し、「パスワードを忘れた」リンクのクリックを要求することに一貫性はありませんか?

一方では、ITセキュリティショップは、ユーザーがコンピューターに損害を与えたり、個人情報をフィッシングしたりする可能性があるため、メールのリンクをクリックしないようユーザーに指示しています。これらの問題の多くは、以下のリンクで概説されています。

次に、同じショップのほとんどが独自のアドバイスと競合し、次のような特定の状況での使用を必要とします。

一貫性のないガイダンスはセキュリティにとって良い兆候とはならないので、セキュリティの向上と 一貫性のあるメッセージ を可能にするパターン、実践、または テクノロジー があるはずだと思います。

質問:

  • 電子メールのリンクに関するこの矛盾するアドバイスを取り除くためのオプションは何ですか?

  • プラクティス または テクノロジー のどのパターンを採用する必要がありますか?

passwordsauthenticationweb-browseremailpassword-policy
12
goodguys_activate

偽のパスワードリセットメールに関連するフィッシング攻撃の場合、非常に具体的なサブセットについて言及します。

前提条件1:ホワイトリスト、SPFなどに基づいて、これらの受信メールを削減するための制御がすでに整っている。

前提条件2:ユーザーが悪意のあるサイトに発信するWebサイトへのアクセスを制限するためのコントロールが整っている。

前提条件3:ユーザーが電子メールのパスワードリセットリンクをクリックする必要があるかどうかを判断するためにユーザーに与えるパターン(ルール)を疑うだけでなく、クリックしないでください...ユーザーのパターンでない場合は、より技術的/自動化されたもの。

ユーザーにとっての簡単な経験則:このようなメールを受信することを期待しているのでない限り、メールのパスワードリセットリンクをクリックしないでください。

迷惑なパスワード再設定メールを受け取った場合は、無視するかITに報告してください。 SaaSアプリケーションXYZからパスワードのリセットをリクエストし、その後数分でアプリケーションXYZからメールを受信した場合、それはおそらく合法です。

4
Brian Adkins

この問題の根本的な問題は、正当な電子メールと非合法の電子メールをユーザーが区別しやすくする方法です。電子メールのリンクを信頼しないようにユーザーに指示されたときに、ユーザーに安全にアクションを実行させる方法の2番目の問題もあります。

最初の問題について、実装できるいくつかの技術的制御を次に示します。

  1. 暗号化/署名されたメールを使用します。将来、ユーザーが秘密鍵/公開鍵を取得して使用するように簡単に設定できるとしましょう。次に、メールが署名されていて、信頼できる公開鍵と秘密鍵のペアを使用してメッセージを検証した場合にのみ、アクションを信頼するようにユーザーに指示できます。もちろん、秘密鍵が盗まれる恐れがあります。そのため、公開企業の場合、そのような鍵は有効期限が比較的短く、失効のための適切なメカニズムが必要になる場合があります。
  2. フィッシングが困難なコードをメールに入れます。多くの銀行のWebサイトがセキュリティ画像/セキュリティキーを実装しています。これらの方法の既知の欠陥は、十分な時間をかけてそれらのセキュリティキーを取得してもユーザーを偽ることができるということです。これらの画像は電子メールでパスワードが提供される前に表示されるためです。そのため、コンセプトを少し変更し、ユーザーがすべての電子メールに含まれるフレーズと画像の組み合わせを指定できるようにします。これは、ログオンするまで表示されません。このようにして、メールが意図したソースから送信されたものであることが比較的合理的に保証されます。その画像を入手できた場合、サーバーをすでにハッキングしている、またはハッキングされている可能性が高いため、メールでパスワードをリセットできるためです。キミは寝ている。
  3. 上記より少し複雑ですが、口座番号の一部が切り捨てられた銀行/クレジットカードのメールが届きます。これは、ユーザーまたはコンピュータを危険にさらすことなく偽造することは困難ですが、ほとんどの人はおそらく自分のアカウント番号を思い出しません。クレジットカードのPANの一部である場合、攻撃者が他のWebサイトをハッキングして見つける可能性ははるかに高くなります。
  4. メールプロバイダー、法執行機関、エンドユーザーと協力してフィッシング詐欺を特定するアクティブなプログラムを用意します。フィッシング攻撃の報告が多ければ多いほど、少なくともサーバー、電子メールアドレス、スペルミス、パターンなどを特定することができます。
  5. お客様側またはメールプロバイダー側​​では、スパムフィルター、ヒューリスティックフィッシング警告、リセットリンクやその他の重要な情報を送信できる既知のメールアカウント用のホワイトリストのようなコントロールを実装する必要があります。

非技術面では、ほとんどすべてがトレーニングと認識に関するものですが、エンドユーザーが疑いを確認しやすくすることも重要です。これを行うには、フィッシングをスパムする方法と信頼性を確認する方法を示すリンクをWebページに提供できます。ニュースレター、その他の情報をメールやメーリングで送信します。内部にヘルプデスクまたはカスタマーサポートセンターがある場合、ユーザーがヘルプデスクに連絡してこれらの問題について質問することを簡単かつ便利にします。彼らには、そのような郵送の正当性について尋ねることができる誰かがいるはずです。

具体的には、メールのリセットについてです。リンクを提供しないでください。 site.tldを運営している場合は、site.tld/resetでフォームに入力してもらうことができます。ウェブページでメールとワンタイムトークンを要求し、手動でアクセスしてコードを手動で入力してもらいます。

ユーザーのテストまたは知識が、カットアンドペーストができないことを示している場合は、リスク評価を行って、セキュリティ保護のコストとセキュリティ保護しないことの容易さ/利益を決定する必要があります。プロセスをポイントアンドクリックでなく、より安全にすることで失う顧客の数。アカウントが引き継がれた場合、会社と顧客の両方にかかるコストと損害はどのくらいですか?悪意のあるアクション、転送、削除、投稿などを検出して取り消すことができますか?

純粋な内部環境について話している場合は、リセットメールを完全にスキップしてください。ユーザーがセルフサービスポータルを使用する必要があるか、それよりも面倒または電話でのリセットが必要です。電話の場合は、IDを検証するためにいくつかの情報が必要です。企業環境では、従業員番号と開始月/日、またはその他の情報の組み合わせを尋ねることでこれを行うことができます。

メールリセットリンクは、優先度が低くリスクが低い場合にのみ使用してください。個人の詳細、財務、健康情報などで何かをしている場合は、価格モデルを検討し、電子メールを使用しない場合のコストを確認してください。悪質なリンクの脅威を排除し、ユーザーに知らせてください。「パスワードリセットリンクをメールで送信することはありません。電話またはSMS次のリンクに手動でアクセスしてリンクをリセットするために使用できる10分間有効です。パスワードのリセットについて何らかのタイプの電子メールを受け取った場合は、security @ site.tldに転送してください。」

最後に、ここでは適切な予防的制御に重点を置いていますが、セキュリティを補完し強化するために検出的制御を実装することもできます。たとえば、パスワードが変更されたときにユーザーにメールを送信したり、SMSを送信したりします。パスワードの変更のために、パターン、ソース、新しいパスワードハッシュを発見する方法が考えられるでしょう。同じIPから5分以内に10の異なるユーザーのパスワードが変更され、パスワードハッシュが同じになる場合(ソルトなしでハッシュを一時的に安全に保存する方法を考える必要があります)、調査を停止してフリーズできます。影響を受けるユーザーのアカウント。

2
Eric G

私は25,000以上の強力な組織で働いており、常に適切なセキュリティ意識を従業員に提供することが常に求められています。そのようなプログラムの展開を戦略化する際に、私は常に管理職と議論します。

調査するデータとは何ですか?そのような偽造された電子メールリンクの使用と、感染/詐欺されている従業員をリンクする対応するデータ。現在の制御(メールゲートウェイデバイスなど)がこれらの攻撃を阻止するために行っていること。何パーセントが検出され、何パーセントがリークされますか?

実用的

私はガイド、プレゼンテーションを準備し、黒のスーツを着た男たちが提供したプレゼンテーションを見てきました。しかし、最後の理論と、実際に欠けているいくつかのクールなスナップショットは、実践的なトレーニング、モックアップ運動です。 owasp webgoatなどのツールの使用がセキュリティ担当者に制限されるのはなぜですか?それはいけません。セミナーに参加している多くの人々は、クリックするリンクとクリックしないリンクの選択で、カラフルなスライドを見て本当に頭がおかしくなったり、頭を掻き回したりすることがあります。 MCQテストに基づいて従業員の意識をスコアリングする方法全体は、魚を後ろ向きに泳げるように教えるというタスクを課されている場合、スライドを見せたり水中に投げたりして、彼らがどれだけよく訓練されているかを確認するのは非現実的です。セキュリティを教える(人事担当者)この類推と同じように韻を踏む

プロセスとしてのベストプラクティスアプローチに従います

SANSのトレーニング方法に慣れていない人は多くありません。組織でのそのようなプログラムの効果的なロールアウトに関して、SANSによって記述された絶対的に効果的で非常に信頼できるアプローチがあります。彼らのアプローチは、CMMI(段階的)が組織を成熟させ、プロセスの各段階でプロセスを改善する準備をするように破られます。このグラフィックのクールな点は、Word _changeの管理が時々非常に飢えていることです。彼らは、すべての従業員がセキュリティに気を配っているだけでなく、インシデントに対応するために警戒している完璧な理想的な変更を実装するために必要な要件ごとを完全に忘れています。効果的かつタイムリーな方法。この夢に近づくには、組織固有の優れた調査が必要で(直面する脅威のベクトルを参照)、効果的なポリシー作成が必要です。ポリシー作成者がセキュリティチームと慎重に検討して、実際にフィッシングが組織が直面している攻撃(オンライン商人など)のトップリストにあることを確認したとき。そして彼らはその懸念に対処するために問題特定の方針を書くことをいとわない。リスクが適切に特定され、ポリシーに記載されている場合。人事チームが従業員を定期的にトレーニングし、最新の攻撃方法について更新することを保証することに関与できるコンプライアンスに到達します。

enter image description here

0
Saladin