web-dev-qa-db-ja.com

従業員が標的にされないように雇用主を隠すことを強制するのは良いセキュリティ慣行ですか?

機密データを扱う新しいテクノロジー企業には、セキュリティフォブ、VPN、パスワードマネージャー、非SMS 2FA、制限付きの電子メールアクセスなどを浸透させるための最善の努力にもかかわらず、フィッシング/ポーティング詐欺の犠牲になる従業員がいます。

ハッキングの標的にされないように、従業員に雇用状況を一般に公開しないように強制することは良い習慣ですか(LinkedInから雇用主を削除するなど)?

phishingcorporate-policy
16
y3sh

の従業員を非表示にしても、従業員のの電子メールアドレスを一般公開しない場合はまったく役に立たないようです。雇用主情報を非表示にして連絡先の詳細を広く公開する場合、雇用主情報は面白くありません。

会社名と従業員名がわかれば、従業員に自由に電子メールを送信できると想定されています。会社名を隠そうとして、受信メールの脅威に対処しようとします。これにより、メールアドレスのドメインを推測できなくなり、メールを宛先指定できなくなりますレバーの間違った端を押し込もうとしています)コントロール。そして、あなたは施行するのが非常に難しいポリシーでそれを実行しようとしています。

ささいな効果的な制御は、会社名、従業員名、および電子メールアドレスの間の直接の結びつきを断つことです。

メールを送信するために別のドメインを立ち上げている会社を知っています。したがって、example.comexample-email.comに対応します。これにより、多くの自動メールがすぐに消去されます。他の会社は2〜4個の数字でメールアドレスをソルトするため、[email protected][email protected]になります。その他は、employeeID番号のみを使用します:[email protected]

これらはいずれも、会社から開示された他の電子メールアドレスを分析することで解決できますが、技術的な方法で制御および適用する方が、作業場所を開示しないよう強制するよりもはるかに効果的ではるかに簡単です。

会社名は、この脅威シナリオで管理する主要なデータではありません。 メールアドレスです。あなたはそれらを制御することができます。

デジタルフットプリントの管理は常に考慮事項ですが、このようなポリシーでは対応できない従業員に対する意識の問題と信頼の問題があります。

24
schroeder

セキュリティのベストプラクティスは、一般的にフィッシングや詐欺を回避するように従業員をトレーニングすることです。また、定期的にテストして、訓練された詐欺に実際に反応しているかどうかを確認する必要があります。オートコンプリート機能を備えたパスワードマネージャーも、インターネットに機密データを入力する前に間違ったURLを検出するために使用できるため、役立つ場合があります。私が上記のベストプラクティス(トレーニングとテスト)に比べてその有用性は無視できるため、雇用ステータスを非表示にしても役に立たないようです。

22
reed

シュローダーの答え は物事をよく説明していますが、別の見方をしたいと思います。

従業員はおそらくオンラインで行動します。 Stack Exchange、ベンダーのサポートフォーラムなどで質問します。

彼らが誰のために働いているかが明らかである場合(例:メールアドレスを使用する[email protected])その後、Awesome Corpに関する情報を入手しようとする攻撃者は、会社が使用しているシステムに関する情報を収集することができます。彼らが(知らず知らずのうちに)公開する情報の量に応じて、これには以下が含まれます。

  • 設定データ
  • 会社で使用されている製品とそのバージョン
  • 資格情報
  • 内部アドレス
  • 等。

これ自体は直接脆弱性を構成するわけではありませんが、攻撃者の潜在的なエントリポイントを示し、Awesome Corpのアーキテクチャをより効率的に理解することができます。

J. DoeがAwesome Corpで働いていることを隠すべきだという考えは必ずしも有用ではありません。問題は、J。Doeが内部情報を開示するときに発生します。

したがって、情報開示ポリシーを採用することは、会社にとって非常に有用です。ベンダーや公衆などと共有できる情報が含まれている必要があります。さらに、何かが内部情報と見なされているかどうか不明な場合は、従業員に誰かに相談してもらう必要があります。

11
MechMK1

私は法執行機関やセキュリティ分野の人々と協力してきましたが、時にはあなたの雇用を公衆から隠すことが不可欠です。北アイルランドの警察で使用されるソフトウェア製品を扱っていたとき、私は誰のために働いているのかは明記しないように特に言われました。標的型攻撃につながる場合、製品から会社のブランドと名前を削除する必要さえありました。

兵士と警察は、残念ながら明らかな理由により、仕事の途中でユニフォームを着用しないこと、民間人の服を着て職場で着替えることを指示されています。

だから、はい、なぜ私が与えることができるいくつかの例ほど深刻ではないにしても、なぜこれが他の機密企業に当てはまらないのかわかりません。あなたはまだ脅威を認識する必要があるでしょう、そして脅威は関係なくあなたの方法で来るかもしれませんが、それらを奨励する理由はありません。

YMMVは、それをどの程度効果的にしたいのか、または脅威をどの程度真剣に受け止めるのかについて、問題への取り組みにおいてほんの一部の対策に過ぎないことを思い出してください。

2
gbjbaanb