Spørgsmål:
Er det en god sikkerhedspraksis at tvinge medarbejdere til at skjule deres arbejdsgiver for at undgå at blive målrettet?
y3sh
2019-06-11 17:00:35 UTC
view on stackexchange narkive permalink

Et ungt teknologivirksomhed, der opererer på følsomme data, har medarbejdere, der bliver offer for phishing / porting-svindel på trods af sin bedste indsats for at indgyde sikkerhedsfobs, vpn, adgangskodeadministratorer, ikke-sms 2FA, begrænset e-mail-adgang og så videre.

Er det en god praksis at tvinge medarbejdere til at skjule deres ansættelsesstatus for offentligheden for at undgå at blive målrettet mod hacking (f.eks. fjerne arbejdsgiveren fra LinkedIn)?

"Er det god praksis?"eller "Er det effektivt?"Hvem er trusselsaktørerne?
Er det effektivt er sandsynligvis det bedre spørgsmål.Usikker på, hvem trusselsaktørerne er andre end dem, der ønsker at få adgang til følsomme data gennem medarbejdernes sårbarheder.
Du vil måske først undersøge lokale love.At tvinge medarbejdere til ikke at afsløre, hvem de arbejder for med tilknytning, kan ses som en konkurrencebegrænsende og anti-arbejdskraft og er måske ikke engang lovlig.Jeg vil bede virksomheden om at stoppe det, hvis de sagde, at jeg ikke kan sende hvem jeg arbejder for på et websted.
* "sikkerhedsfobs, vpn, adgangskodeadministratorer, ikke-sms 2FA, begrænset e-mail-adgang og så videre." * Problemet forekommer mig indlysende: Du beskriver tekniske løsninger, men du er bekymret for en * menneskelig * sårbarhed.Gør du noget for at træne personalet i, hvordan de skal reagere på social engineering eller phishing?Alle adgangskodeadministratorer og -politikker i verden hjælper ikke, hvis du ikke også lægger vægt på det adfærdsmæssige element.Den teknologiske og politiske tunge tilgang kan lukke folk i en falsk følelse af sikkerhed, hvis noget.
Det afhænger virkelig af virksomhedens trusselmodel, hvor sagde du, at du arbejdede igen?
https://en.wikipedia.org/wiki/Office_of_Personnel_Management_data_breach selv den amerikanske regering kan ikke klare at holde hemmeligheden for de mennesker, der har tophemmelig godkendelse, og holde det hemmeligt, der arbejder for dig, er muligvis ikke en særlig stærk afbødning.Kommer e-mail-adresserne ikke til gradvis at blive vist i minedata alligevel?
Hvad er * "porting-svindel" *?Taler du om SIM-telefonbytte og svig?
Hvad får dig til at tro, at du alligevel har den magt?
@SteveSether Jeg synes, det sandsynligvis er lovligt i USA. Jeg ved, at jeg har fået at vide, at jeg ikke skal sætte min arbejdsgiver på sociale medier og ikke bære mit sikkerhedsmærke, når jeg ikke var på stedet, da jeg tidligere arbejdede på en DoD-base.Denne instruktion blev givet ved basesikkerhed.Jeg kan forestille mig, at DoD's horde advokater, inklusive JAG-kontoret på stedet, var godt klar over fremgangsmåden.
@reirab Jeg har ikke noget problem med, at DoD eller CIA, NSA osv. Har ret til at fortælle dig, at du ikke kan sige, hvem du arbejder for.Ord som "National Security" har en tendens til, at domstole tillader næsten alt, og mange love, der er designet til at beskytte medarbejdere, gælder ofte ikke for regeringen (f.eks. Polygraf).Private virksomheder er dog en helt anden sag.For ikke længe siden blev store teknologivirksomheder fanget i at være enige om en "no poaching" -aftale, hvor de ikke ville forsøge at rekruttere hinandens ansatte.IIRC fik de bøder for denne praksis.
@SteveSether Du har ret, men der er også mange private virksomheder, der udfører nationalt sikkerhedsarbejde for regeringen.Jeg arbejdede for en privat entreprenør, da jeg også arbejdede der.Jeg var ikke helt sikker på, hvor 'følsom' OP's virksomhedsdata var.Jeg formoder, at det nøjagtige niveau af følsomhed ville påvirke lovligheden af OP's forslag, og det ville bestemt påvirke, om det var en rimelig forsigtighed eller ej.Som med ethvert sikkerhedsanliggende er det vigtigt at forstå trusselmodellen, når man beslutter, hvilke sikkerhedsforanstaltninger der er rimelige svar på denne trussel.
@dwizum Obligatorisk XKCD-reference https://xkcd.com/538/, grunden til, at phishing er færdig, er fordi den fungerer.
@reirab er ikke den vejledning for det meste for at forhindre, at medarbejdere bliver plaget af nogen fremmed, der ser passet og reagerer i modsætning til at være en egentlig sikkerheds ting?
@Aron ja, det var lidt af min pointe.Og phishing er et socialt fænomen, du kan ikke løse det med rent tekniske løsninger.Du er nødt til at adressere det menneskelige med træning og kulturel / adfærdsmæssig forandring.
@Baldrickk I det mindste ved basen, hvor jeg arbejdede, blev det præsenteret som et mere sikkerhedsproblem.Chikane af lokalbefolkningen var ikke for meget bekymrende, men vores base havde en masse hemmelig og tophemmelig F&U, så medarbejdere, der blev tvunget til at handle under tvang, var en ret betydelig bekymring (dog måske ikke så meget nu som tilbage i kuldenKrigstid.)
Fire svar:
schroeder
2019-06-11 17:23:04 UTC
view on stackexchange narkive permalink

At skjule din arbejdsgiver ser ikke ud til at være til nogen nytte, når du vil skjule medarbejderens e-mail-adresse for offentligheden. Hvis du skjuler dine arbejdsgiveroplysninger, men spreder dine kontaktoplysninger vidt og bredt, er arbejdsgiveroplysningerne ikke interessante.

Antagelsen er, at når du først kender virksomhedsnavnet og medarbejdernavnet, kan man frit e-mail medarbejderen. Forsøger at løse truslen om indgående e-mails ved at forsøge at skjule virksomhedsnavnet, så e-mail-adressedomænet ikke kan gættes, så e-mails ikke kan adresseres forsøger at skubbe den forkerte ende af kontrolgrebet . Og du forsøger at gøre det med en vildt vanskelig politik at håndhæve.

Den trivielt effektive kontrol er at bryde det direkte bånd mellem firmanavn, medarbejdernavn og e-mail-adresse.

Jeg kender virksomheder, der står op for et separat domæne til at sende e-mails fra. Så eksempel.com står op eksempel-email.com . Dette udsletter straks en masse automatiserede e-mails. Andre virksomheder salt e-mail-adressen med 2-4 tal, så kelly.smith@example.com bliver kelly.smith.1234@example.com . Andre bruger kun medarbejder-ID-nummeret: 12345678@example.com .

Selvom hver enkelt af disse kan overvindes ved analyse af andre afslørede e-mail-adresser fra virksomheden, er det mere effektivt og meget, meget lettere at kontrollere og håndhæve på tekniske måder end at tvinge folk til ikke at oplyse, hvor de arbejde.

Virksomhedsnavnet er simpelthen ikke de primære data, der skal kontrolleres i dette trusselsscenarie. Det er e-mail-adresserne . Du kan kontrollere dem.

At administrere digitalt fodaftryk er altid en god overvejelse men du har et bevidsthedsproblem og et tillidsproblem hos dine medarbejdere, som en sådan politik ikke vil tage fat på.

Har ikke fuld mening for mig.Hvis man ved fra Linkedin, at Mr. John Doe arbejder for acme (acme.com), ville de da prøve at kontakte / phish `john.doe@acme.com` * først *?
Måske, men så skulle de finde ud af navngivningskonventionen osv. Den primære ting at beskytte i det foreslåede trusselsscenarie er kontaktoplysningerne.Hvis det er bekymringen, kan du gøre ting som ikke at bruge personens navn i e-mailen osv.
Det er ikke kun et spørgsmål om at skjule medarbejderens e-mail-adresse.Det drejer sig om ikke at ønske at annoncere, hvem der arbejder der, så de er mindre tilbøjelige til at blive målrettet mod spydfishing (eller afhængigt af angriberen og deres mål, endda gideltagning) i første omgang.Hvis en hacker i første omgang ikke ved, at medarbejderen er en medarbejder, er de ligeglade med, hvad deres e-mail-adresse er eller leder efter den.Selvfølgelig forudsætter dette, at de ikke reklamerer for deres arbejdsgiver ved hjælp af en arbejdsgiver-tilvejebragt e-mail-konto af personlige årsager.
@schroeder der er mindre end et dusin fælles navngivningskonvention.Det er ikke en frygtelig vanskelig ting at ophæve og let automatisere.
@reirab men det er utroligt svært at kontrollere eller forhindre.Beskyttelse af e-mail-adressen er den trivielle kontrol.
@tom lav derefter ikke adresser sådan.Jeg er virkelig forvirret over debatten omkring dette.
@schroeder - næsten alle bruger e-mail-adresser som denne.Det vil ikke ændre sig.Virksomheder har brug for det for at være sådan.Så debatten er ikke "skift e-mail-adresser", men hvordan hjælper vi med at sikre e-mail, når det er det, vi har.
@schroeder det er sindssyge.Der er en grund til, at der laves e-mails som denne, der trumfer lidt spam og phishing: Hvis en potentiel klient eller partner mødte John Doe et eller andet sted, men glemte at tage sit visitkort, skulle han være i stand til at nå ham på en let forudsigelig adresse.
reed
2019-06-11 17:37:01 UTC
view on stackexchange narkive permalink

Den bedste sikkerhedspraksis er at træne medarbejderne specifikt for at undgå phishing og svindel generelt. Du skal også teste dem med jævne mellemrum for at kontrollere, om de faktisk reagerer på svindel, som de blev uddannet til at gøre. Adgangskodeadministratorer med automatisk komplet funktionalitet kan også hjælpe, fordi de kan bruges til at opdage forkerte URL'er, inden de indtaster følsomme data på internettet. At skjule beskæftigelsesstatus forekommer mig ubrugeligt, fordi dets anvendelighed vil være ubetydelig sammenlignet med den bedste praksis, jeg nævnte ovenfor (uddannelse og test).

Kommentarer er ikke til udvidet diskussion;denne samtale er blevet [flyttet til chat] (https://chat.stackexchange.com/rooms/94897/discussion-on-answer-by-reed-is-it-a-good-security-practice-to-force-medarbejdere-h).
MechMK1
2019-06-11 17:39:47 UTC
view on stackexchange narkive permalink

Schroeders svar forklarer tingene meget godt, men jeg vil gerne tilbyde en anden opfattelse.

Medarbejdere vil sandsynligvis handle online. De vil stille spørgsmål om Stack Exchange, i supportfora for leverandører osv.

Hvis det er tydeligt for hvem de arbejder for (f.eks. Ved hjælp af e-mail-adressen j.doe@awesomecorp.com ), så vil en angriber, der ønsker at få information om Awesome Corp, være i stand til at indsamle oplysninger om systemer, der bruges af virksomheden. Afhængigt af hvor meget information de (bevidst eller ubevidst) udsætter, kan dette omfatte:

  • Konfigurationsdata
  • Produkter og versioner deraf brugt af virksomheden
  • Legitimationsoplysninger
  • Interne adresser
  • Etc.

Selv om dette i sig selv muligvis ikke direkte udgør en sårbarhed, kan det vise en angriber potentielle indgangspunkter og giver dem mulighed for mere effektivt at forstå arkitekturen i Awesome Corp.

Ideen om, at J. Doe skal skjule, at han arbejder for Awesome Corp, er ikke nødvendigvis nyttig. Problemet opstår, når J. Doe afslører intern information.

Som sådan er det meget nyttigt at anvende en politik til offentliggørelse af information for virksomheden. Den skal indeholde, hvilke oplysninger der kan deles med leverandører, offentligheden osv. Derudover skal medarbejderne have nogen at tale med, hvis de er i tvivl om, hvorvidt noget betragtes som intern information.

Det er alt sammen godt, men ikke om phishing eller social engineering, da OP er fokuseret.
@schroeder Og det nævnes, at det generelt ikke burde være et problem.Du kan observere dette på hver konference, når folk starter med "Hej, mit navn er ... og jeg arbejder for ...".
Så det ser ud til, at du ikke har besvaret spørgsmålet, men rejst et sekundært emne.
Jeg er uenig i den forstand, at disse to er nært beslægtede."At skjule din arbejdsgiver for ikke at blive målrettet mod phishing" og "Skjule din arbejdsgiver for at forhindre informationsindsamling" er efter min mening relateret nok og giver værdi til spørgsmålet.Du er dog uenig.
Men så går du næsten ikke langt nok.Der er så mange andre måder, hvorpå de oplysninger, du foreslår at komme ud (leverandører, jobannoncer osv.).Det gør din tilgang mere om tæt kontrol af * alle * data, der offentliggøres end utilsigtet afsløring, og du glider derefter væk fra medarbejdere, der handler online, hvilket tager dig længere væk fra spørgsmålet.
Jeg forstår ikke det punkt, du kommer med.Jeg påpegede relaterede ting, man skal være opmærksom på.Jeg hævdede aldrig, at mit svar var "komplet" (hvad det end måtte betyde i denne sammenhæng), kun at det var en anden ting at være opmærksom på.Hvad har du lige ved det?At svaret er "ikke et svar" (og derfor bør slettes) eller at svaret er ufuldstændigt?
At du er på en ikke-relateret tangent.
Og jeg fortalte dig i min tidligere kommentar, at jeg ikke tror, det er uafhængigt, hvilket giver dig en grund til, at jeg har det sådan.
gbjbaanb
2019-06-14 01:57:10 UTC
view on stackexchange narkive permalink

Jeg har arbejdet med mennesker på retshåndhævelses- og sikkerhedsarenaer, og nogle gange er det vigtigt, at du skjuler din ansættelse for offentligheden. Da jeg arbejdede på softwareprodukter, der ville blive brugt af det nordirske politi, blev jeg specifikt bedt om ikke at nævne, hvem jeg arbejdede for, vi måtte endda fjerne firmaets mærker og navn fra produkterne, hvis det førte til målrettede angreb .

Soldater og politi bliver bedt om ikke at bære deres uniformer på vej til arbejde, at bære civile kjoler og skifte på arbejdspladsen af ​​desværre åbenlyse grunde.

Så ja, det gør jeg ikke Kan du ikke se, hvorfor dette ikke gælder for andre følsomme virksomheder, selvom det ikke er så alvorligt som nogle af de eksempler, jeg kunne give. Du skal stadig være opmærksom på truslerne, og truslerne kan komme din vej uanset, men der er ingen grund til at opmuntre dem.

YMMV om, hvor effektiv du vil gøre det, eller hvor seriøst du tager truslerne for at være, idet du husker, at det kun en lille del vil måle med at løse problemet.

Jeg undrer mig over, hvor langt dette strækker sig ind i privatlivet.Opfordres politibetjente til ikke at oplyse * nogen * om, at de er politibetjente?


Denne spørgsmål og svar blev automatisk oversat fra det engelske sprog.Det originale indhold er tilgængeligt på stackexchange, som vi takker for den cc by-sa 4.0-licens, den distribueres under.
Loading...