告诉用户“不要点击电子邮件中的密码链接”和要求点击“忘记密码”链接是否不一致?
如果网络钓鱼攻击与假密码重置电子邮件相关,您提到了一个非常具体的子集。
假设 1:您已经有了控制措施来减少这些基于白名单、SPF 等的入站电子邮件。
假设 2:您有适当的控制措施来限制用户对恶意网站的出站网站访问。
假设 3:您只是要求为您的用户提供一种模式(规则),以帮助他们决定何时应该单击电子邮件中的密码重置链接,而不是怀疑而不单击......如果不是用户的模式,那么更具技术性/自动化的东西。
用户的简单经验法则:除非您希望收到此类电子邮件,否则不要单击电子邮件中的密码重置链接。
如果您收到未经请求的密码重置电子邮件,请忽略/报告给 IT。如果您从 SaaS 应用程序 XYZ 请求重置密码,并且在接下来的几分钟内收到来自应用程序 XYZ 的电子邮件,那么这可能是合法的。
这个问题的根本问题是如何帮助用户更好地区分合法电子邮件和非法电子邮件。还有一个次要问题是如何让用户在被告知不要信任电子邮件中的链接时安全地执行操作。
对于第一个问题,这里有一些可以实施的技术控制:
- 使用加密/签名的电子邮件。假设将来我们可以轻松地设置用户获取和使用私钥/公钥。然后,您可以告诉用户仅在电子邮件已签名并且他们已使用受信任的公钥/私钥对验证消息时才信任操作。当然,存在私钥被盗的威胁,因此对于面向公众的公司而言,此类密钥可能需要具有相对较短的有效期和良好的撤销机制。
- 在电子邮件中放入难以钓鱼的代码。许多银行网站都实施了安全图片/安全密钥。这些方法的已知缺陷是,如果您花足够的时间获得这些安全密钥,仍然可以伪造我们的用户,因为这些图像是在电子邮件中提供密码之前显示的。因此,我们稍微修改了这个概念,我们允许用户指定一个短语和图像组合,这些组合将包含在他们的所有电子邮件中,并且在登录之前永远不会显示。通过这种方式,您可以相对合理地保证电子邮件来自预期的来源,因为如果他们可以获得该图像,则意味着他们可能已经入侵了服务器或入侵了您的电子邮件,他们可以通过电子邮件重置您的密码,同时你在睡觉。
- 比上述内容少一点,我收到了一些银行/信用卡电子邮件,其中包括帐号的截断部分。如果不损害用户或计算机,这将很难伪造,但大多数人可能不记得他们的帐号。如果它是信用卡 PAN 的一部分,那么攻击者可能更有可能通过入侵其他网站来找到它。
- 通过与电子邮件提供商、执法部门和最终用户合作,制定一个积极的计划来识别网络钓鱼者。他们向您报告的网络钓鱼尝试越多,您至少可以尝试识别服务器、电子邮件地址、拼写错误、模式等。很难领先,但要赶上。
- 在客户端或电子邮件提供商方面,他们应该实施诸如垃圾邮件过滤器、启发式网络钓鱼警告、某种类型的已知电子邮件帐户白名单等控制措施,这些帐户能够发送重置链接或其他重要信息。
在非技术方面,主要是关于培训和意识,但也是为了让最终用户更容易验证怀疑。为此,您可以在网页上提供链接,展示如何进行垃圾网络钓鱼以及如何检查真实性,希望少数用户能够学习。通过时事通讯、电子邮件和邮件中的其他信息发送意识。如果您有内部帮助台或客户支持中心,请让用户轻松方便地联系帮助台询问这些问题。他们应该有人可以询问任何此类邮件的合法性。
更具体地说,关于电子邮件重置。我们不要向他们提供链接。如果您进行操作site.tld
,那么您可以让他们输入一个表格site.tld/reset
。在网页上询问电子邮件和一次性令牌,并让他们手动访问并手动输入代码。
如果您的测试或对用户的了解表明他们无法进行剪切和粘贴,那么您需要进行风险评估以确定保护成本与不保护的难易度/利润。减少流程的点击,但更安全,您将失去多少客户。如果帐户被接管,对您、公司和客户的成本和损失是多少?你能检测和逆转任何恶意行为、转移、删除、帖子等吗?
如果我们谈论的是纯内部环境,请完全跳过重置电子邮件。拥有用户必须使用的自助服务门户,或者更好的是需要通过面部或电话进行重置,如果通过电话,则需要一些信息来验证身份。在公司环境中,您可以通过询问他们的员工编号和他们的开始月份/日期或其他一些信息组合来做到这一点。
电子邮件重置链接只能用于低优先级和低风险。如果您正在处理个人详细信息、财务、健康信息等,请考虑您的定价模型并查看不使用电子邮件的成本。消除恶意链接的威胁,并让您的用户知道:“我们绝不会通过邮件向您发送密码重置链接,我们将通过电话或短信为您提供一个有效期为 10 分钟的临时代码,您可以使用通过手动访问以下链接重置链接...如果您收到任何类型的有关密码重置的电子邮件,请将其转发到 security@site.tld"
最后,这里的重点是适当的预防性控制,但您也可以实施检测性控制来补充和提高安全性。例如,在用户更改密码时向用户发送电子邮件或向他们发送 SMS 等。也许您可以通过启发式方法查看密码更改的模式、来源和新密码哈希。如果您看到 10 个不同用户的密码在 5 分钟内从同一个 ip 更改,并且密码哈希值相同(需要考虑如何在没有盐的情况下暂时安全地存储哈希值),那么您可以停止调查并冻结受影响用户的帐户。
我在一个拥有 25,000 多人的组织中工作,并且始终需要为员工提供足够的安全意识。在制定推出此类计划的战略时,我总是与管理层争论两件事。
做研究 数据是什么?使用此类伪造的电子邮件链接链接员工感染/欺诈的相应数据。当前控制(例如邮件网关设备)正在做什么来阻止这些攻击。检测到的百分比是多少,泄漏的百分比是多少?
务实
我看到过由穿着黑色西装的人准备和提供的指南、演示文稿,这些人看起来很花哨,对于 c 级管理人员来说只是“性感”。但是,它只是最后的理论和一些很酷的快照,实际上缺少的是动手训练,模拟练习。为什么 owasp webgoat 等工具的使用仅限于安全人员?不应该。一群人在研讨会上看着彩色幻灯片看起来真的很无聊,或者在选择点击或不点击哪个链接时摸不着头脑。如果您的任务是教一条鱼向后游泳,那么基于 MCQ 测试对员工意识进行评分的整个方法是不切实际的,您宁愿展示幻灯片还是将其扔到水中,看看他们训练得如何。有时教安全(人力资源人员)就像这个比喻一样押韵
遵循最佳实践方法作为一个过程
我没有多少人不熟悉 SANS 训练方法。SANS 描述了一种绝对有效且非常可靠的方法,用于在组织中有效推出此类计划。他们的方法被打破,就像 CMMI(分阶段)准备组织成熟并在每个步骤中改进流程一样。这张图最酷的地方在于管理层有时非常渴望文字change
他们完全忘记了实施完美理想变革所需的每一个要求,在这种变革中,每个员工不仅具有安全意识,而且要保持警惕,以有效和及时的方式响应事件。为了让自己接近这个梦想,您需要进行针对特定组织的良好研究(查看面临的威胁向量)并制定有效的政策;当政策制定者通过与安全团队的仔细思考确定网络钓鱼确实是组织面临的攻击的首要列表(例如在线商家)时;他们愿意编写特定问题的政策来解决其担忧。当风险被正确识别并在政策中说明时;它只是达到合规性,人力资源团队可以参与确保他们的员工定期接受培训和更新关于最近的攻击方法。