防止员工的钓鱼/鱼叉钓鱼

Question

我们收到了很多有针对性的钓鱼邮件给我们的员工，半复杂的电子邮件，他们在那里谈论一个项目或给出一个概要。然后我们回到他们，他们给我们一个‘附加PDF'，这是一个链接到一个网络钓鱼网站，需要一个谷歌或Dropbox密码。

我们很擅长在一英里以外的地方发现这些东西，主要是因为这个假的谷歌或Dropbox网站使用像素化的图像/图形、奇怪的拼写等等都是垃圾(他们为什么不直接去Dropbox.com复制HTML源代码，但这是他们的损失。)我担心的是，我们会收到越来越多的这些电子邮件，其中一封很可能会通过我们的邮件。我们也收到了很多钓鱼邮件(垃圾邮件发送者欺骗我们的领域)，但幸运的是，我们使用谷歌应用程序的商业电子邮件，似乎有一个100%的跟踪记录，直接过滤这些垃圾邮件。

为了对抗它，我已经准备好了以下几点：

• 所有站点的唯一密码，使用1 1password
• 2允许使用它的站点的因素
• 一个庞大的反病毒网络扩展，阻止一些钓鱼/恶意软件网站(但它并不总是列出每个网站；大概只有25%的网站是我偶然发现的)。

我正在考虑实施的事情：

• OpenDNS在办公室路由器(创建另一层过滤类似于上面的巨大，因为我相信OpenDNS有一个自动钓鱼/恶意软件黑名单。OpenDNS的唯一缺点是它只适用于现场员工，除非手动将其作为每个设备上的主DNS安装。)

还有什么是我应该考虑实施的，以防止这些攻击？

Answer 1

大公司自己以半自动的方式定期向员工发送网络钓鱼邮件。如果员工被困，他/她会被告知“你做了什么?你应该做什么”。

问题是，网络钓鱼目标的弱点不是技术上的弱点，而是人类非技术上的弱点。因此，在我看来，如果你试图用一个纯粹的技术解决方案来解决这个问题，你就只能取得有限的成功。我会尽可能多地投资于提高意识的培训，并确保员工通过培训、培训、培训保持警觉。

培训可以由以下几个简单的非常具体的规则来支持：

• 如果有人打电话给你，想要看上去可疑的东西，试着通过企业电话簿来识别来电者，然后给他/她回电话。
• 不要通过电话、电子邮件发送机密信息(如密码)。
• 如果网络/电话支持电话令人惊讶地说他们需要你的支持，请与电话号码XYZ联系，确认这是真正的网络/电话支持(在本例中，您需要在XYZ设置一些服务，了解公司的所有维护活动)。
• TBC

确保每个员工都能阅读并理解这一点，并让他们签下他们确实做过的事。

我的底线是:对组织结构的投资，以防止这种情况发生，可能至少和技术对策一样重要。

Answer 2

如果您有相应的预算，安全中间件在这里确实会有所帮助。

一些工具，如索福斯的统一威胁管理系统或微软的威胁管理网关(虽然我认为现在差不多已经死了)，提供了持续监控的保护，以抵御已知的和正在出现的威胁&当用户出现脑故障时(就像我们经常做的那样)，确实可以提供帮助。

第三方邮件过滤服务也可以提供帮助。我在我的个人/家庭电子邮件中使用Mailroute，因为几年前我得到了一笔交易。

这在很大程度上取决于组织面临的风险。值得记录的风险及其相应的影响(如果风险已经实现)在声誉损害和直接成本。这样，您就可以创建一个业务案例来花费适当的资金。

Answer 3

在MTA级别，实现SPF、DKIM签名和DMARC。网络钓鱼运动，教育你的用户可以通过工具，如phishme.com (商业)或受托人SET的集合(开放源码)。