it-swarm.com.de

Ist es eine gute Sicherheitspraxis, Mitarbeiter zu zwingen, ihren Arbeitgeber zu verstecken, um nicht ins Visier genommen zu werden?

Ein junges Technologieunternehmen, das mit sensiblen Daten arbeitet, hat Mitarbeiter, die Opfer von Phishing-/Portierungsbetrug werden, obwohl sie sich nach besten Kräften bemühen, Sicherheitsanhänger, VPN, Passwortmanager, Nicht-SMS-2FA, eingeschränkten E-Mail-Zugriff usw. zu installieren.

Ist es eine gute Praxis, Mitarbeiter zu zwingen, ihren Beschäftigungsstatus vor der Öffentlichkeit zu verbergen, um nicht gezielt gehackt zu werden (z. B. den Arbeitgeber von LinkedIn zu entfernen)?

16
y3sh

Das Ausblenden Ihres Arbeitgebers scheint überhaupt nicht von Nutzen zu sein, wenn Sie die E-Mail-Adresse des Mitarbeiters vor der Öffentlichkeit verbergen möchten. Wenn Sie Ihre Arbeitgeberinformationen verbergen, aber Ihre Kontaktdaten weit und breit verbreiten, sind die Arbeitgeberinformationen nicht interessant.

Es wird davon ausgegangen, dass man dem Mitarbeiter eine E-Mail senden kann, sobald man den Firmennamen und den Namen des Mitarbeiters kennt. Der Versuch, der Bedrohung durch eingehende E-Mails zu begegnen, indem versucht wird, den Firmennamen auszublenden, damit die E-Mail-Adressdomäne nicht erraten werden kann und E-Mails nicht adressiert werden können versucht, das falsche Ende des Hebels von zu drücken Kontrolle. Und Sie versuchen es mit einer äußerst schwierig durchzusetzenden Richtlinie.

Die trivial wirksame Kontrolle besteht darin, die direkte Verbindung zwischen Firmenname, Mitarbeitername und E-Mail-Adresse zu lösen.

Ich kenne Unternehmen, die eine separate Domain zum Versenden von E-Mails einrichten. Damit example.com steht auf example-email.com. Dadurch werden viele automatisierte E-Mails sofort gelöscht. Andere Unternehmen salzen die E-Mail-Adresse mit 2-4 Nummern, also [email protected] wird [email protected]. Andere verwenden nur die Mitarbeiter-ID: [email protected].

Jedes dieser Probleme kann durch die Analyse anderer offengelegter E-Mail-Adressen des Unternehmens überwunden werden. Es ist jedoch effektiver und viel einfacher, es mit technischen Mitteln zu kontrollieren und durchzusetzen, als die Mitarbeiter zu zwingen, nicht anzugeben, wo sie arbeiten.

Der Firmenname ist einfach nicht die primäre Daten, die in diesem Bedrohungsszenario kontrolliert werden sollen. Es sind die E-Mail-Adressen. Sie können diese steuern.

Das Verwalten des digitalen Fußabdrucks ist immer eine gute Überlegung, aber Sie haben ein Bewusstseinsproblem und ein Vertrauensproblem mit Ihren Mitarbeitern, das mit einer solchen Richtlinie nicht behoben werden kann.

24
schroeder

Die beste Sicherheitspraxis besteht darin, die Mitarbeiter speziell zu schulen, um Phishing und Betrug im Allgemeinen zu vermeiden. Außerdem müssen Sie sie regelmäßig testen, um zu überprüfen, ob sie tatsächlich auf Betrug reagieren, für den sie geschult wurden. Kennwortmanager mit automatischer Vervollständigung können ebenfalls hilfreich sein, da sie dazu verwendet werden können, falsche URLs zu erkennen, bevor vertrauliche Daten im Internet eingegeben werden. Das Ausblenden des Beschäftigungsstatus erscheint mir nutzlos, da seine Nützlichkeit im Vergleich zu den oben genannten bewährten Verfahren (Schulung und Prüfung) vernachlässigbar sein wird.

22
reed

Schröders Antwort erklärt die Dinge sehr gut, aber ich möchte eine andere Ansicht anbieten.

Die Mitarbeiter werden wahrscheinlich online handeln. Sie stellen Fragen zu Stack Exchange, in Support-Foren von Anbietern usw.

Wenn es offensichtlich ist, für wen sie arbeiten (z. B. unter Verwendung der E-Mail-Adresse [email protected]), dann kann ein Angreifer, der Informationen über Awesome Corp erhalten möchte, Informationen über Systeme sammeln, die vom Unternehmen verwendet werden. Abhängig davon, wie viele Informationen sie (wissentlich oder unwissentlich) preisgeben, kann dies Folgendes umfassen:

  • Konfigurationsdaten
  • Vom Unternehmen verwendete Produkte und Versionen davon
  • Referenzen
  • Interne Adressen
  • Usw.

Dies stellt an sich möglicherweise keine direkte Sicherheitsanfälligkeit dar, kann einem Angreifer jedoch potenzielle Einstiegspunkte aufzeigen und es ihm ermöglichen, die Architektur von Awesome Corp. effizienter zu verstehen.

Die Idee, dass J. Doe verbergen sollte, dass er für Awesome Corp arbeitet, ist nicht unbedingt nützlich. Das Problem tritt auf, wenn J. Doe interne Informationen offenlegt.

Daher ist die Anwendung einer Richtlinie zur Offenlegung von Informationen für das Unternehmen sehr nützlich. Es sollte enthalten, welche Informationen mit Anbietern, der Öffentlichkeit usw. geteilt werden können. Außerdem sollten Mitarbeiter jemanden haben, mit dem sie sprechen können, wenn sie sich nicht sicher sind, ob etwas als interne Information betrachtet wird oder nicht.

11
MechMK1

Ich habe mit Leuten aus den Bereichen Strafverfolgung und Sicherheit zusammengearbeitet, und manchmal ist es wichtig, dass Sie Ihre Beschäftigung vor der Öffentlichkeit verbergen. Als ich an Softwareprodukten arbeitete, die von der nordirischen Polizei verwendet wurden, wurde mir ausdrücklich gesagt, ich solle nicht erwähnen, für wen ich arbeite. Wir mussten sogar die Firmenmarken und den Namen von den Produkten entfernen, falls dies zu gezielten Angriffen führen sollte .

Soldaten und Polizisten werden aus leider offensichtlichen Gründen angewiesen, auf dem Weg zur Arbeit keine Uniformen zu tragen, Zivilkleidung zu tragen und sich bei der Arbeit umzuziehen.

Also, ja, ich verstehe nicht, warum dies für kein anderes sensibles Unternehmen gilt, selbst wenn es bei weitem nicht so ernst ist wie einige der Beispiele, die ich nennen könnte. Sie müssen sich der Bedrohungen immer noch bewusst sein, und die Bedrohungen können unabhängig davon auf Sie zukommen, aber es gibt keinen Grund, sie zu fördern.

YMMV, wie effektiv Sie es machen wollen oder wie ernst Sie die Bedrohungen nehmen, erinnert sich daran, dass dies nur ein kleiner Teil der Maßnahmen zur Lösung des Problems wäre.

2
gbjbaanb