web-dev-qa-db-fra.com

Est-ce une bonne pratique de sécurité que de forcer les employés à cacher leur employeur pour éviter d'être pris pour cible?

Une jeune entreprise de technologie qui opère sur des données sensibles a des employés victimes de phishing/portage malgré ses meilleurs efforts pour inculquer des fobs de sécurité, VPN, gestionnaires de mots de passe, non-sms 2FA, accès limité aux e-mails, etc.

Est-ce une bonne pratique de forcer les employés à cacher leur statut d'emploi au public pour éviter d'être ciblé pour piratage (par exemple, retirer l'employeur de LinkedIn)?

phishingcorporate-policy
16
y3sh

Masquer votre employeur ne semble d'aucune utilité lorsque vous souhaitez masquer l'adresse e-mail de l'employé du public. Si vous cachez vos informations sur l'employeur mais que vous diffusez vos coordonnées à grande échelle, les informations sur l'employeur ne sont pas intéressantes.

L'hypothèse posée est qu'une fois que vous connaissez le nom de l'entreprise et le nom de l'employé, alors on peut librement envoyer un courriel à l'employé. Essayer de faire face à la menace des e-mails entrants en essayant de masquer le nom de l'entreprise, afin que le domaine de l'adresse e-mail ne puisse pas être deviné, de sorte que les e-mails ne puissent pas être adressés essaie de pousser du mauvais côté du levier de contrôle. Et vous essayez de le faire avec une politique extrêmement difficile à appliquer.

Le contrôle trivialement efficace consiste à briser le lien direct entre le nom de l'entreprise, le nom de l'employé et l'adresse e-mail.

Je connais des entreprises qui utilisent un domaine distinct pour envoyer des e-mails. Donc example.com se lève example-email.com. Cela efface immédiatement de nombreux e-mails automatisés. D'autres sociétés salent l'adresse e-mail avec 2 à 4 chiffres, donc [email protected] devient [email protected]. D'autres n'utilisent que le numéro d'employé: [email protected].

Bien que chacun d'eux puisse être surmonté par l'analyse d'autres adresses e-mail divulguées de l'entreprise, il est plus efficace et beaucoup plus facile à contrôler et à appliquer par des moyens techniques que de forcer les gens à ne pas divulguer où ils travaillent.

Le nom de l'entreprise n'est tout simplement pas les données principales à contrôler dans ce scénario de menace. Ce sont les adresses e-mail . Vous pouvez les contrôler.

La gestion de l'empreinte numérique est toujours une bonne considération mais vous avez un problème de sensibilisation et un problème de confiance avec vos employés qu'une telle politique ne va pas résoudre.

24
schroeder

La meilleure pratique de sécurité consiste à former les employés spécifiquement pour éviter le phishing et les escroqueries en général. De plus, vous devez les tester périodiquement pour vérifier s'ils réagissent réellement aux escroqueries comme ils ont été formés à le faire. Les gestionnaires de mots de passe avec fonctionnalité de saisie semi-automatique peuvent également être utiles car ils peuvent être utilisés pour détecter des URL erronées avant de saisir des données sensibles sur Internet. Cacher le statut d'emploi me semble inutile, car son utilité va être négligeable par rapport à la meilleure pratique que j'ai évoquée plus haut (formation et tests).

22
reed

réponse de Schroeder explique très bien les choses, mais je voudrais offrir une vue différente.

Les employés agiront probablement en ligne. Ils poseront des questions sur Stack Exchange, dans les forums d'assistance des fournisseurs, etc.

S'il est évident pour qui ils travaillent (par exemple en utilisant l'adresse e-mail [email protected]), alors un attaquant cherchant à obtenir des informations sur Awesome Corp pourra collecter des informations sur les systèmes utilisés par l'entreprise. Selon la quantité d'informations qu'ils (sciemment ou inconsciemment) exposent, cela peut inclure:

  • Données de configuration
  • Produits et versions de ceux-ci utilisés par l'entreprise
  • Identifiants
  • Adresses internes
  • Etc.

Bien que cela en soi ne constitue pas directement une vulnérabilité, il peut montrer à un attaquant des points d'entrée potentiels et lui permettre de comprendre plus efficacement l'architecture d'Awesome Corp.

L'idée que J. Doe devrait cacher qu'il travaille pour Awesome Corp n'est pas nécessairement utile. Le problème se pose lorsque J. Doe divulgue des informations internes.

En tant que tel, l'utilisation d'une politique de divulgation d'informations est très utile pour l'entreprise. Il doit contenir les informations qui peuvent être partagées avec les fournisseurs, le public, etc.

11
MechMK1

J'ai travaillé avec des gens dans les domaines de l'application de la loi et de la sécurité, et il est parfois essentiel que vous cachiez votre emploi au public. Lorsque je travaillais sur des produits logiciels qui seraient utilisés par la police d'Irlande du Nord, on m'a dit spécifiquement de ne pas mentionner pour qui je travaillais, nous avons même dû retirer les marques et le nom de l'entreprise des produits au cas où cela conduirait à des attaques ciblées .

Les soldats et la police sont invités à ne pas porter leurs uniformes en route pour le travail, à porter des vêtements civils et à se changer au travail, pour des raisons malheureusement évidentes.

Donc, oui, je ne vois pas pourquoi cela ne s'appliquerait à aucune autre entreprise sensible même si ce n'est pas aussi grave que certains des exemples que je pourrais donner. Vous devrez toujours être conscient des menaces, et les menaces peuvent venir à votre rencontre, mais il n'y a aucune raison de les encourager.

YMMV quant à l'efficacité avec laquelle vous voulez le faire, ou au sérieux avec lequel vous prenez les menaces, en vous rappelant que cela ne serait qu'une petite partie de la mesure du problème.

2
gbjbaanb