Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Se om de ansatte legger igjen sin informasjon på phishingsider

“Alle” blir lurt av phishing, det er en veldig viktig holdning for å skape god sikkerhet. Man MÅ:

  • .. bygge god proaktiv sikkerhet som gjør det mindre sannsynlig at slike eposter kommer igjennom
  • .. ta høyde for at slike eposter allikevel kommer igjennom og legge på tagging av eposter som er eksterne der avsender inneholder navn til ansatte
  • .. sikre at ting blir stoppet når det klikkes med DNS og URL sikkerhet ved blokkering av phishing OG nye domener. Meget effektivt.
  • .. trene brukere på at slike eposter allikevel kan komme igjennom og at man alltid må være på alerten
  • .. trene brukere på å rapportere inn phishing eposter, selv om de ikke ble lurt, da flere i samme organisasjon kan ha fått samme epost og det er derfor viktig å undersøke om andre ble lurt til å klikke
  • .. sikre synlighet til administratorer dersom brukernavn og passord blir lagt inn på phishing sider.
  • .. sikre phishing resistent autentisering slik at uvedkommende ikke kan komme seg inn på løsningene deres selv med tilgang til brukernavn, passord eller session cookie.
    • Ta gjerne kontakt her om du vil teste dette.

Ta høyde for at brukere klikker og lekker data!

Hvordan skape synlighet på lekkasje av data?

Med en Palo Alto Networks brannmur kan man under URL filtering legge inn User Credential Detection.

  • Først må man aktivere dekryptering av klienttrafikk mot internett for å kunne ha innsyn i datapakker som sendes
  • Det er sterkt anbefalt å ha Always-On VPN med GlobalProtect for at disse funksjonene alltid skal fungere. Da vil man alltid ha DNS og URL sikkerhet, som mest sannsynlig stopper aktiviteten før man rekker å lekke data, da siden man prøver å komme til etter et klikk vil bli sperret.
  • All trafikk mot internett vil med korrekt oppsett bli inspisert av URL filtering, og i denne inspeksjonen kan man se etter brukerdata som man ønsker å stoppe
    • I første fase kan det være lurt å sette alt til alert. De kategoriene som allerede er satt til block vil naturligvis bli sperret, og data vil ikke lekkes.

Hva man skal reagere på kommer an på forskjellige ting, og dette varierer fra kunde til kunde. Man kan starte enkelt med “Use IP User Mapping”:

Deretter sikrer man at hendelser blir alarmert til de riktige mottagerne med Log Forwarding, der man gjør unntak for en custom URL kategori som er satt til alert i URL filtering:

Sluttmålet er at alle kategorier settes til block for User Credential Submission og at kun User Credential OK er satt til alert og dermed tillatt. Men man bør bruke noen uker på å sikre at legitime sider tillates ved å legges inn i denne custom URL kategorien.

Ta høyde for at brukere klikker, lag flere lag med sikkerhet for det, inkludert alarmering

Dette er et eksempel på hvordan man løser dette i Palo Alto Networks. Det er helt sikkert mulig i andre teknologier også, så undersøk mulighetene med den teknologien dere har på plass, for dette krever ingen ekstra lisenser etter kostnader. Jeg konfigurerte dette på 5 minutter for en kunde akkurat nå, og har gjort det tidligere også.

,
, , , , , ,

Posted by:

Gøran Tømte

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading