We've already detected spear-fish emails sent to people high in the organisation.
Is there a way to defend against these attacks short of creating an air gap between the network these documents are on and the internet?
Spear-phishing sugere que você precisa se concentrar em defender seus PCs de seus usuários, o que infelizmente não é um problema técnico, é um problema de pessoas. Você pode endurecer sua tecnologia o quanto quiser, mas se seus usuários de alto acesso entregarem informações confidenciais (ou suas credenciais) a seus invasores, esse é o problema real, e todo o endurecimento tecnológico do mundo não pode impedir isso. A essa altura, o recente vazamento de materiais confidenciais da NSA (Snowden) e do Exército (Manning) deve provar isso para qualquer um que preste a mínima atenção.
Ainda pior, não há uma defesa particularmente eficaz contra que seus usuários entreguem essas informações preciosas. "Educação de segurança" é completamente inútil para a grande maioria dos usuários, e apenas um pouco útil para a outra fração. A única mitigação remanescente disponível é a compartimentalização estrita de suas informações para que todos saibam o que precisam, mas isso é extremamente difícil e caro de implementar e manter ... e nem sempre é eficaz - apenas limita o dano.
Como diz o ditado, segurança é um processo , que é onde você precisa concentrar seus esforços. Sem tentar escrever um livro:
- Identifique quais informações merecem proteção especial.
- A lista normal: senhas, informações sobre contas financeiras, segredos comerciais, etc.
- Concentre-se em restringir o acesso a pessoas que precisam dele.
- Por departamento é a maneira mais fácil de fazer isso.
- O CFO não precisa dos direitos de administrador do domínio, e os administradores do sistema não precisam acessar as contas bancárias da empresa.
- Da mesma forma, nem o CFO nem os administradores do sistema precisam acessar os segredos comerciais da empresa.
- Por posição é uma extensão natural.
- Isso pode (e deve) ser combinado com compartimentalização departamental para maior efeito.
- Por departamento é a maneira mais fácil de fazer isso.
- Use processos e procedimentos para reforçar o acesso e a proteção restritos
- Pode ser tão simples quanto uma política por escrito contra a divulgação de informações protegidas / restritas.
- Aplicar a responsabilidade pessoal à divulgação
- Lembrar as pessoas de que elas podem ser demitidas por estragar isso pode ser eficaz.
- Uma regra de dois homens para informações especialmente valiosas
- Uma pessoa pode ser enganada, uma segunda pessoa sendo enganada também é muito menos provável.
- O melhor exemplo disso é fazer com que uma segunda pessoa verifique transações ou pagamentos de alto valor para garantir que eles estão indo para o lugar certo.
- Uma pessoa pode ser enganada, uma segunda pessoa sendo enganada também é muito menos provável.
- Revise seus processos e procedimentos
- Certifique-se de que eles façam sentido e não incentivem ou imponham comportamentos inseguros.
- Por exemplo, exigir a aprovação do CFO para compras acima de um determinado valor em dólar e, em seguida, fazer com que um funcionário iniciante faça a compra com o cartão AMEX sem limite é um ótimo exemplo de um processo inseguro e estúpido. Isso pode ou não ter acontecido com alguém que pode ou não ser eu. Hoje. suspiro
- Certifique-se de que eles façam sentido e não incentivem ou imponham comportamentos inseguros.
- Auditoria e muito disso.
- Verifique cedo e verifique com frequência.
- Basicamente, certificando-se de que seu processo está sendo seguido e tentando detectar erros antes que seja tarde demais.