WHITEPAPER Come Trasformare le

Peggiori Abitudini dei tuoi Impiegati in quelle Migliori

WHITEPAPER: Come Trasformare le Peggiori Abitudini dei tuoi Impiegati in quelle Migliori

Prevenire il tuo peggiore incubo su un data breach con la nuova scuola di Security Awareness Training

Sommario La stampa non ne ha mai abbastanza di riportare data breach aziendali e si delizia nel mettere in vetrina l’ultima storia dell’orrore sulla compagnia che ha perso un numero enorme di record privati o ha subito una perdita di milioni nell’ultimo attacco hacker. Tu potresti essere il prossimo.

Nonostante tutti gli investimenti che puoi aver fatto acquistando l’ultimo security software, i “cattivi” soltanto un utente credulone che clicca senza pensare scatenando un’invasione globale. E c’è di peggio: quell’utente potresti essere tu! Indagini recenti dimostrano che i dirigenti possono trovarsi tra i maggiori colpevoli quando si tratta di cliccare su un link di phishing ed aprire un allegato malevolo.

Eppure la più di gran lunga più efficace strategia per combattere questi attacchi è quella più miseramente implementata – la formazione alla consapevolezza dei rischi informatici. Il lungo elenco di “worst practices” per l’istruzione degli utenti è quasi senza fine – conferenze in sala mensa mentre gli impiegati pranzano e guardano le proprie email; brevi filmati educative che forniscono una superficiale comprensione degli argomenti, e la più antica ed onorata consuetudine di sperare per il meglio e non fare proprio nulla.

Scopri invece quali sono le “best practices” della formazione alla security awarebess – quelle che costruiscono un “firewall umano” per bloccare in modo efficace gli hacker e i criminali, e tenere te lontano dalle prime pagine dei giornali.

Questo whitepaper fornisce delle chiare line guida su come migliorare la posizione della tua azienda nei confronti della sicurezza, “vaccinando” i tuoi impiegati che altrimenti cadrebbero vittima degli attacchi di social engineering. Questi incidenti sono tutto meno che comuni: secondo una recente indagine condotta da Osterman Research, le email costituiscono il canale più frequente per infiltrarsi all’interno di un’azienda.

“E’ vero il detto

che dice che i

sistemi di

sicurezza devono

vincere ogni

volta, ma

l’attaccante basta

che vinca una

volta sola.”

—Dustin Dykes, CISSP

Founder Wirefall Consulting

1

Punti Chiave • Un sommario dei principali vettori di attacco tramite email nelle aziende: phishing, spear-phishing, executive “whaling”, e “CEO fraud”.

• Che cosa stanno facendo le aziende e perché non è abbastanza.

• Che c’è di sbagliato nei più comuni programmi di formazione alla sicurezza, compreso un elenco delle “worst practices” per cui non funzionano. • Le “best practices” collaudate per un training di security awareness che rafforzi le difese esistenti erigendo un “firewall umano”. • Come combinare la formazione in tema di security awareness con la simulazione di attacchi di phishing per mantenere gli impiegati sempre all’erta. • Come pianificare un valido indicatore di prestazione (KPI) per l’efficacia di questa formazione per presentare il suo ritorno sull’investimento (ROI).

Comprendere la Minaccia Secondo un recente studio condotto da Osterman Research, l’email è il principale vettore di attacchi alle organizzazioni. Gli attacchi web hanno preso la predominanza ed è perciò che la loro prevenzione ha ricevuto maggiori finanziamenti. Ma gli attacchi email non sono mai stati lontani dal primo posto ed ora sono di nuovo in testa. Osterman piazza le email al primo posto per le infezioni malware che colpiscono il 67% delle organizzazioni, mentre gli attacchi web sono al secondo con il 63%. Al terzo posto una categoria di attacchi dall’origine incerta: quegli attacchi potrebbero essere provenuti da un’email ma la fonte non è mai stata trovata. Il 23% delle organizzazioni ha segnalato questa categoria nello scorso anno, e il numero è probabilmente molto più alto. Perché queste compagnie non possono identificare la strada che ha portato ad una compromissione della sicurezza? I criminali informatici stanno diventando più efficaci: le cifre riportate da Verizon indicano che 80.000 incidenti di sicurezza sono stati riferiti dalle 70 organizzazioni che hanno partecipato all’inchiesta e oltre 2.000 data breach hanno avuto luogo in un anno.

Qui un riassunto dei principali vettori degli attacchi via email alle aziende: Phishing: Tutti noi abbiamo visto esempi di email di phishing. Sono inviate ad un gran numero di utenti simultaneamente e tentano di “pescare” informazioni riservate da utenti privi di sospetti passandosi per fonti attendibili. Ciò comprende banche, fornitori di carte di credito, case di spedizione, forze di polizia. Il loro piano è quello di trarre in inganno l’utente inducendolo a cliccare su un link per infettare un PC, aprire un allegato infetto oppure andare in un sito web contraffatto dove inserire le proprie credenziali di login, informazioni finanziarie, dati della previdenza sociale o dettagli della carta di credito. Ma qualunque dato inserito viene poi utilizzato in modo malevolo per rubare denaro o un’identità, o infiltrare una rete. Secondo il Data Breach Investigations Report 2015 di Verizon, il 23% dei destinatari apre i messaggi di phishing, mentre un altro 11% clicca sugli allegati. Sfortunatamente, quasi metà aprono queste email e cliccano sui link entro un’ora dalla loro ricezione. Alcuni rispondono entro un minute. In alter parole, la squadra della sicurezza ha una ristretta finestra temporale in cui notare la presenza di tali attacchi e prendere le adeguate precauzioni per porvi rimedio. Chiaramente, un approccio puramente difensivo è destinato a fallire. Spear-phishing: Questa strategia malvagia porta il phishing ad un livello diverso. Il phishing è del tipo “ spray and pray” in quanto implica l’invio di un’email ad un ampio elenco di utenti, molti dei quali neppure usano servizi di banca o carte di credito. Lo spear-phishing, d’altra parte, è mirato a specifici utenti o piccolo gruppi. I criminali informatici hanno studiato la compagnia o il gruppo, oppure hanno visitato i siti social per raccogliere dati relativi agli utenti. Gli attaccanti quindi costruiscono il loro messaggio in modo da rendersi più credibili ed aumentare le probabilità di successo. Non è difficile trovare dati di base circa gli impiegati da internet, Facebook, Twitter, LinkedIn o da altri siti analoghi, compresi programmi di viaggio, dettagli sulla famiglia, carriera professionale, varie affiliazioni e altro. Perciò la percentuale di successo dello spear-phishing è di gran lunga maggiore di quella del phishing tradizionale. phishing. Executive Whaling: Questo tipo di attacco sta divenendo sempre più comune. Il termine deriva dal soprannome “whale” (balena) dato nel giro del gioco d’azzardo a Las Vegas, ad un giocatore che ha intenzione di puntare una grossa somma di denaro al casino. Dopo tutto, più in alto si va nella catena e più è probabile trovare delle informazioni di valore grazie ai tuoi sforzi nel phishing. A peggiorare le cose, si è riscontrato che i massimi dirigenti (C-level) sono tra i principali colpevoli quando si tratta di aprire email sospette. Forse a causa del loro alto volume di traffico, non hanno il tempo di controllare che cosa cliccano, fatto sta che il whaling sta causando grossi danni alle aziende.

2

“Gli approcci passivi alla sicurezza come stabilire e mantenere dei perimetri di sicurezza difensivi semplicemente non funzionano contro fonti di minaccia altamente aggressive e flessibili, comprese le organizzazioni criminali e gli stati canaglia.”

—Charles King, Analyst

Pund-It

CEO Fraud: criminali informatici molto sofisticati cercano di praticare questo tipo di attacco di ingegneria sociale verso attività che hanno rapporti di lavoro con fornitori stranieri. Questa truffa sta divenendo sempre più frequente e mira a quelle aziende che eseguono regolarmente pagamenti bancari verso l’estero. Nel gennaio 2015, l’FBI ha avvertito che ladri informatici avevano rubato quasi 215 milioni di dollari nei precedenti 14 mesi tramite questi raggiri che partono quando i criminali falsificano o violano gli account email di dirigenti o impiegati. La falsa email del CEO viene inviata quando il dirigente in questione è in viaggio ed agli impiegati viene richiesto di trasferire grosse somme di denaro fuori dal paese.

Le Difese Vecchia Scuola sono Inadeguate Le organizzazioni non possono venire accusate di ignorare il problema. I loro budget riflettono il fatto che queste minacce sono considerate ad alto rischio e molto denaro viene speso per aggiornare o aggiungere un nuovo antivirus, un sistema anti-malware, degli IDS, firewall, filtri anti-spam, security analitycs ed altro. Anche se queste azioni sono senz’altro necessarie, non portano però ad alcun miglioramento sostanziale.

L’indagine di Osterman Research iindica che circa metà delle aziende coinvolte sente di non aver fatto alcun passo avanti nell’ultimo anno nel contrastare gli attacchi di phishing ed il 21% anzi ritiene che ci sia stata una ricaduta. È facile da comprendere considerando che la raffinatezza del malware aumenta di contino e che i criminali sono sempre più organizzati che mai.

Prendiamo il caso del sandboxing – la pratica di piazzare una minaccia potenziale in un sistema isolato dalla rete principale in modo da esaminarla e neutralizzarla. Alcuni malware sembra siano in grado di rilevare il fatto di poter essere messi in una sandbox e rimangono inattivi durante un certo periodo in modo da non allarmare la sicurezza circa la loro natura dannosa. Altri malware s’infiltrano nella rete in modo tranquillo ed in modo da sembrare innocui, ma sono progettati in modo da operare assieme ad altri elementi e solo quanto tutti sono presenti si scatena il vero danno. Questa minaccia può essere molto difficile da rilevare prima che sia troppo tardi.

Verizon nota che il phishing è sempre più utilizzato per avere accesso alla rete e quindi prendere tranquillamente piede al suo interno. Pertanto il phishing non sempre porta immediatamente ad un data breach: attacchi sempre più sofisticati possono prendersi il tempo per imparare password, tattiche di difesa e dati relativi agli account, e quindi sferrare un attacco improvviso in cui milioni di dollari vengono trasferiti illecitamente prima di venire individuati. In alternative, alcuni hacker hanno tranquillamente spillato goccia a goccia piccolo somme da molteplici conti nel corso di molti anni. Decine di milioni sono scomparsi così, prima di esserne individuate le cause.

L’accusa più grande contro le difese tradizionali, pertanto, riguardano i software antivirus (AV). Sempre considerata la difesa principale contro codici dannosi, è impossibile che stiano al passo con l’immensa mole delle minacce ideate ad ogni istante: ogni settimana, secondo Virus Total che fornisce la rilevazione di nuovi malware settimanalmente, circa 300.000 codici malevoli vengono in media identificati ogni giorno. Quindi, alla fin fine, almeno una certa percentuale non può venire rilevata da un AV.

3

Inoltre, siccome la maggior parte degli AV utilizzano firme digitali per rilevare i virus, le nuove minacce vengono semplicemente aggiunte a queste liste una volta che sono rilevate. Stanno diventando sempre più rapidi a rilevare nuove minacce e ad aggiungerle nei loro archivi- in media sei ore in alcuni casi- ma tuttavia lasciano una finestra temporale abbastanza ampia perché i criminali informatici possano andare all’attacco e fare danno. Secondo gli intervistati da Verizon ci vuole meno di un giorno perché il data breach abbia luogo, mentre il tempo necessario per scoprirlo è molto più lungo.

Charles King, analista di Pund-IT, afferma semplicemente: “E’ assolutamente chiaro che le soluzioni di sicurezza tradizionali sono sempre più inefficaci e che le assicurazioni dei loro produttori sono spesso vuote promesse”.

Esistono per esempio squadre di professionisti della mafia informatica esteuropea che assumono i migliori talenti per inventare continuamente nuove forme di malware. Ciò dà loro la possibilità di pubblicare rapidissimamente un sito web malevolo, sferrare un attacco ad una rete aziendale e sparire in poche ore, molto prima che le compagnie AV abbiano il tempo di aggiornare le loro definizioni dei malware, ammesso che la nuova minaccia venga rilevata.

La compagnia NYSE Governance Services ha chiesto semplicemente ai dirigenti di più alto livello quanto si sentissero sicuri circa il fatto che le loro aziende fossero protette da attacchi informatici. Soltanto il 33% si sente fiducioso. Dalla stessa inchiesta risulta che l’81% dei dirigenti affrontano il tema della sicurezza informatica nella maggior parte – se non in tutte – le loro riunioni.

Ciò non significa che le tradizionali difese AV debbano essere accantonate. Esse hanno il loro ruolo per rendere più difficile il successo dei cattivi. Ma non sono più sufficienti.

Quello che ci vuole è utilizzare tutte le tecnologie e strategie di sicurezza sopracitate come parte di una robusta e stratificata difesa in profondità. Ma devono essere rafforzate da ciò che Osterman Research considera “la prima linea di difesa in qualunque infrastruttura di sicurezza”: gli utenti stessi. Aberdeen Group ha definite il comportamento degli utenti “l’ultimo miglio critico” per ridurre i rischi sul lato della prevenzione nell’equazione “rischi sicurezza”. Nonostante tutti i controlli tecnici progettati per prevenire un evento, gli incidenti continuano ad accadere. La causa principale nella maggior parte di questi incidenti è un’azione da parte degli utenti. Aberdeen Group conclude che investire in un programma di formazione alla consapevolezza reduce il rischio di un impatto finanziario del phishing nella misura del 60%.

Per alcuni il concetto di “firewall umano” può sembrare ingenuo. Alla fine, sondaggio dopo sondaggio si scopre proprio quanto gli utenti possano essere creduloni: su 100 ingegneri e uomini di scienza, per esempio, uno su sei è caduto vittima di una truffa di phishing molto evidente. Da un’altra indagine risulta che il 96% dei dirigenti non è in grado di trovare la differenza tra un’email reale ed una di phishing.

E questo è il motivo per cui i massimi dirigenti sono diventati il principale obiettivo degli attacchi di whaling. Secondo una ricerca dell’Istituto SANS, il 95% degli attacchi ad una rete aziendale sono il risultato di una campagna di spear-phishing. Questi attacchi non mirano più soltanto alle grandi compagnie: possono avere pericolose ramificazioni in tutti le aziende, indipendentemente dalla loro grandezza.

Chiaramente, i dirigenti e gli impiegati costituiscono oggi una bomba ad orologeria in quanto ad ingenuità, pronta ad esplodere in qualunque organizzazione quando cadono preda di un attacco intelligente, o anche non così intelligente. Devono essere prese delle misure per riempire questa falla: agendo correttamente questi stessi impiegati possono essere trasformati in un efficace firewall umano, grazie al nuovo approccio alla formazione sulla consapevolezza dei rischi informatici. Sfortunatamente, gli sforzi formativi del passato sono stati efficaci in misura solo marginale. Consideriamone i motivi, esaminando ciò che è stato passato per security training nel sempre mutevole mondo delle minacce informatiche.

La tua Guida alle Peggiori Pratiche di Formazione alla Sicurezza E’ facile considerare impraticabile la formazione alla consapevolezza dei rischi informatici. Dopo tutto, i suoi risultati sono miseri nella maggior parte delle organizzazioni. L’indagine di Osterman mostra che meno di un quarto dei dirigenti la considera efficace. Con un dipartimento IT che deve continuamente porre rimedio agli incidenti causati dal fatto che l’ultimo degli impiegati o un massimo dirigente è stato indotto con l’inganno a fornire informazioni riservate, è comprensibile che vi sia poca fiducia nei tentativi di educare gli utenti sul phishing ed i suoi differenti schemi.

Ma il problema non riguarda il concetto stesso di formazione degli utenti, bensì il modo in cui essa viene effettuata. Di seguito alcuni dei modi in cui è stata tradizionalmente messa in pratica.

4

Worst Practice #1: Non Fare Nulla e Sperare per il Meglio

Circa una su cinque organizzazioni soltanto ammette che questa sia la sua “strategia” contro l’aumento degli attacchi di phishing. Ma di fatto il numero è probabilmente molto più altor. La logica sottostante è “Non abbiamo avuto alcun data breach devastante finora, e possiamo continuare a convivere con questi incidenti minori che tengono impegnata la squadra IT. Così, speriamo che il ‘big one’ non accada a noi.” Aberdeen Group ritiene che questa strategia abbia un costo considerevole: vi è circa un 80% di probabilità che le infezioni causate dagli utenti risultino in costi totali pari a 2.5 milioni di dollari all’anno.

Worst Practice #2: Formazione in Sala Mensa

Circa il 30% delle organizzazioni hanno un approccio “sala mensa”. Radunano quanti più impiegati possibile, offrono loro il pranzo, mentre qualche del dipartimento IT o della sicurezza tiene loro una lezione su phishing, spear-phishing e whaling. Sempre meglio di niente, ma spesso la partecipazione è bassa e la maggioranza degli uditori considera l’evento come un’occasione per aggiornarsi sulle proprie email arretrate. E i risultati parlano da soli: le misure dell’efficacia del phishing mostrano scarsi cambiamenti dopo tali riunioni.

5

Worst Practice #3: Video Mensili sulla Sicurezza

Questo tipo di formazione può essere attuata informalmente con video inviati via email o inseriti nel sito web in modo che gli impiegati li vedano, oppure formalmente come istruzione obbligatoria in aula. Queste brevi clip istruiscono gli utenti sui pericoli insiti nel cliccare indiscriminatamente e sulle varie trappole usate dai phisher per attirare gli impiegati ignari. Circa una su quattro organizzazioni tende ad adottare questo metodo. Alla meglio, questo può essere categorizzato come un programma un po’ meno superficiale di formazione. Da questo non ci si aspetta che faccia molto per diminuire i rischi di un data breach e provoca anche una frammentazione della formazione in quanto argomenti importanti vengono affrontati anche con mesi di ritardo.

Worst Practice #4: Test di Phishing

Con questo approccio, vengono preselezionati solo impiegati ad alto rischio e vengono loro inviate delle email di phishing simulato per vedere in che modo essi cadono vittima dell’attacco. Tipicamente, questi test vengono effettuati assieme a qualche tipo di formazione come link a moduli di training o brevi video da vedere per accrescere la consapevolezza. Il lato positivo di questo metodo è che offre una certa forma di misura del phishing. Quello negativo è che gli impiegati si accorgono presto di questi test e si verifica il fenomeno dei “cani della prateria” in cui gli impiegati si avvertono l’un l’altro di ciò che sta avendo luogo. Questo approccio, quindi, è sia limitato che troppo semplicistico.

6

Queste Worst Practices costituiscono il motivo per cui alcuni manager IT devono lottare per ottenere il budget necessario per una formazione più efficace, così come devono lottare per vincere la battaglia contro il phishing. Inconsapevoli della superficialità dei loro sforzi presenti per proteggere lo staff dagli attacchi, i dirigenti depennano le spese di formazione in quanto “qualcosa che stiamo già facendo” e buttano il denaro per acquistare una nuova tecnologia atta ad affrontare gli ultimi vettori di minacce. In alternativa, respingono la formazione alla sicurezza come par accadere nell’approccio #1 “Non fare nulla e sperare per il meglio”.

Passiamo ora in rassegna quelle che sono invece le best practices ed i modi per attuarle all’interno della tua organizzazione.

Best Practices per la Nuova Scuola di Security Awareness Training Le pratiche collaudate per una Nuova Scuola di Security Awareness Training efficace sono progettate per aggiungere uno strato di sicurezza in cima ai firewall esistenti. Lo scopo è quello di costruire un efficace firewall umano di impiegati informati, istruiti ed accorti contro le minacce del phishing. Secondo Lance Spitzer, Training Director al SANS Institute, “Uno dei modi più efficaci con cui puoi minimizzare le minacce è dato da consapevolezza e formazione robuste: si viene a creare una rete di sensori umani che è molto più efficace nel rilevare il phishing di qualunque tecnologia.”

Best Practice #1: Un Programma Completo Funziona

La maggior parte dei programmi di security awareness sono, nella migliore delle ipotesi, superficiali. Possono comprendere alcune azioni ragionevoli, ma che non si connettono all’interno di un programma coordinato e completo. Ciò che manca è una valutazione degli avversari da affrontare e di quale deve essere il grado di impegno che un’organizzazione deve assumersi per prevenire gli attacchi. E’ di vitale importanza il fatto che i dirigenti si rendano conto dell’estensione delle minacce e del grande dispiegamento di risorse che il nemico mette in campo contro gli impiegati inconsapevoli. Solo così è possibile che i dirigenti comprendano le misure che devono essere adottate per proteggere l’azienda e la necessità cruciale di erigere un firewall umano di utenti informati e sempre vigili. Il punto decisivo di questa best practice è di ottenere la consapevolezza delle dimensioni del problema e di quelle che sono le risorse necessarie per difendersi da esso.

Best Practice #2: Sviluppare una Campagna Coordinata che Combini Formazione e Phishing Simulato

Formarsi da sé, tipicamente una volta all’anno, non è abbastanza. Il phishing simulato del personale, preso in se stesso, di nuovo non funziona. Ma presi assieme, possono essere combinati per accrescerne enormemente l’efficacia. Un’importante best practice è di integrare in modo intelligente queste componenti in una campagna globale. E ciò si può ottenere nel modo migliore trovando una piattaforma che integri il phishing simulato e la formazione di security awareness.

Best Practice #3: Stabilire la Linea di Base della Vulnerabilità al Phishing

La formazione può venire indebolita a causa della difficoltà di misurare i suoi effetti. In che modo si suppone di verificare effettivamente se essa abbia avuto dei risultati? Quello che ci vuole è un punto di partenza che permetta di stabilire se i soldi investiti nella formazione sarebbero meglio spesi altrove.

E’ qui che entra in gioco la baseline: è fondamentale stabilire una linea base che misuri il tasso di click sui link di phishing in modo da conoscere la percentuale di utenti che aprono e cliccano email malevole prima che la formazione cominci. Presto fatto: invia un’email di phishing simulato ad un campione casuale di impiegati per trovare il numero di coloro che vengono indotti ad aprire un allegato, cliccare su un link o inserire informazioni riservate. Questa è la tua percentuale base di utenti phish-prone. Questo indice può in seguito essere utilizzato per determinare quanto è stata efficace la campagna di formazione. Inoltre, fornisce uno specifico indicatore utile durante il processo di approvazione della spesa.

Best Practice #4: Fa in modo di ottenere il coinvolgimento di dirigenza e IT

Per essere efficace, i sommi capi ed i manager IT devono essere coinvolti. Pertanto è una necessità assoluta programmare frequenti riunioni prima e durante il programma di formazione. Non bastano le riunioni per stabilire l’approvazione finanziari: prima dell’inizio di un progetto di phishing simulato, comunica con i dirigenti ed appiana in anticipo tutte le loro preoccupazioni e le loro remore.

7

Queste riunioni dovrebbero comprendere il dipartimento Risorse Umane, l’Ufficio Legale e i rappresentanti sindacali, se possibile. Altrimenti, tali campagne potrebbero essere ingiustamente accusate di mirare a specifici impiegati, indebolirne il morale o discriminare certi gruppi. Solo coinvolgendo tutte le parti interessate, ascoltandone le preoccupazioni e venendo incontro ai loro bisogni, la campagna ha speranza di successo. In talune organizzazioni, ci possono essere delle pressioni per informare gli impiegati che si intende lanciare una campagna di phishing simulato: in quei casi in cui lo staff viene preavvertito, l’efficacia della campagna viene significativamente ridotta.

Un altro aspetto di questa best practice è quello di rendere edotti i dirigenti circa la percentuale di phishing in modo che siano maggiormente consapevoli dell’estensione del problema e del faticoso compito che deve affrontare l’organizzazione. Rivedi questa baseline più e più volte come mezzo per monitorare i risultati. Esibire tutti i cali delle percentuali di efficacia è un modo per dimostrare il valore del programma.

Best Practice #5: Effettua Attacchi di Phishing Totalmente Random

Abbiamo citato prima il fenomeno del “prairie dogging” in cui un impiegato si accorge di un’email di phishing simulato e ne avvisa i colleghi. Ciò può portare ad un apparente calo della sensibilità al phishing che non si traduce però nel mondo reale. Gli impiegati fanno l’abitudine alle azioni simulate della campagna, imparano ad attenderle ogni lunedì mattina, dopodiché si comportano come al solito. Quello che ottieni da queste iniziative di phishing simulato ha poco o nessun impatto sulla creduloneria degli impiegati.

Ciò riveste particolare importanza alla luce dei risultati di uno studio di Proofpoint: in esso è stato riscontrato che nessuna compagnia ha un tasso di click pari a zero in risposta ad un attacco di phishing: mentre i cliccatori cronici rendono conto della maggioranza dei click su link malevoli, 40% dei click sono dovuti a cliccatori una tantum. In altre parole, anche il migliore ed il più brillante può essere inconsapevolmente catturato e cliccherà su qualcosa di sbagliato di tanto in tanto. Il prairie dogging può permettere a queste rare ma occasionali vittime del phishing di sviluppare un atteggiamento di noncuranza.

Il modo per impedire tutto ciò è usare quelli che abbiamo definito attacchi di phishing simulato completamente random. La pratica della Nuova Scuole di Security Awareness Training comporta la selezione di gruppi random, di date programmate random e template di phishing random per ottenere una stima più accurata delle probabilità che un’organizzazione ha di cadere preda del phishing. Invece di inviare la stessa email di phishing ogni lunedì mattina alla contabilità, ogni martedì all’ora di pranzo alle vendite ed ogni venerdì pomeriggio alla produzione, cambia tattica e programma in modo casual variando gruppi e data/ora d’invio. Ciò permette di eliminare il prairie dogging e fornisce all’azienda un indicatore reale per misurare l’efficacia di questa pratica.

Best Practice #6: Personalizza le Email

Email personalizzate sono più credibili. In certi casi, si possono realizzare facilmente inserendo il nome dell’impiegato. Ma nelle grandi organizzazioni, la personalizzazione può andare oltre: per esempio, ottenendo dai mandati di pagamento delle buste paga i nomi delle banche cui vengono inviati gli stipendi e utilizzando questi nomi in una campagna di phishing. Un’altra tattica è differenziare l’email di phishing per gruppi (es. dipartimenti) o adattarla ad eventi popolari o di attualità.

“Verizon fa

notare che il

phishing viene

sempre più

frequentemente

utilizzato per

guadagnare

l’accesso alla rete

aziendale ed

insediarsi

tranquillamente

aspettando la

migliore

occasione per

colpire.”

—Osterman Research

Best Practice #7: Non Aspettarti Miracoli

I risultati della Nuova Scuola di Security Awareness Training sono eccellenti, ma lontani dall’essere miracolosi. Con ciò vogliamo dire che il tasso dei cliccatori in genere diminuisce dal 10-25% fino al 2%. Sembra che andare sotto questo limite sia estremamente difficile. Ma il proseguimento della campagna può portare a risultati di questo livello o inferiore, il che può avere un significativo impatto sull’organizzazione. Grazie alla minimizzazione delle infezione malware causate dal phishing, la stessa squadra IT ha maggiori possibilità di contenere più efficacemente gli incidenti residuali.

A causa del notevole calo di infezioni, anche alter misure di sicurezza hanno maggiori possibilità di successo. Lo staff IT può passare da una costante modalità di risoluzione di problemi verso progetti che assicurano un più grande valore strategico per l’azienda.

Best Practice #8: Evita la Caccia alle Streghe

Una preoccupazione comune circa gli attacchi di phishing simulato è che I risultati possano essere usati per una sorta di caccia alle streghe. Pertanto, non utilizzare mai i risultati in questo modo e non riportarli nelle relazioni annuali. È meglio considerare il risultato generale ed utilizzarlo per correggere e formare l’organizzazione nel suo insieme piuttosto che indirizzare specifici individui.

Un’eccezione può essere fatta quando la campagna coordinata di formazione e phishing simulato ha condotto a notevoli risultati. Dopo una serie prolungata di passi di simulazione e formazione, e quando i numeri si sono abbassati, è probabile che resti sempre lo stesso piccolo gruppo di trasgressori. Proofpoint nota che meno del 10% degli utenti è responsabile di quasi tutti i click in ogni ondata di attacchi malevoli. Se da un lato la Nuova Scuola Security Awareness Training permette di ottenere percentuali di molto inferiori, dall’altro rimane sempre tuttavia una manciata di individui che continuano a cliccare nonostante tutte le opportunità date loro per correggersi.

Arrivati a questo punto essi si sono sottoposti a varie sessioni di formazione ed hanno ricevuto un’istruzione completa su come il phishing può trarli in inganno. Tuttavia, continuano ad essere truffati nonostante tutti i passi correttivi. È il momento quindi di coinvolgere le Risorse Umane per trovare qualche indizio sui motivi di questa inalterata tendenza. Per tenere lontana ogni possibile connotazione negativa dall’essere bocciati nei test di phishing simulato, qualche volta funziona l’incentivare i dipartimenti ad incoraggiare il proprio staff a completare o ripetere la formazione nello sforzo di ottenere un tasso di click pari allo 0% click. Quelli che fanno così oppure ottengono un punteggio al di sotto di un certo livello possono essere ricompensati con gift card o altri incentivi.

Best Practice #9: Continua a Testare gli Impiegati Regolarmente

Anche quando i test confermano che la sensibilità al phishing è caduta a livello minimo, continua a testare frequentemente gli impiegati per determinare se la formazione anti-phishing mantiene la sua efficacia. I cattivi cambiano continuamente le regole, affinano le loro tattiche ed aggiornano le loro tecnologie. Pertanto, il rafforzamento della formazione deve rimanere una parte essenziale dell’arsenale delle sicurezza in azienda in modo da stare al passo con minacce in continua evoluzione.

Best Practice #10: Effettua un Training alla Sicurezza Meticoloso

La formazione alla sicurezza vecchia scuola ha favorito l’approccio lettura di slide o visione di video. Il problema con questo tipo di formazione è che può divenire rapidamente obsoleto – il panorama della sicurezza di un anno fa è molto diverso da quello di oggi. Questo approccio inoltre si focalizza troppo sull’aspetto teorico a scapito dell’applicazione pratica. La Nuova Scuola di Security Awareness Training è interattiva, bilancia teoria e pratica, viene continuamente aggiornata, ed è basata su una visione scrupolosa di come operano i criminali informatici. Idealmente, ingloberà l’assistenza di un hacker esperto che conosca tutti i modi per penetrare in un’organizzazione e tutti i trucchi del settore del phishing. Ciò ti renderà sicuro che gli impiegati capiscano i meccanismi di spam, phishing, spear-phishing, malware, ransomware ed ingegneria sociale, e siano capaci di applicare questa conoscenza nel loro lavoro di ogni giorno.

Conclusioni Risulta ovvio che la sicurezza IT deve venire significativamente rafforzata su tutti i fronti. Le aziende devono ricercare ed adottare gli ultimi metodi disponibili in modo da stare al passo con una criminalità informatica sempre più organizzata. Tuttavia, gran parte del budget speso in tali programmi sarà sprecato a meno che questa tecnologia non sia supportata da un programma della Nuova Scuola New School Security Awareness Training rafforzato da attacchi di phishing simulato frequenti e randomizzati. Le conseguenze derivanti dal non adottare tale approccio vanno ben al di là dei titoli in prima pagina: la perdita stimata della compromissione di 700 milioni di record finanziari è stata nel 2015 di 400 milioni di dollari, secondo Verizon. Un data breach reso pubblico può comportare la perdita dell’impiego (compreso quello di CEO, CIO and CISO), aumentare i costi legali, le sanzioni per la non-compliance penalties, calo della brand reputation, l’abbandono da parte dei clienti.

9

DigiTree | Trieste (Italia), via di Romagna 9/1 | M: +39 366 8948545 | www.digiTree.it | E: sales@digiTree.it © 2016 KnowBe4, Inc. All rights reserved. Other product and company names mentioned herein may be trademarks and/or registered trademarks of their respective companies.

KnowBe4 è la piattaforma integrate più popolare del mondo di Security Awareness Training e Phishing Simulato. Rendendosi conto che l’elemento umano della sicurezza è stato seriamente trascurato, KnowBe4 è stata create da due dei nomi più conosciuti della sicurezza informatica, Kevin Mitnick (the World’s Most Famous Hacker) e Stu Sjouwerman, un imprenditore tra gli Inc. 500 nel settore della sicurezza, per aiutare le organizzazioni a gestire il problema delle tattiche di ingegneria sociale tramite la Nuova Scuola di Security Awareness Training.

Più di 1.700 organizzazioni utilizzano la piattaforma di KnowBe4 per mantenere il proprio personale all’erta con la sicurezza al primo posto nella mente. KnowBe4 è impiegata in tutti i settori dell’industria, compresi quelli con regole più restrittive come finanza, sanità, energia, governo ed assicurazioni.

• KnowBe4 ha scritto un pezzo di storia della sicurezza informatica (8 libri contando Mitnick e Sjouwerman).

• KnowBe4è l’unica piattaforma di security awareness training “seta e dimentica”, che si ottiene, s’installa e si esegue nel minimo tempo.

• La piattaforma include un’ampia libreria di template di phishing di provata efficacia.

Per maggiori informazioni, visita www.digiTree.it

KnowBe4