Per stabilire una linea di base del comportamento degli utenti dell’organizzazione, è essenziale lanciare simulazioni di Phishing e successivamente analizzare i risultati. Ma da dove cominciare? Quali sono i passaggi necessari per creare una prima campagna?

Campo di applicazione e autorizzazione

• Stabilisci la portata e gli obiettivi della tua campagna di simulazione di phishing.
• Assicurati di chiedere il permesso esplicito all’interno dell’organizzazione per condurre questo tipo di valutazioni.

Contenuti

• Definisci il tema del tuo scenario di simulazione di phishing.
• Creare contenuti che rispondano al tema definito. Un contenuto è costituito da un’e-mail e da una pagina di destinazione con un modulo web. Prendere in considerazione:

• • Utilizza variabili che identificano i dati dell’utente o dell’organizzazione.
  • Rendi i contenuti disponibili in più lingue.
  • Lascia indizi che consentano ai tuoi utenti di identificare il contenuto come phishing.
  • Utilizza argomenti di interesse ed eventi attuali (può basarsi su un vero e proprio phishing).

• Se lo scenario di simulazione Phishing selezionato presenta argomenti sensibili e/o interessa una particolare area, valuta l’impatto e richiedi esplicita autorizzazione a quell’area.

Strumento di simulazione

Una simulazione di Phishing può essere effettuata utilizzando una piattaforma cloud specializzata o installando uno strumento on-premise nell’infrastruttura dell’organizzazione.

Strumento on-premise nella propria infrastruttura

• Configura un account e-mail su un server SMTP che offra funzionalità di spoofing.
• Configura un server web per ospitare la pagina di destinazione della simulazione di phishing.
• Applicare misure di sicurezza adeguate su entrambi i server per proteggere la sicurezza delle informazioni.
• Acquisisci e configura domini per l’invio di email di simulazione di phishing e per la navigazione web simulata di siti di phishing.
• Acquisisci e configura i certificati SSL per i domini in questione e configura anche i loro record SPF, DKIM e DMARC.
• Sviluppare un piano di emergenza per i domini di simulazione che rientrano nelle liste nere globali. 
• Sviluppare e seguire una procedura per aggiornare e rafforzare l’infrastruttura definita.
• Come consiglio, assicurati di selezionare uno strumento che automatizzi l’intero ciclo di vita della simulazione di phishing:

• • Pianificazione della campagna.
  • Invio di email.
  • Registrazione delle interazioni dell’utente.
  • Reporting dei risultati in tempo reale.
  • Raccolta di log di controllo inalterabili.
  • Identificazione e occultamento dei falsi positivi.

Piattaforma cloud

• Seleziona uno strumento di simulazione del phishing appropriato per le tue esigenze.
• Controlla le funzionalità di sicurezza dello strumento per proteggere le tue informazioni.

Whitelist

• Identificare gli strumenti di sicurezza dell’organizzazione coinvolti nella ricezione di e-mail e nella navigazione web.
• Utilizzare le opzioni della lista bianca di questi strumenti per:

• • Garantire la corretta ricezione delle email di simulazione di Phishing nella casella di posta dell’utente (in modo che non vengano contrassegnate come SPAM).
  • Impedire agli strumenti di interagire con le email, generando falsi positivi nelle statistiche della simulazione.
  • Garantire la corretta visualizzazione e navigazione della pagina di destinazione del Phishing simulato.

• Facoltativamente, configurare il client di posta elettronica per visualizzare le immagini dell’e-mail di simulazione di phishing, senza richiedere l’autorizzazione dell’utente. Ciò favorisce il rilevamento dell’apertura delle email ma, allo stesso tempo, può attirare l’attenzione dell’utente se non è abituato a visualizzare automaticamente le immagini delle email ricevute.
• Per assicurarti che tutto funzioni in modo soddisfacente, avvia campagne di prova finché non ottieni:

• • L’e-mail viene ricevuta nella casella di posta del destinatario.
  • La pagina di destinazione può essere navigata correttamente.
  • Le statistiche corrispondono alle azioni di test eseguite.
  • Non ci sono falsi positivi o, se esistono, vengono filtrati correttamente.
  • Le immagini vengono scaricate senza autorizzazione, se lo si desidera.

Lancio della campagna

• Definire la durata della campagna. Si consiglia di non prolungare la simulazione per più di 48 ore. ^[1].
• Creare una serie di campagne di simulazione di phishing per un certo periodo e analizza i risultati di tutte. Considera queste informazioni come la base del comportamento dei tuoi utenti. Tieni presente che una singola simulazione di phishing non è sufficiente per diagnosticare il comportamento degli utenti. ^[2].

Come continuare

• Partendo dalla linea di base (stato delle cose), stabilire obiettivi e traguardi per il programma di sensibilizzazione della tua organizzazione.
• Pianificare campagne di sensibilizzazione utilizzando diverse risorse come moduli interattivi, newsletter, video, videogiochi, webinar, poster e sessioni di persona.
• Rimisura periodicamente la tua linea di base per valutare l’efficacia delle tue azioni e dimostrare un cambiamento comportamentale.

Nota

Esistono partner di integrazione che forniscono servizi gestiti e realizzano sia campagne di simulazione di phishing che programmi completi di sensibilizzazione. Ciò consente al CISO di delegare o esternalizzare le azioni tattiche e operative elencate nel presente documento, mantenendo nelle proprie mani la parte strategica.

Scaricare questo checklist

Se il contenuto di questa lista di controllo ti interessa, puoi scaricarne una versione PDF all’indirizzo: https://smartfense-website-prod.s3.amazonaws.com/static/resources/ncsam/2020/SMARTFENSE-Checklist-Phishing.pdf

[1] Quanto durano le campagne di Phishing?

[2]Simulazione di Phishing utopica o come interpretiamo erroneamente i risultati dei nostri test