In questo post raccolgo alcune delle raccomandazioni che, secondo la mia opinione personale, ritengo pi\u00f9 importanti quando si tratta di simulare attacchi di Phishing.<\/p>\n
Parto dal presupposto che i dirigenti dell’organizzazione abbiano gi\u00e0 compreso l’importanza di questa pratica<\/a> e abbiano dimostrato il loro impegno nella gestione dei rischi legati all’ingegneria sociale.<\/p>\n Senza ulteriori considerazioni, passiamo alle buone pratiche nella creazione di campagne di simulazione di Phishing.<\/p>\n L’obiettivo fondamentale di una simulazione di Phishing \u00e8 misurare il comportamento degli utenti per comprendere il livello di rischio della tua organizzazione<\/a>. Questo \u00e8 uno degli obiettivi principali delle simulazioni. Da qui, si possono sviluppare molti altri, in genere rivolti alla gestione del rischio di ingegneria sociale e alla creazione di abitudini sicure.<\/p>\n Se vogliamo sapere come si comporterebbero i nostri utenti di fronte a un vero attacco, dobbiamo assicurarci che il gruppo di utenti che vogliamo valutare riceva effettivamente l’email di Phishing. Per questo \u00e8 necessario un processo di Whitelist<\/strong>, configurando gli strumenti di sicurezza in modo che i messaggi di simulazione passino senza essere bloccati<\/a>.<\/p>\n Una volta configurato tutto, \u00e8 importante lanciare campagne di prova<\/strong>. Queste ci aiuteranno a verificare che il processo di Whitelist funzioni correttamente e che siano stati considerati tutti gli strumenti di sicurezza utilizzati in azienda. Molte organizzazioni si sorprendono in questa fase, scoprendo che ci sono pi\u00f9 strumenti di sicurezza attivi di quanto documentato.<\/p>\n Lettura consigliata: <\/b>Smettila di fare simulazioni di Phishing! Sul serio?<\/span><\/a><\/p>\n Crea simulazioni che somiglino a casi reali senza forzare gli scenari per ottenere il massimo numero di utenti che cadano nella trappola, altrimenti otterrai metriche non realistiche.<\/p>\n Simulare significa rappresentare qualcosa facendolo sembrare reale, quindi le nostre simulazioni di Phishing dovrebbero replicare un Phishing reale nei seguenti aspetti:<\/p>\n Ma esiste una differenza importante: una simulazione non cattura informazioni sensibili ed \u00e8 innocua per l\u2019utente o l\u2019organizzazione. Gli attacchi reali si fermano una volta ottenute, per esempio, le credenziali. In una simulazione, un messaggio educativo pu\u00f2 essere mostrato all\u2019utente dopo un\u2019azione rischiosa<\/a>, come l\u2019invio di informazioni private in un modulo.<\/p>\n Tuttavia, molti responsabili della sicurezza si aspettano qualcosa di diverso:<\/p>\n Per ottenere ci\u00f2, impiegano settimane a preparare lo scenario di Phishing perfetto, sfruttando le informazioni interne di cui dispongono sull\u2019organizzazione e sugli utenti. Questa pratica in SMARTFENSE viene chiamata la \u201csimulazione di Phishing utopica\u201d.<\/p>\n Ovviamente, non \u00e8 affatto consigliabile, poich\u00e9 si rischia di distorcere i risultati delle campagne, ottenendo dati che non riflettono la realt\u00e0.<\/p>\n Lettura consigliata:<\/strong> Simulazione di Phishing utopica o come interpretiamo erroneamente i risultati dei nostri test<\/a><\/p>\n Invia un insieme di simulazioni al mese e poi raggruppa i risultati per ottenere una valutazione complessiva.<\/p>\n Ogni campagna mensile deve variare per tema, giorno, orario, gruppo di destinatari, tipo di inganno, livello di personalizzazione, ecc.<\/p>\n La verit\u00e0 \u00e8 che inviare poche simulazioni all\u2019anno non sar\u00e0 di grande utilit\u00e0.<\/p>\n Questo perch\u00e9 ogni simulazione che inviamo \u00e8 influenzata da numerosi fattori<\/strong>, tra cui:<\/p>\n Per tutti questi motivi (e altri ancora) \u00e8 meglio considerare le simulazioni per periodo piuttosto che per singola campagna. La cosa migliore che possiamo fare \u00e8 lanciare pi\u00f9 simulazioni in un mese<\/strong> e poi raggrupparle per visualizzare i risultati come una singola valutazione.<\/p>\n Ogni campagna del periodo pu\u00f2 (e dovrebbe) variare per tematica, giorno, orario, gruppo di destinatari, tipo di inganno, grado di personalizzazione, ecc.<\/p>\n Cosa otteniamo in questo modo? Tutte le simulazioni avranno qualche distorsione dovuta ai fattori sopra menzionati, ma ciascuna sar\u00e0 influenzata da diversi fattori. Complessivamente, ci forniranno un risultato molto pi\u00f9 rappresentativo della realt\u00e0.<\/p>\n Questo metodo di lavoro ci permetter\u00e0 inoltre di ottenere metriche preziose sui nostri utenti<\/strong>, come gli scenari a cui sono pi\u00f9 sensibili o gli orari in cui sono pi\u00f9 propensi a cadere in un inganno, solo per fare alcuni esempi.<\/p>\n Come vantaggio aggiuntivo, i nostri utenti saranno pi\u00f9 vigili, poich\u00e9 invieremo loro simulazioni con una frequenza sufficiente a sviluppare l\u2019abitudine di riflettere due volte prima di compiere un\u2019azione nella propria casella di posta elettronica.<\/p>\n Lettura consigliata:<\/strong> Quanto durano le campagne di Phishing?<\/a><\/p>\n <\/p>\n Il tuo tempo \u00e8 prezioso, quindi usa contenuti predefiniti ogni volta che puoi e, se li modifichi, mantieni le modifiche minime.<\/p>\n Dedica tempo solo ai casi speciali, come clonare un Phishing famoso o uno reale ricevuto in azienda, se hai le risorse per farlo.<\/p>\n Potresti pensare che lanciare un insieme di simulazioni al mese rappresenti un carico di lavoro troppo grande.<\/p>\n Ma aspetta\u2026 non pensare alla simulazione perfetta, o a preparare scenari di phishing con una cura estrema per i dettagli\u2026 Se hai a disposizione uno strumento che ti offre contenuti predefiniti di qualit\u00e0<\/strong>, devi solo sfruttarli. In 15 minuti puoi pianificare un set di campagne mensili senza doverci pensare troppo.<\/p>\n Questo sar\u00e0 molto pi\u00f9 utile e rappresentativo rispetto al trascorrere giorni preparando nel dettaglio un singolo scenario e inviare quel solo scenario a tutti gli utenti lo stesso giorno<\/strong>.<\/p>\n Inoltre, immagina di aver passato due settimane a creare il phishing perfetto, e, al momento di lanciarlo, un utente lo segnala, e la URL della simulazione finisce nella lista nera di Google. Questa situazione l\u2019ho vista molte volte, e le persone si arrabbiano parecchio a riguardo.<\/p>\n Si arrabbiano con lo strumento di simulazione, ovviamente, mentre ci\u00f2 che \u00e8 accaduto \u00e8 indipendente dalla piattaforma che utilizzano e potrebbe succedere con qualsiasi altra.<\/p>\n Ecco perch\u00e9, di nuovo, dimenticati delle simulazioni di phishing utopica.<\/p>\n E se non sei ancora del tutto convinto, pensa che inviare un gran numero di simulazioni aiuta a sviluppare abitudini sicure negli utenti. Perch\u00e9? Perch\u00e9 gli utenti si abitueranno a ricevere email di phishing. Non importa come sono queste email, fintanto che sono phishing, funzionano. Gli utenti diventeranno molto pi\u00f9 attenti alla propria casella di posta e segnaleranno sempre pi\u00f9 casi di phishing, sia simulati che reali.<\/p>\n Non \u00e8 mai giustificato dedicare tempo alla creazione di uno scenario di phishing?<\/strong> Solo se hai le risorse disponibili, a volte pu\u00f2 essere interessante:<\/p>\n Lettura consigliata:<\/strong> Smettila di fare simulazioni di Phishing! Sul serio?<\/a><\/p>\n Quando un utente compie un\u2019azione rischiosa, mostragli immediatamente cosa sarebbe successo in una situazione reale con un Momento Educativo.<\/p>\n Se, oltre a simulare, stai cercando di generare una cultura della sicurezza nella tua organizzazione, devi pensare allo sviluppo di abitudini sicure negli utenti. Per ottenere questo risultato, puoi utilizzare diversi strumenti di sensibilizzazione, come Video, Videogiochi, Moduli Interattivi, ecc.<\/p>\n Ciascuno di questi strumenti offre vantaggi specifici per l\u2019utente. Ad esempio, un Modulo Interattivo pu\u00f2 fornire spiegazioni dettagliate su un determinato argomento, mentre un Videogioco permette all’utente di esercitarsi nel prendere decisioni in un ambiente divertente e sicuro.<\/p>\n Ma, poich\u00e9 stai gi\u00e0 utilizzando le simulazioni, puoi trarre un grande vantaggio dai Momenti Educativi<\/strong>. Con questo tipo di strumento, il contenuto di sensibilizzazione viene mostrato proprio quando l’utente compie un’azione a rischio<\/strong> all’interno di una simulazione.<\/p>\n Questo aumenta notevolmente l’impatto del contenuto offerto e lo rende pi\u00f9 memorabile.<\/p>\n Lettura consigliata: <\/strong>Il momento ideale per i nostri utenti di imparare<\/a><\/p>\n Rivedi i tuoi obiettivi e fai gli aggiustamenti necessari.<\/p>\n Continua a lanciare campagne di prova e, se giustificato, rivedi la configurazione di Whitelist.<\/p>\n Torna al primo consiglio, ma con un’attenzione particolare al miglioramento continuo.<\/p>\n Obiettivi<\/b><\/p>\n Ogni tanto, rivedi gli obiettivi che ti sei prefissato per le tue simulazioni. Sono ancora validi? Le tue azioni sono allineate agli obiettivi? Ne hai raggiunto qualcuno? Hai bisogno di stabilirne di nuovi o di provare strategie diverse?<\/p>\nFai i compiti preliminari<\/h2>\n
Consiglio rapido<\/h3>\n
\n
Consiglio dettagliato<\/h3>\n
<\/h2>\n
Non cercare di far cadere tutti gli utenti<\/h2>\n
Consiglio rapido<\/h3>\n
Consiglio dettagliato<\/h3>\n
\n
\n
<\/h2>\n
Invia molte simulazioni<\/h2>\n
Consiglio rapido<\/h3>\n
Consiglio dettagliato<\/h3>\n
\n
Non sforzarti troppo<\/b><\/h2>\n
Consiglio rapido<\/h3>\n
Consiglio dettagliato<\/h3>\n
\n
<\/h2>\n
Sfrutta il miglior momento per sensibilizzare<\/h2>\n
Consiglio rapido<\/h3>\n
Consiglio dettagliato<\/h3>\n
<\/h2>\n
Ritorna alle basi e migliora continuamente<\/h2>\n
Consiglio rapido<\/h3>\n
Consiglio dettagliato<\/h3>\n