Gli attacchi phishing sono in continuo aumento, come emerso dal report Proofpoint “Stato del Phishing nel 2021”. Quasi tre quarti delle aziende (il 74%) ha subito un attacco phishing andato a segno lo scorso anno. Costituisce un incremento annuo del 14%. I cybercriminali sfruttano temi attuali - come la pandemia o le scadenze fiscali - per tentare di far leva sulla vulnerabilità umana, servendosi di una serie di tattiche phishing, tra cui: l'utilizzo di siti per il furto delle credenziali, link e allegati malevoli alle email, e attacchi BEC (business email compromise) per colpire le vittime.
Non esiste una soluzione miracolosa in grado di bloccare le minacce legate al phishing. C'è bisogno invece di un approccio multi-strato integrato che include prevenzione, visibilità, e risposta. In questo articolo, ci concentreremo su come un programma di phishing awareness training sia in grado di responsabilizzare i vostri dipendenti, contribuendo alla protezione e al benessere dell'azienda.
Phishing awareness training: il tempo a disposizione è limitato, perciò va massimizzato l’impatto
Immagine 1. Il budget di tempo dedicato ai programmi di security awareness è meno di due ore all'anno (Fonte: “Stato del Phishing nel 2021”).
Più dei due terzi delle aziende intervistate sul report “Stato del Phishing nel 2021” ha dichiarato di dedicare due ore o anche meno ogni anno, per responsabilizzare i propri dipendenti sul tema della sicurezza informatica. Il phishing costituisce soltanto una delle componenti di un programma di security awareness, il quale include altre tematiche importanti come: le normative sulla privacy, gli standard di conformità, le applicazioni cloud e la protezione dei dati.
Immagine 2. Sempre più aziende stanno tenendo sessioni di formazione sulla security awareness, con oltre l'80% di esse che li organizza almeno una volta ogni tre mesi (Fonte: “Stato del Phishing nel 2021”).
Ecco perché è fondamentale fare buon uso del poco tempo dedicato alla formazione dei dipendenti. Il nostro sondaggio annuale “Stato del Phishing” mostra come la frequenza delle sessioni di formazione sulla security awareness stanno aumentando ogni anno. Il che è una buona notizia, dato che, secondo uno studio tedesco, quanto appreso durante la formazione sulla phishing security awareness tende a scemare entro 4-6 mesi dalla sessione. La partecipazione a programmi frequenti aiuta a mantenere sempre vive le conoscenze riguardo al phishing, apprese durante le sessioni.
Analizziamo ora tre aree strategiche per l'incremento della phishing awareness: le persone giuste, la giusta formazione e la giusta risposta. Un programma basato su questi tre pilastri vi permetterà di contribuire in modo significativo alla sicurezza della vostra azienda.
Trovare le persone giuste
Tutti i dipendenti devono essere sottoposti a programmi di phishing awareness training per mantenere sempre fresche le conoscenze acquisite. Raccomandiamo di effettuare simulazioni di phishing almeno ogni 4-6 settimane per tutti gli utenti. A volte può essere necessaria una formazione supplementare per gli utenti più a rischio.
CTA: Scopri come funzionano le simulazioni phishing
Tradizionalmente, i programmi di phishing awareness si concentrano su quegli utenti più a rischio che hanno interagito durante le simulazioni di phishing. Un buon inizio. Ma quando le aziende sono in grado di capire esattamente chi viene preso di mira all'interno dell'azienda da attacchi reali, o interagisce con gli attacchi phishing, allora saranno in grado di concentrare i loro programmi sui rischi reali.
Proofpoint adotta un approccio innovativo alle iniziative formative sulla sicurezza, utilizzando dati reali dal vostro ambiente email attraverso la nostra integrazione Targeted Attach Protection Guided Training. Utilizziamo i dati dal nostro prodotto Advanced Email Security, per identificare le persone più a rischio - o quelle più soggette ad attacchi, anche note come VAP (Very Attacked People) nella vostra azienda, in base al modo in cui vengono prese di mira, la sofisticatezza, il tipo e il volume degli attacchi. A ogni persona viene assegnato un punteggio e un riepilogo di tutte le minacce a cui è soggetta.
Immagine 3. Esempio di dati da un report VAP dalla dashboard Advanced Email Security di Proofpoint Targeted Attack Protection.
Se questa integrazione non è disponibile per voi, lavorate con il vostro team addetto alla sicurezza delle email per trovare dati sulle persone che vengono prese di mira o che sono cadute nella trappola del phishing. In questo modo, potete concentrare i vostri programmi di phishing awareness sulle persone che ne hanno più bisogno.
Fornire un'adeguata formazione riguardo alla phishing awareness
I cybercriminali si servono di tematiche, esche, e tecniche sempre nuove per provare ad ingannare le vittime. Potete prendere di mira gli utenti più bersagliati da attacchi reali, con template predefiniti messi a disposizione da Proofpoint threat intelligence; questo può contribuire ad incrementare l'affidabilità della valutazione degli utenti e della loro formazione.
Immagine 4. Esempi di template Proofpoint per le simulazioni phishing.
Le simulazioni di phishing sono principalmente delle valutazioni - e un'indicazione agli utenti della loro vulnerabilità agli attacchi. La landing page che avvisa gli utenti quando interagiscono con le simulazioni, resta però solitamente aperta solo per pochi secondi. La formazione aiuta a mantenere vive le conoscenze acquisite, così da essere in grado di riconoscere un tentativo di attacco phishing, prestando attenzione ad esempio al mittente e analizzando eventuali link presenti nelle email, per assicurarsi della legittimità. Un esempio di questo tipo di formazione è il nostro Attack Spotlight. Analizziamo le esche utilizzate in attacchi phishing reali ai danni delle aziende e realizziamo un breve modulo formativo di circa due o tre minuti, su una specifica minaccia.
Immagine 5. Esempio di modulo formativo di Proofpoint Attack Spotlight.
Possiamo aiutarvi inoltre a massimizzare il vostro budget di tempo dedicato alla phishing security awareness, attraverso una formazione mirata su quegli utenti che interagiscono con le simulazioni di phishing o che sono stati vittime di attacchi phishing reali.
Assicuratevi che il contenuto di phishing awareness da voi scelto sia attinente con lo stile della vostra organizzazione, che sia ad esempio più formale, o informale. E personalizzate il contenuto, così da utilizzare le parole e la grafica adatte, e aggiungere anche i link alle policy, che aiuterà a migliorare il livello di educazione degli utenti.
Infine, se la vostra azienda è una multinazionale, assicuratevi di utilizzare contenuti tradotti e localizzati per gli utenti dei vari paesi. Una best practice è assegnare un addetto per ogni paese, che valuti prima la qualità del contenuto, così da assicurarsi che i template siano adatti per il target di riferimento.
Dare agli utenti gli strumenti per rispondere agli attacchi phishing
Evitare gli attacchi phishing è un bene, ma avere utenti vigili e attenti che segnalano attivamente i tentativi di attacco è ancora meglio. Nei programmi di phishing awareness, il “click rate” - o la percentuale di utenti che cliccano/falliscono la simulazione di phishing - è una metrica molto popolare.
Raccomandiamo di implementare uno strumento di segnalazione del phishing che rende in un certo senso gli utenti parte integrante del team di sicurezza informatica. Questi strumenti non solo aiutano a ridurre la vulnerabilità, ma forniscono anche una comprensione più profonda del comportamento degli utenti. Segnalare prontamente un potenziale attacco phishing significa che i vostri dipendenti non solo sono in grado di riconoscere le cose da evitare, ma sanno anche cosa fare quando vedono un messaggio sospetto.
Immagine 6. Esempi di elevati tassi di segnalazione e bassi tassi di fallimento.
L'argomento relativo alle metriche e i benchmark per la formazione in tema di security awareness è molto ampio. Tuttavia la regola generale per i programmi più avanzati è quella di avere un tasso di fallimento delle simulazioni inferiore al 5%, ma più del 70% degli utenti che segnalano il tentativo di phishing tramite lo strumento di segnalazione delle email.
Il tuo programma di phishing awareness sta funzionando?
Avete seguito le best practice, condotto le dovute simulazioni, fornito la formazione ai vostri dipendenti, tenuto webinar in persona, inviato email e previsto le opportune misure per coloro che hanno fallito le simulazioni di phishing. Ma se nonostante tutto, avete ancora problemi a ridurre la vulnerabilità degli utenti nei confronti del phishing, siamo qui per aiutarvi.
Con il People Risk Assessment di Proofpoint, sarete in grado di scoprire:
- Quali utenti hanno le conoscenze migliori e quali sono invece più carenti in tema di sicurezza.
- Qual è il punteggio della vostra azienda rispetto alle altre aziende del vostro stesso settore.
- Informazioni dettagliate sulla strategia di rischio basata sulle persone, suddivisa per dipartimento, area, e altro.
Questa valutazione gratuita può portarvi sulla strada per il successo della vostra strategia di security e phishing awareness.
Scopri di più riguardo alla Valutazione di Rischio delle Persone cliccando qui.