Dal premiare i dipendenti per la loro capacità tecnica in ambito della sicurezza informatica, al mostrare loro come le violazioni siano rilevanti per le loro attività quotidiane. In questo articolo ti proponiamo i suggerimenti per la prevenzione del phishing di cui hai bisogno.
Il phishing , in cui un utente malintenzionato invia un’e-mail ingannevole induce il destinatario a fornire informazioni o a scaricare un file, è una pratica vecchia di decenni che è ancora responsabile di innumerevoli problemi per i responsabili dell’IT. Il phishing è il primo passo per tutti i tipi di attacchi, dal furto di password al download di malware in grado di fornire una backdoor in una rete aziendale.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
La lotta al phishing è frustrante e ricade direttamente sulle spalle dell’IT.
Abbiamo parlato con un’ampia gamma di professionisti per scoprire quali strumenti, politiche e best practice possono aiutare le organizzazioni e gli individui a fermare gli attacchi di phishing o almeno a mitigarne gli effetti. Di seguito sono riportati i loro consigli per prevenire gli attacchi di phishing.
1. Non rispondere ai trigger emotivi
Armond Caglar, uno dei principali consulenti di una società di cyber data science Cybeta, afferma che gli utenti devono comprendere la psicologia dietro le e-mail di phishing per resistervi. “Le e-mail di phishing più comuni e di successo sono generalmente progettate con esche contenenti trigger psicologici che incoraggiano l’utente ad agire rapidamente, di solito per paura percepita di perdersi qualcosa se non si fa presto quanto richiesto”, spiega. “Questo può includere e-mail che pretendono di provenire da società di pacchi che indicano un tentativo di consegna mancato, premi non reclamati o modifiche importanti a varie politiche aziendali da parte di un dipartimento delle risorse umane. Altre esche possono includere trigger progettati per incoraggiare un utente ad agire per senso di moralità , obbligo, avidità e ignoranza, comprese quelle che sfruttano gli eventi attuali e le tragedie”.
Aggiunge che “in termini di come riconoscere ed evitare di essere truffati dal phishing, è importante che l’utente si chieda, ‘sono stato spinto ad agire rapidamente?’ o ‘Sono manipolato?'”
L’antidoto a questo tipo di ansia indotta è ricordare che puoi sempre fare un passo indietro e prendere fiato. “Se un’e-mail sembra già strana e ti sta spingendo a fare qualcosa (o ad aumentare la pressione sanguigna), è probabile che si tratti di un’e-mail di phishing”, afferma Dave Courbanou, tecnico IT presso Intelligent Product Solutions. “È facile e veloce per un collega o un professionista IT controllare un’e-mail per te. La pulizia dopo un phishing riuscito potrebbe richiedere giorni, settimane o mesi, a seconda della posta in gioco, quindi non esitare a chiedere al tuo IT contatti per controllare qualsiasi e-mail per te per qualsiasi motivo.”
2. Stabilire politiche e procedure per le richieste di emergenza
Spesso i phisher giocheranno sulle tue emozioni presentando la loro richiesta come un’emergenza alla tua azienda, con la speranza che trasferirai loro fondi o rinuncerai alle credenziali. Paul Haverstock, VP of Engineering presso Cloudways, afferma che per combattere questo problema, la tua azienda dovrebbe stabilire procedure di emergenza chiare. “Quando i dipendenti credono di aver ricevuto richieste urgenti dai loro datori di lavoro, possono sentirsi fortemente spinti ad agire immediatamente”, spiega. “Le aziende devono chiarire in modo assoluto perché e quando potrebbero rivolgersi ai lavoratori con richieste di emergenza, spiegando come possono verificarne la legittimità . E devono sottolineare quali richieste non faranno mai , come richiedere bonifici bancari immediati senza utilizzare standard processi di pagamento.”
In effetti, i tuoi processi interni dovrebbero essere tutti allineati per assicurarti che un tentativo di phishing non possa causare troppi problemi. “Qualsiasi richiesta di informazioni riservate, comprese le password, deve essere confermata tramite un mezzo diverso”, afferma Scott Lieberman, che ha lavorato come istruttore IT incentrato sulla sicurezza di rete al Sinclair Community College di Dayton, OH. “Se ricevi un’e-mail dal tuo supervisore che richiede la password per il back-end del sito Web dell’azienda, vai su Slack o Microsoft Teams o alza il telefono per chiamare il tuo supervisore per chiedere informazioni”.
Intermezzo promozionale ... continua la lettura dopo il box:
“Un passo importante nella prevenzione che le aziende possono intraprendere è mettere in atto politiche di base sulla condivisione di dati sensibili”, aggiunge Larry Chinski, VP di Global IAM Strategy di One Identity. “Questo può essere semplice come garantire che solo un piccolo gruppo di dipendenti sia informato delle informazioni finanziarie e delle credenziali di accesso, il che può ridurre al minimo la possibilità di errore umano. Puoi garantire ancora più sicurezza creando un processo di gerarchia analitica per i dati altamente sensibili è richiesto. Ciò consentirà un tempo di approvazione più lungo e fornirà un esame più approfondito delle richieste sospette.”
Facendo un ulteriore passo avanti, Jacob Ansari, Security Advocate e Emerging Cyber ​​Trends Analyst di Schellman, un valutatore globale indipendente di sicurezza e conformità alla privacy, afferma che le aziende possono lavorare per rendere le loro comunicazioni interne non soggette a phishing. “La cosa più importante che puoi fare è fare in modo che i processi aziendali legittimi non sembrino tentativi di phishing”, spiega. “Invece di inviare un collegamento in un’e-mail su cui i dipendenti possono fare clic, fornire indicazioni per accedere a una intranet aziendale. I dirigenti dell’azienda dovrebbero smettere di allegare documenti di Office tramite e-mail e collocare invece i documenti in archivi di file appropriati e comunicarli ai dipendenti. Collegamenti e allegati sono i principali veicoli per gli attacchi di phishing? la riduzione al minimo del loro uso legittimo riduce il boschetto in cui possono nascondersi gli attacchi di phishing”.
3. Formare e testare il personale per individuare le e-mail di phishing
Molti, se non la maggior parte dei tuoi dipendenti, probabilmente credono di poter già  individuare un’e-mail di phishing , anche se potrebbero essere troppo sicuri. “Abbiamo tutti sentito le cose di base da cercare, come non rivolgerti a te per nome o scarsa grammatica nel corpo di un’e-mail”, afferma Michael Schenck, consulente senior per la sicurezza informatica presso CyZen. “Purtroppo, abbiamo visto hacker migliorare l’uso del linguaggio con alcuni bot basati sull’intelligenza artificiale in linguaggio naturale.
Mantenere il personale all’avanguardia significa educarlo continuamente e testare la portata delle loro conoscenze. “Coinvolgere una società di test di terze parti a collaborare con te per personalizzare gli attacchi di phishing”, suggerisce Mieng Lim, VP of Product Management presso Digital Defense by HelpSystems. “Gli attacchi personalizzati utilizzano in genere una varietà di strumenti e possono essere eseguiti in modo ‘basso e lento’ in modo da essere il più nascosti possibile in natura al fine di determinare veramente la capacità della tua squadra di contrastare un attacco sofisticato”.
Se preferisci mantenere le cose in casa, Andreas Grant, Network Security Engineer e Founder of Networks Hardware, consiglia framework di phishing open source come Gophish che possono aiutare a organizzare i test. “Ho introdotto un sistema di ricompensa per le persone che possono segnalare queste truffe”, spiega. “Gamificando il sistema, tiene tutti sulle spine e allo stesso tempo rende le cose divertenti. Mantiene anche attiva la conversazione, quindi è un vantaggio per tutti sia dal punto di vista dell’utente che del reparto IT. Ti fai anche un’idea di quanto le persone sono cadute per queste truffe quando esegui questi test, quindi puoi utilizzare quei dati per individuare i punti deboli e concentrarti su quelle parti specifiche durante i corsi di formazione”.
La formazione dovrebbe anche essere adattata a un pubblico particolare. “I team di sicurezza possono istruire specifiche unità aziendali sulle campagne di phishing che potrebbero prenderle di mira”, afferma Jonathan Hencinski, VP delle operazioni di sicurezza di Expel. “Ad esempio, gli sviluppatori potrebbero vedere campagne a tema AWS, mentre i reclutatori potrebbero vedere esche di phishing a tema curriculum”.
4. Incoraggiare gli utenti a segnalare e-mail di phishing
Un sistema di ricompensa per l’individuazione del phishing può andare oltre i test e in scenari del mondo reale, afferma David Joao Vieira Carvalho, CEO e Chief Scientist presso il produttore di reti mesh di sicurezza informatica Naoris Protocol. Carvalho suggerisce di creare un sistema di segnalazione interno per potenziali truffe di phishing. Se il team di sicurezza IT identifica positivamente l’e-mail come tentativo di phishing, fa circolare le informazioni al riguardo e inserisce il giornalista in un pool per una lotteria mensile di $ 1.000. “Ora hai una forza lavoro che fa di tutto per proteggere la tua attività ”, afferma. “Milioni di dollari di rischio sono stati mitigati per $ 12.000 all’anno, una frazione del budget per la mitigazione del rischio informatico, modificando il processo da basato sulla paura a quello sulle taglie, qualcosa che funziona già molto bene per gli spazi aziendali consapevoli del rischio”.
In termini di motivazioni, le carote funzionano molto meglio dei bastoncini. “Non ostracizzare o punire mai un utente che è caduto preda”, afferma Josh Smith, analista delle minacce informatiche presso Nuspire. “Sono una vittima della situazione, poiché queste e-mail dannose sono progettate per depredare le emozioni umane”.
E se ti aspetti che le persone segnalino le e-mail, dovresti renderlo semplice, afferma Cyril Noel-Tagoe, Principal Security Researcher di Netacea. “I complicati processi di segnalazione, ad esempio allegare una copia dell’e-mail sospetta a una nuova e-mail e inviarla all’IT, dovrebbero essere sostituiti con alternative facili da usare, come un pulsante di segnalazione integrato nel client di posta elettronica”, afferma. “Ciò aiuterà a promuovere una cultura che normalizza la segnalazione di e-mail sospette”.
5. Monitorare il dark web per le credenziali dell’azienda
“Il monitoraggio del dark web dovrebbe essere una parte fondamentale della strategia di qualsiasi organizzazione per prevenire gli attacchi di phishing prima che colpiscano le caselle di posta dei dipendenti, poiché molte operazioni di phishing iniziano con le credenziali aziendali che sono state trapelate o vendute su mercati o forum del dark web”, spiega il dott. Gareth Owenson, CTO di Searchlight Security. “Il monitoraggio continuo del nome dell’azienda e degli indirizzi e-mail aziendali potrebbe avvisare le aziende del fatto che sono in discussione e stanno per essere presi di mira da una campagna di phishing, mentre i criminali sono nella fase di ricognizione”.
Il dark web può contenere più di semplici chiacchiere, poiché questo regno oscuro spesso funge da mercato per le credenziali rubate. “Le password trapelate insieme agli indirizzi e-mail potrebbero anche avvisarli del rischio di attacchi di compromissione delle e-mail aziendali , un tipo di phishing particolarmente complicato in cui i criminali sfruttano i dipendenti inviando loro e-mail da account legittimi e compromessi”, spiega Owenson. “La consapevolezza che le password sono state compromesse consente alle organizzazioni di imporre aggiornamenti delle password per le persone interessate”.
6. Scopri quali tipi di informazioni ti rendono un bersaglio
Tutti dovrebbero essere consapevoli dei potenziali pericoli del phishing, ovviamente, ma i nuovi dipendenti in particolare devono stare in guardia, afferma Ansari di Schellman. “I phisher cercano aggiornamenti su LinkedIn o simili e poi prendono di mira quelle persone, ritenendole le più vulnerabili”, spiega. “Avvisali di questi potenziali attacchi e che i tentativi potrebbero prendere di mira i loro indirizzi e-mail personali o arrivare invece come messaggi SMS”.
Un altro gruppo all’interno dell’azienda che deve stare costantemente in guardia: gli abitanti della C suite. “Ultimamente sono emersi attacchi di caccia alle balene , che prendono di mira individui di alto valore”, afferma Ricardo Villadiego, fondatore e CEO della società di test di sicurezza Lumu. “I dirigenti senior devono creare nuovi protocolli sulla privacy dei dati. Dirigenti e dipendenti di livello senior dovrebbero essere incoraggiati a utilizzare le restrizioni sulla privacy sui social media. Dovrebbero assicurarsi di eliminare o ridurre al minimo le informazioni personali dai profili pubblici nel miglior modo possibile, evitando facili informazioni segnali come compleanni e luoghi regolari che possono essere sfruttati negli attacchi”.
Nel complesso, la trasparenza può essere una virtù, ma le aziende dovrebbero essere consapevoli del fatto che qualsiasi informazione che mettono online può essere utilizzata da questo tipo di truffatori mascherati da dipendenti o insider informati. “Esamina le informazioni pubblicamente disponibili che potrebbero essere sfruttate in un attacco contro la tua azienda”, esorta Adam King, Direttore di Sentrium, un’azienda che offre valutazioni della sicurezza informatica e test di penetrazione . “Controlla il tuo sito Web, i social media e persino i profili dei dipendenti. I tuoi annunci di lavoro contengono specifiche sulle tecnologie utilizzate dalla tua organizzazione?”
In un’altra nota, abbiamo parlato molto dell’e-mail, ma vale la pena tenere presente che i canali di comunicazione relativi al business stanno proliferando rapidamente e i phisher possono usarli tutti e sia gli utenti che l’IT devono esserne consapevoli. “Gli ambienti di comunicazione aziendale sono sempre più complessi poiché ora includono chat, collaborazione, e-mail e social”, afferma Chris Lehman, CEO di SafeGuard Cyber. “Gli attori delle minacce sanno che questa complessità è una sfida per i team di sicurezza e ne stanno approfittando. È probabile che gli attacchi di phishing di oggi abbiano origine nei social media o in un’app di messaggistica così come nelle e-mail. Dovresti valutare l’uso aziendale per tutti canali di comunicazione, per reparto. Comprendere come viene utilizzato il canale, quali dati lo attraversano e come viene fornito. Ad esempio,
7. Utilizzare gli strumenti e le tecnologie giusti per prevenire il phishing
Naturalmente, l’ideale sarebbe che i tuoi utenti non ricevano mai e-mail di phishing. Anche se questo è un obiettivo impossibile, puoi ridurre i numeri, afferma Dave Hatter, direttore della crescita aziendale presso il fornitore di servizi IT gestiti Intrust IT. “Utilizzare una buona soluzione di prefiltraggio e-mail, che funzioni prima che lo spam raggiunga il server di posta”, suggerisce, raccomandando l’elenco di Gartner come punto di partenza. Per coloro che utilizzano Microsoft 365, consiglia Microsoft 365 Advanced Threat Protection per fornire filtri aggiuntivi.
L’implementazione dell’autenticazione a più fattori (MFA) dovrebbe essere scontata, poiché ostacola un phisher che riesce a indurre qualcuno a rinunciare al proprio nome utente e password dall’accesso alle reti aziendali. Ray Canzanese, Threat Research Director di Netskope, suggerisce altri strumenti che estendono questa protezione. ” Accesso unico(SSO) significa che devi abilitare l’autenticazione a più fattori in un’unica posizione e applicarla a tutti i tuoi servizi”, afferma. “Un Secure Web Gateway (SWG) può bloccare le pagine di phishing, utilizzando una combinazione di informazioni sulle minacce, firme, euristiche e persino l’apprendimento automatico per identificare e bloccare le pagine di phishing in tempo reale. Puoi configurare il tuo SWG per impedire agli utenti di inviare credenziali in luoghi sconosciuti. Se stai usando SSO, quel portale SSO è probabilmente l’unico posto in cui i tuoi utenti dovrebbero inserire le loro credenziali, quindi dovresti configurare una policy che impedisca che le credenziali vengano immesse altrove.”
Qui può essere utile anche un gestore di password . Non solo impedirà ai tuoi dipendenti di riutilizzare le password, ma riconosceranno anche quando sono finiti su una pagina di phishing falsa e non compileranno automaticamente le credenziali come farebbero su una pagina reale.
Esistono anche strumenti per disinfettare a fondo le e-mail prima che arrivino nelle caselle di posta degli utenti e dovrebbero essere utilizzati, afferma Benny Czarny, fondatore e CEO della società di sicurezza informatica OPSWAT. “Utilizzare la tecnologia multiscanning per scansionare e analizzare tutti i file scaricati nella rete dell’organizzazione”, consiglia. “Nessun motore antivirus singolo è in grado di rilevare il 100% delle minacce in ogni momento. Utilizzando più motori antivirus per scansionare le e-mail, le organizzazioni possono aumentare le possibilità che una nuova minaccia venga rilevata e mitigata rapidamente. Per i file sconosciuti, la scansione dinamica sandbox può rilevare comportamenti dannosi E una soluzione di disinserimento e ricostruzione dei contenuti, nota anche come sanificazione dei dati, abbatterà e ricostruirà completamente i file potenzialmente pericolosi, eliminando gli oggetti non sicuri nel processo preservando l’usabilità ”.
Se vuoi prendere sul serio la neutralizzazione delle e -mail di phishing, Jon DiMaggio, Chief Security Strategist di Analyst1, ha un suggerimento potenzialmente impopolare: consentire solo e-mail di testo normale e limitare i tipi di allegati per bloccare le estensioni non essenziali per l’azienda. “Raramente è necessario inviare tramite e-mail un eseguibile o un file RAR”, spiega. “E l’e-mail di testo normale rimuove la possibilità per un utente di fare clic su un collegamento dannoso o di eseguire uno script all’apertura dell’e-mail e media molte altre tattiche utilizzate negli attacchi di phishing”.
8. Semplifica l’identificazione delle email legittime
Se disponi di criteri e strumenti che consentono ai dipendenti di riconoscere più facilmente i messaggi di phishing, sei all’avanguardia. “Contrassegna le email non inviate dal dominio aziendale come ‘Esterno'”, afferma Tony Anscombe, chief security evangelist di ESET. “Questo è un avvertimento visivo per l’utente di essere più vigile ed è una vittoria facile per il team IT aziendale”. Ciò è particolarmente utile quando le e-mail provengono da domini di typosquatting simili e possono sembrare a prima vista come messaggi interni.
Naturalmente, è molto più difficile per i dipendenti fiutare e-mail false se un vero indirizzo di qualcuno che conoscono compare nel campo “Da:”, che un hacker intelligente può ottenere tramite lo spoofing e-mail , afferma Sentrium’s King. “Assicurati che i record DNS (Domain Name Systems ) siano impostati correttamente per prevenire lo spoofing”, esorta.
Kfir Azoulay, Head of Cyber ​​​​Threat Response presso il fornitore di servizi di sicurezza gestiti CYREBRO, suggerisce altri strumenti relativi al DNS. “I dipartimenti IT aziendali dovrebbero implementare servizi di autenticazione DNS come i protocolli Domain-based Message Authentication, Reporting and Conformance (DMARC), DomainKeys Identified Mail (DKIM) e Sender Policy Framework (SPF) per determinare se un’e-mail è stata inviata da un dominio specifico è legittimo o fraudolento. L’implementazione può essere eseguita in qualsiasi momento, in modo semplice ea basso costo per dominio, senza alcun addebito e fino a poche decine di dollari al mese per l’organizzazione media”.
Un’altra soluzione per fiutare e-mail minacciose è “integrare il sistema di posta dell’organizzazione con un feed di intelligence per creare una lista nera e impedire la ricezione di e-mail da una fonte dannosa”, afferma Azoulay. “È quindi possibile risalire a un messaggio di posta elettronica per visualizzare i salti tra i server. Quando l’IP dannoso corrisponde a quelli della lista nera, l’e-mail dovrebbe essere considerata non valida”.
9. Avere un piano per rispondere a un phishing riuscito
Sebbene l’IT possa giustamente lamentarsi del fatto che i dipendenti incapaci siano vittime di truffe di phishing, Sean D. Goodwin, Manager del team di consulenza e garanzia IT di Wolf & Company, PC, sottolinea che in definitiva l’IT deve assumersi l’onere di proteggere l’azienda. “Gli utenti finali non sono esperti di sicurezza e dovresti smettere di aspettarti che lo siano”, afferma. “Il team di sicurezza non dovrebbe aiutare il team di contabilità a chiudere i libri contabili ogni mese. Ci si aspetta che tu segua i processi previsti per l’invio delle spese aziendali, come annotazioni/commenti corretti e per farli inviare in tempo. Il resto spetta a contabilità . Allo stesso modo, l’IT dovrebbe aspettarsi che i dipendenti conoscano le politiche e le procedure, in particolare come contattare la sicurezza. Tutto il resto è responsabilità del team di sicurezza”.
E anche se segui tutti i consigli in questo articolo, è probabile che alla fine verrai violato e devi essere preparato per ciò che verrà dopo. “Purtroppo, ci sono sempre dei dipendenti che si innamorano delle e-mail di phishing, anche se i team IT hanno implementato la migliore formazione e prevenzione che i soldi possono comprare”, afferma Sally Vincent, Senior Threat Research Engineer presso LogRhythm. “È fondamentale che questi team dispongano di un piano in atto per rispondere agli utenti che subiscono phishing. Rispondere a un phishing riuscito è un esercizio da tavolo realistico su cui i team di sicurezza possono lavorare”.
Fonte : https://www.csoonline.com/
