Gli IT pros sottolineano l’importanza della security awareness

Digitree - Disruptive technologies for secure smart workers / Non categorizzato  / Gli IT pros sottolineano l’importanza della security awareness
security awareness

Gli IT pros sottolineano l’importanza della security awareness

L’ingenuità degli utenti può portare a costosi data breach, mettendo in rilievo l’importanza fondamentale della formazione alla security awareness. Scopri come gli strumenti di simulazione del phishing possono aiutarti.

Già una decina di anni prima delle sue indagini sul Russiangate, Robert Mueller consigliava gli Americani di PENSARE prima di cliccare. In un discorso del 2009 tenuto ad un convegno, l’allora direttore dell’FBI condivise una storia di duratura rilevanza, una di quelle storie che sottolineano l’importanza della security awareness per tutti, nell’azienda e non solo.

“Non molto tempo fa, il capo di una delle nostre agenzie ricevette un’email che dichiarava provenire dalla sua banca” raccontò Mueller agli astanti. “Sembrava perfettamente legittima e chiedeva di verificare alcune informazioni.”

L’ufficiale iniziò ad adempiere a quanto richiesto, continuò Mueller, prima di rendersi conto che era a soli pochi click dall’inviare dati personali riservati direttamente ai criminali informatici.

“Era una persona che spendeva gran parte della sua vita professionale ad allertare gli altri sui pericoli del cybercrime, eppure si è salvato per un pelo” proseguì Mueller, aggiungendo anche che il malcapitato avrebbe dovuto conoscere bene questi rischi. “Posso dirlo con certezza, perché ero io.”

Il direttore dell’FBI ha descritto questo avvenimento come un’esperienza educativa, scherzando sul fatto che sua moglie gli ha sospeso l’accesso all’home banking dopo questo fattaccio. Ma non tutti escono illesi da un attacco di phishing: un solo end-user che si fidi troppo può involontariamente costare ad un’organizzazione milioni di dollari a causa di pochi, innocenti click del mouse.

A seguito di un data breach avvenuto nel 2015 che ha compromesso 79 milioni di record di pazienti, per esempio, la compagnia di assicurazione statunitense Anthem Inc. ha dovuto pagare 115 milioni di dollari di risarcimento ai propri assicurati e 16 milioni per aver violato le direttive HIPAA. Stando a quel che si dice, gli attaccanti si guadagnarono l’accesso alla rete di Anthem ingannando un unico dipendente tramite un’email di phishing.

Di fatto, secondo il “2019 Data Breach Investigations Report” di Verizon, nel 2018 il 94% del malware è stato veicolato via email e un data breach su tre ha visto protagonista l’ingegneria sociale, ossia la manipolazione degli impiegati per ottenere informazioni, accesso o entrambe le cose, tipicamente tramite attacchi di phishing. L’importanza della formazione sulla security awareness sta nella sua capacità di creare negli utenti dei sistemi di allarme interni in modo che possano – come Mueller – fermarsi e riconsiderare ciò che sta accadendo prima di consegnare ai criminali informatici le chiavi del castello.

“Fondamentalmente vogliamo che la gente rifletta” dice Linda McGlasson, information security awareness leader presso Relativity, una compagnia di software ediscovery. “Non vogliamo che clicchino indiscriminatamente.”

Ed aggiunge che il valore di una formazione continua sulla security awareness surclassa di molto le tipiche sessioni one-shot che molte imprese offrono durante le sessioni di onboarding dei nuovi impiegati.

“Dobbiamo sviluppare quel nostro muscolo mentale” continua Linda. “Se andiamo in palestra una volta all’anno, non possiamo aspettarci di avere la ‘tartaruga’. Si tratta di duro lavoro.”

Tastando il terreno: la pratica ci rende perfetti

Come membro del team di Relativity dedicato alla cybersecurity – noto come Calder7 – Linda ha collaborato a sviluppare una strategia di security awareness multifattoriale che pone la priorità sull’apprendimento continuo per tutti gli impiegati.

In primo luogo, i neo-assunti imparano quelle che sono le policy e le buone pratiche della compagnia tramite video creati in-house, e leggono e sottoscrivono la policy relativa ad un uso accettabile della rete aziendale.

Il team di sicurezza condivide anche rilevanti contenuti educativi, aggiornamenti aziendali e news sulla sicurezza tramite sia  canali Slack dedicati che la newsletter mensile dell’azienda.

“Mettere di fronte alle persone questo tipo di informazione e stabilire continuamente delle aspettative aiuta davvero,” afferma Linda.

Inoltre, è stata aggiunta una funzionalità di ‘phish report’ all’applicazione email di Relativity, che permette ai dipendenti di segnalare in modo facile ed efficiente possibili truffe. Un impiegato può cliccare sul bottone per inoltrare automaticamente un messaggio sospetto al team di sicurezza per  l’analisi e l’incident response. “Se sei in dubbio, inoltra” incoraggia Linda.

Relativity ha anche lanciato un programma di simulazione per la security awareness che valuta la capacità dei dipendenti di individuare messaggi sospetti durante il test. Lavorando assieme allo stesso vendor che fornisce a Relativity il software di email filtering, Linda e il suo team progettano campagne di phishing simultato basate su esempi recenti di truffe reali, affermando che già alla terza simulazione il tasso di fallimento globale – la percentuale di destinatari che cliccano sui link malevoli – cala drasticamente.

“Otteniamo anche parecchie centinaia di persone che notificano le email grazie al piccolo phish button, il che è davvero eccellente” aggiunge Linda.

Prendi e lascia: evita il ‘ti ho beccato!’

Nicholas Davis, CISO del sistema universitario del Wisconsin, ha iniziato un programma simile al’università di Wisconsin-Madison (UWM) nel 2011. Una prima, semplice campagna di phishing utilizzando un’email che pareva provenire da un ‘principe nigeriano in angoscia’ ha totalizzato un tasso di click di appena lo 0.2%, un indicatore promettente che il programma di formazione base alla security awareness stava funzionando.

bucky badger cookies - Google Search | Badgers | PinterestPassando ad un messaggio più sofisticato, un’email in cui compariva l’immagine di Bucky Badger, la mascotte di UWM, invitava gli utenti a verificare l’integrità delle proprie password utilizzando uno strumento online chiamato “Bucky Badger Password Strength Checker.” In questa campagna, il tasso di click è schizzato al 18%. Un’altra simulazione di phishing, una finta email di UPS con un link per il tracking, ha convito il 21% a rispondere.

“E’ un istinto umano cliccare su queste cose, e talvolta è assolutamente buono”, sostiene Nicholas. Quegli utenti che ricevono spedizioni da parte di UPS per il loro lavoro, ad esempio, potrebbero essere particolarmente vulnerabili a quest’ultimo tipo di campagne di phishing.

I link delle simulazioni portavano gli utenti a pagine web che avevano lo scopo di educare, contenenti consigli su come evitare di cadere preda di truffe simili in futuro. Significativamente, offrivano anche rassicurazione sul fatto che nessun danno sarebbe derivato agli impiegati per aver cliccato sull’email: non sarebbero stati identificati singolarmente o puniti in alcun modo.

“Quando effettui questo tipo di test con gli utenti, non lo devi considerare come un’opportunità per fregarli o metterli in ridicolo,” afferma Nicholas. “Facendo ciò si genererebbe soltanto ostilità nel proprio ambiente di lavoro. Vuoi che imparino dall’esperienza, che si sentano bene e che proseguano sapendo che fanno parte di una squadra.”

Dopo le prime campagne, aggiunge Nicholas, le persone sembravano davvero cominciare a divertirsi nella sfida di riconoscere ed ignorare le email di phishing simulato. Il programma, esteso a tutto il sistema universitario del Wisconsin, ha rafforzato globalmente il morale della facoltà e dello staff.

“Gli impiegati hanno maggiore fiducia in se stessi ora,” dice Nicholas. “Complessivamente, aiuta a creare maggiore tranquillità in tutta l’istituzione. E ci ha risparmiato tonnellate di tempo e denaro in termini di prevenzione degli incidenti causati dal malware. “

Formazione continua, apprendimento continuo

Le simulazioni di phishing a scopo educativo hanno il valore aggiunto di generare dati specifici di una data compagnia che risultano utili a strutturare future iniziative di security awareness training. Linda, per esempio, ha scoperto che la percentuale di click era più alta se le email venivano lette dal proprio cellulare. Come risposta, lei e il suo team stanno ora preparando un nuovo insieme di materiali mobile-specific.

Il report Verizon sui data breach suggerisce analogamente che smartphone e tablet potrebbero rendere gli utenti più vulnerabili agli attacchi di phishing, rappresentando il 18% dei click nelle campagne simulate in base ai dati aggregati di molteplici vendor di programmi per il security awareness training. Per massimizzare la user experience, i sistemi operativi e le app mobili spesso mostrano le email in modo semplificato, con elementi ‘azionabili’ bene in vista, come rispondi, invia, ecc., rendendo più difficile esaminare un messaggio sospetto e, allo stesso tempo, più facile interagire con esso. Il report aggiunge che le ridotte dimensioni dello schermo e la distrazione degli utenti contribuiscono analogamente ad un tasso di fallimento relativamente alto.

Complessivamente, tuttavia, Verizon ha riscontrato che i click sulle simulazioni di phishing sono diminuiti al 3% nel 2018 contro il 25% del 2012. Nonostante ciò, Nicholas Davis sottolinea l’importanza fondamentale della formazione alla security awareness anche quando il numero di utenti consapevoli aumenta.

“Deve esserci un rafforzamento continuo” sostiene. “Le persone tendono a dimenticare e ritornare alle vecchie abitudini, e quindi devi farlo in modo continuo – una volta al mese, una volta ogni sei settimane, o quando possibile – e accertarti di tenere la security awareness sempre al primo posto nella mente delle persone.”

E aggiunge poi che se è vero che alcuni messaggi possono attirare maggiormente certe categorie di utenti piuttosto che altre – quelli del reparto di contabilità o amministrativo, per esempio – le simulazioni dovrebbero comunque mettere alla prova tutti gli impiegati.

“Rivedendo i risultanti delle campagne degli ultimi otto anni, nessun gruppo risulta più vulnerabile degli altri agli attacchi di phishing” afferma.

Dopo tutto, aggiunge Linda McGlasson, se può succedere al direttore dell’FBI, può succedere a chiunque. “Ognuno di noi è un potenziale obiettivo,” conclude.

Vuoi saperne di più su come insegnare ai tuoi utenti ad evitare i pericoli del phishing e dell’ingegneria sociale in generale? Scopri KnowBe4, la più completa piattaforma di formazione, chiedendo una demo a questo link:

https://info.knowbe4.com/one-on-one-demo

o, contattando DigiTree.

Articolo in lingua originale: https://searchsecurity.techtarget.com/feature/IT-pros-stress-importance-of-security-awareness-training

No Comments
Post a Comment