Quando si parla di attacchi informatici, l’errore umano è sempre in agguato. È infatti la causa del 95% di tutti gli incidenti che aziende e professionisti si trovano oggi a gestire. Un servizio di Security Awareness è progettato per educare e sensibilizzare il personale aziendale sul tema della sicurezza informatica. L’obiettivo è quello di ridurre i rischi causati dal fattore umano e proteggere i dati aziendali puntando sulla formazione e sull’informazione.
Fornire gli strumenti e le chiavi di lettura utili per applicare le buone pratiche di sicurezza informatica è essenziale. Si tratta di un aspetto cruciale nella prevenzione degli attacchi informatici.
Mettere a punto un piano sostenibile volto alla sensibilizzazione degli utenti aziendali sul versante della sicurezza informatica, può tuttavia rappresentare una vera sfida. I team SEC-OPS, ovvero i responsabili chiamati a gestire le operazioni di sicurezza all’interno di un’organizzazione, possono trovarsi a investire ingenti risorse e molto tempo per questa particolare attività.
Hornetsecurity Security Awareness Service: cos’è e come aiuta l’azienda a evitare attacchi e incidenti informatici
Hornetsecurity, uno dei più noti e apprezzati vendor di soluzioni per la sicurezza informatica, offre Security Awareness Service. Si tratta di un’innovativa piattaforma che si regge su tre pilastri principali: bencharking intelligente della consapevolezza degli utenti sui temi legati alla cybersecurity; e-training automatizzato e orientato alla domanda; simulazioni di attacchi spear phishing realistici e avanzati.
Benchmarking intelligente
ESI, Employee Security Index è un sistema di misurazione unico nel suo genere che gli ingegneri di Hornetsecurity hanno progettato e sviluppato per valutare il comportamento del personale aziendale e dei collaboratori. ESI aiuta a verificare con continuità come i dipendenti gestiscono gli aspetti legati alla sicurezza e orienta le esigenze individuali di formazione online.
E-training automatizzato
Con l’espressione “Automated and demand-driven e-training“, Hornetsecurity si riferisce a un approccio di formazione e-learning automatizzato: attività di registrazione, distribuzione dei materiali di formazione, valutazione delle prestazioni degli utenti e generazione di report. Security Awareness Service distribuisce infatti contenuti di apprendimento pertinenti, personalizzati in base alle esigenze dei dipendenti e gruppi di lavoro, in modalità completamente automatica.
Simulazione di attacchi spear phishing
Lo spear phishing è una forma avanzata di phishing che mira ad aggredire specifici professionisti e aziende. A differenza del phishing tradizionale, che prevede l’invio di email truffaldine su larga scala (“la pesca” avviene nel mucchio), lo spear phishing è altamente personalizzato e mirato.
Gli aggressori cercano di ottenere informazioni dettagliate sulle vittime per poi confezionare messaggi di phishing personalizzati che sembrano provenire da una fonte affidabile o familiare, come un collega, un dirigente aziendale o un’organizzazione di fiducia.
L’email di spear phishing viene progettata in modo tale da sembrare autentica e persuasiva, spingendo la vittima a fare clic su un link malevolo, a eseguire un’applicazione dannosa, a condividere informazioni riservate e così via. Gli attaccanti si servono di collaudate tecniche di ingegneria sociale per creare un senso di urgenza sfruttando appunto la mancanza di consapevolezza in materia di sicurezza informatica. La simulazione spear phishing di Hornetsecurity utilizza esattamente queste tecniche, comportandosi come farebbe un vero aggressore.
Lo Spear Phishing Engine messo a punto dai tecnici di Hornetsecurity utilizza un ampio ventaglio di modelli di email e di formule particolarmente efficaci al fine di preparare il personale aziendale e migliorare le loro competenze nel riconoscimento degli attacchi reali.
Protezione dai 7 livelli di spear phishing con Security Awareness Service
Si prendano in esame i seguenti scenari di spear phishing. Il fattore chiave della differenziazione proposta da Hornetsecurity è il tempo che un aggressore deve investire nella preparazione e nell’esecuzione della specifica tipologia di attacco. Essa prevede il reperimento di informazioni (OSINT), la preparazione tecnica, la copia dei design dei siti Web, la predisposizione dell’infrastruttura necessaria. Su queste basi, gli scenari di spear phishing possono essere suddivisi in sette categorie che richiedono diversi livelli di preparazione: Security Awareness Service addestra gli utenti lungo tutti i sette livelli.
Livello | Esempio | Tempo preparazione |
1 | Tipica email di phishing inviata in massa. Esempio: conferma di un ordine da parte di un noto portale di acquisti. | ~ 15 minuti |
2 | Email con cui l’aggressore si spaccia per un dirigente di alto livello (frode del CEO). | ~ un’ora |
3 | Messaggio di spear phishing che incorpora informazioni pubbliche sull’azienda. | ~ 2 ore |
4 | Comunicazione truffaldina facente riferimento al reparto o al ruolo del destinatario. Email proveniente da colleghi o dirigenti. | ~ 4 ore |
5 | Email fasulla proveniente da un partner commerciale che non ha attivato la protezione contro lo spoofing del mittente o il cui account è stato violato. | ~ 6 ore |
6 | Un partner commerciale o un collega ha subìto un attacco. L’email proviene da un contatto che risponde a una precedente conversazione. | ~ 12 ore
|
7 | Un messaggio spear phishing che fa riferimento a cose su cui il destinatario sta lavorando. Ad esempio un aggiornamento sullo stato di un progetto in corso di sviluppo. | > 20 ore
|
Spear Phishing Engine
Il già citato Spear Phishing Engine utilizza vari fattori di manipolazione psicologica, nonché dati aziendali disponibili pubblicamente e informazioni relative ai dipendenti per rendere la simulazione ancora più efficace. Ricalcando lo schema usato dagli aggressori online.
Il tutto serve per mettere alla prova i dipendenti e capire se sono o non sono in grado di riconoscere email truffaldine. Anche se si utilizzano sistemi centralizzati per la protezione della posta elettronica aziendale, è infatti fondamentale che i dipendenti siano formati per riconoscere le email di spear phishing.
Gli attacchi di spear phishing sono sofisticati, mirati e possono scavalcare i filtri di sicurezza. Un’adeguata formazione dei dipendenti li aiuta a identificare segnali sospetti, come richieste di dati riservati o l’utilizzo di link dannosi nel corpo dell’email. Il rischio di cadere nelle trappole tese dai criminali informatici, si riduce così in modo netto. Consapevolezza e preparazione consentono al personale dell’impresa di intraprendere azioni immediate volte a segnalare agli amministratori IT possibili attacchi e proteggere i dati aziendali.
Security Awareness Service: come tenere traccia dei progressi dell’azienda
Lo strumento Security Awareness Service di Hornetsecurity permette agli amministratori e ai vertici aziendali di tenere traccia dei progressi compiuti dal personale sul versante della sicurezza informatica. Attraverso un unico pannello di controllo, il servizio offre il monitoraggio in tempo reale di tutte le statistiche, l’accesso alla reportistica ESI con la previsione della tendenza per il futuro, gli strumenti per configurare e personalizzare il programma di formazione e sensibilizzazione.
Hub sicurezza
Hornetsecurity ha messo a punto una ricetta davvero azzeccata per assicurare la giusta “quantità di formazione” per tutti. Ogni utente aziendale riceve un programma formativo personalizzato che evita qualunque inutile eccesso. L’opzione Booster, egualmente fornita, consente agli utenti per i quali ve ne fosse l’effettiva necessità, di accedere a un percorso di formazione online più intensivo.
Attraverso l’Hub sicurezza di Security Awareness Service, Hornetsecurity offre un accesso centralizzato a tutti i contenuti di elearning. Fornisce inoltre una valutazione della simulazione di spear phishing per ciascun utente. Gli sviluppatori del servizio hanno optato per un approccio ludico. In questo modo l’utente è spinto a “dare il meglio di sé” sostenendo con particolare coinvolgimento quella che è a tutti gli effetti una competizione.
Per maggiori informazioni su Security Awareness Service, è sufficiente compilare il modulo di registrazione dal titolo inequivocabile ovvero “Rafforza il tuo firewall umano“, per richiedere una dimostrazione gratuita delle funzioni del servizio.