Technology

Stop al Mail-Phishing: Automazione e Fattore Umano

Daman contro il mail Phishing

Gli attacchi di Mail-Phishing sono sempre più diffusi e soprattutto dannosi per le organizzazioni pubbliche e private che ne diventano vittima. La sfida da affrontare è da un lato far fronte ad attacchi Cyber sempre più efficaci e efficienti, dall’altro contrastare l’ingenuità degli utenti finali che tendono a cadere nel tranello con relativa facilità. Per queste ragioni Gruppo Daman affronta questa sfida agendo sulle tecnologie di difesa, con una proposta che consente di automatizzare le attività ripetitive del SOC e sul fattore umano, con percorsi formativi per accrescere la consapevolezza degli individui sui rischi Cyber.


Indice degli argomenti:

Mail-Phishing
Come difendersi
Technologie di difesa: Automazione e orchestrazione del SOC con Demisto
Il Fattore Umano
Cyber Security Awareness: le soluzioni Cyber Guru
 

Mail-Phishing senza freni

Gli attacchi di Mail-Phishing sono sempre più diffusi e frequenti. Almeno il 90% delle violazioni subite dalle organizzazioni vengono innescate da una mail di Phishing e da un comportamento incauto da parte di un dipendente.

Questo tipo di attacchi risultano anche essere tra i più dannosi per organizzazioni pubbliche e private, senza riguardo per la loro dimensione. Il potenziale danno finanziario che ne può derivare è particolarmente elevato.

Rispetto agli attacchi di Mail-Phishing esiste oggi una forte asimmetria tra le capacità di attacco del Cyber Crime e le capacità delle organizzazioni di proteggersi. Gli attaccanti sfruttano automazione e machine learning, per rendere i loro attacchi sempre più efficaci, facendo leva su volumi, performance e messaggi sempre più sofisticati.

Chi è chiamato a difendere le organizzazioni deve quindi fare fronte sia agli attacchi Cyber sempre più efficaci e efficienti, sia all’ingenuità degli utenti finali che tendono a cadere nel tranello con relativa facilità e a diventare “agenti inconsapevoli” del Cyber Crime. Sono proprio gli utenti finali, con i loro click, ad aprire “la porta” di accesso ai sistemi delle organizzazioni, vanificando tutte le strategie di sicurezza messe in piedi dagli specialisti della Cyber Security.

Una volta che l’attacco si è innescato, per gli analisti di sicurezza risulta particolarmente oneroso affrontare questa sfida ed organizzare la risposta. In modo particolare per la questione legata ai volumi e alle performance con cui questi attacchi vengono eseguiti. Difficile poter reagire efficacemente con un approccio “manuale” ad attacchi che vengono portati avanti con strumenti sempre più automatizzati, e con l’utilizzo di tecniche di machine learning.

Come difendersi

La maggior parte delle organizzazioni ha reso disponibile ai propri utenti una casella comune dove indirizzare le “mail sospette”. Peccato che con l’aumento dei volumi di mail “sospette” diventa quasi impossibile per gli analisti della sicurezza mantenere il “passo”. Senza contare che in caso di attacchi massivi il numero di mail “incriminate” aumenta drammaticamente .

E’ quindi necessario che ogni organizzazione si doti di soluzioni innovative in grado di contrastare efficacemente le capacità di attacco del Cyber Crime. Soluzioni in grado di disinnescare quella che oggi è una pericolosa minaccia che incombe sullo stato di salute di tutte le organizzazioni.

Oggi il Gruppo Daman affronta questa sfida agendo su due livelli:

  • sulle tecnologie di difesa, con una proposta che consente di automatizzare le attività ripetitive del SOC;
  • sul fattore umano, il principale punto di vulnerabilità rispetto a questa tipologia di attacchi.

Technologie di difesa: Automazione e orchestrazione del SOC con Demisto

Sul piano tecnologico il Gruppo Daman ha scelto il partner Demisto. Demisto con le sue innovative soluzioni è in grado di dotare gli analisti di sicurezza che operano nel SOC di una tecnologia all’altezza della sfida, una tecnologia che consente di orchestrare e automatizzare le operazioni di analisi e di reazione agli attacchi.

Demisto Enterprise è la piattaforma di automazione e orchestrazione del SOC, che consente di implementare procedure automatiche, i playbook, specificatamente progettate per rispondere efficacemente agli attacchi di mail phishing.

Mail Phishing Playbook

Si tratta di playbook in grado di eseguire alla velocità della macchina le operazioni ripetitive tipicamente a carico degli analisti del SOC, con lo scopo di:

  • identificare le minacce;
  • eliminare i falsi positivi;
  • attivare il SOC per una pronta risposta che possa essere applicata su larga scala.

Utilizzando automazione e orchestrazione, Demisto Enterprise è in grado di supportare gli analisti di sicurezza che operano nel SOC. Automatizzando tutte le operazioni ripetitive, Demisto permette agli analisti di concentrare la loro attenzione su aspetti di tipo qualitativo, dove la capacità umana rimane un fattore decisivo e insostituibile.

L’intervento di Demisto Enterprise può essere sintetizzato in:

  • Acquisizione;
  • Arricchimento;
  • Risposta.

 

Acquisizione

Demisto è in grado di acquisire le mail sospette da una numerosa varietà di fonti di rilevamento, come ad esempio gli strumenti di SIEM e di logging.

Demisto è anche in grado di analizzare, alla velocità della macchina, tutte le mail che vengono indirizzate sulla “casella comune”, attivando uno specifico playbook, che esegue tutti i passaggi necessari per identificare le mail di Phishing e organizzare la risposta.

 

Arricchimento

Per mantenere aggiornati gli utenti finali, il playbook invia una mail automatica all’utente interessato, informandolo del fatto che è stata attivata l’analisi del messaggio sospetto.

Successivamente il playbook esegue il triage, osservando tutti gli “ingredienti” della mail, come titolo, indirizzi, link, allegati […]. A quel punto il playbook si occupa di determinare e assegnare la gravità dell’incidente, confrontando questi dettagli con i database delle minacce esterne. Successivamente, il playbook estrae gli indicatori di compromissione (IoC) dalla mail, verificando la presenza di eventuali “alert reputazionali”. Questa operazione viene eseguita interloquendo automaticamente con gli strumenti di intelligence delle minacce utilizzati dal SOC.

Una volta completato questo arricchimento, il playbook sulla base degli IoC rilevati, passa ad organizzare il tipo di risposta, scegliendo il ramo procedurale adeguato.

Mail Phishing - Playbook di arricchimento

 

Risposta

I diversi rami del playbook vengono eseguiti a seconda degli indicatori di compromissione rilevati nella mail sospetta. Se sono stati rilevati IoC, il playbook invia una mail all’utente interessato con ulteriori istruzioni. Il playbook esegue inoltre la scansione di tutte le cassette postali dell’organizzazione per identificare ed eliminare altre istanze di tali mail, con il fine di evitare ulteriori danni. Infine, il playbook aggiunge gli IoC dannosi alle blacklist/watchlist degli altri strumenti utilizzati dal SOC.

Se non sono stati rilevati indicatori di compromissione, il playbook attiva altri rami che servono a determinare con maggiore precisione se la mail possa essere effettivamente considerata innocua. Il playbook controlla se ci sono degli allegati e li fa “detonare” in una sandbox per effettuare ulteriori analisi. Se le analisi non generano alcun allarme, il playbook attiva gli analisti per dare loro modo di effettuare un’indagine qualitativa. Se anche gli analisti confermano che non si tratta di una mail dannosa, il playbook invia una comunicazione all’utente interessato, informandolo del falso allarme.

Per saperne di più su Demisto Enterprise…

Il Fattore Umano

Il secondo livello affrontato da Gruppo Daman è quello del Fattore Umano. Per ridurre la dannosità del fenomeno di Mail-Phishing è infatti necessario agire sul fattore umano.  Questo significa aumentare la consapevolezza degli utenti finali rispetto a questa grave minaccia. Agire solo sul piano tecnologico oggi non è più sufficiente. Ogni soluzione tecnologica rischia di venire vanificata dai comportamenti inconsapevoli degli utenti finali, che ignari tendono a cadere nelle trappole e ad eseguire le azioni dannose “suggerite dai criminali cyber”. Un fenomeno sempre più in aumento visto anche il livello di sofisticazione raggiunto all’interno dei testi delle e-mail.

La situazione da questo punto di vista è drammatica: tutte le organizzazioni che mettono in campo procedure di ethical phishing, per testare la vulnerabilità dei propri utenti rispetto al fenomeno phishing, rilevano dei “click-rate” eccessivamente elevati, rispetto ai quali è difficile pensare di organizzare qualsiasi forma di difesa.

Se oltre il 50% degli utenti destinatari di una mail di Phishing, clicca sul link o sull’allegato potenzialmente dannoso, le capacità di difesa si riducono drasticamente e la violazione diventa una realtà con cui confrontarsi. Usando una metafora, possiamo affermare che è inutile “blindare” la propria casa con i migliori sistemi antifurto, se poi, a causa di comportamenti inconsapevoli, spalanchiamo costantemente la porta al ladro.

Ogni organizzazione deve quindi porsi il problema di aumentare la consapevolezza dei propri dipendenti, con programmi di Cyber Security Awareness, in grado di trasformare gli utenti, in agenti attivi della Cyber Security.

Cyber Security Awareness: le soluzioni Cyber Guru

Il Gruppo Daman, con la sua consociata Cyber Academy Italia (www.cyberacademyitalia.it), hanno sviluppato la linea di prodotti Cyber Guru (www.cyberguru.it) con lo scopo di aumentare il livello di sicurezza degli individui e delle organizzazioni, agendo sul fattore umano. Le soluzioni Cyber Guru si rivolgono, grazie a percorsi di apprendimento educativi e stimolanti, a tutti coloro che all’interno di un’organizzazione non ricoprono ruoli specialistici in ambito Cyber Security.

In modo particolare i prodotti Cyber Guru raggiungono i seguenti obiettivi:

  • aumentare la consapevolezza degli individui rispetto ai rischi che si corrono nell’interazione con le tecnologie digitali e con il WEB;
  • influenzare i comportamenti degli individui, per renderli adeguati alle necessità di protezione delle organizzazioni e alle sfide imposte dall’evoluzione del crimine informatico.

Cyber Guru è una linea di prodotti completamente progettata in Italia, basata su metodologie di formazione che vengono costantemente adattate a fronte dei risultati della collaborazione con il Dipartimento di Scienze della Formazione dell’Università Roma 3. Si tratta di prodotti formativi vendor indipendent, focalizzati in modo esclusivo sul fattore umano.

 

Le soluzioni Cyber Guru

La linea di soluzioni Cyber Guru è stata progettata seguendo tecniche avanzate di formazione, con la finalità di stimolare la fruizione dei contenuti e facilitarne la loro comprensione.

Le soluzioni proposte sono tre:

  • Cyber Guru Enterprise, un sistema integrato di e-Learning che consente di coinvolgere tutta l’organizzazione in un percorso di apprendimento educativo e stimolante.
  • Cyber Guru Phishing, un sistema di e-training, focalizzato sul Phishing, che risulta molto efficace grazie alla sua particolare metodologia di training on the job.
  • Cyber Guru News, un servizio regolare di informazione, costituito da due tipologie di pubblicazioni elettroniche, che vengono gestite in modalità “push”.

 

Cyber Guru Enterprise

Cyber Guru Enterprise è un innovativo sistema di e-learning pensato specificatamente per il personale non-specialistico delle organizzazioni pubbliche e private. Il primo sistema progettato interamente in Italia, che si fonda su metodologie di formazione che tengono conto delle modalità di apprendimento digitale che risultano maggiormente efficaci in Italia.

L’obiettivo è quello di generare una competizione virtuosa che, agendo sulla consapevolezza di ogni singolo membro dell’organizzazione, quindi sulla sua capacità di riconoscere minacce potenziali e di adottare comportamenti corretti, riduce l’esposizione dell’individuo, con riflessi positivi sulla sua dimensione personale, e dell’organizzazione al rischio di subire attacchi dannosi. Cyber Guru Enterprise è rivolto a tutte quelle organizzazioni che vogliono aumentare il livello di Cyber Awareness dei propri dipendenti attraverso un percorso che ha alcune caratteristiche che lo rendono unico.

Cyber Guru Enterprise

Cyber Guru Enterprise è stato progettato per coinvolgere tutta l’organizzazione in un percorso di apprendimento che si caratterizza per un approccio “a rilascio costante e graduale”:

  • la formazione impegna il partecipante per pochi minuti a settimana, ma con un percorso diviso in annualità, che mantiene elevata l’attenzione del partecipante ogni qualvolta interagisce con le tecnologie digitali;
  • tutte le lezioni sono disponibili in formato multimediale, con la possibilità di fruire dei contenuti sia in formato video sia in formato testuale;
  • il linguaggio utilizzato risponde a un criterio divulgativo, focalizzato sul personale non specializzato sulla Cyber Security;
  • ogni lezione è corredata da test di valutazione del livello di apprendimento;
  • il corso usa una metodologia di GAMIFICATION, corredata da premi e riconoscimenti, che stimola l’apprendimento e premia l’eccellenza;
  • è prevista un’organizzazione in team che da luogo ad una competizione tra team diversi
  • ogni modulo formativo è auto-consistente perché affronta un argomento critico.

Per le sue caratteristiche e i contenuti formativi, Cyber Guru Enterprise rientra nei programmi di formazione obbligatoria previsti dal nuovo regolamento europeo GDPR e dalla Direttiva NIST.

Ogni elemento di Cyber Guru Enterprise e’ stato progettato e realizzato per massimizzare l’efficacia del contributo formativo, minimizzando l’effetto dispersivo e sostanzialmente annullando i costi di gestione. Questo aspetto porta Cyber Guru Enterprise ad essere la piattaforma di Cyber Security Awareness più efficiente sul mercato: “massimo risultato formativo con il minor impatto organizzativo ed economico”.

Per saperne di più su Cyber Guru Enterprise…

Per richiedere un accesso demo gratuito di Cyber Guru Enterprise…

 

Cyber Guru Phishing

Cyber Guru Phishing è una soluzione innovativa, in funzione AntiPhishing, che produce risultati efficaci grazie alla sua particolare metodologia di training on the job e alle caratteristiche di automazione e machine learning. Rivolto al personale non specialistico delle organizzazioni pubbliche e private, Cyber Guru Phishing consente di mantenere “allenate” due importanti caratteristiche difensive umane: la prontezza e la reattività.

Cyber Guru Phishing, basato sulla tecnologia leader CybeReady, si propone come la naturale integrazione ai programmi formativi della linea Cyber Guru, aumentando la reattività dell’individuo di fronte a questa tipologia di attacchi.

Considerando che i maggiori pericoli per la sicurezza delle organizzazioni sono “in agguato” nelle caselle e-mail dei loro dipendenti e collaboratori, le simulazioni di attacco Phishing, messe in atto da Cyber Guru Phishing, “personalizzate” sulla base delle caratteristiche peculiari dell’organizzazione, preparano dipendenti e collaboratori a modificare i comportamenti e a reagire con prontezza ad attacchi inattesi, e quindi ad essere pronti a tutto.

Per saperne di più su Cyber Guru Phishing…