Cyber Security Hub Rapporto di mercato di metà anno 2022 ha rilevato che il 75% degli intervistati ha citato il social engineering e il phishing come la principale minaccia per la propria organizzazione. Questi risultati arrivano sulla scia degli avvertimenti di ricercatori come Check Point Research su come le tecnologie abilitate dall'intelligenza artificiale, come ChatGPT, possano essere utilizzate per creare e-mail di phishing convincenti.
L'ingegneria sociale è una tecnica di truffa insidiosa utilizzata perché funziona. Essere socialmente ingegnerizzati significa essere sfruttati utilizzando l'esatto comportamento che si usa quotidianamente. Poiché gli hacker capiscono come manipolare le persone a un livello di base, può essere difficile identificare gli attacchi. MetaCompliance illustra il processo necessario per garantire che i vostri dipendenti non siano vittime di un attacco di ingegneria sociale.
Tre passi per evitare gli attacchi di social engineering
Gli attacchi di social engineering La prevenzione, in tutte le sue forme, richiede processi e strumenti e dovrebbe essere considerata un approccio su più fronti. Esistono tre elementi fondamentali che, utilizzati insieme, contribuiscono a garantire che la vostra organizzazione e i vostri dipendenti siano pronti ad affrontare qualsiasi forma di social engineering utilizzata per effettuare un attacco alla sicurezza informatica:
- Strategie: integrare l'ingegneria sociale nella vostra strategia di sicurezza.
- Personalizzare: formare i dipendenti sulle minacce di social engineering che hanno maggiori probabilità di subire.
- Rapporto: Incoraggiate la segnalazione degli incidenti per migliorare la vostra risposta a un attacco che coinvolge l'ingegneria sociale.
Strategia: assicurarsi che la strategia di sicurezza rifletta gli attacchi del mondo reale
Gli attacchi di ingegneria sociale coprono molti scenari, dal phishing alla manipolazione delle relazioni fino alle versioni fisiche dell'ingegneria sociale come il "tailgating".pedinamento'. Spesso gli hacker utilizzano un mix di trucchi reali e digitali come parte di un sofisticato attacco alla sicurezza.
Le e-mail di spear phishing, ad esempio, possono essere molto difficili da individuare e sono spesso utilizzate come metodo popolare per ottenere l'accesso alle credenziali delle password o alle informazioni personali. Spesso questi attacchi in più fasi possono comportare il download di malware e creare un senso di urgenza per incoraggiare il destinatario ad agire senza riflettere.
Per garantire che la vostra organizzazione copra tutti questi scenari, costruite una strategia di sicurezza che includa misure di rilevamento, procedure di segnalazione degli incidenti di sicurezza, piani di risposta agli incidenti e modalità di esecuzione degli audit sulla sicurezza e sulla privacy.
La pianificazione strategica deve includere le modalità di mitigazione dell'impatto dell'ingegneria sociale, che consisterà in una formazione di sensibilizzazione alla sicurezza che comprenda giochi di ruolo sull'ingegneria sociale. Una volta messi in atto, la strategia di sicurezza e i piani di risposta devono essere regolarmente rivisti e aggiornati in base all'evoluzione del panorama delle minacce e alle nuove opportunità offerte dalla tecnologia e dai modelli di lavoro, come il lavoro a distanza.
Personalizzare la formazione di sensibilizzazione alla sicurezza
Svolgere sessioni di formazione sulla sicurezza con i dipendenti basate su minacce specifiche. Ciò significa che le sessioni di formazione vengono eseguite in base al ruolo del dipendente; i diversi ruoli dei dipendenti attirano tipicamente diversi tipi di attacchi di social engineering.
Ad esempio, le truffe BEC (Business Email Compromise) tendono a utilizzare l'ingegneria sociale per colpire il personale che lavora nella contabilità o i dirigenti di livello C, perché questi ruoli controllano le finanze aziendali.
Un recente rapporto di Abnormal Security che ha analizzato le minacce via e-mail ha rilevato che circa il 28% dei dipendenti presi di mira aprirebbe un messaggio di testo BEC; di coloro che aprono questi messaggi BEC, il 15% risponde, entrando così in contatto con il truffatore e aprendo la porta a un ulteriore social engineering.
Adattate il vostro Security Awareness Training per eseguire una formazione basata sui ruoli e incentrata sulle minacce principali. Utilizzate una piattaforma che offra modelli basati sui ruoli per le esercitazioni di simulazione di phishing. Create simulazioni di phishing e sessioni di formazione che si concentrino sul tipo di minacce che un singolo dipendente o reparto potrebbe subire.
Incoraggiare la segnalazione di incidenti di sicurezza
Il rapporto Abnormal Security ha inoltre rilevato che solo il 2,1% degli incidenti di sicurezza viene segnalato al team di sicurezza dell'organizzazione. Questo lascia un vuoto incolmabile nella capacità di rispondere rapidamente a un attacco in corso.
Poiché l'ingegneria sociale è spesso parte di una catena di eventi che portano a risultati come il furto di denaro o l'infezione da ransomware, avere un avviso precoce di un incidente in corso può fornire le informazioni necessarie per fermare l'attacco sul nascere e mitigarne i danni.
È essenziale fornire un modo per segnalare facilmente gli incidenti e coltivare un ambiente di non colpevolizzazione per incoraggiare la segnalazione degli incidenti da parte dei dipendenti. Le organizzazioni non dovrebbero affidarsi esclusivamente ai firewall o ai filtri antispam per prevenire questo tipo di attacchi.
Date invece ai vostri dipendenti la possibilità di segnalare un incidente informatico. La segnalazione di un incidente può contribuire ad alleviarne l'impatto, affidando la risposta a un dipendente esperto. È importante offrire ai dipendenti un luogo sicuro dove registrare i dettagli dell'incidente, ad esempio un portale dedicato alla segnalazione degli incidenti di sicurezza.
Utilizzando le informazioni sull'incidente inserite dal dipendente, il team di sicurezza è in grado di gestire l'incidente, stabilire le priorità di risposta e avviare i protocolli di sicurezza. Ad esempio, il sistema MetaCompliance MetaIncident è un sistema di gestione degli incidenti che include un registro degli incidenti per gestire i problemi. La possibilità di verificare le segnalazioni e le risposte agli incidenti e di generare report utilizzando i dati di un incidente di sicurezza è utile anche per dimostrare la conformità alle normative.
È probabile che l'ingegneria sociale continui a rappresentare una sfida per le organizzazioni. Le nuove tecnologie, come le interfacce abilitate all'intelligenza artificiale, permetteranno ai truffatori di costruire strumenti di social engineering ancora più sofisticati. Tuttavia, un'azienda può fermare questa insidiosa minaccia sviluppando programmi di formazione mirati e integrando la segnalazione degli incidenti nel lavoro quotidiano.
