Nel contributo che vi proponiamo qui di seguito, David Higgins, Sr Director Field Technology Office, CyberArk, ci spiega perché, contro il phishing, è inutile cercare di controllare ogni clic dei propri dipendenti in azienda.
Scopriamo perché.
I cybercriminali lavorano sodo per sviluppare nuove tecniche utili a ingannare gli utenti e farli cadere nelle loro trappole di phishing. È un fenomeno in costante crescita ed evoluzione, con minacce che arrivano via email, messaggi di testo e vocali sui dispositivi mobili e tramite canali di comunicazione personali, sfruttando ogni mezzo, come link a siti pericolosi, QR code fasulli e altro ancora… ma se qualcuno clicca dove non dovrebbe e l’attacco di phishing causa una violazione dei dati, chi è il vero responsabile?
La contraddizione del phishing
Nel mondo fisico, siamo abituati a visualizzare cartelli e messaggi che ci invitano a fare attenzione a eventuali comportamenti pericolosi – pensiamo ad esempio agli avvisi sulla possibile presenza di borseggiatori in stazione. Questo mira ad alzare il livello di attenzione degli individui, ma non ci si può certo aspettare che i cittadini si trasformino in vigilanti.
Tuttavia, nel mondo digitale, i singoli dipendenti (di solito al di fuori del dipartimento di sicurezza IT) sono diventati la prima linea di difesa contro il phishing e vengono sommersi da indicazioni contraddittorie di “cliccare questo, non quello”. Ad esempio, è il caso del responsabile delle risorse umane che deve esaminare i curricula che arrivano quotidianamente tramite email, applicazioni web e social media o del dipendente che riceve regolarmente email, presumibilmente dall’IT, che lo istruiscono a cliccare sui link per rivedere le policy aziendali o scaricare gli aggiornamenti software richiesti.
È ragionevole aspettarsi che questi utenti valutino ogni allegato e link, individuando quelli pericolosi, ogni volta con il 100% di precisione? E se un dipendente cade nella trappola del phishing, ma se ne accorge troppo tardi, potrà segnalarlo con fiducia o cercherà di nasconderlo, imbarazzato o spaventato dalle potenziali conseguenze?
Contro il phishing la consapevolezza è solo il primo passo
La sicurezza è un gioco di squadra che riguarda tutti, di cui la formazione contro il phishing è elemento fondamentale, tanto che i responsabili di cybersecurity la ritengono uno dei componenti più efficaci di una strategia di difesa in profondità per combattere il ransomware. Numerose ricerche dimostrano che una formazione regolare sul phishing può fare la differenza e promuovere la mentalità da gioco di squadra. Insegnare agli utenti le conseguenze reali di un comportamento rischioso, come l’inoltro di email personali agli account aziendali, può anche aiutare a sfatare il mito che i team di security siano cinture di sicurezza onnipotenti, in grado di proteggere le persone da ogni possibile danno, indipendentemente dalla velocità con cui guidano. Ma l’educazione contro il phishing da sola non è sufficiente e le strategie di prevenzione focalizzate sulla responsabilità umana difficilmente avranno successo.
Cosa serve per fare clic senza paura?
I cybercriminali sono innovativi e troveranno sempre un modo per colpire, motivo per cui Zero Trust ha preso così piede. Questo approccio si basa sul presupposto che qualsiasi identità o endpoint possa essere compromesso e che tutti gli utenti, che lavorino nelle risorse umane, nel marketing, nella finanza, nello sviluppo o persino nel reparto IT, possono essere vittime di phishing.
Invece di cercare di controllare ogni clic, ci si deve concentrare sulla verifica di ciò che è effettivamente controllabile. Ad esempio, applicando ovunque un’autenticazione forte, praticando una buona igiene delle credenziali e seguendo costantemente il principio del minimo privilegio (per identità umane e non) al fine di evitare il furto di credenziali. Oppure implementando un elenco dei permessi e un controllo delle applicazioni per ridurre i download pericolosi.
Questo approccio alla sicurezza contro il phishing non consiste nell’attribuire un eventuale colpa a qualcuno, ma nell’enfatizzare la consapevolezza e mettere in atto adeguate difese a più livelli per individuare e bloccare rapidamente gli attaccanti. È nella natura umana cercare un colpevole. Quando ci accadono cose brutte, cerchiamo istintivamente delle ragioni esterne, anche da spettatori, desideriamo sapere “chi è stato”. È per questo che i report sulle grandi violazioni scatenano ondate di ipotesi, con l’errore umano che è una motivazione comune in azienda. Tuttavia, anche se il gioco delle colpe del phishing può aiutare a sentirci meglio, il rischio è di perdere di vista (o ignorare) il punto più importante. La colpa si riferisce alla responsabilità, la responsabilità è radicata nella fiducia e la fiducia intrinseca – in chiunque o in qualsiasi cosa – deve essere eliminata completamente dall’equazione della sicurezza moderna.