Nel mese europeo della cybsersecurity, Libraesva, vendor noto nel mondo della email security in Italia e all’estero, punta l’attenzione su un argomento estremamente delicato come quello del phishing, la minaccia informatica più diffusa che continua a mietere vittime nel mondo. Si tratta infatti della tecnica di attacco più utilizzata nelle violazioni di sicurezza.
Il phising agisce mediante l’invio di email contenenti link o allegati malevoli da parte di un soggetto che si finge una fonte affidabile, con lo scopo di ottenere dalla vittima informazioni riservate. Sempre più spesso, però, viene usato riferendosi anche ad altre tipologie di minacce informatiche, come il Business Email Compromise (BEC) o lo spear-phishing, che rientrano nella famiglia degli attacchi di ingegneria sociale, il cui punto di partenza è sempre l’utilizzo di una falsa identità per conquistare la totale fiducia del malcapitato e indurlo a compiere un’azione immediata come la condivisione di denaro o credenziali di accesso.
Sebbene si stia creando sempre più consapevolezza sul tema, il rischio di cadere in questa ‘trappola’ continua a essere molto elevato. Da qui la focalizzazione del vendor che ha creato intorno alla protezione e archiviazione della mail la propria ragion d’essere. In relazione al phishing, ne è nata una soluzione, denominata PhishBrain, lanciata lo scorso giugno, al fine di contribuire attivamente allo sviluppo di ‘awareness’ nei confronti di questa minaccia informatica.
Un'attività quella di creare consapevolezza e alzare il livello di informazione nei confronti delle tematiche relative alla sicurezza informatica che si confà a Libraesva, impegnata annualmente a redigere una parte del Rapporto Clusit, in cui ‘fotografa’ lo stato dell’arte del mercato italiano dell'email security.
Pensare e fare un percorso di awareness significa fornire ai dipendenti gli strumenti necessari per comprendere minacce, attacchi e rischi a cui sono esposti e innalzare, di conseguenza, il livello di protezione aziendale. Questo implica anche la comprensione dei punti deboli della psicologia umana e la conoscenza delle molteplici tecniche di attacco messe in atto dai criminali informatici.

Rodolfo Saccani, CTO di LibraesvaLa risposta Libraesva al phishing
E’ grazie a questo punto di osservazione privilegiato del vendor che nasce appunto PhishBrain, piattaforma Saas di simulazione del phishing, che, come spiega Rodolfo Saccani, CTO di Libraesva, agisce sul fattore umano, uno dei livelli più alti di protezione: “Il phishing rappresenta una problematica di sicurezza legata prettamente al fattore umano. Storicamante Libraesva si è focalizzata sulla parte di protezione perimetrale e ora aggiunge un ulteriore strato relativo a formazione, informazione e sensibilizzazione della persona; in sostanza il soggetto che riceve la mail colpita dal phishing.” E prosegue: “Il phishing risulta difficile da intercettare in relazione ai sistemi di protezione della posta elettronica; nessun sistema infatti è in grado di fare il 100% di cacth rate delle minacce, e quel poco che sfugge, in genere è rappresentato dal phishing che spesso riguarda le mail con una semantica pressoché identica a quella utilizzata nelle mail reali, non massive con caratteristiche di genericità ma mirate alle organizzazioni e alle singole persone”.
Da parte sua Libraesva conosce molto bene le minacce di phishing, le segue e ne vede l’evoluzione; quindi sa anche come anticiparle. Per questo le campagne inserite su PhishBrain, aggiornate costantemente, sono simili a quelle che ’stanno girando’ o quelle che andranno a girare nel giro di poco tempo: “Per esempio, di recente si è verificata l’interruzione di Facebook e di Whatapp; di fronte a ciò, Libraesva ha prontamente pubblicato una nuova campagna di phishing sul proprio portale che faceva riferimento a quell’outage, rendendola disponibile subito”.

Il lato umano della sicurezza
Libraaesva, di fatto, sta entrando nell’ambito ‘umano’ e lo fa grazie a questo servizio, mediante la simulazione di campagne di phishing: l’azienda può creare campagne da indirizzare ai dipendenti delle aziende utilizzatrici, molto realistiche, ossia del tutto simili a quelle reali capaci di fare leva sugli stessi meccanismi psicologici. Lo scopo è duplice: misurare il livello di preparazione degli utenti – quanti cascano nella trappola e quanti no e fino a che punto ci si casca, o ci si ferma ad avere aperto la mail e a cliccarci sopra, fino a inserire le proprie credenziali; sensibilizzare e formare – nel momento in cui si è cascati, si avvisa l’utente che si tratta di una campagna di ‘awareness’ relativa al phishing’. La fase di formazione successiva prevede l’utilizzo di video volti a spiegare all’utente i meccanismi principali a cui prestare attenzione per non ricascarci. A ciò si aggiunge la misurazione del progresso: essendo campagne che si possono ripetere nel tempo, il sistema tiene traccia di tutte le metriche ed è in grado di mostrare il miglioramento della situazione nell’organizzazione, campagna dopo campagna, sensibilizzazione dopo sensibilizzazione. Il reporting dettagliato permette infatti di tracciare le email che sono state aperte, i link che sono stati cliccati e se sono state inserite informazioni nei form della landing page fasulla. In questo modo sarà possibile avere statistiche di crescita del livello di awareness aziendale e identificare dipendenti e organizzazioni più vulnerabili, così da poter dedicare tempo alla loro formazione e sensibilizzazione.
Lo scopo è quindi fare campagne di phishing simulato per andare a misurare quanto le persone/utenti sono attrezzati per difendersi da queste campagne, e successivamente informare e formare, misurando i miglioramenti nel tempo. Per questo, come detto, è fondamentale che le campagne siano efficaci, simili a quelle reali in continua evoluzione: “Per esempio, le campagne di phishing associate alla pandemia hanno seguito fedelmente l’evoluzione delle normative e dei provvedimenti presi in quel periodo, stando cioè ‘sul pezzo’, tenendo il passo dei temi che attirano l’attenzione delle persone. Gli attaccanti hanno quindi approfittato della situazione psicologica, dei timori per l'emergenza sanitaria e delle incertezze sul futuro, sviluppando campagne a tema con notizie di stringente attualità: COVID-19, vaccini, impossibilità di collegarsi alle riunioni, rischio di perdita del posto di lavoro, nuove proposte lavorative e altro ancora. Alcuni attacchi sono facilmente smascherabili, altri sono una sfida anche per gli utenti più preparati e competenti, perché sviluppati secondo le più sofisticate logiche di social engineering.
È in questo contesto che le aziende si sono rese conto dell'importanza della formazione e della conseguente necessità di insegnare ai dipendenti a riconoscere i messaggi di phishing e interrompere sul nascere la catena di attacco. "Di conseguenza, è necessario che la piattaforma sia sempre aggiornata”, rimarca Saccani: “Dal nostro punto di osservazione privilegiato, siamo in grado di intercettare queste campagne malevole e mantenere aggiornati  i vari template di campagne di phishing in modo tempestivo. Campagne che i clienti possono utilizzare nei confronti dei loro clienti. Man mano che rileviamo nuove tecniche e campagne di phishing ne generiamo di analoghe nelle piattaforma, spesso anche in anticipo”.

L’interesse è alto
Dal lancio della piattaforma lo scorso giugno, l’interesse da parte dei clienti sembra essere molto alto: “La conoscenza sviluppata delle persone sui temi della sicurezza è un elemento fondamentale in un disegno di protezione a tutto tondo: si può avere infatti la migliore e più evoluta soluzione di protezione della posta elettronica, ma se le persone che la utilizzano non sono formate in modo adeguato, per quanto la soluzione possa essere avanzata e innovativa non è infallibile. Per costruire il corretto e miglior baluardo di difesa per le reti aziendali è quindi doveroso abbinare a una soluzione innovativa del personale costantemente formato e messo continuamente alla prova, in quanto solo in questo modo si può realmente proteggere la propria azienda”, ribadisce Saccani.
Oltre alle più avanzate e innovative tecnologie di email security, è quindi indispensabile pensare a un percorso di awareness; fare un percorso di awareness significa fornire ai dipendenti gli strumenti necessari per comprendere minacce, attacchi e rischi a cui sono esposti e innalzare, di conseguenza, il livello di protezione aziendale. Questo implica anche la comprensione dei punti deboli della psicologia umana e la conoscenza delle molteplici tecniche di attacco messe in atto dai criminali informatici.
Un'attività che deve essere continuativa, pianificata all’intero di un programma di crescita, delle conoscenze e della cultura aziendale in materia di cyber security.
E' giocando su questa abbinata tecnologia-awareness che Libraesva ha generato un notevole interesse sia in Italia che all’estero intorno a PhishBrain. D’altronde, utilizzare la piattaforma SaaS (non comporta nessun utilizzo di infrastruttura) è molto semplice perché ha un'interfaccia intuitiva che guida gli amministratori della campagna verso la sua creazione, permettendo l’uso di template pre-configurati, ma comunque personalizzabili, creati sulla base di attacchi realmente accaduti.
E’ licenziata in doppia modalità: come mail box – è possibile acquistare n mailbox e a queste si possono inviare infinite campagne; sotto forma di invii – è possibile acquistare n invii verso un numero infinito di mailbox e raggiunto tale numero la licenza scade. Di fatto, la si può acquistare dai propri rivenditori oppure come servizio dai Managed Service Provider.

Training sì, ma di base
Attenzione però: non si tratta di un’avanzata soluzione di training dai costi elevati. E’ una soluzione che ha l’obiettivo di formare ma non offre vere e propri corsi di training: “Dal punto di vista tecnico credo che la cosa più efficace sia la campagna in sé e il fatto di spiegare alla persona colpita come è successo e come evitare di ricadere nella trappola. La campagna crea la consapevolezza che non si è invulnerabili. Crediamo che il mettere alla prova le persone sia la forma migliore di apprendimento e questo oltretutto ci permette di offrire la soluzione a un costo decisamente inferiore rispetto alla concorrenza. Il fatto di averla impostata in questo modo ci consente di vendere una soluzione a un eccellente value for money,” conclude Saccani.