Ci sono tre punti da considerare, secondo gli esperti, dopo che un utente ha cliccato su un collegamento potenzialmente dannoso presente in una e-mail. Proprio come in qualsiasi altra attività legata alla sicurezza IT, anche nel caso del phishing non basterà trovare una cura per il “sintomo finale”, ma sarà necessario considerare l’intero processo dal principio. Scopriamo dunque quali sono i tre step fondamentali suggeriti dagli esperti per intervenire con successo in situazioni come queste.
Step n.1: verificare se il sistema è stato compromesso
Il primo passo consiste nel verificare se il sistema sia stato compromesso o meno. Questa attività comporterà la revisione delle modalità con cui il team di security è venuto a conoscenza del problema. La domanda da porsi è fondamentalmente una: è stato l’utente a segnalare il problema o l’incidente è stato rilevato dal sistema di monitoraggio? La risposta a tale quesito costituirà il punto di partenza per la risoluzione del problema. Occorre dunque rivedere tutti i sistemi di monitoraggio della sicurezza per controllare se ci fosse qualche attività non autorizzata sulla rete da parte dell’account/dispositivo in questione a seguito dell’apertura del link malevolo. Gli esperti consigliano dunque di analizzare tutti i log del sistema e validare tutti gli endpoint aggiornati e correttamente funzionanti. Se possibile, sarebbe opportuno acquisire un’istantanea del sistema con gli strumenti di incident response per ottenere una visione più chiara di quello che sta succedendo. Ancora più importante, secondo gli esperti, è aprire il collegamento dannoso in ambiente di test per comprendere cosa accade una volta che è stato cliccato. Testare i link malevoli nei sistemi di laboratorio durante l’esecuzione del packet capture permette di verificare cosa sia effettivamente coinvolto nel trasferimenti di dati. Non solo: per comprendere meglio l’origine del pericolo, è importante anche controllare i filtri anti-spam e scandagliare le intestazioni delle e-mail .
Step n.2: capire dove sono le lacune
In secondo luogo, secondo gli esperti, occorre scoprire se ci sono lacune nella pianificazione o nell’architettura. Si dispone di policy, procedure e tecnologie necessarie per fermare gli attacchi di phishing prima che entrino nella rete aziendale? E nel caso in cui le minacce entrino nella rete il sistema è in grado di fermarle sull’endpoint? Questo è il motivo per cui i ransomware sono diventati una questione centrale sul fronte della sicurezza, nel corso degli ultimi due anni: la tecnologia per fermare gran parte di queste minacce esiste, ma è altrettanto importante avere un team di incident response che sappia come reagire, strumenti adeguati (come, per esempio, filtri anti spam/phishing o endpoint di nuova generazione) e policy interne con cui gestire le patch sul sistema operativo e su software di terze parti.
Step. n.3: formare il personale sul tema del phishing
L’ultimo step – potenzialmente ancora più importante dei precedenti – è quello relativo alla formazione dei dipendenti: secondo gli esperti, sensibilizzare e istruire costantemente il personale in merito ai pericoli del phishing è un’attività fondamentale per alzare il livello di sicurezza della rete aziendale. Molti cybercriminali, ultimamente, hanno smesso di prendere di mira il perimetro della rete e si stanno concentrando direttamente sugli utenti, che rappresentano l’anello più debole di tutta l’infrastruttura. Utilizzare software specifici (come, per esempio, PhishMe o il phishing security test di KnowBe4), generare maggiore consapevolezza sul tema security e fare in modo che la formazione entri a far parte della cultura aziendale sono attività essenziali che possono fornire un contributo decisivo. Il principio è molto semplice: se tutti gli utenti impareranno a riconoscere i link malevoli, nessuno ne aprirà più e il problema verrà eliminato alla radice.