Un modo conveniente per gli utenti di segnalare il phishing è utilizzare una casella di posta per la segnalazione degli abusi come, per esempio, phishing@aziendaabc.net. Anche se le caselle di posta per gli abusi sono efficaci, spesso richiedono diversi scambi tra l'IT e gli utenti per raccogliere dettagli essenziali come le intestazioni delle email.
Per questo motivo, i componenti aggiuntivi o i tasti di segnalazione delle email di phishing, come Proofpoint PhishAlarm, che sono più semplici e ricchi di funzionalità di una casella di posta per gli abusi, sono strumenti sempre più diffusi per segnalare i messaggi sospetti.
Figura 1. Tasto di segnalazione delle email Proofpoint PhishAlarm
Per compilare gli indicatori necessari per questo articolo, il secondo della serie, abbiamo analizzato i dati di milioni di utenti del nostro tasto di segnalazione delle email sospette PhishAlarm.
Inoltre, Proofpoint sfrutta attivamente i dati di PhishAlarm per aiutare i suoi clienti a confrontare le loro prestazioni con quelle dei loro omologhi, ottenere una migliore visibilità sui comportamenti degli utenti e migliorare i principali indicatori di prestazioni. La semplificazione del flusso di lavoro di segnalazione delle email di phishing di PhishAlarm permette agli utenti e al dipartimento IT di risparmiare tempo, fornendo allo stesso tempo informazioni preziose sulla resilienza degli utenti e sull’approccio alla protezione dell’email dell’azienda.
Figura 2. La visualizzazione da parte di Proofpoint di avvisi contenenti un tasto “Report Suspicious” in caso di email sospette offre ai clienti un modo innovativo per aiutare gli utenti a migliorare la precisione della segnalazione delle email sospette e rafforzare la sicurezza dell’email.
AI dati presentati in questo articolo non coprono gli avvisi in caso di email sospette associate alla funzionalità “Report Suspicious” ma contiamo in futuro di disporre di questa funzionalità e di quanto migliora le percentuali delle segnalazioni e la loro accuratezza. Questi banner HTML contestuali e personalizzabili aumentano di poco o niente il carico di lavoro dell’IT nell’aiutare gli utenti a individuare e segnalare i messaggi sospetti.
Percentuali di segnalazione e di insuccesso: due indicatori del comportamento degli utenti
Se le simulazioni di attacchi di phishing nei programmi di sensibilizzazione alla sicurezza informatica sono sempre state uno strumento popolare per comprendere il comportamento degli utenti, la “percentuale di clic” o le “percentuali di insuccesso” delle simulazioni non sono un indicatore ideale del comportamento degli utenti se utilizzati singolarmente.
La percentuale di insuccesso viene definita come lo scenario peggiore in base al tipo di modello utilizzato:
- Modello con link integrato: l’utente fa clic sul link.
- Modello con allegato: l’utente apre l’allegato.
- Modello che richiede l’inserimento di dati e credenziali d’accesso: l’utente fornisce le credenziali d’accesso.
Messaggio importante: la percentuale di insuccesso da sola non è sufficiente per valutare il comportamento degli utenti Perché?
- Le percentuali di clic variano in modo considerevole da un modello all’altro.
- La percentuale di insuccesso non indica che i dipendenti stanno agendo correttamente, ma solo che stanno evitando di fare la cosa sbagliata.
- Si tratta solo di un indicatore che non delinea un quadro completo del comportamento dell’utente.
I dati raccolti da Proofpoint durante le simulazioni di attacchi di phishing mostrano percentuali di insuccesso diverse a seconda del modello utilizzato. Ad esempio, alcuni modelli con minor difficoltà hanno percentuali di insuccesso ad una sola cifra, mentre altri come il modello Netflix illustrato qui di seguito mostrano percentuali di insuccesso prossime al 100%.
Figura 3. Modello di email di simulazione di attacchi di phishing Netflix
L’analisi della sola percentuale di insuccesso non è sufficiente e si dovrebbe prendere in considerazione anche la percentuale di segnalazione delle simulazioni di attacchi per comprendere meglio il cambiamento del comportamento degli utenti. La percentuale di segnalazione dimostra che i dipendenti stanno agendo correttamente al fine di proteggere l’azienda. Maggiore è la percentuale di segnalazione, maggiori sono le probabilità che i tuoi dipendenti segnalino messaggi sospetti reali ai tuoi team della sicurezza IT, permettendo loro di intervenire prima che l’attacco faccia più danni.
Percentuale di segnalazione - percentuale di insuccesso = fattore di resilienza
Quando si combinano le percentuali di insuccesso con quelle di segnalazione si ottiene quello che definiamo il “fattore di resilienza”. La Figura 4 mostra la formula che utilizziamo per calcolare il fattore di resilienza medio dei nostri clienti, che è pari a 1,2.
Figura 4. Fattore di resilienza medio dei clienti Proofpoint
Abbiamo constatato che la percentuale di segnalazione media delle simulazioni di attacchi di phishing dei nostri clienti era del 13%. Abbiamo anche osservato un miglioramento di questo dato di anno in anno, poiché molte aziende implementano un componente aggiuntivo per la segnalazione degli attacchi di phishing e spiegano ai loro utenti come utilizzarlo. Allo stesso tempo, anche la percentuale media di insuccesso, pari all’11%, è diminuita leggermente rispetto allo scorso anno.
Il fattore di resilienza può migliorare in modo significativo, come abbiamo visto accadere per molti clienti di Proofpoint. Consigliamo di puntare a un fattore di resilienza ambizioso pari a 14, che corrisponde a una percentuale di segnalazione media del 70% e a una percentuale di insuccesso del 5% o inferiore. Inoltre, consigliamo ai clienti di utilizzare entrambi gli indicatori, poiché c'è un limite a quanto bassa può essere la percentuale di insuccesso (non sarà quasi mai pari a zero), e può variare in modo significativo se si eseguono campagne più mirate e complesse.
I clienti che hanno performato meglio sono riusciti a raggiungere questo ambizioso fattore di resilienza di 14, che dimostra l’efficacia della formazione sulla sicurezza nel modificare il comportamento degli utenti. Se il fattore di resilienza della tua azienda è inferiore, sappi che per modificare i comportamenti sarà necessario del tempo e un costante impegno nella sensibilizzazione alla sicurezza.
I dati che abbiamo utilizzato per calcolare il fattore di resilienza medio mostrano anche che il numero medio di messaggi segnalato per utente è stato pari a poco più di cinque all’anno. Prevediamo che questo dato aumenti in modo significativo nei prossimi anni, di pari passo con l’intensificazione delle iniziative di formazione delle aziende e della maggior familiarizzazione degli utenti nella segnalazione dei messaggi sospetti.
Panoramica delle percentuali di segnalazione e di insuccesso per settore e tipo di modello
La seguente tabella presenta una panoramica delle percentuali di segnalazione e di insuccesso osservare per settore e i corrispondenti fattori di resilienza calcolati in base alla formula sopra descritta. In base ai nostri calcoli, se il settore dei servizi finanziari è quello con le percentuali di segnalazione più elevate (20%), il settore legale vanta il fattore di resilienza più elevato (2,1).
Figura 5. Percentuali di segnalazione e di insuccesso per settore
Abbiamo inoltre rilevato delle differenze nelle percentuali di segnalazione e di insuccesso in base al tipo di modello:
|
Tipo di modello |
Percentuale di segnalazione media |
Percentuale di insuccesso media |
Indice di resilienza medio |
|
Allegato |
18% |
20% |
.9 |
|
Inserimento di dati e credenziali d’accesso |
15% |
4% |
3.8 |
|
Link incorporato |
13% |
12% |
1.1 |
Il tasso di segnalazione più elevato si osserva per i modelli con allegato; tuttavia, la nostra analisi rivela anche che queste simulazioni di attacchi di phishing hanno le percentuali di insuccesso più elevate. Anche se gli utenti vengono ingannati più facilmente dagli allegati per via del loro contenuto (dati di esposizione al Covid, ammontare dei premi ai dipendenti, ecc.) nelle simulazioni di attacco, alcuni utenti sono più cauti e segnalano questi tipi di allegati pericolosi.
In base alle nostre osservazioni, l’indice di resilienza per le simulazioni di attacchi di phishing che richiedono l’inserimento di dati e credenziali di accesso è molto più elevato rispetto agli altri due tipi di modelli (vale la pena notare che i modelli di inserimento dati/credenziali di accesso prevedono un passaggio aggiuntivo, in quanto per fallire il testo di simulazione di attacchi di phishing, gli utenti devono fare clic sul link e fornire le loro credenziali di accesso).
Distribuzione della percentuale di segnalazione
Le performance di un’azienda in termini di percentuali di segnalazione dipendono dalla maturità del suo livello di sensibilizzazione alla sicurezza informatica e da quanto tempo gli utenti utilizzano un componente aggiuntivo o un pulsante di segnalazione delle email sospette. Perciò non scoraggiarti se dopo solo pochi mesi di utilizzo dello strumento da parte dei tuoi dipendenti, la tua azienda non ha ancora prestazioni elevate. Per cambiare il comportamento degli utenti e creare una cultura della sicurezza in azienda sono necessari tempo e impegno.
Figura 6. Asse Y: numero di clienti, asse X: percentuale di segnalazione degli attacchi di phishing. Questo grafico mostra che la maggior parte dei clienti ha percentuali di segnalazione molto basse, perché i componenti aggiunti per la segnalazione sono poco noti e utilizzati dai dipendenti. Tuttavia, le aziende possono cambiare questa situazione.
Molte aziende hanno percentuali di segnalazione molte basse, il che è normale.
Percentuale media di segnalazione delle simulazioni per percentile:
|
Percentile |
Percentuale di utenti che segnalano le simulazioni d’attacco |
|
25% |
1.4% |
|
50% |
8.5% |
|
75% |
19.9% |
|
Media |
13% |
|
Utenti con i migliori risultati |
83.6% |
Ci sono numerosi motivi che possono spiegare percentuali di segnalazione bassi:
- Le aziende hanno iniziato solo di recente a implementare i componenti aggiuntivi per la segnalazione delle email.
- Gli utenti dispongono di molteplici opzioni per segnalare i messaggi (per esempio, una casella di posta per gli abusi).
- La formazione degli utenti non include il funzionamento dei componenti aggiuntivi per la segnalazione delle email.
- Gli utenti cancellano o ignorano istintivamente i messaggi che non si aspettano.
Una minima formazione può aiutare molto a migliorare la percentuale di segnalazione della tua azienda. Includere la messaggistica nelle comunicazioni di sensibilizzazione sulla sicurezza informatica, spiegare come utilizzare il componente aggiuntivo durante la formazione sulla sicurezza informatica e fornire agli utenti un riscontro agli utenti che segnalano messaggi di simulazione di attacchi di phishing sono tutte azioni che possono contribuire a migliorare le percentuali di segnalazione.
Confronta i tuoi risultati con quelli dei tuoi omologhi
La nuova avanzata dashboard del CISO di Proofpoint ti consente di visualizzare il percentile in cui ti trovi per quanto riguarda la segnalazione delle simulazioni di attacchi di phishing. Include dati contestuali che ti permettono di confrontare in tempo reale i tuoi risultati con quelli di altre aziende del settore e dei clienti Proofpoint. Troverai anche altri importanti indicatori di sensibilizzazione alla sicurezza informatica che puoi facilmente condividere con il tuo CISO e altre parti interessate.
Figura 7. Punteggi e riassunti relativi alla segnalazione degli attacchi di phishing
Cosa segnalano realmente gli utenti?
Ogni volta che un dipendente segnala una simulazione di attacchi di phishing per la tua azienda è una vittoria. Dopo tutto questo è l’obiettivo dell'esercizio. Ma cosa accade quando i tuoi dipendenti si trovano di fronte a messaggi di phishing reali?
Nel nostro prossimo articolo del blog, esamineremo l'efficacia degli utenti nel segnalare messaggi dannosi reali e nell'aiutare la loro azienda a migliorare il livello di sicurezza.