Non è questione di se, ma di quando. Il phishing è una tecnica così comune, ma tuttavia efficace per i criminali informatici, che nessuna azienda può ritenersi fuori pericolo.

Non potendo eliminare del tutto il rischio di essere vittime di un attacco di phishing, è necessario essere pronti ad agire nel momento in cui l’incidente avverrà. Come fare?

In questi casi tutto si basa sulla velocità di reazione. Un piano di incident response può guidare l’azienda nella situazione critica, permettendole di rispondere in modo tempestivo ed efficace.

Facciamo chiarezza sullo scopo di un incident response plan per un attacco di phishing e cosa dovrebbe prevedere.

 

Phishing response plan: a cosa serve?

Il principale scopo di un piano di incident response non è quello di impedire un attacco di phishing, bensì quello di mitigare i danni che deriverebbero da un eventuale attacco.

Predisporre un piano di incident response per il phishing comporta la combinazione di policy, procedure e competenze del personale, declinate sulle infrastrutture e architettura dell’azienda, per fornire un playbook. Il playbook delle risposte è una specie di protocollo con delle istruzioni, ovvero una lista di azioni già predisposte, da seguire passo passo nel caso si verifichi un incidente.

 

Incident response playbook in caso di phishing: un esempio

Com’è strutturato un playbook di risposta a un attacco di phishing?

Senza dubbio, affinché sia davvero efficace, ogni azienda dovrà sviluppare e adottare un piano di risposta all’incidente su misura, basato sulle sue reali esigenze.

Vogliamo però fornirti un esempio delle fasi che dovrebbe contenere un playbook per rispondere in modo proficuo a un attacco di phishing. Ravi Das e Preston de Guise nel libro “Protecting Information Assets and IT Infrastructure in the Cloud” propongono una procedura suddivisa in 5 fasi. Esaminiamole nel dettaglio.

1. Identificazione

Questa prima fase inizia nel momento in cui un dipendente segnala una possibile e-mail di phishing.

Dopo la segnalazione si dovrà recuperare il messaggio originale con eventuali allegati. Per capire se si tratta effettivamente di phishing è necessario esaminare l’intestazione completa in cui sono presenti le informazioni di routing e IP, oltre a mittente, testo del messaggio, link e allegati sospetti.

Per effettuare queste operazioni può essere utile avere a disposizione una workstation isolata, dedicata a esaminare le e-mail dubbie.

È importante sottolineare che senza la collaborazione delle persone che lavorano in azienda, senza un alto livello di attenzione verso i dettagli che identificano messaggi potenzialmente dannosi, il phishing response plan manca di un elemento fondamentale. Ciò impatterà significativamente sulla sua efficacia. Solo affiancando al piano di risposta un’adeguata formazione e cultura di security awareness, l’azienda potrà prevenire, ma anche reagire prontamente a un attacco di phishing.

 

I tuoi dipendenti sanno riconoscere un e-mail di phishing?

2. Prioritizzazione

Dopo aver definito che si tratta di phishing, è necessario capire la tipologia di attacco per assegnargli una priorità e agire di conseguenza.

Potrebbe trattarsi ad esempio di:

  • BEC, Business Email Compromise, o truffa del CEO: i malviventi si fingono dirigenti di alto livello come CEO, CFO o COO dell’azienda per far compiere all’impiegato un’azione con scopo illegittimo, come un trasferimento di denaro.
  • Spear phishing: utilizzando tecniche di social engineering, colpiscono persone specifiche al fine di carpire segreti aziendali.
  • Clone Phishing: un’e-mail autentica viene trasformata in un messaggio malevolo.
  • Whaling: simile al BEC, prende di mira in particolare figure con ruoli di alto livello, come i manager.
  • Link Manipulation: viene inviato un link, in apparenza autentico, che rimanda a un sito web falsificato.
  • Website Forgery: viene utilizzato il codice JavaScript per modificare la barra degli indirizzi (inserendo un’immagine con l’URL corretto nella barra o chiudendo la barra originale e aprendone un’altra con l’URL legittimo. Può anche sfruttare eventuali falle nel sito originale.
  • Covert Redirect: sfrutta una vulnerabilità per reindirizzare la vittima a un sito web falsificato.

 

3. Indagine

A questo punto è necessaria un’analisi approfondita del messaggio di phishing e la verifica di eventuali conseguenze già in atto.

  • È importante parlare con chi ha ricevuto e/o segnalato il messaggio, per capire cosa è successo esattamente.
  • L’analisi approfondita dell’e-mail esaminerà l’header, compreso l’indirizzo TCP/IP del mittente, il testo del messaggio e il dominio del collegamento a cui rimanda l’eventuale link presente.
  • Bisognerà verificare i log del server mail per accertare quanti dipendenti sono stati colpiti.
  • Per capire se e quali sistemi sono stati coinvolti, si procederà a un controllo dei sistemi interni alla ricerca di eventuali anomalie.

 

4. Riparazione

Con il quadro completo della situazione a disposizione, si potrà procedere a minimizzare l’impatto, attuale e futuro, dell’evento e contenere i danni per l’azienda.

Esempi di azioni concrete in questo senso sono:

  • Aggiornarne i filtri di blocco e-mail per messaggi simili a quello incriminato
  • Modificare password e accessi degli utenti, ma anche dei sistemi, coinvolti
  • Assicurarsi di salvare i log, nel caso questi dovessero servire in futuro per indagini forensi
  • Continuare a monitorare i sistemi per eventuali usi impropri, come sessioni attive inusuali degli utenti interessati.

 

5. Prevenzione dei rischi

Dopo aver contenuto e risolto l’attacco di phishing, si dovranno rivedere le misure e il piano in uso con lo scopo di prevenire che attacchi simili si ripetano in futuro.

 

Chi si occupa di mettere in pratica il playbook in azienda?

Nel momento in cui viene strutturato il piano, l’azienda dovrà valutare se gestire il processo con risorse interne o invece affidare le attività in outsourcing.

Se per alcune di queste fasi il personale IT interno non avrà problemi a gestire l’attività, per altre potrebbero esserci delle complicazioni, perché l’esperienza e l’aggiornamento costante sulle più attuali tecniche di phishing, fondamentali per rispondere adeguatamente, di norma sono difficili da mantenere in azienda. Se pensiamo ad esempio all’ultima fase, quella di prevenzione dei rischi, un assessment da parte di esperti in cybersecurity esterni può fare la differenza.

 

Rispondere al phishing in modo efficace

La migliore strategia di prevenzione e risposta agli attacchi di phishing?

Quella nata dalla combinazione tra:

  • Adozione di tecnologie aggiornate, come sistemi di e-mail security in grado di rilevare e bloccare e-mail di phishing e soluzioni antivirus e di endpoint protection avanzate in grado di bloccare i malware prima che entrino nei sistemi IT aziendali
  • Formazione del personale continua con security awareness training su misura
  • Sviluppo e test di processi di incident response e prevenzione del rischio, ad esempio seguendo le linee guida proposte dalla ISO/IEC 27035 – che anche Matika ha adottato, che permettono di reagire prontamente. 

 

Hai già strutturato il tuo incident response plan per il phishing?

Share This