Criteri per selezionare una soluzione innovativa di Cyber Security Awareness
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Atelier Tecnologico Criteri per selezionare una soluzione innovativa di Cyber Security Awareness Leonida Gianfagna, R&D Manager, Cyber Guru Maurizio Zacchi, Marketing Manager Cyber Guru Data 17/03/2021 orario 11.00-11.40 - StreamingEdition #securitysummit #streamingedition
Cyber Security Awareness: Why? Nei primi sei mesi dell’anno persiste il trend di crescita degli attacchi gravi (+7%): il 14% è a tema Covid-19. Malware, Phishing e Social Engineering le tecniche più utilizzate. +85% gli attacchi alle infrastrutture critiche, +63% quelli al settore della ricerca. Gli attacchi a tema Covid-19 sono stati condotti nel 61% dei casi con campagne di “Phishing” e “Social Engineering”, anche in associazione a “Malware” (21%), colpendo tipicamente i cosiddetti “bersagli multipli” (64% dei casi): si tratta di attacchi strutturati per danneggiare rapidamente e in parallelo il maggior numero possibile di persone ed organizzazioni. A livello complessivo, nel primo semestre dell’anno gli attacchi hanno avuto effetti molto importanti o critici nel 53% dei casi, rivelando importanti impatti geopolitici, sociali, economici (diretto e indiretto), di immagine e di costo/opportunità per le vittime. 2
Cyber Security Awareness: Why? +350% +15% +220% attacchi Phishing durante il Lockdown (source: Atlas) aumento medio Click-Rate nelle simulazioni (source: Cyber Guru Phishing ) attacchi Phishing durante il 2020 (source: F5 Lab) 4
Phishing: the big threat Con il termine Phishing si indica una particolare tipologia di frode basata sull’inganno, il cui scopo principale, è quello di entrare in possesso dei dati personali e confidenziali degli utenti, in forma diretta o indiretta (attraverso Malware). ØUna tecnica di phishing è stata descritta nel dettaglio in un trattato presentato nel 1987 all'International HP Users Group, Interex. La prima menzione registrata del termine phishing è sul newsgroup di Usenet in riferimento all’attacco ad AOL. 5
Phishing: taxonomy of attacks Gli attacchi di phishing possono essere categorizzati in base a 3 componenti principali: • Il media usato • Il vettore di trasmissione • La tecnica utilizzata Source: Alabdan (2020) 6
Phishing: attack techniques Spear Phishing Tab- QRishing Napping Attacchi Cross Site Squatting Scripting Social Engineering 7
Phishing: defense techniques • Blacklisting and mail authentication Difese • • Heuristic Detection Visual Similarity Detection tecnologiche • Machine Learning Difese non • Legal tecnologiche • Education 8
Phishing: defense techniques Domain-based Message Authentication, Reporting and DKIM significa DomainKeys Identified Mail, una chiave Conformance, ovvero un meccanismo per identificare e SPF significa Sender Policy Framework e si occupa di identificare pubblica che certifica la mail. prevenire l’email spoofing, per fare questo utilizza SPF e quali sono gli indirizzi IP abilitati a spedire per il nostro dominio. Il record DKIM prevede che header e body del messaggio DKIM e permette ai destinatari l’invio di segnalazioni al Il record SPF prevede la pubblicazione nei record del DNS di un siano protetti da crittografia. In un dominio protetto con una fine di monitorare la protezione del dominio da mail determinato dominio, una lista degli host autorizzati ad inviare mail. tecnica di questo tipo vengono inseriti in un record all’interno fraudolente. L’autenticazione di una mail viene effettuata confrontando dei DNS le chiavi pubbliche relative agli host autorizzati ad Il DMARC è un record DNS di tipo TXT, si basa sull’ l’indirizzo ricevuto come mittente con la lista degli host autorizzati inviare messaggi. Coloro che ricevono un messaggio possono SPF e sulla DKIM. quindi utilizzare la chiave per verificarne l’autenticità. per quel dominio. L’SPF è un record DNS di tipo TXT. La DKIM è un record DNS di tipo TXT. source: https://www.bertoldicybersecurity.com/sicurezza-dns-come-configurare-spf-dkim-e-dmarc-per-la-posta-del-tuo-dominio/ 9
Phishing: defense with machine learning HIJACKING SEARCH RESULTS MITM-BASED PHISHING Source: https://www.zdnet.com/article/microsoft-details-the-most-clever-phishing-techniques-it-saw-in-2019/ 11
Cyber Security Awareness: Why? AGID GDPR NIS/OSE NORMATIVE: ESPLICITI RIFERIMENTI NIST ALLA FORMAZIONE DEGLI UTENTI […] Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali […] Framework Nazionale per la Cybersecurity tabella 2 controllo #10 12
Cyber Security Awareness: Why? LA CYBERSECURITY 2019 costi per NON È PIÙ UNA QUESTIONE Data Breach: TECNOLOGICA, È UN PROBLEMA DI BUSINESS 45 miliardi di $ (source: Panda Security) (source: Panda Security) 13
Cyber Security Awareness: Why? 14
Cyber Security Awareness: What? 1. Misura di Sicurezza 2. Formazione permanente 3. Conformità alle normative 4. Cultura aziendale condivisa 15
Cyber Security Awareness INVESTIRE SUL FATTORE UMANO COME? CON PROGRAMMI DI FORMAZIONE IN GRADO DI INCIDERE EFFICACEMENTE SUI COMPORTAMENTI UMANI PER? TRASFORMARE L’ANELLO DEBOLE, NELLA PRIMA LINEA DI DIFESA CONTRO IL CYBER CRIME 16
Methodology FORMAZIONE FORMAZIONE COGNITIVA INDUTTIVA PER TRASFORMARE I COMPORTAMENTI È NECESSARIO AGIRE EFFICACEMENTE SUI FORMAZIONE PROCESSI DI ESPERIENZIALE APPRENDIMENTO COGNIZIONE PERCEZIONE PRONTEZZA COMPORTAMENTI 17
Learning: Engagment VS 18
Learning: Key Points METODOLOGIA ENGAGMENT (max) IMPATTO (min) 1. FORMAZIONE PERMANENTE 1. FORMATO MULTIMEDIALE 1. PERCORSI PREDEFINITI 2. PROGRAMMA OLISTICO 2. VIDEO CON ATTORI 2. AUTOMAZIONE 3. APPROCCIO MULTIDISCIPLINARE 3. ESPERIENZA UTENTE 3. STUDENT CARING 4. MICRO-LEZIONI 4. LINGUAGGIO DIVULGATIVO 4. REPORTISTICA EFFICACE 5. LEVA INDIVIDUALE 6. GAMIFICATION 19
Inductive approach 1. A me non può accadere 2. Non sono una persona esposta 3. Nel mio smartphone non ci sono informazioni interessanti 4. Sono abbastanza esperto di sicurezza 20
Inductive approach: Key points METODOLOGIA ENGAGMENT (max) IMPATTO (min) 1. FORMAZIONE PERMANENTE 1. LINGUAGGIO DIVULGATIVO 1. PERCORSI PREDEFINITI 2. METODOLOGIA INDUTTIVA 2. MODELLO DELLE SERIE TV 2. AUTOMAZIONE 3. ESPOSIZIONE DI CASI REALI 3. STORYTELLING AVANZATO 3. STUDENT CARING 4. APPRENDIMENTO ATTRAVERSO 4. PRODUZIONE VIDEO DI QUALITÀ 4. REPORTISTICA EFFICACE LA NARRAZIONE 21
Training vs Risk Assessment VS • Almeno 12 campagne per anno • Max 3 campagne per anno • Attività di remediation • Reportistica 22
Training (anti-phishing): Key Points METODOLOGIA ENGAGMENT (max) IMPATTO (min) 1. FORMAZIONE PERMANENTE 1. CYBER DEFENDER 1. AUTOMAZIONE 2. ADDESTRAMENTO ESPERIENZIALE 2. REPORTISTICA EFFICACE 3. INTELLIGENZA ARTIFICIALE 4. PERSONAL TRAINING 5. REMEDIATION 23
Anti-phishing training demo 24
Cyber Security Awareness orchestration CGA … CGC … CGP 25
Anti-phishing training evolution Source Andrew Ng, «seminal» ML course 26
Q&A 27
leonida.gianfagna@cyberguru.eu maurizio.zacchi@cyberguru.eu Vieni a trovarci al nostro virtual desk! www.cyberguru.it 28
Puoi anche leggere