È probabile che la maggior parte delle persone che conoscete siano persone brave e affidabili. Si potrebbe non voler bere il caffè con il collega scontroso dalla contabilità, ma probabilmente si lascerebbero tutti gli effetti personali nel proprio ufficio nel caso lui passasse accanto.
Per l’esperto di ingegnere sociale, il fatto che la maggior parte delle persone si fidino e sono utili è una benedizione. E’ ciò che permette loro di trarre vantaggio da quasi tutti – dai receptionist ai dirigenti. Ed è il modo in cui si infiltrano anche nelle reti più sicure e fanno uscire le informazioni dai sistemi più protetti con facilità: arruolando l’aiuto di uno o due assistenti inconsapevoli sul libro paga dell’azienda.
Noi umani siamo molto più facili da manipolare di un firewall adeguatamente configurato o di uno strumento completo per la protezione degli endpoint. Pensaci: ci vuole meno tempo per ingannare qualcuno nel consegnare le sue password (spesso solo una questione di una conversazione o due, in cui viene sfruttata la fiducia) di quanto non faccia la forza bruta per attaccare una password di 10 cifre (nel caso ve lo stiate chiedendo, ci vogliono 4 mesi).
La formazione alla consapevolezza dei dipendenti è la chiave?
Per cercare di compensare il fattore umano, le aziende si rivolgono a programmi di formazione per la sensibilizzazione alla sicurezza dei dipendenti. L’idea alla base di questi programmi è quella di portare i dipendenti al punto da poter individuare un’email fasulla o un furfante a un miglio di distanza. Con questa maggiore consapevolezza, le aziende sperano di impedire all’ingegneria sociale di ottenere il meglio dai loro dipendenti e dai loro dati.
L’istruzione è fantastica; qualsiasi tentativo di sensibilizzare i dipendenti dovrebbe essere debitamente elogiato. La formazione di sensibilizzazione alla sicurezza può ridurre notevolmente il tasso di successo degli attacchi comunemente associati a violazioni dei dati come il phishing. Ora i vostri dipendenti sanno meglio come non cadere nella truffa “Windows Tech Support” e probabilmente si rendono anche conto che le email mal formulate che proclamano che hanno vinto il Gran Premio di Google / Microsoft / Apple devono essere cancellate e segnalate.
L’errore umano ci sarà sempre
Ecco il problema; L’educazione non può andare così lontano quando il nemico è l’astuzia umana. Gli aggressori sono sempre alla ricerca di nuovi modi per truffare e violare, sia a livello umano che a livello di macchina. Così, mentre i tuoi dipendenti sanno che devono tenersi alla larga da alcune delle più ovvie email fasulle, potrebbero non sospettare che il curriculum appena arrivato nella casella di posta delle risorse umane sia in realtà solo un allegato malware. Probabilmente l’hacker ha impiegato solo pochi minuti a carpire l’indirizzo email, sapere la posizione lavorativa e usare queste informazioni per creare un’e-mail di spear-phishing altamente plausibile. Negli ultimi anni, infatti, alcune organizzazioni sono state ingannate da aggressori che hanno sfruttato questa tecnica per violare la rete aziendale.
La formazione dei dipendenti non avrebbe impedito a una persona del reparto HR di aprire quell’allegato – aprendolo, stava semplicemente facendo il proprio lavoro. Inoltre, anche se i dipendenti sono molto più attenti, basta un singolo errore per aprire la porta agli infiltrati. Quando si tratta di proteggere la rete, è necessario avere un margine di errore il più vicino possibile allo zero.
Formazione + isolamento del browser
La verità è che, indipendentemente dalla quantità di formazione offerta, la gente commetterà sempre degli errori. Forse sarà il nuovo ragazzo, che non era presente all’ultimo seminario di sensibilizzazione, o forse è un socio troppo desideroso di ricercare nuovi contatti: in ogni caso, le persone saranno sempre vulnerabili all’ingegneria sociale. Questo è il motivo per cui è fondamentale ridurre al minimo il grado in cui la sicurezza si basa sulla capacità decisionale imperfetta degli utenti.
Le tecnologie che utilizzano un modello di sicurezza zero-trust, come l’isolamento remoto del browser, sono fondamentali per garantire che anche quando gli utenti commettono un errore di valutazione troppo umano e fanno clic sui collegamenti “errati”, le reti non vengono compromesse.
Fonte: Ericom Software