Proofpoint State of the Phish, combattere gli attacchi mirati

Proofpoint State of the Phish, come combattere gli attacchi mirati?

Il report “State of the Phish” di Proofpoint evidenzia metodologie e tipi di attacchi phishing: le aziende sono sufficientemente consapevoli?

Lo studio di Proofpoint analizza dati mondiali raccolti da circa 50 milioni di simulazioni di attacchi phishing inviati ai clienti nell’arco di un anno, uniti a un’indagine effettuata da un partner che ha coinvolto più di 600 professionisti di sicurezza di Stati Uniti, Australia, Francia, Germania, Giappone, Spagna e Regno Unito e oltre 3.500 dipendenti, appartenenti ai medesimi paesi, per verificare la conoscenza di base della sicurezza.

Nell’edizione di quest’anno è stata presa in considerazione anche la capacità di identificare e segnalare le email sospette, parametro fondamentale per misurare il comportamento positivo di un dipendente.
Il volume dei messaggi segnalati è aumentato in modo rilevante anno su anno, raggiungendo oltre i 9 milioni di email sospette, con un incremento del 67% rispetto al 2018. Si tratta di un segnale positivo per i team di sicurezza, soprattutto ora che gli aggressori scelgono sempre più un modello di attacco mirato e non di massa, come analizzato del team di threat intelligence di Proofpoint. Gli utenti devono essere sempre più attenti ai metodi di adescamento phishing e fornire modalità di reporting può consentire loro di allertare i team di sicurezza su eventuali messaggi potenzialmente pericolosi che hanno superato il perimetro di protezione.

Il report State of the Phish mette in luce anche i seguenti risultati:

• Il 55% degli intervistati ha subìto almeno un attacco phishing di successo nel 2019, e gli esperti di sicurezza hanno segnalato una frequenza particolarmente alta di tentativi di social engineering, che hanno sfruttato diversi metodi: l’88% delle aziende ha subìto attacchi spear phishing, l’86% attacchi BEC, l’86% attacchi via social media, l’84% attacchi smishing (via SMS), l’83% vishing (voce) e l’81% USB pericolose.

• Il 65% dei professionisti della sicurezza ha affermato che la propria azienda ha affrontato un attacco ransomware nel 2019. Il 33% ha scelto di pagare il riscatto, mentre il 32% non ha ceduto. Tra chi ha negoziato con gli aggressori, il 9% ha ricevuto ulteriori richieste di riscatto, mentre il 22% non ha più avuto accesso ai propri dati, anche dopo il pagamento.

• Le aziende imparano dalle esperienze negative. Il 63% delle aziende realizza azioni correttive sugli utenti che hanno commesso errori in modo ripetuto negli attacchi phishing. La maggior parte dei responsabili di sicurezza ha affermato che la consapevolezza dei dipendenti è migliorata, proprio grazie all'implementazione di un modello basato sulle conseguenze.

• Molti dipendenti non sono in grado di applicare le best practice di sicurezza. Il 45% dichiara di riutilizzare la stessa password, più del 50% non protegge le reti domestiche con una password e il 90% utilizza i dispositivi aziendali per attività personali. Inoltre, il 32% non conosce i servizi VPN.

• Molti utenti non hanno padronanza dei termini di sicurezza. Nella ricerca globale, ai dipendenti intervistati è stato richiesto di fornire la definizione dei seguenti termini di sicurezza: phishing (61% di risposte corrette), ransomware (31% di risposte corrette), smishing (30% di risposte corrette) e vishing (25% di risposte corrette). Questi dati evidenziano una mancanza di conoscenza tra gli utenti e una barriera linguistica potenziale per i team di sicurezza che si occupano della formazione su queste minacce. Una comunicazione efficace con gli utenti è fondamentale in azienda, per permettere loro di diventare l’ultima, e più forte, linea di difesa.
• I Millennial continuano a ottenere risultati inferiori rispetto alle altre fasce di età sulla conoscenza di base di phishing e ransomware. Un avvertimento per le aziende, che non dovrebbero scegliere dipendenti troppo giovani non ancora dotati di una comprensione naturale della sicurezza. I millennial hanno riconosciuto correttamente solo un termine: smishing.

https://www.proofpoint.com/us/resources/threat-reports/state-of-phish