Prepararsi agli attacchi con Formazione con simulazione degli attacchi

  • 6 minuti

Le organizzazioni con Microsoft 365 E5 o Microsoft Defender per Office 365 piano 2 possono usare Formazione con simulazione degli attacchi per eseguire scenari di attacco realistici. Questa funzionalità viene visualizzata nel portale di Microsoft Defender.

Nota

Microsoft Defender per Office 365 piano 2 include anche le funzionalità di analisi delle minacce e risposta.

Gli attacchi simulati possono aiutare un'organizzazione a identificare gli utenti vulnerabili. Con queste informazioni, si spera che le organizzazioni possano modificare il comportamento di questi individui prima che un attacco reale influenzi i profitti dell'organizzazione.

Formazione con simulazione degli attacchi in Microsoft Defender per Office 365 consente a un'organizzazione di eseguire simulazioni di cyberattacchi non dannosi per testare i criteri e le procedure di sicurezza. Consente inoltre alle organizzazioni di formare i dipendenti per aumentare la loro consapevolezza e ridurre la loro suscettibilità agli attacchi.

Per accedere a Formazione con simulazione degli attacchi, passare al portale di Microsoft Defender e selezionare Email e Formazione con simulazione degli attacchi di collaborazione>.

Per eseguire Formazione con simulazione degli attacchi, un'organizzazione deve soddisfare i prerequisiti seguenti:

  • L'organizzazione deve avere una sottoscrizione Microsoft 365 E5 o Microsoft Defender per Office 365 piano 2.
  • L'utente che esegue il training della simulazione degli attacchi deve avere uno dei ruoli di Microsoft 365 seguenti:
    • Amministratore globale
    • Amministratore della sicurezza
    • Uno dei ruoli seguenti progettati specificamente per Formazione con simulazione degli attacchi:
      • Amministratori del simulatore di attacco. Può creare e gestire tutti gli aspetti delle campagne di simulazione degli attacchi.
      • Autori del payload del simulatore di attacco. Può creare payload di attacco che un amministratore può avviare in un secondo momento.
  • Formazione con simulazione degli attacchi supporta le cassette postali locali, ma con funzionalità di creazione di report ridotte:
    • I dati che indicano se gli utenti leggono, inoltrano o eliminano il messaggio di posta elettronica di simulazione non sono disponibili per le cassette postali locali.
    • Il numero di utenti che hanno segnalato il messaggio di posta elettronica di simulazione non è disponibile per le cassette postali locali.
  • L'organizzazione deve archiviare i dati di simulazione degli attacchi e i dati relativi al training con altri dati dei clienti per i servizi Microsoft 365. Per altre informazioni, vedere Dove Microsoft 365 archivia i dati dei clienti.

Informazioni sul comportamento dell'utente

Formazione con simulazione degli attacchi fornisce informazioni dettagliate basate su:

  • Dati generati dalle simulazioni.
  • I corsi di formazione completati da ogni dipendente.

Queste conoscenze consentono agli amministratori di rimanere informati sull'idoneità alle minacce di ogni dipendente all'interno dell'organizzazione. Formazione con simulazione degli attacchi può anche consigliare i passaggi successivi che un'organizzazione deve eseguire per rafforzarsi dagli attacchi.

Per esaminare i dati generati dalle simulazioni, un amministratore deve selezionare la scheda Panoramica nella pagina Formazione con simulazione degli attacchi. In questa scheda un amministratore può visualizzare la scheda dell'impatto del comportamento sulla frequenza di compromissione. Questa scheda mostra il modo in cui i dipendenti hanno affrontato le simulazioni eseguite dall'amministratore in contrasto con la percentuale di compromissione stimata. Gli amministratori possono usare queste informazioni per tenere traccia dello stato di avanzamento nella preparazione per le minacce dei dipendenti. Possono ottenere questo risultato eseguendo più simulazioni con gli stessi gruppi di dipendenti.

Il grafico illustra:

  • Tasso di compromissione effettivo. Riflette la percentuale di dipendenti che non hanno superato in modo positivo la simulazione.
  • Velocità di compromissione stimata. Riflette la frequenza media di compromissione per le simulazioni che usano lo stesso tipo di payload in altri tenant Microsoft 365 che usano Formazione con simulazione degli attacchi.

Screenshot del grafico di Formazione con simulazione degli attacchi.

Esecuzione di Formazione con simulazione degli attacchi

Formazione con simulazione degli attacchi è costituito dai passaggi seguenti.

  1. Selezionare una tecnica di ingegneria sociale (simulazione).
  2. Selezionare un payload.
  3. Definire il gruppo di destinatari.
  4. Assegnare il training.
  5. Dettagli di avvio e revisione.

Le sezioni seguenti descrivono ognuno di questi passaggi in modo più dettagliato.

Passaggio 1 - Selezionare una tecnica di ingegneria sociale (simulazione)

Il phishing è un termine generico per gli attacchi e-mail che provano a carpire informazioni riservate attraverso messaggi che sembrano provenire da mittenti attendibili e legittimi. Il phishing fa parte di un sottoinsieme di tecniche che Microsoft classifica come ingegneria sociale.

In Formazione con simulazione degli attacchi è possibile scegliere tra le tecniche di ingegneria sociale (simulazione) seguenti:

  • Raccolta delle credenziali. Un utente malintenzionato invia al destinatario un messaggio che contiene un URL. Quando il destinatario seleziona l'URL, il sistema indirizza l'utente a un sito Web che in genere mostra una casella di accesso con nome utente e password. L'utente malintenzionato progetta la pagina di destinazione per rappresentare un sito Web noto. L'obiettivo dell'attacco di phishing è far credere all'utente di aver eseguito l'accesso a un sito reale.
  • Allegato malware. Un utente malintenzionato invia al destinatario un messaggio che contiene un allegato. Quando il destinatario apre l'allegato, il codice arbitrario (ad esempio, una macro) viene eseguito automaticamente nel dispositivo dell'utente. Questo codice consente all'utente malintenzionato di installare più codice o di consolidare la posizione raggiunta.
  • Collegamento in allegato. Questa simulazione è un ibrido di della raccolta di credenziali. Un utente malintenzionato invia al destinatario un messaggio che contiene URL in un allegato. Quando il destinatario apre l'allegato e seleziona l'URL, viene indirizzato a un sito Web che in genere mostra una finestra di dialogo di accesso. Questo sito chiede all'utente il nome utente e la password. Visualizzando quello che sembra essere un sito Web noto, l'obiettivo dell'attacco di phishing è quello di fare in modo che l'utente effettivamente credere di accedere a un sito reale.
  • Collegamento al malware. Un utente malintenzionato invia al destinatario un messaggio che contiene un collegamento a un allegato in un sito di condivisione file noto, ad esempio SharePoint Online o Dropbox. Quando il destinatario seleziona l'URL, viene aperto l'allegato e quindi viene eseguito il codice arbitrario, ad esempio una macro, nel dispositivo dell'utente. Questo codice consente all'utente malintenzionato di installare più codice o di consolidare la posizione raggiunta.
  • Drive-by-URL. Un utente malintenzionato invia al destinatario un messaggio che contiene un URL. Quando il destinatario seleziona l'URL, il sistema indirizza l'utente a un sito Web che tenta di eseguire il codice in background. Questo codice raccoglie informazioni sul destinatario o distribuisce codice arbitrario nel dispositivo. In genere, il sito Web di destinazione è un sito Web noto compromesso dall'utente malintenzionato o un clone di un sito Web noto. La familiarità con il sito Web aiuta a convincere l'utente che il collegamento è sicuro da selezionare. Alcune persone fanno riferimento agli attacchi drive-by-url come attacchi di watering hole.

Passaggio 2 - Selezionare un payload

Dopo aver selezionato il tipo di simulazione (tecnica di ingegneria sociale) da eseguire, selezionare un payload dal catalogo di payload preesistente.

Lo scopo dei punti dati del payload è fornire informazioni dettagliate sull'efficacia dei controlli di sicurezza di un'organizzazione contro gli attacchi simulati. Questi punti dati possono aiutare le organizzazioni a identificare le vulnerabilità nel comportamento di sicurezza e a intervenire per correggerle prima che gli utenti malintenzionati reali possano sfruttarle.

I team di sicurezza delle organizzazioni raccolgono e analizzano i punti dati presenti nei payload. Lo fanno per ottenere una migliore comprensione del modo in cui gli utenti malintenzionati potrebbero indirizzare l'infrastruttura e i dati dell'organizzazione. Usano queste conoscenze per migliorare le difese di sicurezza, ad esempio implementando:

  • Controlli di accesso più forti
  • Sistemi di rilevamento delle minacce più affidabili
  • Processi di risposta agli eventi imprevisti più efficaci

I team di sicurezza usano anche i punti dati per tenere traccia e misurare il successo del programma di formazione sulla consapevolezza della sicurezza di un'organizzazione. Si supponga, ad esempio, che i dati di simulazione mostrino una percentuale elevata di utenti in calo per un attacco di phishing. Questo risultato potrebbe indicare che gli utenti hanno bisogno di un training aggiuntivo su come riconoscere ed evitare tali attacchi.

Il catalogo di payload include molti punti dati che consentono di scegliere un payload, tra cui:

  • Fare clic sulla frequenza. Conta il numero di persone che hanno selezionato questo payload. Il punto dati click rate è una misura della capacità del payload di ingannare o ingannare gli utenti a intraprendere un'azione specifica. Ad esempio, facendo clic su un collegamento o aprendo un allegato. La piattaforma analizza vari fattori per determinare la probabilità che gli utenti selezionino questo payload. Ad esempio, il linguaggio usato nel payload, la progettazione visiva del messaggio e l'urgenza percepita della richiesta.
  • Velocità di compromissione stimata. La piattaforma usa machine learning e altri algoritmi avanzati per stimare la probabilità che un particolare payload comporti una compromissione. In questo modo, la piattaforma analizza vari fattori. Ad esempio, la complessità del payload, la probabilità di interazione dell'utente e l'efficacia dei controlli di sicurezza. Il risultato di questa analisi è la velocità di compromissione prevista, ovvero una stima della percentuale di utenti che un attacco potrebbe compromettere. Il tasso di compromissione previsto è solo una stima. Il tasso effettivo di compromissione può variare a seconda di vari altri fattori. Ad esempio, consapevolezza e formazione, l'efficacia dei controlli di sicurezza e le caratteristiche specifiche dell'attacco stesso. Di conseguenza, è importante che le organizzazioni usno i tassi di compromissione stimati come guida, piuttosto che come misura definitiva del rischio.
  • Simulazioni avviate. Il team responsabile dell'esecuzione delle simulazioni conta il numero di volte in cui altre simulazioni hanno usato questo payload.
  • Complessità. La piattaforma di training calcola il punto dati di complessità trovato nei payload. Usa algoritmi e metriche per analizzare il payload e assegnare un punteggio di complessità in base a vari fattori. Ad esempio, il numero di variabili e funzioni usate, il livello di annidamento e la struttura complessiva del payload.
  • Origine. L'origine indica se il team di sicurezza dell'organizzazione ha creato il payload nel tenant o se il payload fa parte del catalogo di payload preesistente di Microsoft (globale).

Passaggio 3 - Definire il gruppo di destinatari

Ora è il momento di selezionare il gruppo di destinatari di questa simulazione. È possibile scegliere di includere tutti gli utenti o solo utenti e gruppi specifici. Se si sceglie di includere solo utenti e gruppi specifici, è possibile:

  • Aggiungere utenti. È possibile cercare utenti specifici nel tenant. È anche possibile usare funzionalità avanzate di ricerca e filtro. Ad esempio, è possibile selezionare gli utenti a cui non si è destinato in una simulazione negli ultimi tre mesi.
  • Importa da CSV. Consente di importare un set predefinito di utenti per questa simulazione.

Passaggio 4 - Assegnare il training

Microsoft consiglia di assegnare il training per ogni simulazione. Perché? Poiché i dipendenti che si sottopongono a training sono meno soggetti ad attacchi simili. È possibile scegliere l'assegnazione automatica di training per l'organizzazione oppure selezionare corsi di formazione e moduli manualmente.

Selezionare la data di scadenza del training per assicurare che i dipendenti completino il training per realizzare gli obiettivi dell'organizzazione.

Passaggio 5 - Dettagli di avvio e revisione

Dopo che un'organizzazione ha configurato tutti i parametri di simulazione degli attacchi, è possibile avviare immediatamente la simulazione o pianificarla per una data successiva. Quando si avvia una simulazione, è necessario scegliere quando terminarla. La simulazione interrompe l'acquisizione delle interazioni quando è passato l'ora selezionata.

Se si imposta l'opzione di recapito del fuso orario in grado di riconoscere l'area durante l'avvio di una simulazione, i messaggi di attacco simulati vengono recapitati ai dipendenti durante l'orario di lavoro in base all'area geografica.

Al termine della simulazione, selezionare Avanti ed esaminare i dettagli della simulazione. Selezionare l'opzione Modifica in una delle parti da ripristinare e modificare i dettagli che devono essere modificati. Quando si è soddisfatti dei risultati, selezionare Invia.

Notifiche dell'utente finale

In Formazione con simulazione degli attacchi in Microsoft 365 E5 o Microsoft Defender per Office 365 piano 2, le notifiche degli utenti finali sono messaggi di posta elettronica inviati agli utenti a seguito di simulazioni o automazioni di simulazione. Sono disponibili i tipi di notifiche degli utenti finali seguenti:

  • Notifica di rinforzo positiva. Inviato quando gli utenti segnalano un messaggio di phishing simulato.
  • Notifica di simulazione. Inviato quando gli utenti sono inclusi in un'automazione di simulazione o simulazione, ma non sono selezionati training.
  • Notifica dell'assegnazione di training. Inviato quando agli utenti vengono assegnati i training necessari a seguito di automazioni di simulazione o simulazione.
  • Notifica di promemoria per il training. Inviato come promemoria per i training necessari.

Per visualizzare le notifiche degli utenti finali disponibili, aprire il portale di Microsoft Defender e passare a Email & collaborazione > Formazione con simulazione degli attacchi > scheda Raccolta contenuto scheda > Notifiche utente finale. La scheda Notifiche dell'utente finale include i tipi di notifiche seguenti:

  • Notifiche globali. Contiene le notifiche predefinite e imodificabili.
  • Notifiche del tenant. Contiene le notifiche personalizzate create.

Screenshot della pagina delle notifiche dell'utente finale per il training della simulazione degli attacchi.

Letture aggiuntive. Per altre informazioni sulla creazione e la modifica delle notifiche, vedere Notifiche degli utenti finali per Formazione con simulazione degli attacchi.