Questo articolo spiega perché si generano falsi positivi nelle simulazioni di Phishing, Smishing e Ransomware, quali sono le cause più comuni e come SMARTFENSE permette di rilevarli e gestirli per ottenere risultati affidabili.
Introduzione
I falsi positivi nelle simulazioni di Phishing, Smishing e Ransomware sono una realtà permanente in praticamente tutte le organizzazioni.
Questo problema è indipendente dallo strumento utilizzato per simulare attacchi. La differenza non sta nel fatto che si verifichino o meno, ma in come vengono rilevati e gestiti.
Come si generano i falsi positivi
Le email di simulazione includono link unici che identificano in modo univoco un utente all'interno di una campagna.
Questi link permettono di registrare le interazioni dell'utente e misurarne il comportamento.
Quando un software accede a questi link, una o più volte, si generano interazioni false a nome dell'utente destinatario, dando luogo a falsi positivi.
| Nota: questo fenomeno non è esclusivo delle simulazioni di sicurezza. Si verifica anche negli strumenti di marketing e in qualsiasi sistema che misura il comportamento umano tramite link. |
Quali strumenti provocano i falsi positivi?
Risposta breve
Quasi tutti.
Risposta dettagliata
L'origine dei falsi positivi è ampia e dinamica, per cui non è possibile mantenere un elenco esaustivo. Inoltre, questo comportamento si applica sia a dispositivi aziendali che personali.
Tra le principali fonti si trovano:
Soluzioni di sicurezza
Filtri antispam e antiphishing
IDS / IPS
DLP
Gateway di sicurezza della posta elettronica
Antivirus
Soluzioni di analisi e monitoraggio continuo
Archiving and Discovery
Threat Intelligence
Software dell'ambiente utente
Client di posta desktop, web o mobile
Estensioni del browser
Plugin della casella di posta
Strumenti di anteprima dei link
Altre applicazioni web o mobili
Come evitare i falsi positivi?
Nell'ambiente aziendale
Negli strumenti, dispositivi e applicazioni sotto il controllo dell'organizzazione, è possibile tentare di mitigarli tramite Whitelist.
È importante chiarire che l'obiettivo principale della Whitelist è garantire la consegna della simulazione all'utente.
Anche se può aiutare, non elimina il problema alla radice, poiché molti strumenti continuano ad analizzare le email anche se sono state inserite in whitelist.
Inoltre, implementare la Whitelist in tutte le tecnologie coinvolte è spesso complesso o direttamente impossibile.
Nell'ambiente personale
Quando l'utente utilizza dispositivi personali, il margine di azione è minimo.
L'unica alternativa sarebbe intervenire direttamente sul dispositivo dell'utente per pulire o configurare gli strumenti, il che non è realistico né scalabile.
Come rilevare i falsi positivi?
Opzione 1: rilevamento automatico
La soluzione migliore è utilizzare uno strumento di simulazione che rilevi automaticamente i falsi positivi e avvisi quando una campagna è compromessa.
Idealmente, questo strumento dovrebbe offrire:
Indirizzi IP di origine
Informazioni Whois
User-Agent delle interazioni
Trace HTTP che ha generato il falso positivo
ancora meglio: avere un partner che gestisca SMARTFENSE e si occupi di tutta questa gestione.
Opzione 2: rilevamento manuale
Se non si dispone di uno strumento che rilevi i falsi positivi, il rilevamento manuale è possibile, anche se poco affidabile.
Quando il problema è evidente
Esempio:
Email inviate: 1000
Email aperte: 900
Click sui link: 900
In questi casi è chiaro che qualcosa non va.
Si possono applicare strategie manuali come:
Scartare le interazioni avvenute immediatamente dopo l'invio.
Identificare aperture e click con differenze di secondi minime.
Anche così, la campagna rimane contaminata e i risultati non sono affidabili.
Quando il problema non è evidente
Questo è lo scenario più pericoloso.
I risultati sembrano validi, ma contengono falsi positivi invisibili.
L'organizzazione prende decisioni basate su dati errati e il problema viene solitamente rilevato troppo tardi, quando un utente reclama di essere stato accusato ingiustamente.
Considerazioni finali
Nel 2019, un cliente SMARTFENSE ha rilevato che alcuni utenti negavano di aver interagito con le simulazioni, nonostante i registri indicassero aperture e click.
La causa: soluzioni di sicurezza che interagivano con le email prima che arrivassero all'utente.
Di fronte a ciò, esistevano due strade:
Dare la colpa al cliente e raccomandare la Whitelist.
Sviluppare una soluzione reale per ottenere risultati affidabili.
SMARTFENSE ha scelto la seconda strada.
Così è nato l'algoritmo di rilevamento dei falsi positivi, oggi robusto, personalizzabile e in costante evoluzione.
Senza una funzionalità di questo tipo, non è possibile ottenere risultati affidabili nelle simulazioni di Phishing, indipendentemente dall'organizzazione.
💡 Best practice
Assumere che i falsi positivi esisteranno sempre e gestirli adeguatamente.
Evitare di prendere decisioni critiche basate su campagne non depurate.
Personalizzare l'algoritmo di rilevamento in base alla realtà tecnologica dell'organizzazione.