Questo articolo spiega perché è fondamentale eseguire un processo di Whitelist prima di lanciare campagne di simulazione di Phishing o Ransomware in SMARTFENSE, come influisce sulla qualità delle metriche e quali domini e IP devono essere consentiti per ottenere risultati affidabili.
Configurazione disponibile nella sezione Configurazione > Sicurezza > Whitelist
Importanza del processo di Whitelist
Prima di lanciare una campagna di simulazione di Phishing o Ransomware, è fondamentale eseguire un processo di Whitelist in ciascuno degli strumenti di sicurezza dell'organizzazione.
Uno degli obiettivi principali di questo processo è assicurare che la mail della simulazione arrivi nella casella di posta in arrivo dell'utente e non venga classificata come SPAM.
Perché è importante?
L'obiettivo finale di una simulazione è misurare il comportamento degli utenti per determinare il livello di rischio dell'organizzazione.
Per raggiungere questo obiettivo, è indispensabile che tutti gli utenti che fanno parte dell'universo da valutare ricevano effettivamente la simulazione.
Frequentemente, i team di sicurezza o IT si aspettano che le simulazioni superino tutte le barriere tecnologiche senza configurare la Whitelist.
Questo approccio può funzionare in alcuni casi e fallire in altri, ma il risultato è sempre lo stesso: metriche errate sul reale livello di rischio.
Una simulazione non è progettata per misurare l'efficacia degli strumenti di sicurezza, ma il comportamento, le abitudini e le azioni delle persone.
Per questo motivo, configurare correttamente le Whitelist è fondamentale per misurare ciò che si desidera realmente misurare.
Statistiche generate dal software
Il processo di Whitelist aiuta anche a ridurre la generazione di statistiche false prodotte dagli strumenti di sicurezza.
Le email di simulazione contengono link unici che identificano in modo univoco un utente all'interno di una campagna.
Questi link permettono di registrare le interazioni e valutare il comportamento dell'utente.
Senza una Whitelist adeguata, gli strumenti di sicurezza:
Analizzano le email.
Accedono ai link una o più volte.
Generano interazioni false a nome dell'utente destinatario.
Questo impedisce di misurare correttamente il reale comportamento dell'utente, che è l'obiettivo principale della simulazione.
Un corretto processo di Whitelist di domini e IP permette di ottenere risultati puliti, affidabili e utili.
Come rileva SMARTFENSE le interazioni generate dal software?
Se in una campagna appare l'avviso:
Avviso: è stata rilevata almeno un'interazione generata da software
significa che SMARTFENSE ha identificato almeno un'interazione non effettuata da un utente umano.
Le cause più comuni sono:
Interazioni da IP o User-Agents configurati in Whitelist
In Configurazione > Sicurezza > Whitelist è possibile definire intervalli di indirizzi IP e User-Agents.
Se un'interazione proviene da uno di questi valori, SMARTFENSE la classifica automaticamente come generata da software.
Attivazione di link speciali
Le email, i momenti educativi e i file delle simulazioni includono link speciali che non possono essere attivati da un utente.
Solo gli strumenti di sicurezza possono attivarli.
Quando ciò accade, l'interazione viene registrata e catalogata automaticamente come generata da software.
Analisi delle interazioni precedenti
SMARTFENSE analizza le interazioni avvenute all'interno del range di secondi configurato in Configurazione > Sicurezza > Whitelist.
Se esiste almeno un'interazione generata da software in quel range, anche le nuove interazioni vengono classificate allo stesso modo.
Configurazione della Whitelist
1. Indirizzi IP e domini di invio email
Deve essere consentito il traffico in entrata dagli indirizzi IP e dai domini utilizzati dai server SMARTFENSE per notifiche e simulazioni.
Indirizzi IP
50.6.200.66
160.153.250.248
190.210.135.44
52.16.33.192
Domini
livefense.com: simulazioni di phishing e ransomware
smartfense.com: email di notifiche esterne
mail-takesecurity.com: email di notifiche
phishalertbutton.com: pulsante di segnalazione phishing (nuova versione)
palertbutton.com: pulsante di segnalazione phishing (versione precedente)
2. Domini di navigazione web
Questi domini devono essere aggiunti alla whitelist di navigazione su proxy o firewall per il corretto funzionamento della piattaforma.
Risorse e contenuti
sf-production-eu.s3.amazonaws.com: immagini e risorse
cdn.takesecurity.com: visualizzazione video
takesecurity.com: azioni di formazione
takesecurity2.com: dominio di backup
takesecurity-ws.com: misurazione del tempo dedicato
phishalertbutton.com
palertbutton.com
Domini delle pagine di destinazione delle simulazioni
tk2.io: simulazioni di smishing
updates-app.com: simulazioni di phishing o ransomware
protected-request.com: simulazioni di phishing o ransomware
social-media-network.com: simulazioni di phishing o ransomware
shoppinglogin.com: simulazioni di phishing o ransomware
travel-checkout.com: simulazioni di phishing o ransomware
free-products-site.com: simulazioni di phishing o ransomware
correctcertificate.com: simulazioni di phishing o ransomware
registo-seguro.com: simulazioni di phishing o ransomware
proxy-www.com: simulazioni di phishing o ransomware
calls-link.com: simulazioni di phishing o ransomware
solucion-problemas.com: simulazioni di phishing o ransomware
pass-login.com: simulazioni di phishing o ransomware
online-corpweb.com: simulazioni di phishing o ransomware
official-org.com: simulazioni di phishing o ransomware
register-access.com: simulazioni di phishing o ransomware
compras-ok.com: simulazioni di phishing o ransomware
reclamos-online.com: simulazioni di phishing o ransomware
securewebdomains.com: simulazioni di phishing o ransomware
it-support-desk.com: simulazioni di phishing o ransomware
logincorporate.com: simulazioni di phishing o ransomware
registro-seguro.com: simulazioni di phishing o ransomware
store-access.com: simulazioni di phishing o ransomware
inicioseguro.com: simulazioni di phishing o ransomware
registro-sicuro.com: simulazioni di phishing o ransomware
e-mail-access.com: simulazioni di phishing o ransomware
hr-staff-net.com: simulazioni di phishing o ransomware
canjear-ahora.com: simulazioni di phishing o ransomware
vpn-corporativa.com: simulazioni di phishing o ransomware
actualizar-app.com: simulazioni di phishing o ransomware
Domini per ambienti di prova (Trial)
trial.inicioseguro.com
sf-trial-eu.s3.amazonaws.com
💡 Best practice
Eseguire il processo di Whitelist prima di lanciare qualsiasi campagna di simulazione.
Configurare la Whitelist sia per posta elettronica che per navigazione web.
Rivedere periodicamente Configurazione > Sicurezza > Whitelist per regolare IP e User-Agents.