Come si misura il successo di una simulazione di PHISHING?

Security Awareness
20 Gennaio 2019

In questi ultimi anni tutte le organizzazioni hanno avviato delle campagne di simulazione di attacchi PHISHING, concentrandosi soprattutto su statistiche elementari come il Click-Rate (tasso di click) quale elemento di valutazione del livello di rischio. Utilizzando questa misura è sufficiente ottenere un tasso di click più basso nella campagna di simulazione successiva per determinare il successo dei programmi di formazione e sensibilizzazione .

Purtroppo, la questione non è così semplice perché il Click Rate, da solo, non esprime efficacemente il livello di rischio. Recentemente alcune ricerche hanno evidenziato la difettosità del tasso di click per valutare sia il livello di rischio sia la curva di apprendimento.

Se il Click-Rate è una misura “difettosa”, perchè è così utilizzato?

Certamente perché è facile da misurare, e quindi è un risultato alla portata di tutti, anche di piccole società di consulenza che vendono servizi di simulazione o di team di sicurezza che decidono di strutturare campagne interne.

Ad essere più maliziosi si potrebbe pensare che è anche una misura più facile da “controllare”. Il tasso di click è in relazione diretta con il livello di difficoltà della simulazione. Per cui, basta variare la difficoltà della simulazione per ottenere un risultato sostanzialmente diverso: se voglio dimostrare l’efficacia di un programma è sufficiente,
man mano che procedo con le campagne, ridurre il livello di complessità delle simulazioni.

Al di là della malizia, quello che è certo è che se non metto in relazione la percentuale di click, con la difficoltà della campagna, non otterrò una corretta valutazione del rischio PHISHING e della curva di apprendimento.

Il Click-Rate esprime un valore assoluto che perde di senso se non si tiene conto di chi clicca e chi no.

Se, simulazione dopo simulazione, utilizzo un grafico a barre per misurare il valore di Click-Rate ottenuto, il grafico, con le sue misurazioni, potrebbe anche apparire logico. Peccato che di fatto non possa esprimere la vera curva di apprendimento dei dipendenti. Se a gennaio i dipendenti che hanno cliccato sono il 30%, mentre a febbraio la percentuale scende al 20%, si potrebbe facilmente derivare che il 10% dei dipendenti hanno imparato a proteggersi dal PHISHING. Ma si tratta di una forzatura, soprattutto se non sono in grado di sapere se le persone che hanno cliccato a febbraio siano o meno le stesse che hanno cliccato a gennaio.

Se non fossero gli stessi, il dato relativo all’apprendimento cambierebbe completamente di significato. Se poi combinassi questo elemento con i cambiamenti intervenuti nelle simulazioni, il grafico a barre perderebbe ancora più di significato.

Facciamo un ulteriore esempio, ipotizzando la situazione di due aziende, A e B, che hanno entrambe 100 dipendenti. Per entrambe le aziende, ad ogni campagna di simulazione, ci sono 10 dipendenti che cliccano sul link di simulazione Phishing. Il Click Rate del 10% rimane costante nel tempo, il che sembra implicare il fallimento di tutte le attività di formazione in entrambe le aziende.

Ma non è esattamente così.

Nell’azienda A infatti sono sempre gli stessi dipendenti che cliccano, il che significa che la situazione di partenza era abbastanza buona, ma che nel tempo la stessa non è cambiata affatto, non è né migliorata né peggiorata. Il livello di rischio è basso, ma la curva di apprendimento è a zero.

Nell’azienda B invece i dipendenti che cadono nel tranello variano sempre, per cui possiamo assumere che la curva di apprendimento è buona perché nessun dipendente cade nel tranello più di una volta. Questo significa che l’azienda B sta migliorando costantemente, e che dopo 10 simulazioni il Click-Rate e il livello di rischio tenderanno allo zero.

Per ottenere quindi una misura reale del livello di rischio e del successo delle campagne di formazione e sensibilizzazione al Phishing devo combinare il Click-Rate con altre metriche. In questo articolo ne introduciamo alcune…

La frequenza di Click associata alla figura del Serial Clicker

I Serial Clicker sono figure che tendono a cliccare su quasi tutte le simulazioni, indipendentemente dalla difficoltà. Sono un gruppo relativamente piccolo, ma rappresentano un rischio elevato per l’organizzazione, perché sono i più resistenti rispetto alle campagne di sensibilizzazione. Misurando il loro comportamento si riesce ad avere una misura molto più efficace del livello di rischio. Una riduzione del tasso di click in questa fascia di dipendenti esprime un miglioramento effettivo delle curve di apprendimento e una concreta riduzione del rischio.

Per poter ottenere questa misura, la piattaforma di simulazione deve essere in grado di misurare le tendenze a livello di singolo individuo e nello stesso tempo di generare delle soglie a livello di organizzazione, che consentiranno di classificare un comportamento come seriale. Per fare questo serve quindi una piattaforma adattiva in grado di valutare in modo granulare i risultati ottenuti per ogni campagna.

La resilienza dei dipendenti

Il punteggio di resilienza è una misura che esprime un concetto molto importante, e cioè la capacità effettiva del dipendente di resistere agli attacchi Phishing nel tempo. Questo valore fornisce un’idea precisa delle difficoltà che il criminale Cyber troverà nel superare le difese psicologiche del dipendente, e quindi implicitamente il relativo livello di rischio e le curve di apprendimento.

Il punteggio di resilienza viene calcolato come il numero di simulazioni che il dipendente supera con successo tra due simulazioni in cui invece il dipendente stesso è caduto nel tranello. Più questo numero è elevato, più quel dipendente sarà considerato resiliente. Aggregando questi dati di punteggio si potrà ottenere un quadro chiaro della resilienza di un team, di una filiale locale, di una società all’interno di un gruppo di imprese, e quindi tarare al meglio gli interventi formativi.

Tante metriche in un’unica piattaforma

Le metriche di misura dei comportamenti dei Serial Clicker e il punteggio di resilienza sono due indicatori che aiutano a superare i limiti del Click-Rate, e aiutano a valutare con maggiore precisione i risultati delle campagne Phishing. Si tratta di due metriche che vengono correttamente rilevate da Cyber Guru Phishing, basato sulla tecnologia CybeReady.

Per saperne di più sulle soluzioni di Cyber Guru Phishing

Tratto liberamente da:  
Is Click Rates the right way to measure Phishing Simulation Training?
CybeReady blog

Articoli correlati

Rapporto Clusit 2024: i dati che preoccupano

Rapporto Clusit 2024: i dati che preoccupano

In Italia bersagliato il manifatturiero ma gli attacchi alla sanità crescono dell’83% rispetto al primo semestre 2023.La centralità del fattore umano. Dal fronte cyber non arrivano buone notizie. Anzi, la guerra (perché di questo si tratta) è più accesa che mai e il...

leggi tutto