Domande frequenti e risoluzione dei problemi

Condividi

Questo articolo è utile?

Ultimo aggiornamento:

Identificare e gestire i falsi positivi

Se hai avviato una campagna di phishing e noti risultati insoliti, potresti trovarti davanti a falsi clic. Nell’analisi dei risultati della campagna, se noti una percentuale di clic del 100% o indirizzi IP che non appartengono alla tua organizzazione, potrebbe trattarsi di un’indicazione di falsi positivi. Ecco alcuni dei motivi comuni dei falsi positivi e alcuni consigli per gestirli.

Cosa è considerato un clic?

I clic sono l’elemento che monitoriamo quando un utente fa clic su un link di phishing in un’e-mail simulata. Tuttavia, i clic possono essere registrati anche in altri modi. Per falso positivo, ci riferiamo a clic non causati da un utente che fa clic su un link di phishing. Ecco alcuni motivi comuni dei falsi positivi:

  • Inserimento non corretto del filtro antispam nell’elenco elementi consentiti. Un inserimento non corretto nell’elenco elementi consentiti può causare clic automatici o clic dei bot. Per capire come stabilire se il clic è un clic di bot, consulta la sezione Come identificare i clic dei bot di seguito.
  • Potrebbe essere necessario procedere con un ulteriore inserimento nell’elenco elementi consentiti. Potrebbe essere necessario inserire il filtro antispam nell’elenco elementi consentiti per escludere le e-mail di phishing simulato dall’analisi dei link o dalla verifica dei link.
  • Filtri di posta con pacchetti di add-on di sicurezza non inseriti nell’elenco elementi consentiti.
  • Sicurezza dell’endpoint o software antivirus.
  • Funzioni di anteprima dei link integrate nei sistemi operativi del dispositivo mobile.
  • Software di sicurezza integrato nei sistemi di gestione dei dispositivi mobili (MDM).
  • E-mail di phishing inoltrate da un utente a un altro utente. Questa azione può essere registrata come clic perché l’e-mail inoltrata è stata inserita in modalità sandbox e verificata dal server di posta o perché il destinatario dell’e-mail inoltrata ha fatto clic sul link.

Come identificare i clic dei bot

Istanze di inserimento nell’elenco elementi consentiti non corretto o insufficiente possono causare clic dei bot. I clic dei bot sono causati da un processo automatizzato all’interno dell’infrastruttura. Puoi identificare i clic dei bot esaminando i risultati della campagna di phishing. Ecco alcuni modi per identificare i clic dei bot:

  • Gli orari indicati nelle colonne Consegna, Apertura e Clic sono uguali o entro un minuto l’uno dall’altro.
  • La scheda Clic effettuato indica che il browser o la versione del browser non sono quelli in uso nell’ambiente o che non sono aggiornati.
  • Il sistema operativo elencato è quello a cui i tuoi utenti non hanno accesso nell’ambiente.
  • L’indirizzo IP appartiene al provider di uno dei tuoi prodotti di sicurezza.

Indirizzi IP inattesi nei risultati della campagna

Quando un clic viene registrato nella console, l’indirizzo IP viene registrato nel punto di origine del clic. Ecco alcuni esempi del perché potresti vedere indirizzi IP inattesi:

  • Se un utente sta usando un dispositivo mobile e fa clic su link, il link potrebbe sembrare proveniente dal provider del servizio di rete.
  • Se un utente è collegato alla rete Wi-Fi di casa, il clic viene registrato come indirizzo IP di un provider di servizi Internet (ISP).
  • Se un utente è collegato a una rete Wi-Fi pubblica, il clic viene registrato dalla posizione in cui si trovava l’utente quando ha fatto clic.
  • Se tu o uno dei tuoi prodotti utilizzate un provider di servizi ospitati, come AWS, l’indirizzo IP potrebbe provenire da un’altra posizione o persino da un altro Paese. Alcuni processi di analisi dei link potrebbero non verificarsi sul lato client, e il link potrebbe essere trasferito a un centro backend di analisi del provider di sicurezza.
  • Se l’URL viene inviato a VirusTotal, l’indirizzo IP potrebbe provenire da un’altra posizione. Il link potrebbe essere inviato automaticamente da un prodotto che usi o da un utente. Quando un URL viene inviato a VirusTotal, VirusTotal lo analizza per determinare se deve essere aggiunto alle definizioni di minaccia come ostile. A volte, quest’analisi del link è immediata. Altre volte, può richiedere diverse ore. Questi indirizzi IP possono essere registrati come un fornitore di sicurezza o come un ISP.

Cause comuni dei falsi positivi

I falsi positivi nelle simulazioni di phishing generalmente hanno tre cause principali:

  • Interferenza dei sistemi di scansione dei link: gli strumenti di sicurezza che selezionano automaticamente i link prima che gli utenti vedano le e-mail
  • Inserimento nell’elenco elementi consentiti inadeguato: i domini di KnowBe4 non sono stati esclusi correttamente dalla scansione di sicurezza
  • Policy di sicurezza configurate in modo errato: i filtri antispam o le regole del flusso di posta entrano in conflitto con la consegna dei test di phishing

Per ridurre al minimo i falsi positivi, configura i filtri antispam in modo da escludere le e-mail di phishing di KnowBe4 dall’analisi e verifica dei link. Assicurati che gli smart host e le policy di recapito avanzate siano in linea con le configurazioni della tua campagna. Quando analizzi i problemi relativi ai sistemi di scansione dei link, controlla le impostazioni di inserimento nell’elenco elementi consentiti con gli amministratori IP per trovare un equilibrio tra i requisiti di sicurezza e metriche di formazione accurate.

Come prevenire i falsi positivi

Conoscere la tua infrastruttura è il passaggio fondamentale per prevenire i falsi positivi. Poiché i prodotti di software di sicurezza sono molti, potresti dover consultare la documentazione del software o dei provider di sicurezza usati per vedere se è presente una sezione su come esentare link e domini dalla scansione, analisi e verifica dei link.

Puoi anche avviare campagne di prova con un paio di diversi modelli su computer la cui configurazione è uguale a quella delle postazioni di lavoro dei tuoi utenti. Queste campagne di prova possono aiutarti a vedere se l’attuale configurazione può causare falsi positivi.

Assicurati che gli utenti segnalino le e-mail solo tramite Phish Alert Button e non tramite il pulsante di phishing del server di posta o altra funzione di segnalazione di terze parti.

Controlla se i tuoi prodotti di sicurezza presentano l’opzione di inserimento nell’elenco elementi consentiti aggiuntivo. Se puoi, inserisci nell’elenco elementi consentiti i domini dei link di phishing e i domini della pagina di destinazione. Questo passaggio aggiuntivo può prevenire i falsi positivi. Per vedere un elenco dei domini di phishing root, vai alla scheda Phishing nella console KnowBe4 e seleziona la scheda secondaria Domini. Per maggiori informazioni sulla scheda secondaria Domini, vedi l’articolo Gestire i domini dei link di phishing.

Se i problemi relativi ai falsi positivi persistono, contatta il nostro team di supporto team di supporto.

Questo articolo è stato utile?

Utenti che ritengono sia utile: 9 su 13

Non trovi quello che stai cercando?

Contatta l’assistenza