Introduzione alla formazione sull’uso di Simulatore di attacchi
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Nelle organizzazioni con Microsoft Defender per Office 365 piano 2 (licenze di componenti aggiuntivi o incluse in sottoscrizioni come Microsoft 365 E5), è possibile usare Formazione con simulazione degli attacchi nel Microsoft Defender per eseguire scenari di attacco realistici nell'organizzazione. Questi attacchi simulati consentono di identificare e trovare utenti vulnerabili prima che un attacco reale influirà sui profitti.
Questo articolo illustra le nozioni di base di Formazione con simulazione degli attacchi.
Guardare questo breve video per altre informazioni su Formazione con simulazione degli attacchi.
Nota
Formazione con simulazione degli attacchi sostituisce l'esperienza precedente del simulatore di attacco v1 disponibile nel centro conformità security & nelsimulatore di attacco per la gestione> delle minacce o https://protection.office.com/attacksimulator.
Che cosa è necessario sapere prima di iniziare?
Formazione con simulazione degli attacchi richiede una licenza Microsoft 365 E5 o Microsoft Defender per Office 365 Piano 2. Per altre informazioni sui requisiti di licenza, vedere Condizioni di licenza.
Formazione con simulazione degli attacchi supporta le cassette postali locali, ma con funzionalità di creazione di report ridotte. Per altre informazioni, vedere Segnalazione di problemi con le cassette postali locali.
Per aprire il portale di Microsoft Defender, passare a https://security.microsoft.com. Formazione con simulazione degli attacchi è disponibile in Email e collaborazione>Formazione con simulazione degli attacchi. Per passare direttamente a Formazione con simulazione degli attacchi, usare https://security.microsoft.com/attacksimulator.
Per altre informazioni sulla disponibilità di Formazione con simulazione degli attacchi in diverse sottoscrizioni di Microsoft 365, vedere Microsoft Defender per Office 365 descrizione del servizio.
Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:
Microsoft Entra autorizzazioni: è necessaria l'appartenenza a uno dei ruoli seguenti:
- Amministratore globale¹
- Amministratore della sicurezza
- Amministratori della simulazione di attacco²: creare e gestire tutti gli aspetti delle campagne di simulazione degli attacchi.
- Autore payload di attacco²: creare payload di attacco che un amministratore può avviare in un secondo momento.
Importante
¹ Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
² L'aggiunta di utenti a questo gruppo di ruoli in Email & autorizzazioni di collaborazione nel portale di Microsoft Defender non è attualmente supportata.
Attualmente, Microsoft Defender XDR controllo degli accessi in base al ruolo unificato non è supportato.
Non sono disponibili cmdlet di PowerShell corrispondenti per Formazione con simulazione degli attacchi.
I dati correlati alla simulazione e al training degli attacchi vengono archiviati con altri dati dei clienti per i servizi di Microsoft 365. Per altre informazioni, vedere Percorsi dei dati di Microsoft 365. Formazione con simulazione degli attacchi è disponibile nelle aree seguenti: APC, EUR e NAM. I paesi all'interno di queste aree in cui sono disponibili Formazione con simulazione degli attacchi includono ARE, AUS, BRA, CAN, CHE, DEU, ESP, FRA, GBR, IND, ISR, ITA, JPN, KOR, LAM, MEX, NOR, POL, QAT, SGP, SWE, TWN e ZAF.
Nota
NOR, ZAF, ARE e DEU sono le aggiunte più recenti. In queste aree sono disponibili tutte le funzionalità ad eccezione dei dati di telemetria di posta elettronica segnalati. Stiamo lavorando per abilitare le funzionalità e informeremo i clienti non appena i dati di telemetria segnalati saranno disponibili.
Formazione con simulazione degli attacchi è disponibile negli ambienti Microsoft 365 GCC, GCC High e DoD, ma alcune funzionalità avanzate non sono disponibili in GCC High e DoD (ad esempio, automazione del payload, payload consigliati, velocità compromessa stimata). Se l'organizzazione dispone di Microsoft 365 G5, Office 365 G5 o Microsoft Defender per Office 365 (piano 2) per enti pubblici, è possibile usare Formazione con simulazione degli attacchi come descritto in questo articolo.
Nota
Formazione con simulazione degli attacchi offre un subset di funzionalità ai clienti E3 come versione di valutazione. L'offerta di valutazione contiene la possibilità di usare un payload Credential Harvest e la possibilità di selezionare esperienze di training 'ISA Phishing' o 'Mass Market Phishing'. Nessun'altra funzionalità fa parte dell'offerta di valutazione E3.
Simulazioni
Una simulazione in Formazione con simulazione degli attacchi è la campagna complessiva che fornisce messaggi di phishing realistici ma innocui agli utenti. Gli elementi di base di una simulazione sono:
- Chi ottiene il messaggio di phishing simulato e in base alla pianificazione.
- Training che gli utenti ottengono in base all'azione o alla mancanza di azione (per azioni corrette e non corrette) nel messaggio di phishing simulato.
- Payload usato nel messaggio di phishing simulato (un collegamento o un allegato) e la composizione del messaggio di phishing (ad esempio, pacchetto recapitato, problema con l'account o premio).
- La tecnica di ingegneria sociale usata. Il payload e la tecnica di ingegneria sociale sono strettamente correlati.
In Formazione con simulazione degli attacchi sono disponibili diversi tipi di tecniche di ingegneria sociale. Ad eccezione della Guida pratica, queste tecniche sono state curate dal framework MITRE ATT&CK®. Sono disponibili payload diversi per tecniche diverse.
Sono disponibili le tecniche di ingegneria sociale seguenti:
Raccolta credenziali: un utente malintenzionato invia al destinatario un messaggio che contiene un collegamento*. Quando il destinatario fa clic sul collegamento, viene indirizzato a un sito Web che in genere mostra una finestra di dialogo che richiede all'utente il nome utente e la password. In genere, la pagina di destinazione è a tema per rappresentare un sito Web noto per creare attendibilità nell'utente.
Allegato malware: un utente malintenzionato invia al destinatario un messaggio contenente un allegato. Quando il destinatario apre l'allegato, nel dispositivo dell'utente viene eseguito codice arbitrario (ad esempio, una macro) per consentire all'utente malintenzionato di installare codice aggiuntivo o di trincearsi ulteriormente.
Collegamento in Allegato: questa tecnica è un ibrido di raccolta delle credenziali. Un utente malintenzionato invia al destinatario un messaggio che contiene un collegamento all'interno di un allegato. Quando il destinatario apre l'allegato e fa clic sul collegamento, viene indirizzato a un sito Web che in genere mostra una finestra di dialogo che chiede all'utente il nome utente e la password. In genere, la pagina di destinazione è a tema per rappresentare un sito Web noto per creare attendibilità nell'utente.
Collegamento a Malware*: un utente malintenzionato invia al destinatario un messaggio che contiene un collegamento a un allegato in un sito noto di condivisione file ,ad esempio SharePoint Online o Dropbox. Quando il destinatario fa clic sul collegamento, viene aperto l'allegato e viene eseguito codice arbitrario (ad esempio, una macro) nel dispositivo dell'utente per consentire all'utente malintenzionato di installare codice aggiuntivo o di trincerarsi ulteriormente.
Drive-by-URL*: un utente malintenzionato invia al destinatario un messaggio che contiene un collegamento. Quando il destinatario fa clic sul collegamento, viene indirizzato a un sito Web che tenta di eseguire il codice in background. Questo codice in background prova a raccogliere informazioni sul destinatario o distribuire codice arbitrario nel dispositivo. In genere, il sito Web di destinazione è un sito Web noto che è stato compromesso o un clone di un sito Web noto. La familiarità con il sito Web aiuta a convincere l'utente che il collegamento è sicuro da fare clic. Questa tecnica è nota anche come attacco di foro di irrigazione.
Concessione *di consenso OAuth: un utente malintenzionato crea un applicazione Azure dannoso che cerca di ottenere l'accesso ai dati. L'applicazione invia una richiesta di posta elettronica che contiene un collegamento. Quando il destinatario fa clic sul collegamento, il meccanismo di concessione del consenso dell'applicazione richiede l'accesso ai dati ,ad esempio la posta in arrivo dell'utente.
Guida pratica: guida all'insegnamento che contiene istruzioni per gli utenti (ad esempio, come segnalare i messaggi di phishing).
* Il collegamento può essere un URL o un codice a matrice.
Gli URL usati da Formazione con simulazione degli attacchi sono elencati nella tabella seguente:
Nota
Controllare la disponibilità dell'URL di phishing simulato nei Web browser supportati prima di usare l'URL in una campagna di phishing. Per altre informazioni, vedere URL di simulazione del phishing bloccati da Google Safe Browsing.
Creare simulazioni
Per istruzioni su come creare e avviare simulazioni, vedere Simulare un attacco di phishing.
La pagina di destinazione della simulazione è la posizione in cui si trovano gli utenti quando aprono il payload. Quando si crea una simulazione, si seleziona la pagina di destinazione da usare. È possibile scegliere tra pagine di destinazione predefinite, pagine di destinazione personalizzate già create oppure creare una nuova pagina di destinazione da usare durante la creazione della simulazione. Per creare pagine di destinazione, vedere Pagine di destinazione in Formazione con simulazione degli attacchi.
Le notifiche degli utenti finali nella simulazione inviano promemoria periodici agli utenti, ad esempio notifiche di assegnazione di training e promemoria. È possibile scegliere tra notifiche predefinite, notifiche personalizzate già create oppure creare nuove notifiche da usare durante la creazione della simulazione. Per creare notifiche, vedere Notifiche dell'utente finale per Formazione con simulazione degli attacchi.
Consiglio
Le automazioni di simulazione offrono i miglioramenti seguenti rispetto alle simulazioni tradizionali:
- Le automazioni di simulazione possono includere più tecniche di ingegneria sociale e payload correlati (le simulazioni ne contengono una sola).
- Le automazioni di simulazione supportano opzioni di pianificazione automatizzate (oltre alla data di inizio e alla data di fine nelle simulazioni).
Per altre informazioni, vedere Automazioni di simulazione per Formazione con simulazione degli attacchi.
Payload
Anche se Formazione con simulazione degli attacchi contiene molti payload predefiniti per le tecniche di social engineering disponibili, è possibile creare payload personalizzati per soddisfare meglio le esigenze aziendali, inclusa la copia e la personalizzazione di un payload esistente. È possibile creare payload in qualsiasi momento prima di creare la simulazione o durante la creazione della simulazione. Per creare payload, vedere Creare un payload personalizzato per Formazione con simulazione degli attacchi.
Nelle simulazioni che usano tecniche di social engineering Credential Harvest o Link in Attachment , le pagine di accesso fanno parte del payload selezionato. La pagina di accesso è la pagina Web in cui gli utenti immettono le proprie credenziali. Ogni payload applicabile usa una pagina di accesso predefinita, ma è possibile modificare la pagina di accesso usata. È possibile scegliere tra pagine di accesso predefinite, pagine di accesso personalizzate già create oppure creare una nuova pagina di accesso da usare durante la creazione della simulazione o del payload. Per creare pagine di accesso, vedere Pagine di accesso in Formazione con simulazione degli attacchi.
L'esperienza di training migliore per i messaggi di phishing simulati consiste nel renderli il più vicini possibile agli attacchi di phishing reali che potrebbero verificarsi nell'organizzazione. E se si potessero acquisire e usare versioni innocue dei messaggi di phishing reali rilevati in Microsoft 365 e usarli in campagne di phishing simulate? È possibile, con automazioni del payload (nota anche come raccolta del payload). Per creare automazioni del payload, vedere Automazioni del payload per Formazione con simulazione degli attacchi.
Formazione con simulazione degli attacchi supporta anche l'uso di codici a matrice nei payload. È possibile scegliere dall'elenco dei payload di codice a matrice predefiniti oppure creare payload di codice a matrice personalizzati. Per altre informazioni, vedere Payload di codice a matrice in Formazione con simulazione degli attacchi.
Report e informazioni dettagliate
Dopo aver creato e avviato la simulazione, è necessario vedere come sta andando. Ad esempio:
- L'hanno ricevuto tutti?
- Chi ha fatto cosa per il messaggio di phishing simulato e il payload al suo interno (eliminare, segnalare, aprire il payload, immettere le credenziali e così via).
- Chi ha completato il training assegnato.
I report e le informazioni dettagliate disponibili per Formazione con simulazione degli attacchi sono descritti in Informazioni dettagliate e report per Formazione con simulazione degli attacchi.
Velocità di compromissione stimata
Spesso è necessario personalizzare una campagna di phishing simulato per gruppi di destinatari specifici. Se il messaggio di phishing è troppo vicino al perfetto, quasi tutti saranno ingannati da esso. Se è troppo sospetto, non ne verrà ingannato. Inoltre, i messaggi di phishing che alcuni utenti considerano difficili da identificare sono considerati facili da identificare da altri utenti. Allora, come si fa a trovare un equilibrio?
La velocità di compromissione stimata (PCR) indica la potenziale efficacia quando il payload viene usato in una simulazione. PCR usa dati cronologici intelligenti in Microsoft 365 per stimare la percentuale di persone che saranno compromesse dal payload. Ad esempio:
- Contenuto del payload.
- Tassi di compromissione aggregati e anonimi di altre simulazioni.
- Metadati del payload.
PCR consente di confrontare le percentuali di click-through previste rispetto a quelle effettive per le simulazioni di phishing. È anche possibile usare questi dati per visualizzare le prestazioni dell'organizzazione rispetto ai risultati stimati.
Le informazioni pcr per un payload sono disponibili ovunque si visualino e selezionino payload e nei report e nelle informazioni dettagliate seguenti:
- Impatto del comportamento sulla scheda della velocità di compromissione
- Scheda dell'efficacia del training per il report di simulazione degli attacchi
Consiglio
Il simulatore di attacco usa collegamenti sicuri in Defender per Office 365 per tenere traccia in modo sicuro dei dati dei clic per l'URL nel messaggio di payload inviato ai destinatari di una campagna di phishing, anche se l'impostazione Track user clicks in Safe Links policies è disattivata.
Formazione senza trucchi
Le simulazioni di phishing tradizionali presentano agli utenti messaggi sospetti e gli obiettivi seguenti:
- Fare in modo che gli utenti riportino il messaggio come sospetto.
- Fornire formazione dopo che gli utenti fanno clic su o avviano il payload dannoso simulato e rinunciano alle proprie credenziali.
Tuttavia, a volte non si vuole attendere che gli utenti esercino azioni corrette o errate prima di eseguire il training. Formazione con simulazione degli attacchi offre le funzionalità seguenti per ignorare l'attesa e passare direttamente al training:
Campagne di training: una campagna di training è un'assegnazione di solo training per gli utenti di destinazione. È possibile assegnare direttamente il training senza sottoporre gli utenti al test di una simulazione. Le campagne di formazione semplificano lo svolgimento di sessioni di apprendimento come la formazione mensile sulla consapevolezza della cybersecurity. Per altre informazioni, vedere Campagne di formazione in Formazione con simulazione degli attacchi.
Consiglio
I moduli di training vengono usati nelle campagne di training, ma è anche possibile usare i moduli di training quando si assegna il training in simulazioni regolari.
Guide pratiche nelle simulazioni: le simulazioni basate sulla tecnica di social engineering della guida pratica non tentano di testare gli utenti. Una guida pratica è un'esperienza di apprendimento leggera che gli utenti possono visualizzare direttamente nella posta in arrivo. Ad esempio, sono disponibili i payload della guida pratica predefiniti seguenti ed è possibile crearne uno personalizzato (inclusa la copia e la personalizzazione di un payload esistente):
- Guida all'insegnamento: Come segnalare i messaggi di phishing
- Guida all'insegnamento: Come riconoscere e segnalare messaggi di phishing a matrice
Consiglio
Formazione con simulazione degli attacchi offre le opzioni di training predefinite seguenti per gli attacchi basati su codice a matrice:
- Moduli di training:
- Codici a matrice digitali dannosi
- Codici a matrice stampati dannosi
- Guide pratiche nelle simulazioni: Guida all'insegnamento: Come riconoscere e segnalare i messaggi di phishing a matrice