Come creare un rapporto sul phishing: strumenti e best practice

Blog, Sicurezza delle e-mail

Scopri come creare un processo efficace di segnalazione interna delle attività di phishing utilizzando strumenti di segnalazione dei dipendenti, flussi di lavoro di sicurezza e piattaforme di analisi del phishing.

di Milena Baghdasaryan

Ultimo aggiornamento:
8 Tempo di lettura: 8 minuti
Come creare un rapporto sul phishing: strumenti e best practice
Indice dei contenuti-

I punti chiave da prendere in considerazione

  • Un rapporto sul phishing aggrega dati tecnici, comportamentali e di intelligence sulle minacce in un'unica vista operativa.
  • I report efficaci danno priorità alle tendenze degli attacchi, ai modelli di targeting e agli indicatori di rischio rispetto al semplice conteggio delle e-mail.
  • Le e-mail di phishing segnalate dai dipendenti forniscono una copertura di rilevamento fondamentale per gli attacchi che aggirano i filtri automatici.
  • La correlazione tra i log dei gateway, i rapporti degli utenti e gli errori di autenticazione migliora la velocità e l'accuratezza delle indagini.
  • Un processo standardizzato di segnalazione dei tentativi di phishing rafforza la maturità della sicurezza, la preparazione alle verifiche e la coerenza nella risposta agli incidenti.

Un moderno rapporto sul phishing fornisce una visione consolidata del rischio di phishing nell'intero ecosistema di posta elettronica e sicurezza di un'organizzazione. Anziché funzionare come un singolo documento esportato, un rapporto efficace sul phishing sintetizza i dati provenienti da DMARC e autenticazione e-mail , gateway e-mail sicuri, messaggi segnalati dai dipendenti, piattaforme SIEM e strumenti di intelligence sulle minacce. 

Questa visibilità centralizzata consente di comprendere chi sono gli obiettivi degli aggressori, quali tecniche di attacco hanno successo e dove è necessario migliorare i controlli tecnici o umani. Di conseguenza, la segnalazione dei tentativi di phishing supporta la riduzione proattiva delle minacce, migliora la conformità normativa e porta a miglioramenti misurabili nella posizione di sicurezza di un'organizzazione.

Cosa include in genere un rapporto sul phishing

Una segnalazione di phishing utilizzabile va oltre il semplice conteggio delle "e-mail dannose". Per fornire un valore reale alla visibilità della sicurezza e alla conformità, dovrebbe aggregare i seguenti punti di dati:

segnalazione di phishing

Metriche di volume: totale delle e-mail di phishing rilevate e bloccate in un determinato periodo (giornaliero, settimanale, mensile).

Errori di autenticazione: Dati su DMARC, SPF e DKIM , che indicano spoofing del dominio o mittenti non autorizzati.

Dati segnalati dagli utenti: Il numero di e-mail sospette segnalate dai dipendenti rispetto al numero di "veri positivi" (minacce effettive).

Stato della consegna: Confronto tra le e-mail bloccate al gateway e quelle che hanno raggiunto la casella di posta dell'utente.

Attribuzione della fonte: Analisi dei domini, degli indirizzi IP e delle fonti geografiche più frequenti utilizzati per gli attacchi.

Indicatori di rischio: Tendenze nei tipi di attacco, come Business Email Compromise (BEC), raccolta di credenziali o distribuzione di malware.

Strumenti principali utilizzati per creare segnalazioni di phishing

Un rapporto completo sul phishing è il risultato di un ecosistema collaborativo. Nessuno strumento è in grado di fornire un quadro completo; piuttosto, i dati fluiscono attraverso diversi livelli della vostra infrastruttura.

1. DMARC e piattaforme di autenticazione e-mail

Queste piattaforme fungono da prima linea di difesa, monitorando chi invia e-mail per conto del tuo dominio. Sono essenziali per impedire l'usurpazione del marchio.

  • Come aiutano: Traducono i complessi report XML grezzi degli ISP in dashboard leggibili.
  • Strumenti chiave: PowerDMARC, Valimail, Mimecast DMARC Analyzer e EasyDMARC.
  • Metriche chiave: Volumi complessivi di passaggi/fallimenti e individuazione di "Shadow IT" (servizi non autorizzati che inviano posta a nome della vostra azienda).

PotenzaDMARC

Ideale per: PMI, team aziendali incentrati sulla sicurezza, agenzie governative e MSP.

PowerDMARC va oltre la semplice reportistica, offrendo una suite completa di protocolli che molti altri strumenti trattano come componenti aggiuntivi o che mancano del tutto. È progettato per coloro che desiderano un "centro di comando" centrale per tutto ciò che riguarda l'autenticazione delle e-mail.

Caratteristiche principali: 

  • PowerSPF: Uno dei maggiori grattacapi nel DMARC è il "limite di 10 ricerche DNS" per i record SPF. PowerDMARC utilizza un'ottimizzazione avanzata delle macro SPF per mantenere il tuo SPF entro i limiti DNS consentiti senza aggiungere complessità, indipendentemente dal numero di mittenti di terze parti (come Mailchimp o Salesforce) che utilizzi.
  • Analisi DKIM: L'analisi DKIM ospitata da PowerDMARC include una panoramica della lunghezza delle chiavi DKIM e funzionalità di monitoraggio granulare per tracciare in tempo reale i selettori, le chiavi e le prestazioni DKIM. 
  • Feed avanzati di intelligence sulle minacce: PowerDMARC integra le informazioni sulle minacce AI nell'autenticazione come nessun altro! Con feed avanzati di intelligence sulle minacce che possono essere integrati perfettamente nel tuo SIEM/SOAR. 

Valimail

Ideale per: Grandi imprese e organizzazioni con elevati requisiti di conformità (come enti governativi o finanziari) che desiderano un'automazione senza intervento manuale.

Valimail è spesso citata come pioniera del "DMARC automatizzato". La sua filosofia è incentrata su applicazione, non solo sul monitoraggio. È l'unico fornitore DMARC che è certificato FedRAMP, il che lo rende la scelta ideale per gli ambienti ad alta sicurezza.

  • Caratteristica distintiva: Precision Sender Intelligence. Invece di mostrarti un elenco di indirizzi IP confusi, Valimail identifica oltre 5.500 servizi di invio per nome. In questo modo è incredibilmente facile capire che il "Servizio X" è solo il nuovo strumento del tuo team di marketing, piuttosto che un misterioso hacker.
  • Non è richiesto alcun accesso DNS: A differenza della maggior parte degli strumenti che richiedono di modificare manualmente i record DNS ogni volta che si aggiunge un mittente, Valimail utilizza un approccio "hosted". Una volta indirizzato il proprio record verso di loro, è possibile gestire tutti i mittenti autorizzati all'interno della loro dashboard senza dover modificare nuovamente il DNS.
  • Risposta al phishing: Il loro prodotto Enforce utilizza una modalità "Autopilot" che consente di passare a una politica di rifiuto (bloccando tutte le e-mail non autorizzate) nel modo più sicuro e rapido possibile.

Analizzatore DMARC (Mimecast)

Ideale per: Organizzazioni che utilizzano già Mimecast per la sicurezza della posta elettronica o che necessitano di dati forensi approfonditi.

Mimecast ha acquisito DMARC Analyzer per fornire una visione a 360 gradi delle minacce via e-mail. Si tratta di una scelta efficace se desiderate che i vostri dati DMARC coesistano con quelli del Secure Email Gateway (SEG).

  • Caratteristica distintiva: analisi approfondita. Mentre molti strumenti si concentrano su report aggregati di alto livello, Mimecast eccelle nella reportistica forense (RUF). Ciò consente agli analisti della sicurezza di vedere le intestazioni specifiche e, in alcuni casi, il contenuto effettivo delle e-mail che non hanno superato l'autenticazione, il che è fondamentale per identificare l' intento dietro una campagna di phishing.
  • Risposta al phishing: Si integra direttamente con Mimecast Targeted Threat Protection. Se un dominio non autorizzato viene identificato tramite DMARC, può essere immediatamente inserito nella lista nera dell'intero gateway, proteggendo istantaneamente tutti gli utenti.
  • Implementazione: Offrono servizi di "implementazione gestita", utili per le aziende che dispongono di una rete complessa di server di posta elettronica legacy e temono di bloccare accidentalmente messaggi legittimi.

EasyDMARC

Ideale per: PMI e fornitori di servizi gestiti (MSP) che apprezzano un'interfaccia utente pulita e una configurazione semplice.

EasyDMARC è ampiamente considerata la piattaforma più intuitiva sul mercato. È stata creata per i team che non dispongono di un "responsabile della sicurezza delle e-mail" dedicato e hanno bisogno di uno strumento che faccia il lavoro pesante al posto loro.

  • Caratteristica distintiva: monitoraggio della reputazione. EasyDMARC non si limita a controllare il DMARC, ma monitora continuamente il tuo dominio e i tuoi indirizzi IP rispetto alle blacklist globali. Se il tuo dominio viene segnalato per comportamento "spam" altrove sul web, riceverai un avviso prima che la tua deliverability diminuisca.
  • Risposta al phishing: SPF e BIMI gestiti. Forniscono uno strumento "Smart SPF" che guida l'utente nella pulizia dei propri record. La loro interfaccia utente è progettata come una checklist, che mostra esattamente quali passaggi rimangono da compiere per raggiungere una politica di "Rifiuto", rendendolo molto popolare tra i team IT più piccoli.
  • Compatibile conMSP: È dotato di un dashboard multi-tenant e di un sistema di pagamento "pay-as-you-go", ideale per i fornitori di servizi che gestiscono decine di clienti diversi da un unico schermo.

2. Gateway e-mail sicuri (SEG)

Il SEG è il filtro principale che pulisce la posta in arrivo dalle minacce conosciute prima che raggiungano il destinatario.

  • Come aiutano: Forniscono grandi quantità di dati sulle campagne bloccate e sulle firme dei malware.
  • Strumenti chiave: Microsoft Defender per Office 365, Proofpoint, Mimecast e Google Workspace Security.
  • Metriche chiave: Utenti più presi di mira (Very Attacked People o VAP) e categorizzazione delle minacce (phishing vs. spam).

3. Strumenti di segnalazione dei dipendenti (plugin per la posta in arrivo)

Poiché alcuni attacchi sofisticati riescono sempre a eludere i filtri tecnici, i vostri dipendenti fungono da "sensori umani".

  • Come aiutano: I plugin one-click consentono agli utenti di segnalare immediatamente le e-mail senza perdere i metadati critici (come le intestazioni complete delle e-mail) necessari per l'analisi forense.
  • Strumenti chiave: Microsoft Report Message, Proofpoint PhishAlarm e Cofense Reporter.
  • Metriche chiave: Tasso di segnalazione degli utenti e tassi di "falsi positivi" (frequenza con cui gli utenti segnalano messaggi legittimi).

4. Piattaforme SIEM e SOC

Gli strumenti SIEM (Security Information and Event Management) fungono da "cervello", aggregando i dati provenienti dagli strumenti sopra citati.

  • Come aiutano: Mettono in relazione un'e-mail di phishing segnalata con altre attività sospette, come un accesso simultaneo da un IP straniero.
  • Strumenti chiave: Splunk, IBM QRadar e Microsoft Sentinel.
  • Metriche chiave: Tempo medio di rilevamento (MTTD) e tempo medio di risoluzione (MTTR).

5. Strumenti di analisi e intelligence delle minacce

Una volta segnalata un'e-mail, questi strumenti aiutano a determinare con esattezza il suo grado di pericolosità.

  • Come aiutano: Controllano gli URL e gli allegati confrontandoli con database globali di infrastrutture dannose note.
  • Strumenti chiave: VirusTotal, AbuseIPDB e Recorded Future.
  • Metriche chiave: Punteggi di reputazione degli indicatori di compromissione (IOC) e attribuzione delle campagne.

Scegliere gli strumenti giusti per la tua organizzazione

La complessità del processo di segnalazione delle attività di phishing deve essere adeguata alle dimensioni e al profilo di rischio della vostra organizzazione.

Dimensioni dell'organizzazioneApproccio raccomandatoArea di interesse
Piccole impreseSicurezza nativa (Gmail/M365) + DMARC di baseBasso costo e facilità di gestione.
Mercato medioPlugin dedicati SEG + Segnalazione utentiConformità, audit trail e formazione dei dipendenti.
Azienda / MSPFull-stack (DMARC + SEG + SIEM + Threat Intel)Automazione, scalabilità e risposta agli incidenti 24 ore su 24, 7 giorni su 7.

Il flusso di lavoro per la segnalazione di phishing: come funziona

Per creare un rapporto interno sul phishing, segui questo flusso narrativo di dati:

segnalazione di phishing

1. Rilevamento

Gli strumenti DMARC registrano i tentativi di spoofing del tuo dominio, mentre SEG blocca migliaia di minacce note.

2. Livello umano

Un'e-mail sofisticata di tipo BEC (Business Email Compromise) aggira il SEG. Un dipendente addestrato nota la richiesta insolita e clicca sul plugin "Segnala".

3. Aggregazione

Questo rapporto viene inviato automaticamente al SOC o al SIEM, dove viene combinato con i log del gateway per verificare se altri dipendenti hanno ricevuto lo stesso messaggio.

4. Arricchimento

Il team di sicurezza utilizza strumenti di intelligence sulle minacce per analizzare i link contenuti nell'e-mail, confermando che conducono a un sito dedicato alla raccolta di credenziali.

5. Relazione finale

Il responsabile della sicurezza genera un rapporto consolidato che mostra che l'attacco è stato bloccato, quali account sono stati presi di mira e con quale rapidità la minaccia è stata neutralizzata.

Il processo interno di segnalazione delle attività di phishing (SOP)

Una procedura operativa standard (SOP) garantisce che ogni minaccia venga gestita in modo coerente.

Fase 1: Presentazione (Accettazione)

Incoraggiare l'uso di plugin di segnalazione con un solo clic. Sebbene una casella di posta dedicata "[email protected]" funzioni, i plugin sono superiori perché raccolgono automaticamente le intestazioni delle e-mail, le "impronte digitali" del mittente, che spesso vanno perse quando un'e-mail viene semplicemente inoltrata.

Fase 2: Selezione e definizione delle priorità

Non tutte le segnalazioni rappresentano una crisi. Utilizza strumenti automatizzati per filtrare i "rumori di fondo" (come newsletter o spam). Assegna un punteggio di gravità in base al destinatario (ad esempio, un dirigente di alto livello rispetto a un alias generico) e all'intento (ad esempio, frode tramite bonifico bancario rispetto a un link generico).

Fase 3: Analisi e indagine

Il team di sicurezza controlla le intestazioni per verificare che non ci sia spoofing, mette in "sandbox" tutti gli allegati per vedere se eseguono codice dannoso e controlla la reputazione dell'indirizzo IP del mittente.

Fase 4: Bonifica

Se una minaccia viene confermata, il team deve:

  • Esegui una "Cerca ed elimina" per eliminare l'e-mail da tutte le altre caselle di posta dei dipendenti.
  • Reimposta le credenziali se un utente ha cliccato su un link.
  • Aggiorna la lista dei blocchi SEG per impedire futuri tentativi da parte di quel mittente.

Fase 5: Ciclo di feedback

Chiudi il cerchio informando il dipendente che ha segnalato l'e-mail. Un semplice messaggio di ringraziamento ("Grazie, si trattava di una minaccia reale") rafforza una cultura positiva della sicurezza e incoraggia future segnalazioni.

Riassunto

In fin dei conti, creare un processo di segnalazione delle attività di phishing non significa solo spuntare una casella o acquistare un software sofisticato. Significa assicurarsi che il personale tecnico e quello amministrativo lavorino davvero come una squadra. Quando si combinano filtri intelligenti con un team in grado di riconoscere un'e-mail "sospetta" non appena la vede, si smette di essere un bersaglio facile e si inizia a diventare un muro invalicabile. La vera sicurezza è tutta una questione di visibilità: se non riesci a vedere l'attacco in arrivo, non puoi fermarlo.

Se le segnalazioni di phishing sembrano frammentarie o eccessivamente tecniche, è il momento di ripensare l'approccio. Centralizzare i dati di autenticazione delle e-mail, i log dei gateway e le segnalazioni dei dipendenti in un unico framework di reporting coerente aiuta i team di sicurezza a rispondere più rapidamente e la leadership a comprendere chiaramente i rischi.

Una segnalazione efficace di phishing non riguarda la quantità di dati, ma la loro qualità, presentata in modo tale da stimolare l'azione. Per iniziare a creare una segnalazione di phishing per il tuo dominio, richiedi una prova gratuita di 15 giorni e ottieni una visibilità totale sulla sicurezza del tuo dominio.

Domande frequenti

Perché utilizzare un plugin invece di inoltrare semplicemente le e-mail al reparto IT? 

L'inoltro spesso elimina le intestazioni delle e-mailintestazioni delle e-mail", il DNA digitale necessario per rintracciare l'autore dell'attacco. I plugin raccolgono tutti questi dati tecnici in modo perfetto con un solo clic.

Con quale frequenza dovremmo generare un rapporto completo? 

Il vostro team di sicurezza monitora gli avvisi in tempo reale, ma di solito è preferibile fornire alla direzione un riepilogo generale una volta al mese.

Qual è un "buon" tasso di segnalazione dei dipendenti? 

Puntare a 8% al 15%. Non è auspicabile che le persone segnalino ogni singola newsletter, ma è importante che i "sensori umani" siano abbastanza attivi da individuare le minacce reali.

È possibile automatizzare le parti più noiose del triage? 

Assolutamente sì. La maggior parte degli strumenti moderni è in grado di scansionare automaticamente link e file confrontandoli con database globali per chiudere i ticket "sicuri", in modo che il tuo team possa concentrarsi solo su quelli realmente pericolosi.

Come posso fare in modo che il mio team utilizzi effettivamente lo strumento di reporting? 

Chiudi il cerchio! Quando qualcuno segnala una minaccia, invia un breve messaggio di ringraziamento. Le persone sono molto più propense ad aiutare quando sanno che il loro impegno ha davvero fatto la differenza.

Ultimi messaggi di Milena Baghdasaryan (vedi tutti)
Ultimo aggiornamento:
Integrazione PowerDMARC Splunk: visibilità unificata per la sicurezza delle e-mailSPLUNKIntegrazione PowerDMARC-Microsoft-SentinelIntegrazione PowerDMARC Microsoft Sentinel: visibilità SIEM cloud-native per...