Il buon vecchio
phishing è ancora lo strumento più usato dalla criminalità informatica per
diffondere malware: fa leva sul
vero anello debeole della catena della sicurezza - ossia l'elemento umano - e in questo modo riesce ad aggirare molti sistemi di difesa. Controllare il phishing, lo spear-phishing e in generale le tecniche di
social engineering richiede quindi un approccio in parte tecnologico e in parte formativo.
Barracuda Networks la parte tecnologica l'
aveva già coperta con i suoi prodotti, ora la affianca con servizi di
formazione e simulazione grazie all'acquisizione di
PhishLine, che propone una piattaforma SaaS sviluppata appunto per gestire campagne di attacco simulato e per erogare training al personale delle aziende clienti.
La parte di simulazione è probabilmente quella più interessante nel portafoglio di PhishLine. I responsabili della sicurezza di un'azienda possono
definire e programmare campagne di phishing via email mirate sui propri dipendenti, per valutare oggettivamente lo stato di vulnerabilità dell'impresa di fronte al social engineering. Il vantaggio della piattaforma PhishLine è che copre anche gli attacchi di phishing via
messaggi vocali telefonici (vishing) e via
SMS (smishing).
I servizi di simulazione sono completati da una parte di formazione e da vari strumenti in SaaS che sono stati sviluppati per l'
analisi approfondita delle campagne simulate ma che, con le necessarie autorizzazioni, possono allargare il loro raggio d'azione ai veri messaggi di phishing identificati da piattaforme di altre software house.