Por: Girish Chander, gerente de grupo de programa de seguridad en Office 365.
La mayoría de los ataques cibernéticos comienzan con el email – un usuario es engañado para que abra un archivo adjunto malicioso, o para dar clic en una liga maliciosa y que divulgue sus credenciales, o para que responda con datos confidenciales. Los atacantes engañan a las víctimas mediante emails elaborados de manera cuidadosa para construir una falsa sensación de confianza y/o urgencia. Y utilizan una variedad de técnicas para hacerlo – falsificación de dominios o marcas confiables, hacerse pasar por usuarios conocidos, utilizar contactos comprometidos de manera previa para lanzar campañas y/o utilizar contenido convincente pero malicioso en un email. En el contexto de una organización o un negocio, cada usuario es un objetivo y, si se ve comprometido, es un conducto para un brecha potencial de seguridad que podría resultar muy costosa.
Ya sea que se trate de sofisticados ataques de estado-nación, esquemas de phishing dirigidos, email empresarial afectado o ataques de ransomware, estos ataques están al alza a un ritmo alarmante y también han incrementado su sofisticación. Por lo tanto, es imperativo que la estrategia de seguridad de cada organización incluya una robusta solución de seguridad de email.
Entonces, ¿Qué deberían buscar los equipos de TI y seguridad en una solución para proteger a todos sus usuarios, desde trabajadores de primera línea hasta el nivel gerencial? A continuación, 6 consejos para asegurar que su organización tiene una fuerte postura de seguridad para email:
Necesitan una solución de protección rica y adaptativa.
Conforme evolucionan las soluciones en seguridad, los ciberdelincuentes se adaptan de manera rápida para no ser detectados. Los ataques polimórficos diseñados para evadir las soluciones comunes de protección se han vuelto cada vez más comunes. Por lo tanto, las organizaciones necesitan soluciones que se enfoquen en ataques dirigidos y de día cero además de vectores conocidos. Las revisiones sólo basadas en estándares o basadas en firma conocida o reputación no las eliminarán.
Las soluciones que incluyan ricas capacidades de detonación para archivos y URL son necesarias para atrapar ataques basados en ataques de carga de pago. Los modelos avanzados de aprendizaje automático que buscan contenido y títulos de emails, así como el envío de patrones y gráficos de comunicación son importantes para frustrar una amplia gama de vectores de ataque incluidos vectores sin carga de pago como afectación de correo corporativo. Las capacidades de aprendizaje automático son mejoradas de manera importante cuando la fuente de señal que lo alimenta es amplia y rica; así que, se deben preferir soluciones que cuenten con una base de señal de seguridad masiva. Esto también permitirá que la solución aprenda y se adapte de manera rápida a las cambiantes estrategias de ataque, lo cual es en especial importante para un cambiante panorama de amenazas.
La complejidad genera desafíos. Un sistema fácil de configurar y mantener reduce las posibilidades de una brecha en seguridad.
Los flujos complicados de email pueden introducir partes móviles que son difíciles de sostener. Como ejemplo, los flujos complejos de enrutado de mail para habilitar protecciones de configuraciones internas de email pueden causar desafíos de cumplimiento de normas y seguridad. Los productos que requieren derivaciones de configuración innecesarias para funcionar también pueden causar brechas de seguridad. Como ejemplo, las configuraciones que son colocadas para garantizar la entrega de cierto tipo de emails (por ejemplo, mails de simulación), a menudo están mal diseñadas y son explotadas por los atacantes.
Las soluciones que protegen emails (tanto internos como externos) y ofrecen valor sin la necesidad de configuraciones complicadas o flujos de email son de gran beneficio para las organizaciones. Además, busquen soluciones que ofrezcan maneras sencillas de cerrar la brecha entre los equipos de seguridad y los equipos de mensajería. Los equipos de mensajería, motivados por el deseo de garantizar la entrega de mails, podrían crear reglas de derivaciones bastante permisivas que impacten la seguridad. Entre más pronto sean atrapados estos problemas mejor será para la seguridad general. Las soluciones que ofrecen información de valor a los equipos de seguridad cuando esto sucede pueden reducir de gran manera el tiempo que toma rectificar este tipo de fallas y, por lo tanto, reducir las posibilidades de una costosa brecha de seguridad.
Una brecha de seguridad no es un “si”, sino un “cuando”. Asegúrense de contar con detección y remediación post-entrega.
Ninguna solución es 100% efectiva en el vector de prevención porque los atacantes siempre cambian sus técnicas. Sean escépticos de cualquier declaración que sugiera lo contrario. Tomar una mentalidad de “supuesta brecha” asegurará que el foco no está sólo en la prevención, sino también en la detección y respuesta eficientes. Cuando un ataque pasa las defensas es importante para los equipos de seguridad detectar la brecha de manera rápida, identificar por completo cualquier impacto potencial y solucionar la amenaza de manera efectiva.
Las soluciones que ofrecen manuales para investigar alertas de manera automática, analizar la amenaza, evaluar el impacto y tomar (o recomendar) acciones para remediaciones, son críticas para una respuestas efectiva y eficiente. En adición a esto, los equipos de seguridad necesitan una rica experiencia de investigación y cacería para buscar indicadores específicos de afectaciones u otras entidades en el cuerpo del mail. Asegúrense que la solución permite a los equipos de seguridad buscar amenazas y removerlas de manera sencilla.
Otro componente crítico de una respuesta efectiva es garantizar que los equipos de seguridad tienen una buena fuente de señal fuerte de lo que los usuarios finales ven que llega a su bandeja de entrada. Tener una manera sin esfuerzo para que los usuarios finales reporten problemas que activen de manera automática los manuales de seguridad es clave.
Sus usuarios son el objetivo. Necesitan un modelo continuo para mejorar la conciencia y preparación del empleado.
Una fuerza laboral informada y consciente puede reducir de manera importante el número de ocurrencias de afectaciones de ataques basados en email. Cualquier estrategia de protección está incompleta sin un foco en mejorar el nivel de consciencia de los usuarios finales.
Un componente central de esta estrategia es elevar la consciencia del usuario a través de simulaciones de phishing, entrenarlos sobre qué buscar en emails sospechosos para garantizar que no sean víctimas de ataques reales. Otro elemento de esta estrategia, a menudo pasado por alto, pero igual de crítico, es garantizar que las aplicaciones que los usuarios finales utilizan a diario ayudan a elevar la consciencia. Las capacidades que ofrecen a los usuarios pistas relevantes, maneras sin esfuerzo de verificar la validez de las URL y facilitar una manera de reportar emails sospechosos dentro de la aplicación – todo sin comprometer la productividad – son muy importantes.
Las soluciones que ofrecen capacidades de simulación de phishing son clave. Busquen integraciones profundas de email-cliente-aplicación que permiten a los usuarios ver la URL original detrás de cualquier liga sin importar cualquier protección que se haya aplicado. Esto ayuda a los usuarios a tomar decisiones informadas. Además, tener la capacidad de ofrecer pistas o consejos para elevar la consciencia de un usuario específico sobre un email o sitio también es importante. Y, maneras sencillas de reportar emails sospechosos que, de vuelta, activen flujos de trabajo con una respuesta automatizada, también son críticas.
Los atacantes llegan a los usuarios. Igual como debe hacerlo su seguridad.
Aunque el email es el vector dominante de ataque, los atacantes o los ataques por phishing irán donde los usuarios colaboran y se comunican y mantienen su información sensible. Conforme las formas de compartir, colaborar y comunicarse, aparte del email, se han vuelto populares, los ataques que tienen como objetivo a estos vectores también se han incrementado. Por esta razón, es importante garantizar que una estrategia anti-phishing de una organización no sólo debe enfocarse en el email.
Garantizar que la solución ofrece capacidades de protección para servicios de colaboración que utilice su organización. Capacidades como la detonación que escanea documentos y ligas sospechosas cuando se comparten, es crítico para proteger a los usuarios de ataques dirigidos. La capacidad en las aplicaciones del cliente para verificar ligas en el momento del clic ofrece protección adicional sin importar cómo se les compartió el contenido. Busquen soluciones que apoyen esta capacidad.
Los atacantes no piensan de manera aislada. Tampoco lo deben hacer las defensas.
Los atacantes tienen como objetivo el enlace más débil en las defensas de una organización. Buscan una afectación inicial para entrar, y una vez dentro buscarán una variedad de maneras de incrementar el alcance e impacto de la brecha de seguridad. De manera típica, consiguen esto al tratar de comprometer a otros usuarios, moverse de manera lateral dentro de la organización, elevar privilegios cuando es posible, y al último, alcanzar un sistema o repositorio de datos de valor crítico. Conforme proliferan a través de una organización, tocarán diferentes extremos, identidades, buzones de correo y servicios.
Reducir el impacto de estos ataques requiere de detección y respuesta rápidas. Y eso sólo se puede conseguir cuando las defensas a través de esos sistemas no actúan de manera aislada. Es por eso que es crítico tener una vista integrada sobre la soluciones de seguridad. Busquen una solución de seguridad de email que se integre bien con otras soluciones de seguridad como protección de extremos CASB, protección de identidad, etc. Busquen una integración completa que vaya más allá de la integración de señal, en términos de flujos de detección y respuesta.