Por Girish Chander, gerente de Segurança do Office 365
A maioria dos ataques cibernéticos começa por e-mail – um usuário é levado a abrir um anexo malicioso ou a clicar num link malicioso e divulgar credenciais ou a responder com dados confidenciais. Os invasores enganam as vítimas usando e-mails cuidadosamente elaborados para criar um falso senso de confiança e/ou urgência. E eles usam uma variedade de técnicas para fazer isso – falsificando domínios ou marcas confiáveis, personificando usuários conhecidos, usando contatos comprometidos previamente para lançar campanhas e/ou usando conteúdo atraente, porém malicioso, no e-mail. No contexto de uma organização ou empresa, todo usuário é um alvo e, se comprometido, um canal para uma possível violação que pode ser muito cara.
Sejam ataques sofisticados por estados-nação, esquemas de phishing direcionados, comprometimento de e-mails comerciais ou ataques de ransomware, essas investidas aumentam a um ritmo alarmante e também crescem em sofisticação. Portanto, é imperativo que a estratégia de segurança de cada organização inclua uma solução robusta de segurança de e-mail.
Então, o que as equipes de TI e segurança devem procurar em uma solução para proteger todos os usuários, dos funcionários da linha de frente até os diretores? Aqui estão seis dicas para garantir que sua organização tenha uma forte postura de segurança de e-mail:
Você precisa de uma solução de proteção adaptável e rica.
À medida que as soluções de segurança evoluem, os maus atores rapidamente adaptam suas metodologias para não serem detectados. Os ataques polimórficos projetados para evitar soluções comuns de proteção estão se tornando cada vez mais comuns. Portanto, as organizações precisam de soluções que se concentrem em ataques direcionados e de dia zero, além de vetores conhecidos. Assinaturas conhecidas ou puramente baseadas em padrões e verificações baseadas em reputação não serão suficientes.
Soluções que incluem recursos avançados de detonação para arquivos e URLs são necessárias para capturar ataques baseados em código malicioso. Modelos avançados de aprendizado de máquina, que analisam o conteúdo e os cabeçalhos dos e-mails, além dos padrões de envio e os gráficos de comunicação, são importantes para impedir uma ampla gama de vetores de ataque, incluindo vetores sem código malicioso, como comprometimento de e-mail comercial. Os recursos de aprendizado de máquina são bastante aprimorados quando a fonte de sinal que o alimenta é ampla e rica; portanto, as soluções que possuem uma base maciça de sinais de segurança devem ser preferidas. Isso também permite que a solução aprenda e se adapte rapidamente às mudanças nas estratégias de ataque, o que é especialmente importante para um cenário de ameaças em rápida mudança.
Complexidade gera desafios. Um sistema fácil de configurar e manter reduz as chances de uma violação.
Os fluxos complicados de e-mail podem introduzir partes móveis difíceis de sustentar. Como exemplo, fluxos complexos de roteamento de mensagens para habilitar proteções para configurações internas de e-mail podem causar desafios de conformidade e segurança. Os produtos que requerem desvios desnecessários de configuração para funcionar também podem causar falhas de segurança. Como exemplo, as configurações implementadas para garantir a entrega de certos tipos de e-mail (por exemplo, e-mails de simulação) geralmente são mal desenvolvidas e exploradas pelos invasores.
As soluções que protegem os e-mails (externos e internos) e oferecem valor sem a necessidade de configurações complicadas ou fluxos de e-mails são um grande benefício para as organizações. Além disso, procure soluções que ofereçam maneiras fáceis de preencher a lacuna entre as equipes de segurança e as de mensagens. As equipes de mensagens, motivadas pelo desejo de garantir a entrega, podem criar regras de desvio excessivamente permissivas, que afetam a segurança. Quanto mais cedo esses problemas forem detectados, melhor para a segurança geral. As soluções que oferecem informações para as equipes de segurança quando isso acontece podem reduzir bastante o tempo necessário para corrigir as falhas, reduzindo assim as chances de uma violação dispendiosa.
Uma brecha não é um “Se”, é um “Quando”. Verifique se você possui detecção e correção pós-entrega.
Nenhuma solução é 100% eficaz no vetor de prevenção porque os invasores estão sempre mudando suas técnicas. Seja cético em relação a qualquer reivindicação que sugira o contrário. Adotar uma mentalidade de “presumir violação” garantirá que o foco não esteja apenas na prevenção, mas também na detecção e resposta eficientes. Quando um ataque passa pelas defesas, é importante que as equipes de segurança detectem rapidamente a violação, identifiquem de forma abrangente qualquer impacto potencial e corrijam a ameaça com eficácia.
As soluções que oferecem guias para investigar alertas automaticamente, analisar a ameaça, avaliar o impacto e executar (ou recomendar) ações para remediação são fundamentais para uma resposta eficaz e eficiente. Além disso, as equipes de segurança precisam de uma rica experiência em investigação e busca para pesquisar facilmente no corpo do e-mail indicadores específicos de comprometimento ou outras entidades. Verifique se a solução permite que as equipes de segurança busquem ameaças e as removam facilmente.
Outro componente crítico da resposta eficaz é garantir que as equipes de segurança tenham uma boa fonte de sinal do que os usuários finais veem chegar em sua caixa de entrada. É fundamental ter uma maneira fácil de os usuários finais reportarem problemas que acionem automaticamente os guias de segurança.
Seus usuários são o alvo. Você precisa de um modelo contínuo para melhorar a conscientização e o preparo do usuário.
Uma força de trabalho bem informada e consciente pode reduzir drasticamente o número de ocorrências de comprometimento por ataques baseados em e-mail. Qualquer estratégia de proteção é incompleta sem o foco em melhorar o nível de conscientização dos usuários finais.
Um componente essencial dessa estratégia é aumentar a conscientização do usuário por meio de simulações de phishing, treinando-os em itens a serem observados em e-mails suspeitos para garantir que eles não sejam vítimas de ataques reais. Outro componente dessa estratégia, muitas vezes esquecido, mas igualmente crítico, é garantir que os aplicativos diários usados pelos usuários finais ajudem a aumentar sua conscientização. Os recursos que oferecem dicas relevantes, maneiras fáceis de verificar a validade das URLs e facilitam o relato de e-mails suspeitos no aplicativo – tudo sem comprometer a produtividade – são muito importantes.
Soluções que oferecem recursos de simulação de phishing são essenciais. Procure integrações profundas de aplicativos que permitam aos usuários visualizar a URL original atrás de qualquer link, independentemente de qualquer proteção aplicada. Isso ajuda os usuários a tomar decisões fundamentadas. Além disso, é essencial ter a capacidade de oferecer dicas para aumentar a conscientização do usuário em um determinado e-mail ou site. Também são importantes as maneiras fáceis de reportar e-mails suspeitos que, por sua vez, acionam fluxos de trabalho automatizados de resposta.
Invasores encontram os usuários onde eles estão. Sua segurança também.
Embora o e-mail seja o vetor de ataque dominante, os invasores e os ataques de phishing irão para onde os usuários colaboram, se comunicam e mantêm suas informações confidenciais. À medida que formas de compartilhamento, colaboração e comunicação diferentes do e-mail se tornaram populares, os ataques direcionados a esses vetores também aumentam. Por esse motivo, é importante garantir que a estratégia antiphishing de uma organização não se concentre apenas no e-mail.
Verifique se a solução oferece recursos de proteção direcionados para os serviços de colaboração que sua organização usa. Recursos como detonação, que digitalizam documentos e links suspeitos quando compartilhados, são essenciais para proteger os usuários contra ataques direcionados. A capacidade dos aplicativos clientes de verificar links no momento do clique oferece proteção adicional, independentemente de como o conteúdo é compartilhado com eles. Procure soluções que suportem esse recurso.
Invasores não pensam em silos. Nem as defesas.
Os atacantes têm como alvo o elo mais fraco das defesas de uma organização. Eles buscam uma brecha inicial para entrar e, uma vez lá dentro, procurarão várias maneiras de aumentar o escopo e o impacto da violação. Geralmente, conseguem isso tentando comprometer outros usuários, movendo-se lateralmente dentro da organização, elevando privilégios quando possível e finalmente alcançando um sistema ou repositório de dados de valor crítico. À medida que proliferam na organização, eles tocam em diferentes pontos, identidades, caixas de correio e serviços.
Reduzir o impacto de tais ataques requer detecção e resposta rápidas. E isso só pode ser alcançado quando as defesas desses sistemas não atuam em silos. É por isso que é essencial ter uma visão integrada das soluções de segurança. Procure uma solução de segurança de e-mail que se integre bem a outras soluções de segurança, como proteção de endpoint, CASB, proteção de identidade etc. Procure riqueza na integração que vá além da integração de sinal, mas também em fluxos de detecção e resposta.
