Como el panorama de amenazas está en constante evolución, su descubrimiento es más importante que la defensa como enfoque moderno hacia la seguridad de correo electrónico. Las empresas deben concentrarse en la inspección de contenido, la detección de anomalías en el comportamiento y los diagnósticos avanzados para obtener visibilidad de las amenazas que ya están presentes. Deben comprender dónde están los datos, cómo se está accediendo a ellos y cómo se comparten, y qué usuarios lo hacen, en qué lugares y a través de qué tipos de dispositivos.
Las organizaciones de hoy en día necesitan una solución de seguridad para correo electrónico que:
- Brinde protección en toda la secuencia del ataque: antes, durante y después de este
- Se anticipe a los cambios en el panorama de amenazas
- Proteja datos sensibles y evite que salgan de la organización
- Maneje la amplia variedad de correo electrónico no deseado y virus
- Aborde nuevos vectores de ataque a medida que vayan emergiendo
Desafíos
El correo electrónico es el vector de amenaza principal de los ataques cibernéticos, según el Informe anual de seguridad 2015 de Cisco. La creciente cantidad de datos confidenciales de la empresa enviados por correo electrónico significa que la posibilidad de que haya una filtración es muy alta. La piratería ahora está industrializada, y las campañas dirigidas son más sofisticadas. Los ataques de virus por correo electrónico y los planes de suplantación de identidad están en crecimiento, lo cual crea malware diseñado para infiltrarse en los centros de datos donde se almacena información de gran valor. El malware avanzado que los usuarios maliciosos implementan puede evadir con facilidad las soluciones de seguridad en un determinado momento y propagarse rápidamente en una red.
Las campañas de correo electrónico no deseado masivo y los archivos adjuntos en correos electrónicos no seguros ya no son la única preocupación de seguridad de correo electrónico. El panorama de amenazas por correo electrónico incluye amenazas combinadas y ataques dirigidos cada vez más sofisticados.
Mediante el registro de sitios web de medios sociales, ahora los delincuentes encuentran información sobre las posibles víctimas y crean ataques sofisticados y altamente dirigidos usando información personal y tácticas de ingeniería de medios sociales que pueden estar ligadas a eventos de noticias mundiales. Las soluciones puntuales no integradas y las múltiples plataformas cuyo fin es aumentar la seguridad solamente crean brechas que los adversarios pueden usar para lanzar malware dirigido, que puede modificar su comportamiento y evadir la detección.
Claramente, los piratas informáticos se están beneficiando de la superficie de ataque expandida. Como lo observaron los investigadores del Grupo de investigación e inteligencia de seguridad de Cisco® Talos (Talos) en el Informe de seguridad anual 2014 de Cisco, “la seguridad ya no tiene que ver con que una red esté en peligro o no. En algún momento, todas las redes estarán en peligro”. Los investigadores de Cisco Talos informaron que el tráfico malicioso es visible en un 100% de las redes corporativas, lo que significa que todas las organizaciones deberían asumir que han sido atacadas.
En el panorama actual de amenazas, donde el perímetro de seguridad se extendió hasta la nube y la información es el objetivo más importante de los ataques, la posibilidad de que la seguridad de la red esté en riesgo es prácticamente un hecho. Por eso, las organizaciones necesitan una seguridad de correo electrónico con las siguientes funcionalidades.
Requisito 1: Brinda protección en toda la secuencia del ataque: antes, durante y después de este
Antes, los empleados verificaban los correos electrónicos basados en texto desde una estación de trabajo detrás del firewall de la empresa. Hoy en día, acceden a mensajes en formato HTML enriquecido desde varios dispositivos, en cualquier momento y en cualquier lugar. El acceso ubicuo crea nuevos puntos de ingreso a la red que desdibujan los límites de las capas de seguridad históricamente segmentadas.
Las soluciones de seguridad de correo electrónico actuales brindan controles y análisis continuos en la red extendida, de modo que las empresas cuentan con mayor habilidad para detener amenazas y proteger a los usuarios durante toda la secuencia del ataque: antes, durante y después de este. Y cuando el peligro inevitablemente ocurre, el personal de seguridad estará mejor posicionado para determinar el alcance del daño, contener el evento, corregir y hacer que las operaciones vuelvan a la normalidad lo más rápido posible.
Requisito 2: Se anticipa a los cambios en el panorama de amenazas
La seguridad web moderna debe tener la capacidad de bloquear malware de sitios sospechosos y legítimos antes de que llegue al usuario. Las herramientas empresariales que aumentan la productividad pueden incrementar significativamente la probabilidad de que los usuarios se encuentren con malware. Incluso los sitios web legítimos pueden representar una amenaza debido al malware diseñado para ocultarse a simple vista. La seguridad web en este entorno debe ser capaz de contar con un análisis basado en la reputación y en el comportamiento. También debe tener suficientes opciones para respaldar políticas que otorguen a los empleados acceso a los sitios que necesitan. Al mismo tiempo, deben denegar de manera selectiva el uso de sitios y funciones que no se deseen, como el intercambio de archivos en línea.
Requisito 3: Maneja la amplia variedad de correo electrónico no deseado y virus
La suplantación de identidad sigue siendo útil para los delincuentes para distribuir malware y robar credenciales porque los usuarios siguen siendo presa de tácticas conocidas de correo electrónico no deseado, de acuerdo con el Informe anual de seguridad 2015 de Cisco.
Uno de los últimos métodos es el correo electrónico no deseado tipo raqueta, llamado así porque al igual que una raqueta de nieve, que deja huellas grandes, pero leves, el atacante propaga un montón de pequeños mensajes en una gran área para evitar que las defensas tradicionales lo detecten.
Los piratas informáticos de correo electrónico no deseado tipo raqueta rápidamente cambian el cuerpo de los mensajes, los enlaces y las direcciones IP utilizados para enviar correo electrónico no deseado, y nunca repiten la misma combinación. Las posibilidades son, al parecer, infinitas. Estos diferentes tipos de ataques son exitosos porque están bien disfrazados, combinan técnicas diferentes y evolucionan en forma constante.
A pesar de que no existe la protección total contra el correo electrónico no deseado y los virus, las organizaciones pueden lograr un índice de detección de más del 99% estableciendo capas e integrando motores antispam y múltiples motores antivirus. La arquitectura de seguridad que integra estrechamente diferentes motores y que les permite trabajar juntos en forma automática y transparente no solamente incrementa los niveles de protección, sino que además reduce los índices de falsos positivos, dado que sirven como un sistema de control y reacción entre sí.
Además, los filtros que observan la reputación de la dirección IP del remitente pueden ayudar a brindar protección contra ataques como correo electrónico no deseado tipo raqueta que piratea intervalos de direcciones IP.
Requisito 4: Protege datos sensibles y evita que salgan de la organización
La investigación de Cisco Talos sugiere que es posible que las organizaciones no puedan impedir toda infiltración de malware en sus redes. Sin embargo, las soluciones modernas de seguridad de correo electrónico pueden ayudar a reducir la posibilidad de que los datos críticos salgan de la red, ya sea de forma accidental o intencionalmente.
Las organizaciones necesitan detectar, bloquear y administrar riesgos en el correo electrónico saliente. Las soluciones con prevención de pérdida de datos (DLP) sensibles al contexto y basada en políticas, así como las funcionalidades de cifrado, pueden ofrecer dicha protección. El control antivirus y antispam saliente, junto con la limitación de velocidad de salida, permiten que las organizaciones eviten que las máquinas o las cuentas comprometidas aparezcan en una lista negra de correo electrónico.
Requisito 5: Aborda nuevos
vectores de ataque a medida que van emergiendo Para evitar que los datos salgan de la red y terminen en manos de usuarios no autorizados, también es necesario que las organizaciones sepan todo el tiempo qué usuarios tratan de acceder a la red, desde qué ubicación y desde qué tipo de dispositivo. Esto requiere una solución de movilidad altamente segura que pueda brindar información sobre la identidad y la ubicación del usuario, el sistema operativo y la versión del dispositivo, y los privilegios de acceso del usuario. Los firewalls de próxima generación luego pueden implementar el acceso a la red según el contexto.
Las empresas deberían buscar soluciones de seguridad de correo electrónico que ofrezcan opciones de implementación flexibles que incluyan dispositivos físicos, dispositivos virtuales, la nube y ofertas híbridas. Además, las soluciones deberían poder realizar la transición de cientos de usuarios a miles de usuarios con poca dificultad. Las organizaciones altamente distribuidas con una base de trabajadores móviles en expansión necesitan extender la seguridad de contenidos y datos a todos los usuarios tan pronto como lo necesite la empresa, mientras aprovechan al máximo la infraestructura y los recursos de TI existentes.