Por qué las puertas de enlace de correo electrónico seguras reescriben los enlaces (y por qué …



Redirigir a un usuario a un servidor de confianza compra una empresa de puerta de enlace de correo electrónico segura en algún momento mientras determine si una URL es maliciosa, pero este enfoque tiene inconvenientes evitables.

Redirigir a un usuario a un servidor de confianza compra una empresa de puerta de enlace de correo electrónico segura en algún momento para decidir si una URL es maliciosa, pero este enfoque tiene algunos inconvenientes evitables.

Muchas de las pasarelas de correo electrónico más utilizadas en la actualidad se basan en la reescritura de enlaces: codificar cada URL enviada por correo electrónico en un enlace que redirige al usuario a los propios enlaces de la pasarela. Estos servidores contienen tokens únicos que rastrean al usuario y realizan verificaciones posteriores para determinar si el enlace es malicioso.

Este método ofrece a las organizaciones la seguridad de que el 100% de los enlaces de phishing que se encuentran en su camino se están reescribiendo, por lo que deben estar protegidos. Pero simplemente reescribiendo un enlace, las herramientas de puerta de enlace no brindan ninguna protección significativa en absoluto. De hecho, esta técnica arroja luz sobre una falla fundamental en su enfoque: su dependencia de las reglas y firmas de amenazas previamente reconocidas los hace incapaces de detener las amenazas en el primer encuentro.

Estas herramientas reescriben los enlaces de forma preventiva para que puedan tomar una determinación más adelante. Ahora que el enlace apunta a sus propios servidores, pueden aprovechar su evaluación actualizada de ese enlace y bloquear un sitio malicioso una vez que haya más información disponible (a menudo, una vez que el «paciente cero», la primera víctima de un ataque por correo electrónico, se haya infectado y El daño ya esta hecho). Mientras tanto, cualquier otro usuario que llegue a ese sitio también está expuesto al mismo contenido dañino.

¿Más daño que bien?
Si la gran cantidad de enlaces reescritos es nuestra medida de éxito, las puertas de enlace tradicionales siempre ganan. Por lo general, vemos que una puerta de enlace de correo electrónico ha reescrito todos los enlaces dañinos que apuntan a una organización simplemente porque reescribe casi el 100% de todas enlaces, incluidos enlaces que apuntan a sitios net de confianza como LinkedIn y Twitter, e incluso correos electrónicos que contienen enlaces al sitio website del destinatario. Entonces, cuando tim.prepare dinner (@) apple.com recibe un enlace a apple.com, por ejemplo, «mimecast.com» seguirá dominando la URL.

Algunas organizaciones que sufren bajas tasas de captura en el primer encuentro con sus puertas de enlace han respondido aumentando la educación de los empleados: capacitando al humano para que detecte los obsequios de un correo electrónico de phishing. Con los ataques de correo electrónico cada vez más dirigidos y sofisticados, los humanos nunca deben ser considerados la última línea de defensa, y reescribir los enlaces empeora la situación. Si está capacitando a sus usuarios para que vean en qué enlaces están haciendo clic, y cada uno de esos enlaces solo muestra el nombre de su puerta de enlace, ¿cómo se supone que sus usuarios aprenderán qué es bueno, malo o incompleto cuando todas las URL tienen el mismo aspecto? ?

Además, cuando una puerta de enlace URL está inactiva, estos enlaces reescritos no funcionan. Lo mismo se aplica a los archivos adjuntos protegidos. Esto da como resultado un tiempo de inactividad empresarial, que es intolerable para las empresas en estos tiempos críticos y desafiantes.

Podemos ver el efecto de la reescritura common a través de la interfaz de usuario de Darktrace, que nos muestra la frecuencia de los enlaces reescritos a lo largo del tiempo. Mirando hacia atrás durante tres días, este cliente en certain recibió 155,008 correos electrónicos que contenían enlaces reescritos. De ellos, 1,478 eran anómalos, y la IA de Darktrace actuó para bloquear inmediatamente esos enlaces, protegiendo incluso al primer destinatario de daños. Los 153.530 enlaces restantes se reescribieron innecesariamente.

Figura 1: Más de 155.000 correos electrónicos entrantes contenían enlaces Mimecast reescritos.

Cuando se trata de detener la amenaza cuando un usuario hace clic en ese enlace reescrito, las herramientas de puerta de enlace fallan. Su dependencia de comprobaciones heredadas, como la reputación, las listas negras y las reglas y firmas, significa que el contenido malicioso a veces permanece durante días o semanas sin ninguna acción significativa porque la tecnología requiere al menos uno, y generalmente muchos, «ceros de paciente» antes de determinar si una URL o un archivo adjunto es malicioso y luego actualiza sus listas negras.

La línea de fuego: cómo los ataques lanzados desde una nueva infraestructura causan estragos
Veamos el caso de un ataque lanzado desde una infraestructura completamente nueva: un dominio recién comprado que contiene una carga útil maliciosa recién creada. Ninguna de las métricas típicas que buscan las herramientas heredadas parece maliciosa, por lo que, por supuesto, la amenaza pasa y el paciente cero está infectado.

Figura 2: &#39Paciente cero&#39 denota la primera víctima de un ataque por correo electrónico. Cada icono representa hasta miles de empleados potenciales.

Inevitablemente, se necesita tiempo para que el enlace malicioso se reconozca como malicioso y luego se informe. En este punto, gran parte de la población activa también se ha infectado. Podemos llamar a esto el «tiempo de detección».

Figura 3: El tiempo de detección.

A medida que las herramientas heredadas actualizan sus listas en reconocimiento del ataque, el malware continúa infectando la organización y más usuarios se involucran en el contenido del correo electrónico.

Figura 4: La herramienta heredada reacciona.

Finalmente, la herramienta heredada reacciona, actualiza su lista negra y brinda una acción sustantiva para proteger al usuario final de cualquier daño. En este punto, cientos de usuarios de varias organizaciones pueden haber interactuado con los enlaces de alguna manera.

Figura 5: Se requieren muchos ceros de pacientes antes de que la amenaza se incluya en la lista negra.

La dependencia de las puertas de enlace de correo electrónico en la reescritura de enlaces está directamente relacionada con su enfoque heredado de detección. Lo hacen para que más adelante, cuando tengan información actualizada sobre un posible ataque, puedan tomar medidas. Hasta entonces, es solo un enlace reescrito, y si se hace clic en él, el usuario accederá al sitio net que se esconde debajo.

Estos enlaces también se reescriben en un intento de comprender cómo se ve el comportamiento de la crimson del usuario. Pero lejos de brindar una imagen precisa o detallada de la actividad de la purple, este método apenas rasca la superficie de los comportamientos más amplios de los usuarios en toda la organización.

Junto a Darktrace&#39s Sistema inmunológico empresarial, Correo electrónico de Antigena puede extraer estos conocimientos directamente de un motor de inteligencia synthetic central unificado que tiene visibilidad completa y directa sobre todo el patrimonio electronic de una organización, no solo los enlaces a los que se accede desde los correos electrónicos, sino la actividad de la red en su conjunto, y no una versión improvisada en la que se supone que solo las personas visite enlaces a través de correos electrónicos. También extrae información del comportamiento del usuario en la nube y en todas las aplicaciones SaaS, desde Salesforce hasta Microsoft Teams.

Actuación real en tiempo serious
Mientras que las puertas de enlace reescriben todo para dejar la puerta abierta para realizar evaluaciones más adelante, la tecnología de seguridad de correo electrónico impulsada por IA de Antigena E mail de Darktrace puede tomar medidas antes de que el correo electrónico represente una amenaza en la bandeja de entrada.

Fundamentalmente, las organizaciones que prueban ambos enfoques de seguridad encuentran que Antigena Email identifica constantemente las amenazas que otras herramientas pasan por alto. Con la escala y la sofisticación de los ataques de correo electrónico en aumento, la necesidad de un enfoque proactivo y moderno para la seguridad del correo electrónico es primordial. Las organizaciones deben asegurarse de que están midiendo su sentido de protección con el criterio correcto y adoptar una tecnología que pueda tomar medidas significativas antes de que se produzcan daños.

Inicie una prueba gratuita de la seguridad del correo electrónico de IA>

Este artículo fue escrito por Dan Fein, director de productos de seguridad de correo electrónico para América en Darktrace. Con sede en Nueva York, Dan se unió al equipo técnico de Darktrace en 2015, ayudando a los clientes a lograr rápidamente una comprensión completa y granular de los productos y la plataforma Cyber ​​AI líderes en el mundo de Darktrace. Dan tiene un enfoque particular en Antigena E mail, asegurando que se implemente de manera efectiva en entornos digitales complejos y trabaja en estrecha colaboración con los equipos de desarrollo, marketing and advertising, ventas y técnicos. Dan tiene una licenciatura en informática de la Universidad de Nueva York.

Darktrace es el creador de la tecnología Autonomous Response. Su IA de autoaprendizaje se basa en el sistema inmunológico humano y la utilizan más de 3.000 organizaciones para protegerse contra las amenazas a la nube, el correo electrónico, el IoT, las redes y los sistemas industriales. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial