5 formas de transformar sus defensas de phishing ahora mismo



Al transformar la forma en que aborda el phishing, puede romper la cadena de eliminación del phishing y reducir significativamente el riesgo comercial.

Cuando hablo con los directores de seguridad de la información (CISO) sobre la seguridad del correo electrónico, a menudo escucho algo como esto:

Tienen un problema con los ataques de phishing. Entonces, compran nuevo computer software de seguridad. Pero el CEO continúa recibiendo correos electrónicos de phishing, que reenvía al CISO, exigiendo saber por qué siguen experimentando ataques de phishing. Luego compran un nuevo software package de seguridad. Y así.

¿Cuál es esa expresión de que la locura se determine como hacer lo mismo una y otra vez y esperar resultados diferentes?

El phishing sigue siendo un riesgo empresarial grave. Sin embargo, un tercio de los profesionales de TI y ciberseguridad no estoy seguro los empleados pueden detectar y evitar ataques de phishing en tiempo actual, según una encuesta de GreatHorn. Peor, los usuarios no identifican casi la mitad de los ataques de phishing, encuentra otro estudio.

Los enfoques tradicionales de seguridad del correo electrónico son ineficaces contra el phishing porque se basan en la ingeniería social, las interacciones personales y las decisiones humanas que incluso la inteligencia synthetic (IA) más sofisticada no puede eludir.

Lo que se necesita es un nuevo enfoque para la protección contra el phishing, uno que en realidad reduzca la probabilidad de que los usuarios sean víctimas de ataques de phishing y reduzca el riesgo empresarial relacionado con el phishing. Para lograrlo, siga estos cinco pasos para transformar sus defensas de phishing.

1. Comprenda la cadena de eliminación del phishing.
Una cadena de muerte es un concepto militar para comprender los ataques enemigos. Divide los ataques en distintas fases, como localizar, rastrear e interactuar con un objetivo.

Como todos los ciberataques, el phishing implica una cadena de muerte. La cadena de eliminación de phishing es un proceso de tres fases:

  • Vectores: La fase Vectores se refiere a las amenazas inherentes al correo electrónico, como malware, enlaces maliciosos y correo no autenticado. Los atacantes realizan reconocimientos continuos para encontrar formas de aprovechar estos vectores.
  • Entrega: En la fase de entrega, los delincuentes entregan malware o enlaces maliciosos, o participan en la ingeniería social dirigida del spear-phishing para ganarse la confianza del usuario.
  • Explotación: En la fase last de la cadena de eliminación de phishing, los atacantes convencen a los objetivos de que tomen acciones como descargar archivos adjuntos, hacer clic en enlaces, compartir datos confidenciales o transferir dinero.

Si comprende la cadena de eliminación del phishing, podrá defenderse de los ataques de forma más eficaz. Romper la cadena en cualquier fase frustra con éxito el ataque.

2. Reconozca por qué «atrapado vs. perdido» es un enfoque defectuoso.
Los productos de seguridad de correo electrónico tradicionales están diseñados para identificar problemas como archivos adjuntos y enlaces maliciosos, que pueden ofrecer protección contra problemas conocidos. Pero son menos útiles contra el malware de día cero o los sitios website que parecían seguros cuando se envió el correo electrónico, pero que luego se utilizaron como armas con formularios de recolección de credenciales.

Si bien los productos de seguridad más nuevos creados en torno a algoritmos de aprendizaje automático (ML) pueden parecer más sofisticados, aún se basan en este enfoque basado en la detección. Incluso la mejor inteligencia artificial no puede evitar que un miembro de su departamento de finanzas sea diseñado en redes sociales para transferir fondos a una cuenta fraudulenta. Puede actualizar continuamente al software package de detección más reciente. Pero la mentalidad de «atrapado versus perdido» no mejorará su resistencia contra el phishing.

3. Concéntrese en la cadena de muerte, no en los detectores.
El propósito de la seguridad del correo electrónico no es simplemente informarle sobre cosas malas conocidas. Es para hacer que su organización sea resistente a las violaciones de seguridad.

Las brechas de seguridad relacionadas con el phishing no son cosas místicas que simplemente suceden de alguna manera. Ocurren porque los atacantes identifican un vector a través del cual pueden lanzar un ataque que impulsa a un usuario a realizar una acción insegura.

El phishing involucra tres elementos: archivos adjuntos, enlaces y texto de correo electrónico. Los archivos adjuntos son binarios, seguros o maliciosos. Los enlaces son más perniciosos porque pueden ser seguros en un momento pero maliciosos al siguiente. El texto del correo electrónico es el más infame porque los atacantes pueden usarlo para generar confianza con los usuarios a lo largo del tiempo y luego engañarlos para que tomen una acción que resulte en una violación de seguridad. Necesita desarrollar resiliencia en torno a los tres elementos.

Por lo tanto, no se concentre en los detectores. En su lugar, observe cada fase de la cadena de eliminación, desde identificar cómo los atacantes pueden ingresar a su organización hasta evitar que esos atacantes alcancen su objetivo.

4. Preste atención a las desviaciones de la norma.
Hay un viejo refrán que dice que solo hay dos tipos de organizaciones: las que han sido pirateadas y las que no saben que han sido pirateadas. Del mismo modo, solo hay dos tipos de mensajes de correo electrónico: los que son maliciosos y los que pueden ser maliciosos.

Al analizar cientos de millones de correos electrónicos para grandes empresas, descubrimos que, por lo typical, el ,1% son definitivamente maliciosos, mientras que otro ,8% son estadísticamente anómalos y, por lo tanto, potencialmente maliciosos. Puede aplicar controles de tecnología para eliminar el .1% conocido como malo. Pero no sabe cuál del 99,9% restante contiene el ,8% arriesgado. Incluso en una empresa mediana, eso podría implicar miles de correos electrónicos por día.

Por lo tanto, enfóquese en las anomalías: una URL estadísticamente inusual, un nombre para mostrar de correo electrónico mal escrito, un remitente con el que el usuario no se ha comunicado antes o un texto de correo electrónico que se refiere a información de la cuenta o transferencias de dinero. Luego, proporcione a los usuarios alertas de banner específicas del contexto y visuales de semáforos que les aconsejen que tengan cuidado.

5. Implemente defensas de phishing que realmente funcionen.
Primero, obtenga los conceptos básicos de seguridad del correo electrónico correctos. Active las protecciones de pérdida de datos integradas de su plataforma de correo electrónico. Asegúrese de haber configurado correctamente los protocolos de autenticación, como el marco de políticas del remitente (SPF), el correo identificado de DomainKeys (DKIM) y la autenticación, informes y conformidad de mensajes basados ​​en el dominio (DMARC).

Luego, implemente capas de controles de compensación que pasarán del modo de detección a una seguridad de correo electrónico verdaderamente resistente. Este concepto proviene del mundo de la contabilidad financiera y el riesgo. En situaciones en las que no puede bloquear completamente un proceso, los controles de compensación mitigan el riesgo a un nivel aceptable.

Por ejemplo, su departamento de finanzas debe poder transferir fondos. Un control de compensación requeriría que si la cantidad alcanza un cierto umbral, se levanta una bandera roja y el CFO necesita aprobar la transferencia.

Puede aplicar controles de compensación en cada fase de la cadena de eliminación de phishing. En la fase de Vectores, implemente controles sobre remitentes desconocidos, relaciones anómalas, datos de encabezado inusuales, and so forth. En la fase de Entrega, realice acciones como la cuarentena de usuarios, la reescritura de enlaces, la eliminación de archivos y las alertas dinámicas de usuarios. En la fase de explotación, implemente medidas como inteligencia de buzones de correo, informes de phishing y biometría de pulsaciones de teclas.

No hay forma de evitar que los atacantes lleven a cabo campañas de phishing, como tampoco puede evitar que los piratas informáticos escriban malware. Pero no tienes que estar a merced del phishing. Al transformar la forma en que aborda el phishing y al implementar un conjunto sólido y en capas de controles de compensación, puede romper la cadena de eliminación del phishing y reducir significativamente el riesgo comercial.

Kevin es el director ejecutivo y cofundador de GreatHorn. Con experiencia en la industria de la ciberseguridad que comenzó a fines de la década de 1990 con la empresa de seguridad seminal @stake (ahora Symantec), Kevin ha ocupado varios puestos ejecutivos senior en nuevas empresas del área de Boston, y es un orador frecuente y … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary