1

Estas son las 5 mejores prácticas para combatir el malware en emails

Aunque no es el único vector que utilizan las gans para difundir el malware en el mundo, estas prácticas con sus emails no están de más.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Phishing. Exploits. Troyanos. Ransomware o todos los anteriores pueden y alguna vez llegarán a su empresa a través de un correo electrónico. Cuente con eso.

El correo electrónico es una herramienta crítica de comunicación empresarial, sinónimo de enviar documentos importantes de forma rápida y eficiente entre empleados, gerentes, recursos humanos, finanzas, ventas, el departamento legal, clientes, la cadena de suministro y más, muchos más.

Dicho esto, las organizaciones a menudo no entienden que los tipos de archivos utilizados todos los días para compartir información importante como es el caso de los archivos estándar para documentos de Word, hojas de cálculo de Excel y PDF también son los vectores de ataque más comunes utilizados para la distribución de malware. Y una de las eficientes porque los códigos maliciosos, además, son muy difíciles de detectar en estos formatos.

Para los ciberdelincuentes, a menudo es demasiado fácil dirigirse a un usuario con un correo electrónico falsificado o un ataque de phishing y engañarlos para que abran un archivo adjunto infectado pero que parece legítimo.

“Por ello el correo electrónico representando un canal abierto y “confiable” que permite que el malware se traslade en cualquier documento para infectar una red. También suele ser la causa por la que las organizaciones suelen adoptar estrategias de seguridad y las mejores prácticas para evitar un ataque de toda la compañía”, señaló el vicepresidente de productos en Glasswall.
Simon Taylor,

El especialista propone unas precauciones que han demostrado ser las mejores prácticas para contrarrestar estas amenazas y mantener los datos sensibles protegidos de agentes maliciosos.

1. Analizar factores de riesgo de los adjuntos

Como con cualquier cosa, las organizaciones deben considerar y evaluar todas las posibles vías de ataque y decidir qué funciones de su negocio necesita para mantener o eliminar con el fin de operar con seguridad.

Esto es especialmente importante cuando se evalúan los archivos adjuntos en los emails como un vector de amenazas. Sin el conocimiento de muchos, el intercambio de documentos representa un alto riesgo pues alrededor del 98% de ellos no se ajustan al diseño de los documentos del fabricante.

Por lo tanto, las organizaciones deben determinar si la aberración en el archivo se debe a un ataque o a algo que está mal escrito / configurado, antes de que puedan mitigar efectivamente cualquier amenaza potencial.

Para abordar estos riesgos, las organizaciones necesitan entender de manera exhaustiva qué documentos vienen a través de su red, los tipos de archivos y problemas estructurales.

También deben establecer qué elementos funcionales se adjuntan que podrían representar riesgo. La creación de una vista panorámica de la seguridad de correo electrónico y la postura de riesgo de la organización es un primer paso crítico para comprender amenazas potenciales y para implementar políticas efectivas diseñadas para frustrar ataques.

2. Evite confiar en tecnologías heredadas

 

Una vez que tenga un control sobre los riesgos, será imprescindible aplicar las soluciones de seguridad adecuadas.

La mayoría de las organizaciones tienen todos los controles de frontera estándar, incluyendo cortafuegos, antispam, antivirus e, incluso, una sandbox los cuales – a menudo – son ignorados por ataques dirigidos.

Por ahora está claro que los antivirus actuales y otras soluciones basadas en firmas colocadas en las fronteras no están deteniendo ataques bien diseñados y altamente dirigidos, dejando huecos en la arquitectura de seguridad defensiva de las empresas.

Mientras tanto, los ataques realizados a través de archivos adjuntos de correo electrónico maliciosos se han vuelto cada vez más sofisticados, atrayendo a los usuarios con campañas de phishing que parecen ser completamente legítimas.

Supongamos que las soluciones antivirus tradicionales basadas en firmas e incluso la tecnología relativamente nueva de sandbox permitirán que un documento malicioso de ingeniería social llegue al usuario.

Recuerde: solo se necesita que un usuario haga clic en un archivo adjunto malicioso para que una empresa afronte un desastre. Es necesario que haya una “nueva línea de base” para la innovación en seguridad que elimine vectores de amenazas específicos en lugar de la protección fronteriza de “captura total” que, por cierto, está fallando. Estrepitosamente.

3. Busque lo bueno en lugar de ir (después) tras lo malo

Abordar las lagunas en las defensas de la seguridad del correo electrónico requerirá un cambio de paradigma que suplante la orientación del malo con técnicas que buscan y validar el “bien conocido”.

¿La razón? Los ciberdelincuentes están actualizando constantemente sus tácticas por lo que los archivos maliciosos mutan con tanta frecuencia que son casi imposibles de rastrear.

La validación de la legitimidad de un fichero contra el “bien conocido” proporciona un punto de referencia alto y ofrece elementos de comparación precisos. Para ello, las organizaciones deben validar los documentos en función de las especificaciones de los fabricantes y regenerar sólo los archivos “conocidos”.

A partir de ahí, pueden crear un archivo limpio y benigno, en su formato original, el cual puede ser transmitido. En pocas palabras, las empresas se estarían alejando de la seguridad de “fronteras” y asegurando el control sobre el documento, llevando la seguridad a donde más se necesita: a nivel del archivo.

Del mismo modo, las organizaciones también deben continuar esta postura proactiva, aprovechando las herramientas de inspección de archivos, reconstrucción y desinfección para eliminar los documentos maliciosos antes de que entren en el sistema.

4. Restringir el BYOD con políticas especificas para el envío de documentos

El fenómeno BYOD viene con una gran cantidad de beneficios – no menos de la que se da a los empleados la flexibilidad de trabajar desde cualquier lugar y llevar a cabo actividades tanto personales como comerciales, incluyendo la transmisión de documentos, con el mismo dispositivo.

Sin embargo, aunque es conveniente y eficiente, llevar a cabo funciones empresariales desde un dispositivo personal, a menudo socava el control que tienen las organizaciones sobre los tipos de sitios y aplicaciones que pueden ser utilizados por el empleado.

Esto, a su vez, permite a los colaboradores exponer potencialmente los datos corporativos a malware que roba información y, de forma no intencional, poner a la organización en riesgo de ataque.

Mientras tanto, el malware que se puede transmitir a través de archivos adjuntos a las estaciones de trabajo de los empleados se puede transmitir fácilmente – también – a través de dispositivos móviles. Además, muchos de estos smartphones no están equipados con soluciones de seguridad destinadas a detectar documentos infectados.

Si bien la capacidad de enviar archivos adjuntos a través de dispositivos móviles puede ser inevitable para algunos, lo mejor es determinar de manera juiciosa si esta función es una necesidad absoluta o se puede restringir el envío a las estaciones de trabajo de los empleados.

5. Permitir sólo los tipos de archivo y elementos que se necesitan

En última instancia, las organizaciones necesitan reducir el riesgo de que un solo empleado abra toda la organización a un ataque de malware.

Entre otras cosas, eso significa determinar qué tipo de archivos y elementos funcionales necesitan los empleados para hacer su trabajo.

Las organizaciones deben evaluar todas las variables, incluidas las amenazas potenciales a las que están expuestos los empleados al recibir anexos específicos y, luego, decidir qué funciones necesita el negocio para operar productivamente.

Por ejemplo, ¿qué departamentos necesitan macros, JavaScript o enlaces incrustados en los documentos que reciben? Si ciertos departamentos, grupos o individuos no requieren estas funciones, reduzca el riesgo estableciendo las restricciones apropiadas.

La creación de políticas que eviten que los usuarios expongan a la empresa a las amenazas a la vez que mantienen la continuidad del negocio tratar de no tomar más riesgos de los que sean estrictamente necesarios.