Los ataques a las cuentas de correo electrónico seguirán siendo uno de los métodos más populares utilizados por los ciberdelincuentes para obtener acceso a datos confidenciales de la empresa. Las mejores prácticas de Barracuda contra la falta de integración entre la respuesta a incidentes y la seguridad web.
Aunque los clásicos, como los archivos adjuntos de correo electrónico comprometidos o los enlaces, aún sirven para su propósito, los atacantes no necesariamente quieren confiar en ellos: la ingeniería social o el uso de credenciales robadas para el robo de datos planificado son tácticas mucho más difíciles. Y así, las respuestas ineficientes a los ataques de correo electrónico cuestan a las empresas miles de millones cada año. Para muchas organizaciones, encontrar, identificar y eliminar amenazas de correo electrónico es un proceso lento, manual y que requiere muchos recursos. Tiempo valioso que a menudo puede conducir a una mayor propagación de un ataque.
En promedio: ataques de phishing a 10 empleados
Para comprender mejor los patrones de amenazas y las prácticas de respuesta, los analistas de seguridad de Barracuda estudiaron alrededor de 3.500 empresas, con un resultado claro: una empresa con 1.100 usuarios experimenta alrededor de 15 incidentes de seguridad de correo electrónico por mes. Un "incidente" se refiere a los correos electrónicos maliciosos que han pasado las soluciones de seguridad de TI y han llegado a las bandejas de entrada de los usuarios. Una vez identificados estos incidentes, se deben priorizar e investigar para determinar su alcance y nivel de amenaza. Si resulta ser una amenaza, también se deben tomar medidas correctivas. En promedio, 10 empleados se ven afectados por cada ataque de phishing que llega a la bandeja de entrada. Como se mencionó anteriormente, los enlaces maliciosos aún funcionan: el 73% de los empleados son engañados por un enlace de phishing para que hagan clic en él, dejando a toda la organización a merced de los atacantes. Los piratas informáticos solo necesitan un clic o una respuesta por correo electrónico para lanzar un ataque con éxito. Es bueno saber que las empresas que capacitan a sus usuarios pueden ver una mejora del XNUMX por ciento en la precisión de los correos electrónicos informados por los usuarios después de solo dos sesiones de capacitación.
A continuación, el artículo analiza más de cerca los patrones de amenazas identificados y las prácticas de respuesta, y proporciona los pasos que los equipos de seguridad de TI pueden tomar para mejorar significativamente la respuesta de su organización a las amenazas de correo electrónico después de la entrega.
Amenazas de correo electrónico posteriores a la entrega
Las actividades realizadas para hacer frente a las consecuencias de una violación de la seguridad y las amenazas que surgen después de la entrega se conocen comúnmente como respuesta a incidentes. Una respuesta eficaz a incidentes tiene como objetivo remediar rápidamente la amenaza a la seguridad para detener la propagación del ataque y minimizar el daño potencial.
A medida que los piratas informáticos emplean técnicas de ingeniería social cada vez más sofisticadas, las amenazas de correo electrónico se vuelven cada vez más difíciles de detectar tanto para los controles técnicos de TI como para los usuarios de correo electrónico. No existe una solución de seguridad de TI que pueda prevenir todos los ataques. Asimismo, los usuarios no reportan siempre los correos electrónicos sospechosos, ya sea por falta de capacitación o por descuido. Si lo hacen, la precisión de los mensajes informados es una pérdida de recursos de TI. Sin una estrategia eficiente de respuesta a incidentes, las amenazas a menudo pueden pasar desapercibidas hasta que es demasiado tarde.
Descubra amenazas de forma eficaz con la caza de amenazas
Hay varias formas de identificar las amenazas de correo electrónico para que luego pueda corregirlas. Los usuarios pueden informarlos, los equipos de TI pueden realizar una búsqueda de amenazas internamente o contratar proveedores externos para remediar los ataques. Los datos de amenazas resueltas compartidos entre organizaciones suelen ser más confiables que las sugerencias informadas por los usuarios.
Los analistas de Barracuda descubrieron que la mayoría de los incidentes (67,6 %) se descubrieron a través de investigaciones internas de búsqueda de amenazas iniciadas por el equipo de TI. Estas investigaciones pueden llevarse a cabo de diferentes maneras. Por lo general, se buscan registros de mensajes o se realizan búsquedas de palabras clave o remitentes en los correos electrónicos entregados. Otro 24 por ciento de los incidentes provino de correos electrónicos informados por los usuarios. Alrededor del ocho por ciento se descubrió utilizando inteligencia de amenazas de la comunidad, y el medio por ciento restante a través de otras fuentes, como incidentes automatizados o ya resueltos.
Es cierto que las empresas siempre deben alentar a sus empleados a reportar correos electrónicos sospechosos. Sin embargo, un torrente de correos electrónicos informados por los usuarios también ejerce una gran presión sobre los equipos de TI con recursos limitados. Una buena manera de aumentar la precisión de los informes de los usuarios es llevar a cabo una formación constante sobre concienciación en materia de seguridad.
El tres por ciento de los usuarios de correo electrónico hacen clic en enlaces en correos electrónicos maliciosos
Una vez que los equipos de seguridad de TI han identificado y confirmado los correos electrónicos maliciosos, deben evaluar el alcance y el impacto potencial del ataque. Identificar a todas las personas dentro de una organización que han recibido mensajes maliciosos puede llevar mucho tiempo sin las herramientas adecuadas.
El tres por ciento de los empleados de una organización hace clic en un enlace en un correo electrónico malicioso, exponiendo a toda la organización a los atacantes. En otras palabras, en una organización promedio con 1.100 usuarios de correo electrónico, alrededor de cinco de ellos harán clic en un enlace malicioso cada mes. Pero eso no es todo: los empleados reenvían o responden mensajes maliciosos y, por lo tanto, propagan los ataques no solo dentro de su empresa sino también externamente. El valor puede parecer pequeño a primera vista, pero su impacto no es menos significativo. Los piratas informáticos solo necesitan un clic o una respuesta para que un ataque tenga éxito. Y un usuario solo tarda 16 minutos en hacer clic en un enlace malicioso. Por lo tanto, la investigación y la corrección rápidas son fundamentales para mantener la seguridad de la organización.
Los correos electrónicos maliciosos pasan 83 horas en las bandejas de entrada
Eliminar correos electrónicos puede ser un proceso tedioso y lento. En promedio, pasan tres días y medio desde el momento en que un ataque aterriza en las bandejas de entrada de los usuarios hasta que lo informan o el equipo de seguridad lo detecta, y finalmente se elimina el ataque. La capacitación en seguridad dirigida puede acortar significativamente este largo tiempo al mejorar la precisión de los ataques informados por los usuarios. El uso adicional de herramientas de defensa automática puede detectar y eliminar automáticamente los ataques. De hecho, solo el cinco por ciento de las empresas actualizan su seguridad web para bloquear el acceso a sitios web maliciosos en toda la organización. Esto se debe principalmente a la falta de integración entre la respuesta a incidentes y la seguridad web.
Cinco consejos para protegerse contra las amenazas posteriores a la entrega
- Capacitación del personal para mejorar la precisión y el alcance de los ataques denunciados
La capacitación periódica garantiza que se recuerden las prácticas de seguridad y que la precisión de las amenazas informadas evite que los departamentos de TI dediquen demasiado tiempo a investigar el molesto correo electrónico no deseado, no los maliciosos. - La comunidad como fuente de amenazas potenciales
La inteligencia de amenazas compartida es una herramienta poderosa contra las amenazas en evolución que ponen en riesgo a los usuarios de datos y correo electrónico. Las amenazas de correo electrónico similares y, a veces, idénticas afectan a más de una organización, ya que los piratas suelen utilizar las mismas técnicas de ataque en varios objetivos. La recopilación de inteligencia de otras organizaciones es un enfoque eficaz para mitigar los ataques a gran escala. Una solución de respuesta a incidentes que puede acceder y aprovechar la inteligencia de amenazas compartida ayuda a realizar una búsqueda de amenazas efectiva e informar incidentes potenciales. - Herramientas de búsqueda de amenazas para una investigación más rápida de los ataques
Descubrir amenazas potenciales, identificar el alcance del ataque y todos los usuarios afectados puede llevar días. Las empresas deben usar herramientas de búsqueda de amenazas que les brinden información sobre los correos electrónicos después de la entrega. Estas herramientas se pueden utilizar para identificar anomalías en los correos electrónicos ya entregados, buscar rápidamente a los usuarios afectados y ver si han interactuado con mensajes maliciosos. - Automatice las defensas
La implementación de sistemas automatizados de respuesta a incidentes puede reducir significativamente el tiempo que lleva identificar correos electrónicos sospechosos, eliminarlos de las bandejas de entrada de todos los usuarios afectados y automatizar procesos que fortalecen las defensas contra amenazas futuras. - utilizar puntos de integración
Además de automatizar sus flujos de trabajo, las organizaciones también deben integrar su respuesta a incidentes con el correo electrónico y la seguridad web para evitar ataques. La información recopilada durante la respuesta a incidentes también se puede utilizar para resolver problemas automáticamente e identificar amenazas relacionadas.
La respuesta rápida y automatizada a incidentes ahora es más importante que nunca, ya que los sofisticados ataques de phishing dirigidos diseñados para eludir la seguridad del correo electrónico se vuelven más frecuentes. Por lo tanto, en la carrera contra los ciberdelincuentes, la automatización de la respuesta a incidentes mejora significativamente los tiempos de respuesta a incidentes, ayuda a fortalecer la seguridad empresarial, limita los daños y ahorra tiempo y recursos valiosos a los equipos de TI.
Más en Barracuda.com[ID de starbox = 5]