Os ataques a contas de e-mail continuarão a ser um dos métodos mais populares usados por cibercriminosos para obter acesso a dados confidenciais da empresa. As melhores práticas do Barracuda contra a falta de integração entre resposta a incidentes e segurança na web.
Embora os clássicos, como anexos de e-mail ou links comprometidos, ainda sirvam ao seu propósito, os invasores não querem necessariamente confiar neles: a engenharia social ou o uso de credenciais roubadas para o roubo planejado de dados são táticas muito mais difíceis. E assim, respostas ineficientes a ataques de e-mail custam bilhões às empresas todos os anos. Para muitas organizações, localizar, identificar e remover ameaças de e-mail é um processo lento, manual e com uso intensivo de recursos. Tempo valioso que muitas vezes pode levar à propagação de um ataque.
Em média: ataques de phishing em 10 funcionários
Para entender melhor os padrões de ameaças e as práticas de resposta, os analistas de segurança da Barracuda estudaram cerca de 3.500 empresas - com um resultado claro: uma empresa com 1.100 usuários experimenta cerca de 15 incidentes de segurança de e-mail por mês. Um “incidente” refere-se a e-mails maliciosos que passaram pelas soluções de segurança de TI e chegaram às caixas de entrada dos usuários. Uma vez identificados esses incidentes, eles devem ser priorizados e investigados para determinar seu escopo e nível de ameaça. Se for uma ameaça, ações corretivas também devem ser tomadas. Em média, 10 funcionários são afetados por cada ataque de phishing que chega à caixa de entrada. Como mencionado acima, os links maliciosos ainda funcionam: 73% dos funcionários são enganados por um link de phishing e clicam nele, deixando toda a organização à mercê dos invasores. Os hackers precisam apenas de um clique ou de uma resposta por e-mail para lançar um ataque com sucesso. É bom saber que as empresas que treinam seus usuários podem observar uma melhoria de XNUMX% na precisão dos e-mails relatados pelo usuário após apenas duas sessões de treinamento.
A seguir, o artigo examina mais detalhadamente os padrões de ameaças e práticas de resposta identificadas e fornece etapas que as equipes de segurança de TI podem seguir para melhorar significativamente a resposta de sua organização a ameaças de e-mail após a entrega.
Ameaças de e-mail pós-entrega
As atividades executadas para lidar com as consequências de uma violação de segurança e as ameaças que surgem após a entrega são comumente chamadas de resposta a incidentes. Uma resposta eficaz a incidentes visa remediar rapidamente a ameaça à segurança para impedir que o ataque se espalhe e minimizar os danos potenciais.
Como os hackers empregam técnicas de engenharia social cada vez mais sofisticadas, as ameaças de e-mail tornaram-se cada vez mais difíceis de detectar, tanto para os controles técnicos de TI quanto para os usuários de e-mail. Não há solução de segurança de TI que possa impedir todos os ataques. Da mesma forma, os usuários falham em sempre relatar e-mails suspeitos, seja por falta de treinamento ou descuido. Se o fizerem, a precisão das mensagens relatadas é um desperdício de recursos de TI. Sem uma estratégia eficiente de resposta a incidentes, as ameaças muitas vezes podem passar despercebidas até que seja tarde demais.
Descubra ameaças de forma eficaz com a caça de ameaças
Existem várias maneiras de identificar ameaças de e-mail para que você possa corrigi-las. Os usuários podem denunciá-los, as equipes de TI podem conduzir a busca de ameaças internamente ou contratar fornecedores externos para remediar os ataques. Dados de ameaças resolvidos compartilhados entre organizações geralmente são mais confiáveis do que dicas relatadas pelo usuário.
Os analistas da Barracuda descobriram que a maioria dos incidentes (67,6%) foi descoberta por meio de investigações internas de busca de ameaças iniciadas pela equipe de TI. Essas investigações podem ser realizadas de diferentes maneiras. Normalmente, os logs de mensagens são pesquisados ou pesquisas de palavras-chave ou remetentes são realizadas em e-mails entregues. Outros 24% dos incidentes resultaram de e-mails relatados por usuários. Cerca de XNUMX% foram descobertos usando inteligência de ameaças da comunidade e os XNUMX% restantes por meio de outras fontes, como incidentes automatizados ou já resolvidos.
É verdade que as empresas devem sempre incentivar seus funcionários a denunciar e-mails suspeitos. No entanto, uma torrente de e-mails relatados por usuários também sobrecarrega as equipes de TI com recursos limitados. Uma boa maneira de aumentar a precisão dos relatórios do usuário é realizar um treinamento de conscientização de segurança consistente.
Três por cento dos usuários de e-mail clicam em links em e-mails maliciosos
Depois que as equipes de segurança de TI identificam e confirmam os e-mails maliciosos, elas devem avaliar o possível escopo e impacto do ataque. Identificar todos dentro de uma organização que receberam mensagens maliciosas pode ser incrivelmente demorado sem as ferramentas certas.
Três por cento dos funcionários de uma organização clicam em um link em um e-mail malicioso, expondo toda a organização aos invasores. Em outras palavras, em uma organização média com 1.100 usuários de e-mail, cerca de cinco deles clicarão em um link malicioso a cada mês. Mas isso não é tudo: os funcionários encaminham ou respondem a mensagens maliciosas e, assim, espalham os ataques não apenas dentro da empresa, mas também externamente. O valor pode parecer pequeno à primeira vista, mas seu impacto não é menos significativo. Os hackers precisam apenas de um clique ou uma resposta para que um ataque seja bem-sucedido. E leva apenas 16 minutos para um usuário clicar em um link malicioso. A rápida investigação e correção é, portanto, a chave para manter a segurança da organização.
E-mails maliciosos passam 83 horas nas caixas de entrada
Eliminar e-mails pode ser um processo tedioso e demorado. Em média, leva três dias e meio desde o momento em que um ataque chega às caixas de entrada dos usuários até que eles o denunciem ou a equipe de segurança o detecte e, finalmente, o ataque seja eliminado. O treinamento de segurança direcionado pode encurtar significativamente esse longo tempo, melhorando a precisão dos ataques relatados pelos usuários. O uso adicional de ferramentas de defesa automática pode detectar e eliminar automaticamente os ataques. Na verdade, apenas cinco por cento das empresas atualizam sua segurança na Web para bloquear o acesso a sites maliciosos em toda a organização. Isso se deve principalmente à falta de integração entre a resposta a incidentes e a segurança da web.
Cinco dicas para se proteger contra ameaças pós-entrega
- Treinamento da equipe para melhorar a precisão e o escopo dos ataques relatados
O treinamento regular garante que as práticas de segurança sejam lembradas e a precisão das ameaças relatadas evita que os departamentos de TI gastem muito tempo investigando lixo eletrônico irritante, não malicioso. - Comunidade como fonte de ameaças potenciais
A inteligência de ameaças compartilhada é uma ferramenta poderosa contra ameaças em evolução que colocam em risco os usuários de dados e e-mail. Ameaças de e-mail semelhantes e às vezes idênticas afetam mais de uma organização, pois os hackers costumam usar as mesmas técnicas de ataque em vários alvos. Coletar informações de outras organizações é uma abordagem eficaz para mitigar ataques em larga escala. Uma solução de resposta a incidentes que pode acessar e alavancar a inteligência de ameaças compartilhada ajuda a conduzir uma busca de ameaças eficaz e a relatar possíveis incidentes. - Ferramentas de busca de ameaças para investigação mais rápida de ataques
Descobrir possíveis ameaças, identificar o escopo do ataque e todos os usuários afetados pode levar dias. As empresas devem usar ferramentas de busca de ameaças que forneçam informações sobre e-mails após a entrega. Essas ferramentas podem ser usadas para identificar anomalias em e-mails já entregues, pesquisar rapidamente usuários afetados e verificar se eles interagiram com mensagens maliciosas. - Automatizar defesas
A implantação de sistemas automatizados de resposta a incidentes pode reduzir significativamente o tempo necessário para identificar e-mails suspeitos, removê-los das caixas de entrada de todos os usuários afetados e automatizar processos que fortalecem as defesas contra ameaças futuras. - usar pontos de integração
Além de automatizar seus fluxos de trabalho, as organizações também devem integrar sua resposta a incidentes com e-mail e segurança na Web para evitar ataques. As informações coletadas durante a resposta a incidentes também podem ser usadas para resolver problemas automaticamente e identificar ameaças relacionadas.
A resposta rápida e automatizada a incidentes é agora mais importante do que nunca, pois ataques sofisticados de spear phishing projetados para contornar a segurança de e-mail se tornam mais prevalentes. Portanto, na corrida contra os cibercriminosos, automatizar a resposta a incidentes melhora significativamente os tempos de resposta a incidentes, ajuda a fortalecer a segurança corporativa, limita danos e economiza tempo e recursos valiosos para as equipes de TI.
Mais em Barracuda.com[asterisco=5]