En medio de toda la publicidad sobre el ciberespionaje patrocinado por el estado, los intentos de influir en las elecciones y los ataques a la infraestructura nacional crítica, a veces como industria podemos ser culpables de diluir el mensaje de seguridad. Algunas investigaciones nuevas lanzadas en los últimos días deberían volver a encarrilarnos. Se vuelve a enfatizar el hecho de que el correo electrónico sigue siendo el principal vector de amenazas que enfrentan las organizaciones.
Faltan menos de 100 días para que entre en vigor el GDPR de la UE, las empresas deben mejorar para bloquear los riesgos a los que están expuestos a través de estos canales. Esto requerirá posibles inversiones en tecnología y, lo más probable, un nuevo enfoque para la capacitación del personal.
Social y dirigido
Las últimas estadísticas afirman que la amenaza combinada de phishing y archivos adjuntos de correo electrónico maliciosos representa más de un tercio (34%) de todas las investigaciones de respuesta a incidentes. Al sumergirse más profundamente en los datos, encuentra que la ingeniería social (52%) es ligeramente más popular que los exploits externos (48%), es decir, se favorecen los ataques dirigidos a las personas más que a la tecnología. Además, los usuarios de ingeniería social en la apertura de archivos adjuntos cargados de malware, entregando sus inicios de sesión y haciendo clic en enlaces maliciosos se encuentran más comúnmente en ataques dirigidos. Por otro lado, los llamados ataques de «rociar y pagar», que son de naturaleza más oportunista, se basan en explotar las deficiencias técnicas de la organización, como las vulnerabilidades del software.
Ambos tipos de amenaza deberían ser bien conocidos por el momento. Actualmente estamos presenciando un volumen sin precedentes de vulnerabilidades de software. Una firma registró casi 21,000 nuevos errores el año pasado, un 31% más que en 2016. Dada la enorme presión que tienen los administradores para parchar múltiples sistemas heterogéneos hoy, inevitablemente quedan brechas que los sombreros negros están demasiado listos para explotar, a menudo por correo electrónico. El phishing, mientras tanto, se utiliza cada vez más como la primera etapa típica en un ataque de robo de datos específico. De hecho, Verizon afirma que el phishing estuvo presente en casi una cuarta parte de los incidentes de seguridad y en más del 90% de los llamados ataques «sociales» en 2016.
No olvidemos que el ransomware también se debe principalmente al correo electrónico. A pesar de una caída en los volúmenes, un proveedor aún detectó más de 624 millones de amenazas relacionadas en 2017. Sin embargo, el verdadero impulso se debe a otra amenaza de correo electrónico: Business Email Compromise (BEC). Las estimaciones son que las pérdidas derivadas de esta técnica de ataque particular alcanzarán la marca de $ 8bn antes de que termine el año. Una estafa de caza de ballenas recientemente descubierta dirigida a empresas de Fortune 500nos recuerda los peligros: atacantes que usan cuentas de correo electrónico falsificadas o secuestradas del CEO para convencer a los empleados de bajo costo del departamento financiero de transferir fondos corporativos a una cuenta bancaria externa. Esto es ingeniería social con esteroides: cero malware para que las empresas lo detecten, pero pérdidas potencialmente enormes si el personal y los procesos no están configurados para detenerse y detectar actividad inusual.
Entonces, ¿cuál es la respuesta? Al igual que todos los aspectos de seguridad cibernética, no hay una solución mágica para eliminar todas las amenazas de correo electrónico. Lo que necesita es una respuesta medida centrada en los viejos clásicos de las personas, el proceso y la tecnología. Por el lado de la tecnología, eso significa controles en la puerta de enlace del correo electrónico para detectar y bloquear el phishing, el malware y el correo no deseado, a la vez que previene la pérdida de datos (DLP). No olvide, lo mismo es cierto para sus sistemas de correo electrónico en la nube. Dado que la mayoría de los proveedores de plataformas solo ofrecen una protección rudimentaria, es posible que deba mejorar esto con herramientas de terceros. La seguridad de las mejores prácticas también debe abarcar los pasos para reducir la superficie de ataque de su organización, incluidos los parches rápidos, las pruebas de lápiz periódicas y la verificación de los dispositivos BYOD.
Pero cuando se trata de su gente, las cosas se ponen un poco más complicadas. ¿Qué aspecto tiene un programa de educación y conciencia cibernética exitoso? Lo más importante para buscar es un proveedor que pueda ofrecer ejercicios de simulación del mundo real, servidos en lecciones cortas y fáciles de recordar. Y debe ser mensurable: si no sabe qué tan exitoso es el programa, ¿cómo puede controlar el rendimiento de la inversión o modificarlo y evolucionarlo con el tiempo?
Desafortunadamente, las últimas cifras de Big Brother Watch revelan que el sector público del Reino Unido lamentablemente no está preparado para la amenaza del correo electrónico. Afirma que tres cuartas partes de las autoridades locales no brindan capacitación obligatoria de ciberconciencia para el personal y el 16% no proporciona ninguna capacitación en absoluto. Tal vez no sea una sorpresa, por lo tanto, que una cuarta parte de los consejos del Reino Unido experimentaron una brecha de seguridad entre 2013-2017.
Podría haber peor para las organizaciones del sector público y privado por igual si no manejan las amenazas del correo electrónico. Es posible que los reguladores de GDPR no busquen firmas para dar un ejemplo después de que las nuevas leyes de protección de datos aterricen el 25 de mayo, pero si se infringe y no se han seguido las mejores prácticas, podrían producirse sorpresas desagradables.
Fuente: https://blog.barracuda.com