MALWARE

Para muchos atacantes, el envío de archivos adjuntos de malware puede ser un simple juego de números. Ellos maximizan sus posibilidades de éxito dirigiéndose a muchas personas dentro de una organización, sabiendo que solo necesitan que una persona abra el archivo adjunto.

Estos correos electrónicos a menudo pueden ser fáciles de detectar, pero técnicas de ingeniería social más sofisticadas dirigidas a un individuo específico pueden ser mucho más difíciles de detectar. Culpar a la gente no es la solución, todos somos humanos. Una estrategia más proactiva es mejorar el entorno de seguridad para minimizar estos riesgos a través de la educación, los procesos y la tecnología.

Es extremadamente difícil erradicar completamente este tipo de amenazas, pero para inclinar la balanza a su favor, es clave educar a los usuarios a cuestionar mensajes de correo electrónico sospechosos y tener un mecanismo sencillo para que denuncien sus sospechas.

El primer paso para los usuarios es reconocer mensajes de correo electrónico sospechosos, por ejemplo, documentos escaneados enviados desde direcciones de correo electrónico fuera de la organización. Pero, para realmente afectar el cambio, los usuarios necesitan ir más allá de solo detectar anexos maliciosos, y comenzar a informarlos a los equipos de seguridad para que puedan ser investigados adecuadamente. Solo se necesita que un usuario abra un archivo adjunto para habilitar el ataque, pero igualmente, solo un usuario que reporte un correo electrónico sospechoso puede activar una respuesta rápida, para identificar otros correos electrónicos y aislar cualquier host infectado antes de que se produzca un daño significativo. Lo esencial aquí es que el mecanismo de reporte sea simple y bien conocido.

Cuando se trata de protección técnica, comience con lo básico. El uso de filtros antivirus en el tráfico de correo electrónico y antivirus complementario en las PC es el primer paso. Cuesta relativamente poco y es fácil de configurar, por lo que hay pocas barreras de entrada, incluso para las organizaciones más pequeñas, donde a menudo es proporcionado por un servicio de correo electrónico alojado. Estos tipos de soluciones no son 100% eficaces, pero ayudarán a deshacerse de gran parte del "ruido de fondo" y, por tanto, permitirán a los equipos de seguridad concentrarse en amenazas más sofisticadas.

Del mismo modo, el parchado de sistemas operativos y aplicaciones es una parte fundamental de la defensa contra el malware conocido. La mayoría de los ataques se aprovechan de las vulnerabilidades que ya se conocen, por lo que si pone parches de forma rutinaria y tan rápido como sea posible, esto puede proteger la organización contra una gran cantidad de malware existente.

Algunas organizaciones necesitan probar los parches antes de implementarlos, para asegurarse de que no interfieran con el software existente, pero el parchado aún tiene que hacerse a pocos días de que se liberan los parches. Esto se debe a que tan pronto como se emiten los parches, los hackers identifican las vulnerabilidades y desarrollan nuevos malware para explotarlos.

Otra forma de reducir el correo electrónico no deseado es utilizar técnicas para detectar correos electrónicos "falsos" que parecen proceder de un dominio, mientras que provienen de otro. Esto puede ser tan simple como el uso de software que resalte direcciones falsas, o enlaces en un correo electrónico, de autenticación de mensaje completo tales como autenticación de mensajes basados ​​en dominios, informes y conformidad (Dmarc), un sistema de validación de correo electrónico diseñado para detectar y prevenir correo electrónico falso. Esto es efectivo en la lucha contra los correos electrónicos con direcciones de remitentes falsificados que parecen originarse en organizaciones legítimas.

Dmarc es normalmente desplegado por las empresas más grandes y organizaciones del sector público que ejecutan sus propios servicios de correo. En el caso de las pequeñas y medianas empresas, es algo para comprobar que está siendo utilizado por el ISP o proveedor de correo electrónico.

Otra estrategia básica es proteger los servidores mediante la lista blanca de aplicaciones, controlando qué aplicaciones se pueden ejecutar y garantizando que las cuentas de correo electrónico no se ejecutan en ninguno de los servidores. En otras palabras, asegurarse de que los archivos adjuntos maliciosos de correo electrónico nunca lleguen a ejecutarse con privilegios de administrador en un servidor crítico. Los administradores de sistemas pueden leer su correo igual de bien en una máquina de usuario bloqueada.

Subiendo en sofisticación, otra herramienta útil para las grandes organizaciones es el filtrado de correo electrónico utilizando un dispositivo de red antes de que el correo electrónico llegue al servidor. Normalmente, éstos ejecutarán programas o códigos no confiables en un entorno virtual (sandbox), detectando tanto la actividad del host como la de la red para detectar malware desconocido. Pero, aunque esta técnica puede ser efectiva, muchos de los últimos y más exitosos malware utilizados por los atacantes incorporan técnicas de evasión de sandbox, para tratar de evitar que se investiguen de esta manera.

Normalmente, los proveedores de estos dispositivos también utilizan técnicas para contrarrestar las técnicas de evasión del atacante, y utilizan otras técnicas de análisis y heurísticas para detectar malware de día cero. Del mismo modo, el despliegue de software de seguridad de punto final utilizando la detección de intrusiones de host en las PCs es otra línea de defensa para combatir estas amenazas. Las mejores soluciones no dependen de firmas o heurísticas simples, sino que detectan las técnicas utilizadas para explotar vulnerabilidades como los desbordamientos de búfer que les permiten detectar la mayoría de los ataques de día cero.

En última instancia, la única manera en que los atacantes reducirán el volumen de malware entregado a través de los archivos adjuntos de correo electrónico es si se vuelve más fácil o más eficaz para ellos entregar el malware de una manera diferente. Por lo tanto, las mejores estrategias para la defensa son aumentar el reporte de anexos maliciosos por parte de los usuarios, tener una estrategia para tratar con ellos y equipar su entorno con las tecnologías necesarias para hacer que estos adjuntos sean menos efectivos.