¿Por qué el phishing sigue siendo un problema?

No hay comentarios

El phishing ha representado un riesgo para las organizaciones durante décadas. Si hubiera una solución milagrosa elegante que mitigara este riesgo por completo, debemos asumir que ya se habría inventado. Si bien no existe una solución única para detener los ataques de phishing, es posible utilizar una combinación de métodos para detectarlos y contrarrestarlos de manera efectiva. La palabra clave aquí es ataque, es decir, un ataque de un extremo a otro que utiliza el phishing como punta de lanza.

¿Por qué el phishing es un método de ataque tan persistente?

Mientras los atacantes tengan la motivación para realizar ataques cibernéticos, el phishing continuará. La técnica del phishing no se puede erradicar por la misma razón que no podemos prevenir el robo o la ingeniería social. Los atacantes están motivados, son astutos y, en su mayor parte, inteligentes. Preguntar cuándo terminará el phishing es como preguntar cuándo las personas dejarán de abrir cerraduras; construya una nueva cerradura y los motivados encontrarán un nuevo mecanismo para romperla.

El phishing es una táctica versátil, de bajo costo y altamente escalable para los ataques cibernéticos. Si bien los atacantes pueden necesitar desarrollar nuevos métodos para distribuir malware o instigar el robo de credenciales, en última instancia están aprovechando el comportamiento del usuario como punto de entrada para alcanzar objetivos valiosos. Para las organizaciones, el phishing presenta un desafío duradero porque los atacantes apuntan a la falibilidad humana y esto no se puede erradicar.

Para frustrar un ataque de phishing , debe considerar todos sus componentes, no solo la violación inicial. Los controles de phishing a menudo se quedan cortos debido a su enfoque limitado en un solo punto en el tiempo: generalmente, el momento en que un usuario lee y reacciona a un correo electrónico de phishing. Para el atacante, sin embargo, el phishing no comienza ni termina con un solo clic. Es una táctica diseñada para crear un punto de entrada en un ataque secuenciado o para robar información. Al comprender los objetivos del atacante en cada etapa del ataque, las organizaciones pueden construir un enfoque de defensa de varios niveles. 

Considere la versión adaptada de F-Secure de la Cyber ​​kill chain de Lockheed Martin:

Fig. 1. Cadena de muerte cibernética adaptada de F-Secure

Para que un atacante alcance con éxito su objetivo, debe realizar actividades en cada fase de la cadena de muerte. (La excepción puede ser la persistencia, ya que un atacante no necesita necesariamente realizar actividades de persistencia para alcanzar su objetivo). Para que un ataque de phishing tenga éxito, el atacante debe completar al menos los 4 pasos iniciales. Usted, como defensor, solo necesita prevenir, o detectar y responder a una de las acciones entre las fases Entrega y C2. Para los defensores de la seguridad cibernética, cada fase de la cadena de muerte brinda la oportunidad de reducir la exposición y prevenir o detectar las acciones del atacante . Por lo tanto, si está buscando desarrollar resistencia contra el phishing, es importante considerar más que el acto aislado del phishing.

Si no podemos prevenir el phishing, ¿cómo mitigamos los riesgos?

Para reducir la exposición de su empresa al phishing, esto es lo que puede hacer:

  1. Ejercicio técnico:  comprenda exactamente qué técnicas específicas de phishing están disponibles para un atacante contra su entorno.
  2. Ejercicio de concientización del usuario:  aumente la probabilidad de que un usuario detecte y notifique un correo electrónico de phishing y reduzca la probabilidad de que dicho usuario sea víctima. El éxito de los ejercicios de concienciación del usuario se mide normalmente en la tasa de clics y la tasa de informes. No es realista apuntar a una tasa de clics de cero, pero a medida que menos personas hagan clic, menos puntos finales se verán comprometidos, lo que limitará el nivel de respuesta requerido para contrarrestar un ataque. Sin embargo, el énfasis debe estar en aumentar la tasa de informes de correos electrónicos de phishing reales. 
  3. Ejercicio técnico y de procedimiento combinado:  suponga que las personas serán víctimas, porque lo harán, y asegúrese de que puede detectar el ataque y responder al mismo lo antes posible cuando el riesgo de daños sea mínimo. 
  4. Ejercicio técnico y de procedimiento combinado:  incluso si se evitó un ataque, desea saber exactamente cuándo un atacante falló en su intento. Los atacantes también cometen errores, pero el hecho de que un atacante haya fallado una vez no significa que se rendirán.

Tenga en cuenta que los atacantes tienen un número finito de técnicas a su disposición. Una vez que comprenda qué ataques son posibles en su entorno, puede prepararse para ellos y defender a su organización contra ellos. Pregúntate a ti mismo las siguientes preguntas:

  1. Si un atacante debería apuntar a mi negocio, ¿cuáles serían sus posibles motivos y a quién elegirían como resultado? ¿Qué tan susceptibles son esos individuos a la ingeniería social ?; (Reconocimiento externo (Reconocimiento))
  2. Si un atacante entregara con éxito un correo electrónico de phishing, ¿cómo disfrazaría su correo electrónico de phishing para que sea creíble e impulse a los usuarios a interactuar con él? (Entrega)
    1. ¿Pueden enviarse a su entorno correos electrónicos que contengan URL maliciosas? Si es así, ¿qué tipo de URL? ¿Solo bloquea cargas útiles conocidas como malas?
    2. ¿Puede un atacante entregar un archivo adjunto, como un documento o una hoja de cálculo? ¿Ese archivo adjunto podría contener macros? ¿Qué otros tipos de cargas útiles se pueden entregar?
  3. De esta lista de posibilidades, ¿a qué tipos de URL se puede acceder correctamente? ¿Qué cargas útiles se pueden ejecutar con éxito? (Ejecución de código / C2)

Abordar estas preguntas creará una lista de acciones que un atacante podría realizar de manera realista. Estas son las acciones que necesita para poder detectar y responder de manera efectiva con un enfoque de múltiples capas para el phishing.

“Pero ya tengo un programa de concientización sobre phishing”

Los programas de concientización generalmente consisten en campañas de phishing simuladas que se llevan a cabo junto con capacitación en concientización sobre seguridad para empleados que explica los riesgos del phishing. A primera vista, la concientización puede parecer un ejercicio no técnico impulsado por el cumplimiento. No es. Algunos profesionales de la seguridad pueden incluso considerar la formación de concienciación sobre phishing como un esfuerzo inútil. Eso solo es cierto cuando se usa de forma aislada.Algunos profesionales de la seguridad pueden considerar la formación de concienciación sobre phishing como un esfuerzo inútil. Eso solo es cierto cuando se usa de forma aislada.

Si su programa de concientización sobre phishing se centra en reducir la tasa de clics, nunca será eficaz para proteger a su organización contra ataques cibernéticos. El objetivo principal de un programa de concientización es garantizar que las personas denuncien rápidamente los correos electrónicos sospechosos al equipo adecuado, que puede clasificar las actividades de respuesta rápida. La función del Centro de operaciones de seguridad (SOC) es detectar ataques y responder a ellos. Solo pueden responder a los ataques de phishing que conozcan, y la forma más rápida de hacerlo es que los usuarios denuncien los correos electrónicos de phishing. La notificación de correos electrónicos de phishing es una función de detección que, si se realiza correctamente, es muy valiosa en la detección y mitigación de ciberataques.

Los programas de concientización son un componente importante de cualquier estrategia de mitigación del riesgo de phishing. Pero contar con un programa de concienciación eficaz, sin desarrollar las actividades de respuesta vitales que deberían seguir, anularía todas las inversiones en ese sentido.

¿Cómo se alimenta la conciencia en la detección y respuesta?

Además de que su programa de concientización sirve como embudo hacia su equipo de detección y respuesta, genera datos valiosos que pueden aumentar aún más su capacidad de detección (hablé de esto el año pasado en mi presentación Security Awareness Data: a Goldmine ). Las campañas de phishing simuladas y los datos recopilados sobre la tasa de clics y la tasa de informes ayudan a determinar qué usuarios o equipos tienen más probabilidades de ser víctimas de phishing. El uso de estos datos para identificar a los usuarios y grupos de mayor riesgo le permite desarrollar intervenciones específicas y dirigidas.

Esta información puede mejorar su función de detección de dos formas. El conocimiento de los usuarios con mayor riesgo puede crear un mapa de calor eficaz de los objetivos más probables. Esto le permitirá generar alertas de mayor fidelidad y modificar la puntuación de riesgo en consecuencia.

En resumen

  • Descubra dónde está expuesto y qué acciones es probable que realice un atacante
  • Desarrolle su capacidad de detección para que coincida con su exposición
  • Centrar los programas de concienciación sobre el phishing en la notificación de correos electrónicos sospechosos
  • Asegúrese de tener una función de respuesta eficaz
  • Use los datos de capacitación en concientización de manera efectiva para identificar a los usuarios en riesgo y aumentar la detección en consecuencia

La forma más efectiva de detectar, prevenir y mitigar los riesgos de un ataque de phishing es desarrollar un enfoque de múltiples capas para los controles de phishing.

PRÓXIMAMENTE: una guía paso a paso sobre cómo los equipos de seguridad pueden implementar controles técnicos y de conciencia en las primeras 4 fases de la cadena de eliminación.

Deja un comentario

Abrir chat
1
¿Necesitas ayuda?
Creado con Join.chat
hola
¿necesitas ayuda? no dudes en escribirnos