Innovación

Innovando metodologías de detección de amenazas en la seguridad del correo electrónico

Innovando metodologías de detección de amenazas en la seguridad del correo electrónico



We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Los sistemas de seguridad se basan en firmas de amenazas continuamente actualizadas para combatir las amenazas en constante evolución. Las actualizaciones de la base de datos se implementan de vez en cuando, por lo que los nuevos ataques se identifican y bloquean correctamente.

Es por eso que las empresas de seguridad se encargan de que la información sobre las amenazas más recientes se recopile y analice rápidamente para evitar problemas mayores. La idea predominante en la seguridad del correo electrónico es que puede vencerla si lo sabe. No puedes responder a los ataques a ciegas.

Es posible que las cosas deban cambiar pronto, ya que un estudio publicado recientemente por la firma de seguridad BitDam revela los peligros de lidiar con ataques desconocidos. Los sistemas de seguridad pueden ser buenos para recopilar información sobre las amenazas más recientes (para actualizar sus bases de datos de firmas y capacidades de detección), pero sus defensas son notablemente inadecuadas cuando se encuentran por primera vez con software malicioso que no tiene la firma de amenaza correspondiente en su base de datos.

Explorando lo desconocido

El estudio de seguridad del correo electrónico de BitDam se centra en las debilidades de las principales plataformas de correo electrónico empresarial para abordar las amenazas desconocidas o las que encuentran por primera vez. Los sistemas modernos han sido bastante efectivos para bloquear ataques que ya han sido identificados. La pregunta más importante, sin embargo, es cómo manejan las nuevas metodologías de ataque o sus variantes.

El proceso del estudio se puede resumir de la siguiente manera:

  1. Los investigadores recolectaron muestras de malware,
  2. Verificado que estos sean realmente dañinos o maliciosos,
  3. Modificó el software malicioso verificado,
  4. Envió el malware verificado para apuntar a cuentas de correo electrónico,
  5. Supervisó el rendimiento de los sistemas de seguridad de correo electrónico que protegen las cuentas de correo electrónico específicas, y
  6. Recopilado y analizado los datos monitoreados.

El malware verificado que logró pasar a través de los sistemas de seguridad del correo electrónico se reenvía con una frecuencia decreciente durante la duración del estudio. En las primeras cuatro horas, los archivos con malware se reenvían cada 30 minutos. Durante las próximas 20 horas, la frecuencia de reenvío se reduce a una vez cada 2 horas. La frecuencia se reduce aún más a una vez cada 6 horas durante los siguientes siete días y finalmente se detiene después del séptimo día. Esto se hace para simular

El estudio se centró inicialmente en Office365 ATP de Microsoft y G Suite de Google. Es un estudio continuo y el plan es eventualmente incluir Proofpoint y otros importantes sistemas de seguridad de correo electrónico.

Entonces, ¿cómo obtuvo BitDam miles de malware "desconocido"?

Sin duda, esta es una pregunta importante. BitDam utilizó miles de malware verificado para el estudio. Si tiene acceso a tantos programas maliciosos desconocidos, es razonable que la comunidad de seguridad sospeche de la empresa. Sin embargo, BitDam en realidad no obtuvo miles de malware que aún no están registrados en las bases de datos de amenazas de Microsoft y Google. Tenían que ser creativos e ingeniosos para continuar con el estudio.

El origen de amenazas que se considerarían desconocidas para Office365 y G Suite es uno de los desafíos críticos al realizar el estudio. BitDam no tiene abundantes fuentes de amenazas que aún no hayan sido identificadas por los principales sistemas de seguridad. La solución: modificar las amenazas para que parezcan nuevas y desconocidas.

La alteración de amenazas recientes pero conocidas en desconocidas se hizo posible utilizando dos métodos. El primero fue cambiar el hash de los archivos que contienen el malware con la introducción de datos benignos. El segundo método requería la modificación de la firma estática de una macro agregando comentarios que constan de palabras aleatorias y convirtiendo el código de cada función de macro a una cadena base64.

En otras palabras, las amenazas desconocidas utilizadas para las pruebas son variantes de las recientes existentes. El uso de estas variantes resolvió dos problemas importantes para los investigadores: el problema de adjuntar los archivos infectados a los correos electrónicos de prueba y el filtrado absoluto del malware (ya que ya están en la base de datos de Office365 y G Suite). Los servicios de correo electrónico de Microsoft y Google verifican automáticamente los archivos adjuntos a los correos electrónicos de la misma manera que escanean los archivos adjuntos que intentan ingresar a las bandejas de entrada.

Todo este proceso presentó los siguientes momentos eureka a los investigadores:

  • Los sistemas de correo electrónico tienden a identificar erróneamente variantes de amenazas existentes incluso si las amenazas originales ya tienen sus firmas registradas.
  • Es fácil producir variantes de malware que parecen desconocidas para los sistemas de seguridad. Con la ayuda de la inteligencia artificial, se pueden generar innumerables variantes de malware y utilizarlas para más ataques.

Esto explica por qué los investigadores de BitDam tuvieron que realizar el paso 3 en el proceso mencionado anteriormente. La modificación es necesaria para generar amenazas desconocidas viables y permitir el adjunto de los archivos cargados de malware en los correos electrónicos de prueba.

El problema de las altas tasas de fallos de detección y TTD

Después de resolver los problemas de adjuntar los archivos con malware y la detección inmediata de Office365 y G Suite, los investigadores procedieron con las pruebas y se enfrentaron a resultados preocupantes.

Después de varias semanas de realizar las pruebas, Office365 mostró una tasa promedio de errores en el primer encuentro del 23%. La tasa de fallos alcanzó su nivel más alto en la primera semana (31%). G Suite tuvo un desempeño aún peor, registrando una tasa promedio de errores en el primer encuentro del 35.5%. Al igual que Office365, registró la tasa más alta en la primera semana con un impresionante 45%.

También es alarmante el momento de detectar números (TTD). Office365 tuvo un TTD promedio de 48 horas después del primer encuentro. Para G Suite, son 26,4 horas.

Para aclarar, la tasa de errores del primer encuentro se refiere a la tasa por la cual los sistemas de seguridad del correo electrónico no detectaron el malware verificado que se les envió. TTD, por otro lado, se refiere al tiempo que tardan los sistemas de seguridad en detectar el malware después de la primera vez que se les presentó.

Las fallas de detección crean puntos débiles que permiten que las amenazas penetren. Con TTD largos, los riesgos se agravan. Un TTD de 48 horas significa que las cuentas de correo electrónico son vulnerables durante un período de dos días. El sistema de seguridad solo se entera de que la amenaza que permitió pasar antes debería haber sido bloqueada. Para entonces, es posible que los usuarios de correo electrónico ya hayan descargado los archivos adjuntos o hayan hecho clic en los enlaces dañinos.

Utilizando el enfoque de detección de amenazas predominante, sería necesario que los sistemas de seguridad actualicen sus bases de datos con la firma de una amenaza en el mismo momento en que se publica. Esto es simplemente imposible.

La identificación no es la única solución

Conocer lo desconocido no es la única forma de abordar el problema de los ataques nuevos y aún por identificar. Después de todo, es prácticamente imposible identificar las amenazas y actualizar las bases de datos de firmas de amenazas en el mismo momento en que se publican.

Como tal, BitDam sugiere repensar cómo opera la detección de amenazas. En lugar de depender en gran medida de datos actualizados (basados ​​en datos) para identificar ataques, la idea es adoptar un enfoque basado en modelos.

BitDam ha desarrollado una solución ATP que utiliza un motor independiente de amenazas. Presenta un enfoque de detección que no requiere información sobre ataques para determinar si algo es dañino y debe bloquearse. Se centra en la forma en que las aplicaciones interactúan con los archivos.

Los modelos de flujos de ejecución "limpios" se crean para tener un punto de referencia de cómo funcionan las aplicaciones cuando trabajan con archivos seguros, no adulterados o benignos. Si el motor de ATP observa flujos de ejecución que se desvían de cómo se desarrollan los flujos limpios, la decisión lógica sería bloquear el archivo sospechoso.

El motor de detección de amenazas basado en modelos de BitDam ha sido muy eficaz, como lo demuestra la forma en que detectó las amenazas omitidas por Office365 y G Suite en el primer encuentro. Muestra que no es necesario conocer lo desconocido para evaluarlo correctamente como malicioso o dañino.

En conclusión

Ser desconocido hace que las amenazas sean más riesgosas y aterradoras. Afortunadamente, la solución no siempre tiene que ser la contraria a lo desconocido. BitDam ha introducido un enfoque de detección de amenazas basado en modelos que ha demostrado ser altamente efectivo en pruebas. Incluso puede reducir TTD a cero. Sin embargo, este método no tiene como objetivo reemplazar las estrategias basadas en datos. Puede aumentar la eficacia de los sistemas de seguridad de correo electrónico actuales, pero es probable que necesite información actualizada sobre amenazas para abordar la posibilidad de un exceso de falsos positivos si se vuelve demasiado agresivo.


Ver el vídeo: Seguridad del correo electrónico. Seguridad informática (Agosto 2022).