Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Email Collaboration Threat Protection

    Ejecutar un PdV de seguridad que tenga sentido

    Cómo evaluar las soluciones de seguridad del correo electrónico sin comprometer su protección ni sesgar los resultados

    by Mark Guntrip

    Key Points

    • Desactivar las protecciones SEG (secure email gateway) básicas durante las pruebas PoV (proof-of-value) socava la seguridad y crea condiciones de evaluación artificiales que no reflejan la eficacia en el mundo real.

    • Los SEG y las herramientas de sólo API desempeñan funciones fundamentalmente diferentes, por lo que una evaluación justa requiere una comprensión de las capacidades y limitaciones de cada arquitectura.

    • Debilitar los controles SEG expone su entorno a riesgos innecesarios en múltiples etapas, permitiendo que las amenazas que normalmente se bloquearían lleguen a los usuarios finales.

    • Una PoV adecuada debe mantener habilitadas todas las protecciones actuales, centrarse en criterios de éxito significativos y nunca exigirle que comprometa sus defensas existentes en aras de una prueba.

    Cuando evalúe las herramientas de seguridad del correo electrónico, no debería tener que elegir entre una prueba justa y mantener a salvo a sus usuarios. Sin embargo, de alguna manera, eso se ha convertido en la petición.

    Este es un patrón que hemos visto. Las organizaciones llevan a cabo un PoV comparando las herramientas de sólo API con las soluciones SEG. Entonces alguien sugiere desactivar las protecciones básicas en el SEG (reescritura de URL, controles de archivos adjuntos, políticas de amenazas avanzadas) para "nivelar el campo de juego."

    Eso no es nivelar nada; es eliminar el campo por completo.

    Hablemos de cómo evaluar honestamente estas arquitecturas sin crear riesgos, y de por qué las peculiaridades del diseño exclusivo de API hacen necesaria esta conversación en primer lugar.

    Dos arquitecturas, diferentes tareas

    Las principales diferencias de arquitectura no son sólo técnicas, sino que determinan lo que cada solución puede y no puede proteger.

    Los SEG se colocan en línea. Inspeccionan cada mensaje antes de su entrega, analizan enlaces y archivos adjuntos en tiempo real y aplican controles en el perímetro. (Si algo es peligroso, nunca llega a la bandeja de entrada). Inspeccionan cada URL o archivo adjunto a medida que el usuario hace clic en ellos, lo que ofrece otra capa de seguridad contra las amenazas dinámicas.

    Las herramientas sólo API se conectan después de la entrega. Observan lo que llega a Microsoft 365 o Google Workspace, analizan los patrones de comportamiento e intentan remediarlo, a veces minutos u horas después, mediante llamadas a la API.

    Uno previene. Uno responde. Ambos pueden ser valiosos. Pero no son intercambiables y evaluarlas una al lado de la otra requiere una comprensión de lo que cada arquitectura puede hacer realmente.

    Por qué alguien puede pedirle que debilite su SEG

    Cuando una herramienta API se ejecuta detrás de un SEG totalmente configurado, ocurre algo predecible: la mayoría de las amenazas nunca llegan a la fase de análisis.

    El malware de productos básicos se bloquea. Las campañas de phishing conocidas se detienen en la puerta. Los intentos obvios de suplantación de identidad no prosperan. Lo que queda para que la herramienta API analice es un conjunto de datos significativamente más pequeño y limpio.

    Ese es el resultado de seguridad ideal: capas que trabajan juntas, con lo más peligroso detenido antes. Pero esto hace que sea más difícil para un proveedor de sólo API demostrar el valor durante una breve evaluación.

    Así pues, la solución pasa a ser: desactivar los controles más eficaces del SEG, dejar pasar más y crear más detecciones "" para informar.

    ¿El problema? Acaba de hacer que su entorno sea demostrablemente menos seguro mientras dure la prueba.

    Lo que realmente se pierde cuando se baja el nivel

    No se trata de un riesgo hipotético. Debilitar su SEG elimina la protección en tres etapas en las que los ataques tienen éxito o fracasan:

    Antes de la entrega: Detener las amenazas en la puerta

    Con un SEG totalmente activado, los correos electrónicos peligrosos nunca llegan a las bandejas de entrada. La inspección en profundidad detecta URL y archivos adjuntos maliciosos. Las técnicas de suplantación de identidad se identifican. Las amenazas se bloquean antes de la entrega. Relaje esos controles y estará inundando Microsoft 365 con contenidos que no deberían estar ahí. La herramienta API sólo puede responder después de la entrega, cuando el mensaje ya es visible, legible y procesable. Incluso un retraso de 30 segundos son 30 segundos de exposición innecesaria.

    Tiempo de clic: Proteger a los usuarios cuando participan

    La reescritura de URL es uno de sus controles más valiosos. Cuando los usuarios hacen clic en los enlaces, un SEG correctamente configurado:

    • Enruta los clics a través de la inspección en tiempo real
    • Sigue los redireccionamientos a los destinos finales
    • Analiza las páginas en compromiso
    • Bloquea el acceso a los sitios que se volvieron maliciosos después de la llegada del correo electrónico

    Desactívelo durante una PdV y los usuarios harán clic directamente en el destino que haya elegido el atacante. Las herramientas sólo API no pueden interceptar los clics. Sólo pueden intentar recuperar el correo electrónico a posteriori, suponiendo que la conexión a la API funcione, que el procesamiento de Microsoft no se retrase y que el usuario no haya renunciado ya a sus credenciales. Eso es al revés.

    Internas y salientes: Donde las herramientas de sólo API se vuelven oscuras

    Las herramientas API suelen analizar el correo electrónico entrante procedente de remitentes externos. Lo que no controlan es lo que ocurre dentro de su organización, donde operan las cuentas comprometidas y el phishing lateral. Un SEG que protege las capturas de comunicaciones internas y salientes:

    • Phishing lateral desde cuentas comprometidas dirigido a colegas
    • Exfiltración de datos a direcciones externas
    • Actividad interna maliciosa utilizando cuentas legítimas
    • Violaciones de la política sobre lo que sale de su entorno

    Estos ataques utilizan cuentas autorizadas y dominios de confianza y nunca tocan el flujo de correo externo. Las herramientas que sólo utilizan la API para vigilar los mensajes entrantes se los perderán por completo.

    Cómo llevar a cabo un PdV justo sin romper las cosas

    No necesita comprometer la seguridad para evaluar a los proveedores de forma significativa. Necesita mejores criterios de éxito.

    Mantenga su SEG totalmente activado

    Cualquier proveedor que le exija debilitar las defensas existentes no está demostrando valor; lo está fabricando. La reescritura de URL, el sandboxing de archivos adjuntos y las políticas de amenazas deben permanecer activas durante cualquier evaluación.

    Mida la exposición, no sólo los recuentos de detección

    Pregunte a todos los vendedores:

    • ¿Durante cuánto tiempo fue visible la amenaza para los usuarios?
    • ¿Qué ocurre si se degrada la conectividad de la API?
    • ¿Puede evitar los clics o sólo limpiar después?

    Una detección que se produce después de que un usuario lea, haga clic e introduzca sus credenciales no es prevención. Es la respuesta a incidentes.

    Evaluar los resultados completos de seguridad

    Compare lo que realmente para cada vendedor:

    • Soluciones SEG: Bloquee las amenazas antes del envío, proteja los clics en tiempo real, corrija después del envío, controle el correo electrónico saliente e interno
    • Herramientas sólo para API: Analice los mensajes entrantes posteriores a la entrega cuando las API lo permitan

    Una es la protección integral de la plataforma. La otra es una capa suplementaria.

    Cómo es una buena evaluación

    El objetivo no es hacer quedar mal a un vendedor o crear un escenario artificial en el que todo tenga éxito. Se trata de comprender qué aporta cada solución a su postura de seguridad y dónde existen lagunas.

    Si está evaluando una herramienta de sólo API, pruébela en una configuración realista. Ejecútelo detrás de su SEG existente con todo activado. Mida cómo maneja las amenazas sofisticadas que logran atravesar su primera línea de defensa. Comprenda lo que no puede abordar, como la protección en tiempo de clic, las amenazas internas y los controles salientes. A continuación, decida si ese análisis complementario justifica la inversión y los gastos operativos de gestionar otra relación con el proveedor.

    O mantenga su protección a nivel de plataforma de forma integral y deje que haga lo que mejor sabe hacer: detener las amenazas antes, durante y después de la entrega en todo su entorno de correo electrónico.

    Ejecute sus PdV de forma más inteligente

    Las soluciones puntuales resuelven problemas puntuales. Las plataformas resuelven todo el problema.

    Si una evaluación requiere debilitar las protecciones que tiene hoy en día, es una señal a la que vale la pena prestar atención. Las herramientas de seguridad deben demostrar su valor por sus propios méritos, y no por desventaja frente a la competencia.

    Ejecute sus PdV de forma más inteligente. Mantenga a salvo a sus usuarios. Y si alguien sugiere desactivar la reescritura de URL para que las cosas sean más justas "," tal vez sea un buen momento para preguntar qué ocurre normalmente cuando se hacen peticiones inusuales.

    Related Articles

    Email Collaboration Threat Protection
    Los juegos globales significan que los ciberdelincuentes también pueden ir a por el oro
    Email Collaboration Threat Protection
    Los mejores casos de uso de la IA para los profesionales de la seguridad
    Email Collaboration Threat Protection
    Cómo las máquinas pueden liderar la lucha: La IA y la respuesta a incidentes

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top