Resumiremos la introducción FUDdy: todos sabemos que los ataques de phishing están aumentando en escala y complejidad, que la IA está permitiendo ataques más sofisticados que evaden las defensas tradicionales y la brecha interminable de talento en ciberseguridad significa que todos estamos luchando para mantener los equipos de seguridad completamente equipados.
Teniendo en cuenta esa realidad, los equipos de seguridad deben poder monitorear y responder a las amenazas de manera eficaz y eficiente. Obviamente, no se pueden dejar pasar desapercibidas las amenazas reales, pero tampoco se puede perder el tiempo buscando falsos positivos.
En esta publicación, veremos algunas de las formas Seguridad materialEl enfoque único de seguridad del correo electrónico y protección de datos puede ahorrar de manera drástica (y cuantificable) a sus equipos de seguridad horas cada semana y, al mismo tiempo, mejorar la eficacia de su programa de seguridad.
¿Cuál es su presupuesto de alerta?
Antes de sumergirnos en el «cómo», tomémonos un momento para ver por qué La eficiencia es fundamental en las operaciones de seguridad. Para ello, pensemos en cuántas alertas pueden clasificar, investigar y responder sus equipos de seguridad y respuesta a incidentes en un día determinado. Al igual que su departamento tiene un presupuesto que limita la cantidad de dinero que puede gastar en personal y herramientas, sus equipos de seguridad tienen un límite en la cantidad de tiempo que pueden dedicar a responder a las amenazas en un día determinado. Ese es tu presupuesto de alerta.
Por supuesto, esa cifra cambiará día a día en función de la gravedad y la complejidad de los incidentes que surjan, la cantidad de proyectos estratégicos críticos en los que esté trabajando su equipo y una infinidad de otros factores. Pero hay un límite. Y, así como no puede permitirse el lujo de desperdiciar sus limitados recursos financieros en herramientas redundantes o software que no aporta ningún valor a su equipo, no puede permitirse que sus equipos desperdicien su presupuesto de alertas investigando alertas duplicadas, solucionando el mismo problema una y otra vez o buscando falsos positivos.
La eficiencia con la que su equipo de seguridad gasta su presupuesto de alertas es tan importante como la forma en que usted gasta su dinero, o incluso más. Ahora, analicemos cómo podemos ayudar a mejorar esa eficiencia.
Equilibrio entre precisión y sensibilidad
No importa cuántas alertas reciba su equipo, hay un número limitado de horas en un día determinado que su equipo puede dedicar a responderlas. El enfoque de Material frente al phishing se ha creado con la filosofía de que debemos ayudar a nuestros clientes a aprovechar al máximo su tiempo. Las alertas que generamos deben detectar la mayor cantidad posible de amenazas y, al mismo tiempo, generar la menor cantidad posible de falsos positivos.
«Precisión» y «recuperación» son términos que resultarán familiares para un científico de datos, pero que tal vez no le resulten familiares a los expertos en seguridad. En el contexto de las detecciones de correo electrónico, la precisión es una medida de cuántos correos electrónicos marcados como maliciosos son realmente maliciosos, mientras que la recuperación es una medida de cuántos de los correos electrónicos maliciosos reales recibidos son marcados por el sistema.
Un sistema de seguridad que genera muy pocos falsos positivos tiene una alta precisión, y un sistema que detecta casi todas las amenazas que detecta tiene una alta capacidad de recuperación. A un cierto nivel granular, existe una compensación entre ambos: como puede imaginar, puede reducir la cantidad de falsos positivos que genera disminuyendo la sensibilidad de las detecciones, pero al reducir la sensibilidad, a menudo también se pasarán por alto los verdaderos positivos. Por el contrario, puede minimizar esos verdaderos positivos que se pasan por alto aumentando la sensibilidad al máximo, pero al hacerlo se generarán más falsos positivos.
El objetivo de Material ha sido crear un motor de detección que equilibre ambos aspectos de forma eficaz y que muestre los mensajes maliciosos en los que realmente debe centrarse. En el entorno de amenazas cada vez más complejo de la actualidad, ninguna capa de protección es suficiente y ningún método de detección puede lograr el equilibrio adecuado por sí solo. Para ello, el motor de detección de Material se compone de cuatro componentes clave:
- Detecciones de materiales: Una combinación de técnicas de aprendizaje automático con reglas creadas por nuestro equipo de investigación de amenazas. La IA y el aprendizaje automático son excelentes para conectar puntos y encontrar relaciones que los humanos pueden pasar por alto, pero a pesar de todos los avances en IA de los últimos tiempos, todavía no hay nada que pueda reemplazar la perspicacia y la capacidad de la experiencia humana. Las detecciones de materiales son lo mejor de ambos mundos.
- Detecciones personalizadas: Cada organización y cada entorno son únicos, por eso ofrecemos a los clientes la posibilidad de crear detecciones personalizadas en función de lo que ven en su base de usuarios o en el mundo real.
- Alertas del proveedor de correo electrónico: Google y Microsoft emiten periódicamente alertas sobre correos electrónicos de phishing que han detectado después de la entrega; nosotros procesamos esas alertas y las agregamos a nuestras detecciones.
- Informes de usuarios: Material automatiza tu buzón de abusodesde la ingesta de informes de usuarios, la consolidación de mensajes similares dentro de un solo caso y la aplicación de protección automatizada de inmediato, al tiempo que se proporcionan flujos de remediación flexibles a los equipos de seguridad.
Todas estas facetas se combinan en una plataforma de detección potente e increíblemente precisa que ofrece a nuestros clientes una protección eficaz sin perder el tiempo con falsos positivos y ruido, logrando lo que creemos que es el equilibrio adecuado entre precisión y fiabilidad. Pero si bien es fundamental equilibrar eficazmente la precisión y la sensibilidad, no es suficiente: una plataforma de seguridad de correo electrónico moderna también debe optimizar las operaciones de seguridad.
Si me engañas dos veces, la culpa es mía
Se ha producido un notable aumento de las campañas de ataques por correo electrónico que no solo son de amplio alcance sino también muy personalizadas. Existe un debate sobre cuánto de esto se puede atribuir a la IA generativa: la suposición predominante era que la explosión de la IA generativa daría a los adversarios una nueva bolsa de herramientas con las que jugar, pero investigaciones como DBIR 2024 de Verizon muestran poco impacto significativo en los ataques y las infracciones en este momento.
Independientemente de si estos ataques son generados por IA o no, no se puede negar que están aumentando. Claro, todos seguimos recibiendo el mensaje genérico y transparente «¿estas disponible?’ Mensajes de nuestros «directores ejecutivos» cuando nos unimos por primera vez a una nueva empresa. Pero también recibimos correos electrónicos con facturas falsas que provienen de dominios que son falsificaciones u homógrafas de socios y proveedores de confianza. Vemos ataques complejos con pretextos que presentan historias completamente creíbles de remitentes que parecen tener conexiones con nosotros. Recibimos correos electrónicos de dominios falsificados u homógrafas que engañan incluso al usuario más consciente.
Y, a menudo, estos ataques se repiten en toda la organización, pero están diseñados para cada destinatario. No solo evaden los controles de seguridad de correo electrónico nativos y logran atravesar los grupos de seguridad de correo electrónico, sino que aparecen como ataques individuales. Las líneas de asunto, los remitentes e incluso el contenido del cuerpo pueden variar de un correo electrónico a otro, lo que dificulta agruparlos fácilmente, lo que significa que su equipo de seguridad tiene que pasar por varios ciclos para investigar y responder a docenas o cientos de iteraciones del mismo ataque exacto.
Material ayuda a los equipos de seguridad e IR a abordar este problema con la agrupación automática de mensajes sospechosos. Cuando Material detecta una amenaza potencial, crea automáticamente un caso dentro de nuestra plataforma. Luego, rastrea todo el entorno en busca de mensajes que coincidan con ese caso, según una serie de criterios. Busca similitudes entre los campos habituales, por supuesto: remitentes coincidentes, líneas de asunto coincidentes, texto del cuerpo coincidente, etc. Pero también busca cosas como las URL integradas en los mensajes y los archivos adjuntos, ataques coincidentes que de otro modo serían imposibles de agrupar por otros medios.
 |
| Material crea casos para todos los mensajes detectados y agrupa los mensajes similares, lo que simplifica la investigación y la remediación. |
Y cuando los mensajes se agrupan en un solo caso, la clasificación, la investigación e incluso la solución se simplifican considerablemente. Los obstáculos se aplican automáticamente de forma predeterminada a todo los mensajes dentro del caso, de modo que sus usuarios recibirán una advertencia de que el mensaje puede ser malicioso antes de que su equipo tenga la oportunidad de investigar. Y una vez que haya investigado y aplicado una solución a un solo mensaje dentro del caso, todos los mensajes en ese caso, incluso los mensajes coincidentes que se envían después de su investigación, reciben la misma solución.
Ya hemos visto ejemplos poderosos de cómo esto ayuda a nuestros clientes en el mundo real. Un cliente de Material nos dijo recientemente que hizo un seguimiento de sus investigaciones de correos electrónicos de phishing durante un período de tres meses. En esos 90 días, con la ayuda de Material Security, su SOC ahorró más de 300 horas de tiempo investigando y respondiendo correos electrónicos de phishing. Todas esas horas quedaron en su presupuesto de alertas para ocuparse de otros asuntos urgentes.
Cómo aprovechar la inteligencia colectiva de su organización
Los trabajadores de hoy son muy conscientes de las amenazas de phishing. Eso no significa que ya no caigan en ellas, por supuesto, pero sí que están atentos a mensajes sospechosos, mal redactados o simplemente inesperados.
Y es importante hacerlo bien. Ninguna línea de defensa puede atrapar todas las amenazas de correo electrónico entrante y, a pesar de todos los increíbles avances en inteligencia artificial y detección automática, a veces no hay nada mejor que un empleado atento que se dé cuenta de que un correo electrónico no pasa la prueba del olfato.
La desventaja es que manejo Los informes de usuarios también pueden ser una carga importante para el equipo de seguridad si no se gestionan correctamente. Informes duplicados, correos electrónicos inofensivos marcados para su revisión, la necesidad de responder a los usuarios que los marcaron… cuando se suman los minutos que requieren todas estas acciones para generar docenas o cientos de informes todos los días, puede ser una pérdida de tiempo significativa.
 |
| Material automatiza el ciclo de vida completo de la respuesta a los informes de los usuarios, aplicando inmunidad colectiva inmediata a todos los mensajes dentro de un caso de mensaje informado en toda la organización. |
Material reduce el trabajo diario de denuncia de usuarios y automatiza el buzón de correo de abusos para acelerar la solución y ahorrar tiempo al equipo de seguridad. Material agrega automáticamente un aumento de velocidad a los mensajes denunciados en toda la base de usuarios, lo que proporciona una capa de protección inmediata mientras el equipo de seguridad investiga el problema.
Las opciones de reparación granular permiten a sus equipos acelerar, bloquear enlaces o eliminar directamente los correos electrónicos denunciados que resulten ser maliciosos. Y gracias a la consolidación de casos y la búsqueda de coincidencias de mensajes similares, cuando haya investigado y respondido a un correo electrónico, habrá respondido a todos los mensajes similares de todo el caso. Por último, Material responde automáticamente a los denunciantes con un mensaje de confirmación, que puede cambiar o actualizar a medida que avanza su investigación si lo desea.
El material simplifica y agiliza el proceso de ingesta y respuesta a los informes de los usuarios, al tiempo que agrega protección inmediata para proporcionar cobertura aérea para las investigaciones.
Protección avanzada en la que puede confiar, eficiencia que puede llevar al banco
Sus equipos de seguridad ya tienen bastante trabajo por hacer. Con Material Security, buscarán muchos menos falsos positivos, clasificarán e investigarán los casos de phishing más rápido y dedicarán menos tiempo a tareas administrativas con informes de usuarios. Material libera una mayor parte de su presupuesto de alertas para que pueda dedicarlo a lo que realmente importa.
Para ver cuánto tiempo puedes dedicarle a tu equipo de seguridad, Contáctenos hoy para una demostración.