Estudio de BitDam expone altas tasas de fallas de los principales sistemas de seguridad de correo

Imagínese recibir un correo electrónico de la cuenta de correo electrónico oficial del vicepresidente de los Estados Unidos, Mike Pence, pidiendo ayuda porque ha estado varado en Filipinas.

En realidad, no tienes que hacerlo. Esto realmente sucedió.

El correo electrónico de Pence fue pirateado cuando todavía era el gobernador de Indiana, y su cuenta se usó para intentar estafar a varias personas. ¿Cómo pasó esto? ¿Es similar a cómo fue pirateado el servidor DNC?

La piratería de correo electrónico es una de las amenazas cibernéticas más extendidas en la actualidad. Se estima que alrededor de 8 de cada 10 personas que usan Internet han recibido algún tipo de ataque de phishing a través de sus correos electrónicos. Además, según el Informe Global Phish de Avanan de 2019 , 1 de cada 99 correos electrónicos es un ataque de phishing.

BitDam es consciente de cuán críticos son los correos electrónicos en la comunicación moderna. BitDam publicó un nuevo estudio sobre las debilidades de detección de amenazas de correo electrónico de los principales actores en seguridad de correo electrónico, y los hallazgos llaman la atención. El equipo de investigación descubrió cómo el Office365 ATP de Microsoft y el G Suite de Google son supuestamente críticamente débiles cuando se trata de amenazas desconocidas. Además, su tiempo de detección (TTD) puede demorar hasta dos días desde su primer encuentro con ataques desconocidos.

Cómo los sistemas de seguridad líderes previenen los ataques

Los sistemas de seguridad de correo electrónico abordan las amenazas cibernéticas mediante el escaneo de enlaces y archivos adjuntos para determinar si son seguros o no.

Luego pueden bloquear automáticamente los enlaces y evitar la descarga o ejecución de archivos adjuntos. En la mayoría de los casos, para identificar amenazas, los sistemas de seguridad comparan los archivos escaneados o los enlaces con una base de datos de firmas de amenazas. Emplean servicios de reputación o un protocolo de búsqueda de amenazas que monitorea posibles ataques basados en datos de amenazas de varias fuentes.

Sin embargo, los enlaces o archivos adjuntos que se consideran seguros en el análisis inicial no siempre son seguros. Hay muchos casos en que los sistemas de seguridad no pueden filtrar las amenazas porque aún no han actualizado sus bases de datos de amenazas. Debido a esto, existen brechas en la detección. Puede haber hasta tres brechas de detección en un sistema de seguridad típico. Estas brechas representan vulnerabilidades u oportunidades para que penetren los ataques de correo electrónico.

Existen sistemas de seguridad que aprovechan la inteligencia artificial para hacer que el aprendizaje y la detección de amenazas sean automáticos y más eficientes. Utilizan datos de ataques anteriores y las acciones correspondientes de la administración de la red o del propietario de la computadora para llegar a mejores juicios para los incidentes posteriores.

Tasas altas de fallas en el primer encuentro y TTD: insuficiencia actual de seguridad de correo electrónico

A pesar de todos los avances en seguridad de correo electrónico, todavía existen fallas. Como se mencionó anteriormente, los principales sistemas de seguridad de correo electrónico Office365 ATP y G Suite pierden su efectividad de detección cuando se enfrentan a amenazas desconocidas. Según los resultados de las pruebas de BitDam, Office365 tiene una tasa promedio de fallas en el primer encuentro del 23%, mientras que G Suite tiene el 35.5%. También tienen TTD notablemente largos después del primer encuentro. TTD para Office365 y G Suite se registraron a las 48 horas y 26,4 horas, respectivamente.

Para aclarar, las amenazas desconocidas son amenazas que los sistemas de seguridad enfrentan por primera vez, aquellas que aún no están en sus bases de datos de firmas. Sin embargo, la oscuridad es relativa. Las amenazas que no se identifican en un sistema pueden no ser desconocidas para otros.

Es por eso que hay una diferencia significativa en las tasas de fallas de Office365 y G Suite. En cualquier caso, estas amenazas desconocidas parecen ser el talón de Aquiles de la seguridad actual del correo electrónico en general. Parecen poco importantes porque son como una debilidad temporal que se corrige con el tiempo, pero abren una ventana crítica para la penetración del ataque.

También vale la pena señalar que las amenazas desconocidas no son necesariamente malware completamente nuevo o formas de ataques. Según la investigación de BitDam, pueden ser simples variantes de las amenazas existentes que se generan rápidamente con la ayuda de la inteligencia artificial. Esto significa que son extremadamente fáciles de producir, presentando un problema exponencialmente creciente para los sistemas de seguridad que tienen dificultades para detectar amenazas desconocidas.

En las pruebas de BitDam, se utilizaron nuevas amenazas, junto con sus versiones modificadas, para probar la efectividad de detección de los principales sistemas de seguridad. La mayoría de las amenazas modificadas se percibieron como no identificadas / desconocidas a pesar de que sus amenazas «fuente» ya estaban registradas en la base de datos de firmas de amenazas.

Para que un sistema de seguridad de correo electrónico se considere confiable, no puede seguir teniendo este defecto de tener altas tasas de fallas en la detección del primer encuentro.

Los desafíos en la lucha contra la piratería de correo electrónico

Para que un ataque por correo electrónico tenga éxito, se necesitan ataques persistentes combinados con al menos uno de los siguientes elementos.

 

  • Contraseñas débiles
  • Los usuarios de correo electrónico analfabetos de ciberseguridad que caen en ataques de ingeniería social
  • La ausencia de un sistema de seguridad de correo electrónico confiable

Uno de los principales métodos utilizados para hackear correos electrónicos es adivinar la contraseña. Con conjeturas simples y educadas (recolectando detalles sobre la víctima), los hackers ingresan persistentemente contraseñas hasta que se topan con la que funciona. Muchos pueden pensar que esta táctica es demasiado cruda para tener sentido, pero hay muchos casos en que las cuentas de correo electrónico se ven comprometidas fácilmente porque los propietarios de las cuentas usan contraseñas simples y predecibles.

La ingeniería social consiste en engañar a las víctimas para que hagan cosas que les hagan revelar involuntariamente información supuestamente secreta o regalar cosas que de otro modo no harían. La suplantación de identidad es posiblemente la forma más común de ingeniería social: las víctimas desprevenidas ingresan su nombre de usuario y contraseña o proporcionan información en un sitio web que parece legítimo pero que en realidad está robando información.

El modus operandi comienza con el atacante que envía a la víctima un correo electrónico que requiere una acción urgente. Podría ser una notificación para que la víctima cambie su contraseña de banca en línea después de que se descubra una «violación» o un mensaje de felicitación que viene con un enlace que lleva a la víctima a un formulario en línea que deben completar para poder reclamar su premio .

La seguridad del correo electrónico también se puede violar a través de archivos adjuntos con malware. Al hacer clic en los archivos adjuntos de correo electrónico anómalos puede resultar en la instalación involuntaria de spyware o keyloggers, que pueden obtener contraseñas y otros datos críticos de computadoras infectadas. Algunos malware también pueden estar diseñados para simular formularios a través de ventanas emergentes o modales, engañando a las víctimas para que ingresen sus datos de inicio de sesión.

Los sistemas de seguridad líderes en la actualidad no pueden proteger cuentas con contraseñas débiles o predecibles. Tampoco pueden garantizar la protección contra la ingeniería social. Solo se espera que se centren en bloquear los archivos adjuntos y enlaces infectados con malware. Desafortunadamente, incluso cuando se trata de este aspecto, tienen serias debilidades. Como se indicó anteriormente, tienen altas tasas de fallas en el primer encuentro y necesitan tiempo para aprender a bloquear amenazas desconocidas.

El aumento de seguridad recomendado

BitDam sugiere una mejora en la forma en que funcionan los principales sistemas de seguridad de correo electrónico: la introducción de una capa de protección independiente de amenazas. Las pruebas de BitDam muestran que un enfoque de detección basado en modelos aumentó significativamente las tasas de detección del primer encuentro. Incluso redujo el TTD a cero. El malware que Office365 y G Suite no pudieron detectar se identificaron de manera efectiva utilizando el método basado en modelos de BitDam.

Entonces, ¿cómo funciona este enfoque basado en el modelo?

Esencialmente, le quita el foco a la comparación de archivos escaneados con datos sobre amenazas existentes. En cambio, analiza cómo se comportan las aplicaciones cuando interactúan con ciertos archivos. Genera un modelo (de ahí la descripción «dirigida por el modelo») de cómo se ve un flujo «limpio» de ejecución de la aplicación.

Las aplicaciones se comportan de manera diferente cuando procesan archivos con códigos no deseados o malware. Si las aplicaciones no se comportan sin problemas cuando se trata de un archivo, el único veredicto lógico es que el archivo es anómalo, malicioso o dañino. Como tal, tiene que ser bloqueado.

Esta estrategia basada en modelos no busca suplantar métodos basados en datos. Está destinado a servir como un suplemento. También puede tener falsos positivos, por lo que sería mejor usarlo junto con la comparación de datos de amenazas para determinar si las amenazas percibidas bloqueadas son realmente dañinas.

Metodología de estudio de BitDam

BitDam comenzó el estudio en octubre de 2019, recolectando miles de muestras de archivos maliciosos «nuevos» de varias fuentes. Se centró en Office365 ATP y G Suite, pero ProofPoint TAP se agregará a medida que continúe el estudio.

El proceso se puede resumir de la siguiente manera:

 

  1. Colección: los investigadores obtienen numerosas muestras de archivos maliciosos. La mayoría de los cuales es Office y archivos PDF.
  2. Calificación: después de recolectar las muestras, los investigadores determinan que en realidad son maliciosas / dañinas. Solo se utilizan archivos realmente dañinos para las pruebas.
  3. Modificación: los archivos maliciosos verificados se modifican para que los sistemas de seguridad puedan verlos como nuevas amenazas. Los investigadores de BitDam emplearon dos métodos para esta modificación. Un método consistía en cambiar el hash del archivo con la adición de datos benignos. El otro método implicaba la modificación de la firma estática de una macro.
  4. Envío: los archivos maliciosos recopilados recientemente y sus variantes (copias modificadas) se envían a los buzones que se considera que tienen una protección decente. Para los buzones de G Suite Enterprise, las opciones avanzadas están activadas, incluido el sandbox en modo de entrega previa.
  5. Monitoreo y medición: los buzones se rastrean y se mide la eficiencia de detección de amenazas. Los archivos que superan la detección de amenazas se vuelven a enviar a los buzones cada 30 minutos durante las primeras cuatro horas (después de que se envió el archivo). Durante las siguientes 20 horas, la frecuencia de reenvío se reduce a una vez cada seis horas. La frecuencia de reenvío se reduce aún más a una vez cada seis horas durante los próximos siete días.
  6. Recopilación y análisis de datos: todos los detalles producidos por las pruebas se compilan y examinan.

La modificación de los archivos maliciosos recopilados es una parte esencial del proceso, ya que BitDam no tiene acceso al último malware que aún no se ha ingresado en los registros de amenazas de Microsoft y Google. Tenga en cuenta que los archivos se enviarán por correo electrónico (Outlook y Gmail). Los sistemas de seguridad de Microsoft y Google habrían bloqueado inmediatamente la conexión de archivos maliciosos durante la composición de los correos electrónicos de prueba.

Los investigadores idearon con éxito formas de modificar las amenazas para Google y Microsoft para considerarlas completamente nuevas y desconocidas. Por lo tanto, la capacidad de los sistemas de seguridad para bloquear el archivo adjunto se redujo considerablemente.

Hubo la opción de usar servicios de correo electrónico como SendGrid, que no realizan análisis de malware. Sin embargo, los investigadores descubrieron que las cuentas que usaron se congelaron en menos de 24 horas.

En conclusión

Nuevamente, BitDam no afirma haber recolectado malware que aún no estaba en las bases de datos de firmas de amenazas de Microsoft y Google. BitDam tuvo que superar algunos desafíos para completar las pruebas y llegar a la audaz conclusión de que un cambio de paradigma está en orden.

El hecho de que los investigadores lograron agregar archivos adjuntos de malware a los correos electrónicos que enviaron para la prueba demuestra que las modificaciones mínimas son suficientes para que los sistemas de seguridad vean las amenazas derivadas como incógnitas. Luego, su efectividad de detección se ve interrumpida, por lo que sufren altas tasas de fallas en el primer encuentro.

Los ataques desconocidos plantean serios riesgos, principalmente debido a la naturaleza basada en datos de la mayoría de las soluciones de seguridad de correo electrónico. Es necesario aumentar los sistemas de seguridad con una estrategia basada en modelos, por lo que la detección no depende únicamente de las actualizaciones de firmas de amenazas.

Además, es importante continuar educando a las personas sobre ciberseguridad. Los sistemas de seguridad de correo electrónico no proporcionan protección general. En particular, es incapaz de detener la penetración del ataque gracias al uso de contraseñas predecibles y credulidad (fácilmente víctima de phishing o ingeniería social).

Fuente: https://thehackernews.com/2020/01/email-security-software.html

Daniel Perez

Daniel Perez

Dejar un comentario

Este sitio web utiliza cookies para garantizar que obtenga la mejor experiencia. Más información