De la simulación a la emulación: cuatro formas en que fallan las herramientas de simulación de ataques de correo electrónico

De la simulación a la emulación: cuatro formas en que fallan las herramientas de simulación de ataques de correo electrónico


Desde que ha habido guerra, ha habido juegos de guerra. En 1812, un oficial prusiano llamado George Reisswitz inventó lo que se considera el primer juego de guerra llamado Kriegsspiel, un juego de mesa diseñado para simular y entrenar a oficiales en tácticas militares. Si bien este enfoque de entrenamiento era bastante nuevo en ese momento, la práctica de usar simulaciones para imitar batallas reales se ha convertido desde entonces en un lugar común y, por supuesto, mucho más sofisticado.

Dos siglos después, los ataques simulados también han desempeñado un papel importante para ayudar a las organizaciones a prepararse y defenderse de los adversarios en el ámbito de la seguridad cibernética. En 1999, un ex oficial del ejército con un gran interés en las tácticas de simulación militar, inició el Proyecto Honeynet en el que se desplegaron computadoras de red señuelo "honeypot". Su único propósito era atraer atacantes para ayudar a los investigadores de seguridad a deconstruir las técnicas específicas que los piratas informáticos usaban para infiltrarse en sus redes.

A medida que la compañía ha reforzado el perímetro de la red y mejorado su capacidad para implementar parches oportunos para vulnerabilidades conocidas, los atacantes se han basado cada vez más en los ataques por correo electrónico como una forma de luchar para hacerse un hueco dentro. red. Como se señaló en el último informe de Verizon Data Breach and Incident Response, la gran mayoría (67%) de las violaciones de datos son causadas por ataques sociales como el phishing.

Sobre el Autor

Eval Benishti es el fundador y CEO de IRONSCALES

Esta es una de las razones por las que han surgido categorías relativamente nuevas, como Breach Attack Simulation (BAS) y las pruebas de penetración automatizadas, como una forma de probar continuamente la eficacia de los puntos de control y '' Identifique las lagunas que puedan existir. Sin embargo, aunque estas herramientas ciertamente mejoran la preparación general de una organización, están limitadas por un hecho crucial: una simulación es tan buena como los datos ingresados ​​al sistema. Dado que la mayoría de los sistemas basados ​​en simulación se basan en escenarios de campaña ficticios y obsoletos, las empresas a menudo se dejan llevar por la complacencia y no están suficientemente preparadas para enfrentar los desafíos del panorama de amenazas de correo electrónico del mañana.

Es por eso que la próxima generación de sistemas de seguridad de correo electrónico se basará en emuladores.

Índice
  1. Simulación vs emulación: ¿cuál es la diferencia?
  2. Los estándares de autenticación de correo electrónico detectan una gran cantidad de phishing, pero no los más peligrosos
  3. Las amenazas pasadas NO siempre son una buena indicación de amenazas futuras
  4. PenTesting rara vez se acerca a las condiciones del mundo real

Simulación vs emulación: ¿cuál es la diferencia?

En el contexto del software, los términos simulación y emulación a menudo se confunden y se usan indistintamente. Sin embargo, existe una distinción importante entre los dos: una simulación se refiere a la noción de replicar el comportamiento general de un sistema mientras que los emuladores operan duplicando el entorno mismo. Un simulador imita el comportamiento básico de un sistema y proporciona un modelo de análisis (como un simulador de vuelo), mientras que un emulador se comporta como cualquier otra cosa, siguiendo todas las reglas del sistema emulado.

Hay cuatro formas principales en las que la simulación falla frente a las amenazas emergentes de correo electrónico de hoy:

Los estándares de autenticación de correo electrónico detectan una gran cantidad de phishing, pero no los más peligrosos

La seguridad del correo electrónico ha recorrido un largo camino en la última década. En particular, la adopción generalizada de protocolos de autenticación como DMARC, DKIM y SPF proporciona una importante primera capa de defensa al autenticar el dominio y la identidad del remitente. Si bien estos métodos son efectivos para bloquear campañas de spam y otros mensajes potencialmente maliciosos, son en gran medida ineficaces para identificar y bloquear ataques de spearphishing dirigidos, como las amenazas de compromiso del correo electrónico empresarial que explotan la recopilación de inteligencia. 'identificación y otras técnicas de ingeniería social, lo que les permite evadir la reputación. Pasarelas de seguridad de correo electrónico. Y a diferencia de las técnicas de simulación inspiradas en campañas históricas, la mayoría de las cuales ya no son efectivas, los sistemas basados ​​en emulación están diseñados para utilizar datos de ataques de campañas actuales y de tendencias.

Las amenazas pasadas NO siempre son una buena indicación de amenazas futuras

Casi toda la literatura sobre inversiones en estos días ofrece la misma advertencia a los inversores potenciales: "El rendimiento pasado no garantiza el éxito futuro". Desafortunadamente, muchas de las mismas herramientas BAS en las que confían los equipos de seguridad no tienen un descargo de responsabilidad similar. Si bien estas herramientas brindan a las organizaciones un marco útil para la planificación de escenarios y les permiten realizar una mayor frecuencia de simulaciones en general, su efectividad general se ve obstaculizada al depender de campañas de correo electrónico históricas o ficticias. que no representan con precisión la tendencia de los ataques de phishing que utilizan actualmente los actores de amenazas.

PenTesting rara vez se acerca a las condiciones del mundo real

Si bien PenTesting ofrece una forma valiosa de identificar de manera proactiva una variedad de vulnerabilidades, así como debilidades de alto riesgo que a menudo resultan de una combinación de vulnerabilidades más pequeñas, también requieren que analistas capacitados pasen horas realizando pruebas manualmente. y redactar informes. Además, las organizaciones que adoptan PenTesting generalmente solo las realizan de manera episódica. Pero quizás lo más crítico de todo es que si estas pruebas no emplean condiciones de prueba realistas, los resultados serán engañosos y la organización creerá que está mejor preparada de lo que realmente está. Como todos hemos aprendido, los ataques reales ocurren sin previo aviso y de formas creativas y difíciles de preparar.

Como señala el informe DBIR de Verizon en el informe de este año: "Se han descubierto muchas vulnerabilidades y muchas vulnerabilidades detectadas por las organizaciones que escanean y reparan, pero un porcentaje relativamente pequeño de ellas se utiliza en infracciones". Por supuesto, eso no significa que los piratas informáticos no intentarán explotar una vulnerabilidad sin parchear. Por el contrario, es más probable que los actores de amenazas, independientemente de su nivel de sofisticación, sigan siempre un camino de menor resistencia. Si bien el escaneo de vulnerabilidades debe ser parte de cada juego de herramientas de seguridad, no está diseñado para identificar o frustrar ataques de ingeniería social porque no se puede encontrar malware o carga útil maliciosa. detectar - solo un mal actor con malas intenciones.

Ya sea que sea un estratega militar o un CISO corporativo, la emulación es una forma poderosa de comprender cómo un adversario podría planificar su próximo ataque y cómo debe prepararse y responder a posibles amenazas desconocidas. En el juego perpetuo de ruptura entre atacante y defensor, es más crítico que nunca que vayamos más allá de las simulaciones de primera generación y busquemos imitar datos reales y actuales en nuestros modelos de evaluación de amenazas. .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir