A menos que hayas evitado los titulares de las noticias y la lluvia de contenidos de seguridad, probablemente escuchaste algo sobre el ataque ransomware severo que afectó a más de 100.000 empresas en todo el mundo, incluyendo la NHS.
La evidencia más reciente indica que el reciente ataque ‘WannaCry’ se originó a través de una explotación de una vulnerabilidad de una herramienta creada por la NSA, sin embargo, es más común que se originara a través de los correos electrónicos vía phishing ‘, la técnica de engañar a los destinatarios al hacer clic en un enlace malicioso o al abrir un archivo adjunto, que suele aparecer con el nombre de un colega o familiar.
Así que, con esto en mente, ahora parece un buen momento para darle un repaso a las características a considerar para un administrador de MDaemoncon el fin de prevenir el tipo de ataques de phishing que pueden conducir a una infección de ransomware, junto con algunos consejos adicionales sobre las mejores prácticas.
(Casi todas las herramientas de seguridad para MDaemon se encuentran en los complementos de SecurityPlus por lo que, para el propósito de este post, vamos a asumir que ya lo tienes instalado.)
Origen y reputación
Incluso antes de que MDaemon entre en juego, debes realizar una serie de comprobaciones utilizando la información en la cabecera de los mensajes para establecer la probabilidad que ha llegado de una fuente confiable, es decir, saber si es recomendable abrir el mensaje.
Comprobación de listas negras DNS
Una simple comprobación contra una lista negra es a menudo todo lo que se necesitas para detectar un ataque. MDaemon toma la dirección IP junto con las referencias del remitente de confianza contra una lista negra de DNS. El análisis es muy rápido así que es un buen primer paso para filtrar los remitentes malos.
Denegación de los remitentes sin DNS inversa (RDNS) configurada
Al igual que la función de lista negra, una comprobación de DNS inversa también utiliza la dirección IP del remitente, pero esta vez se trata de una referencia cruzada con la información contenida en el ISP para ese dominio, con el fin de comprobar que existe y es genuino.
Esto es particularmente eficaz, ya que ayuda a identificar las sesiones de correo procedentes de las estaciones de trabajo ‘zombi’ que se utilizan para el correo no deseado, ya que es muy poco probable que tengan una configuración de registro válido, a diferencia de un servidor de negocio legítimo.
Dado que tanto Google como Microsoft ahora requieren que tenga una entrada RDNS válida en su dominio si desea enviar a sus plataformas de correo, hemos llegado a un punto en el que ahora también estamos cómodos recomendando que tome el paso de denegar a los remitentes sin una contraseña válida.
Protección IP
La función de MDaemon de ‘Protección de IP’ impide que lleguen los emails falsos que dicen ser de otros miembros del personal (es decir. que viene de una dirección de correo electrónico local), pero que en realidad se originan desde una dirección IP externa que no sea de confianza.
Le recomendamos que configure MDaemon para comprobar tanto la dirección de correo electrónico con ‘ruta de retorno’ y el de la cabecera ‘From’ para ayudar a detectar ataques de suplantación de identidad adicionales potenciales.
La aplicación de la autenticación SMTP
Si no lo estás haciendo ya, es muy recomendable aplicar la autenticación SMTP, ya que garantiza que todo lo que se envía a través de tu servidor de correo está obligado a iniciar sesión con un nombre de usuario y contraseña.
No siempre es posible si tienes dispositivos de la red sin la opción de autenticar, pero si se puede aplicar, adelante, ya que esto reducirá significativamente la posibilidad a los usuarios de recibir un correo electrónico falsificado haciéndose pasar por otro miembro del personal de su empresa.
Verificar la reputación usando SPF y DKIM
También trabajan, para mantener el correo no deseado, dos características de reputación de chequeo, Sender Policy Framework y DKIM (DomainKeys Identified Mail).
Con ambos configurados, cuando llegue un correo electrónico de uno de los usuarios que dicen provenir de su dominio, el servidor comprobará el origen, descartando aquellos que afirman ser de dominios externos que han sido falsificados.
Hora cero
‘Outbreak Protection’
MDaemon está equipado con Outbreak Protection desde Cyren, el vendedor que proporciona la tecnología de seguridad de plataformas en la nube como Microsoft, Amazon y Checkpoint.
Outbreak Protection es totalmente automatizado y crea un hash de cada correo electrónico entrante, incluyendo los enlaces y archivos adjuntos, refiriéndose a ella contra la seguridad de la nube GlobalView ™ de Cyren que está analizando mil millones de correos electrónicos recogidos en todo el mundo todos los días de la mayor plataforma de análisis de la amenaza de su tipo en el mundo.
Esta característica estará en defecto en MDaemon y no hay mantenimiento real para hacer por parte de los administradores, sin embargo, es quizás la herramienta más eficaz de todos ellos en el arsenal de MDaemon. Estamos muy contentos con el rendimiento que vemos de Cyren en esos primeros momentos de brotes de malware y también más adelante a medida que comenzamos a ver las variantes emergentes.
Análisis de contenido de los mensajes
Digamos que un mensaje no deseado llega más allá de los controles que hemos hablado anteriormente, todavía no ha sido efectivamente entregado a los usuarios, pero queda pendiente la aceptación por MDaemon para su análisis posterior.
Motores de anti-virus gemelos
La seguridad cibernética puede ser comparado con un juego de alta tecnología del gato y el ratón. Mediante la combinación de Outbreak Protection Cyren y dos motores anti-virus en forma de gigante mundial de la seguridad Kaspersky Labs y ClamAV , el motor de código abierto utilizado por millones en todo el mundo, la ventana de tiempo se mantiene a un mínimo absoluto.
Estos motores analizan todo el contenido de los mensajes con el fin de establecer rápidamente si se trata de un virus, ya sea un ataque DDoS, malware, ransomware, intento de phishing o un gusano. Las amenazas son entonces puestos en cuarentena, normalmente destruidos y entrega denegada.
Una vez que un mensaje llega al buzón
Sí los atacantes han llegado a la bandeja de entrada de nuestro correo electrónico ¿Hay algo que usted puede hacer como administrador en este momento?
Activar ‘FROM’ modificación cabecera
Los clientes de correo electrónico como Outlook suelen mostrar únicamente el nombre del remitente, y no la dirección de correo electrónico real, lo que significa que es fácil ocultar un correo electrónico como legítimos cuando la dirección detrás del nombre es en realidad la de un atacante.
MDaemon ofrece ahora la opción de tomar esa dirección de origen y se verá primero en Outlook en lugar del nombre de la persona.
No es para todo el mundo, ya que significa que el nombre ‘amigable’ es menos visible, pero para los que quieren sentirse seguros, es una manera eficaz de detectar emails falsos por lo que es algo que recomendamos probar.
¡No haga clic en eso!
Formación de usuarios alrededor correos electrónicos de phishing
Se estima que el 36% de los trabajadores de la oficina del Reino Unido “no podía definir con seguridad un ataque de phishing” y el 76% no sabe lo que es ransomware de acuerdo con un estudio de 2016 por ISACA.
Los ciberataques dependen mucho de las malas prácticas que recogemos como usuarios de correo electrónico. Mientras que son por desgracia la acción más común de lo que debería ser, no hay razón por la que esto no se pueda disminuir significativamente, quitando los riesgos mediante educación e información maneras de detectar y actuar frente al phising.
Última oportunidad
Esperamos que no necesites que te recordemos la importancia de una estrategia de copia de seguridad fiable para tu negocio, pero lo haremos. En la lucha contra el ransomware, es absolutamente crítico. También es importante que se incorpore un ‘espacio de aire’.
Este misterioso término significa simplemente que no hay conexión por cable (o sin cables) entre dispositivos A y B, por lo que ha establecido una brecha entre un hacker potencial y sus datos.
Básicamente, confiar sólo en la copia de seguridad en un disco duro extra o incluso un recurso compartido de red, considerando la introducción de medios fuera de línea de algún tipo.
Te recomendamos BackupAssist, ya que soporta los medios tales como unidades USB, así como copias de seguridad directa a Amazon y Azure, pero hay muchas alternativas disponibles también.
En resumen
La noticia no tan buena es que los ataques cibernéticos son un problema que no va a desaparecer y no existe un proveedor de seguridad que ofrezca una total inmunidad.
La buena noticia es que, si se configuras correctamente las herramientas disponibles que te ofrece MDaemon, mientras «educas» a tus usuarios, es la manera adecuada de poner en marcha una prueba de fallos de una estrategia de copia de seguridad adecuada, que tienen numerosas capas de protección altamente eficaz, y un plan B que asegurará el éxito y efectividad para la protección contra el Ransomware y ataques que quieran poner en peligro su negocio.
Agenda tu demo gratuita de usecure
Por qué usecure:
- Mitiga las brechas de ciberseguridad en tu empresa
- Monitoreo de la Dark Web
- 4 productos en uno
