CIS Control 9: Protecciones para Correo Electrónico y Navegadores Web

El Centro para la Seguridad en Internet (CIS) publica Critical Security Controls que ayudan a las organizaciones a mejorar la ciberseguridad. El Control 9 de CIS abarca protecciones para el correo electrónico y los navegadores web.

Los atacantes se dirigen al correo electrónico y a los navegadores web con varios tipos de ataques. Algunos de los más populares son los social engineering attacks, como el phishing. El social engineering intenta manipular a las personas para que expongan datos sensibles, proporcionen acceso a sistemas restringidos o difundan malware. Las técnicas incluyen adjuntar un archivo que contiene ransomware a un correo electrónico que pretende ser de una fuente confiable, o incluir un enlace que parece ser de un sitio web legítimo pero que en realidad apunta a un sitio malicioso que permite al hacker recopilar información valiosa, como las credenciales de la cuenta del usuario. Ciertas características de los clientes de correo electrónico pueden dejarlos particularmente vulnerables, y los ataques exitosos pueden permitir a los hackers violar su red y comprometer sus sistemas, aplicaciones y datos.

Tenga en cuenta que CIS renumeró sus controles en la versión 8. En versiones anteriores, la protección de correo electrónico y navegador web estaba cubierta en el Control 7; ahora están en el Control 9.

Este artículo explica las siete salvaguardas en CIS Control 9.

9.1 Asegúrese de usar solo navegadores y clientes de correo completamente soportados

Para reducir el riesgo de incidentes de seguridad, asegúrese de que solo se utilicen navegadores y clientes de correo electrónico completamente soportados en toda la organización. Además, tanto los navegadores como el software de cliente de correo electrónico deben actualizarse prontamente a la última versión, ya que las versiones anteriores pueden tener brechas de seguridad que aumentan el riesgo de violaciones. Además, asegúrese de que los navegadores y clientes de correo electrónico tengan una configuración segura diseñada para la máxima protección.

Estas prácticas deben incluirse en su política de seguridad y tecnología.

9.2 Utilice servicios de filtrado DNS

El Sistema de Nombres de Dominio (DNS) permite a los usuarios de la web especificar un nombre de dominio amigable (www.name.com) en lugar de una dirección IP numérica compleja. Los servicios de filtrado de DNS ayudan a prevenir que tus usuarios localicen y accedan a dominios o sitios web maliciosos que podrían infectar tu red con virus y malware. Un ejemplo de la protección que ofrece se relaciona con enlaces maliciosos en correos electrónicos de phishing o en publicaciones de blogs que las personas leen en sus navegadores — el servicio de filtrado bloqueará automáticamente cualquier sitio web en la lista de filtrado para proteger tu negocio.

El filtrado DNS también puede bloquear sitios web inapropiados para el trabajo, ayudándote a mejorar la productividad, evitar almacenar archivos inútiles o peligrosos que los usuarios podrían descargar y reducir la responsabilidad legal.

El filtrado DNS puede realizarse a nivel de router, a través de un ISP o mediante un servicio de filtrado web de terceros como un proveedor de servicios en la nube. El filtrado DNS se puede aplicar a direcciones IP individuales o a bloques enteros de direcciones IP.

9.3 Mantener y hacer cumplir los filtros de URL basados en red

Complemente el filtrado DNS con filtros de URL basados en la red para prevenir aún más que los activos empresariales se conecten a sitios web maliciosos o no deseados. Asegúrese de implementar filtros en todos los activos empresariales para una máxima protección.

El filtrado de URL basado en red se realiza entre el servidor y el dispositivo. Las organizaciones pueden implementar este control creando perfiles o categorías de URL según las cuales se permitirá o bloqueará el tráfico. Los filtros más comúnmente utilizados se basan en la categoría del sitio web, la reputación o las listas de bloqueo.

9.4 Restrinja las extensiones innecesarias o no autorizadas de navegadores y clientes de correo electrónico

Evite que los usuarios instalen cualquier extensión, complemento o añadido innecesario o no autorizado para sus navegadores o clientes de correo electrónico, ya que estos a menudo son utilizados por ciberdelincuentes para acceder a sistemas corporativos. Además, busque regularmente cualquiera de estos elementos en su red y desinstálelos o deshabilítelos de inmediato.

9.5 Implementar DMARC

La autenticación de mensajes basada en dominio, reporte y conformidad (DMARC) ayuda a los remitentes y receptores de correo electrónico a determinar si un mensaje de correo electrónico realmente proviene del remitente alegado y puede proporcionar instrucciones para el manejo de correos electrónicos fraudulentos.

DMARC protege a su organización asegurando que el correo electrónico esté debidamente autenticado mediante los estándares DomainKeys Identified Mail (DKIM) y Sender Policy Framework (SPF). En particular, ayuda a prevenir la suplantación de la dirección De en la cabecera del correo electrónico para proteger a los usuarios de recibir correos electrónicos maliciosos.

DMARC es particularmente valioso en sectores seriamente afectados por ataques de phishing, como las instituciones financieras. Puede ayudar a aumentar la confianza del consumidor, ya que los destinatarios del correo electrónico pueden confiar mejor en el remitente. Y las organizaciones que dependen del correo electrónico para marketing y comunicación pueden ver mejores tasas de entrega.

9.6 Bloquear tipos de archivo innecesarios

Bloquear tipos de archivos que su organización no utiliza puede proteger aún más su negocio. Los tipos de archivos que debe bloquear dependen del tipo de archivos que sus equipos suelen utilizar. Los archivos ejecutables son los más riesgosos porque pueden contener código dañino; los tipos de archivos incluyen exe, xml, js, docm y xps.

El uso de una lista de permitidos que enumera los tipos de archivos aprobados bloqueará cualquier tipo de archivo que no esté en la lista. Para la mejor protección, utilice técnicas de bloqueo que impidan que los correos electrónicos con adjuntos que tengan tipos de archivos no deseados lleguen siquiera a la bandeja de entrada, de modo que los usuarios ni siquiera tengan la oportunidad de abrir el archivo y permitir la ejecución de código malicioso.

9.7 Implementar y mantener protecciones antimalware para servidores de correo electrónico

Implemente protecciones contra malware en el servidor de correo electrónico para agregar una capa de seguridad en el lado del servidor para los correos electrónicos — si de alguna manera algún adjunto malicioso logra pasar a través de su bloqueo de tipos de archivo y filtrado de dominios, pueden ser detenidos en el servidor.

Existen múltiples protecciones contra malware para servidores de correo electrónico que las empresas pueden implementar. Por ejemplo, el escaneo de adjuntos, que a menudo es proporcionado por software antivirus y antimalware, escanea cada archivo adjunto de correo electrónico y notifica al usuario si el archivo contiene algún contenido malicioso. El sandboxing implica crear un entorno de prueba para ver si una URL o archivo es seguro; esta estrategia es particularmente valiosa para protegerse contra nuevas amenazas. Otras medidas de protección incluyen soluciones proporcionadas por anfitriones web y proveedores de servicios de internet (ISP).

Por supuesto, las organizaciones deben mantener sus soluciones de protección de servidores de correo electrónico actualizadas y con los parches al día.

Resumen

Los clientes de correo electrónico y los navegadores web son esenciales para muchas operaciones comerciales, pero son bastante vulnerables a las amenazas cibernéticas. El Control CIS 9 describe las salvaguardias que cualquier organización puede implementar para protegerse contra la creciente ola de ataques maliciosos dirigidos a sitios web y correos electrónicos. Los pasos principales involucran asegurar los servidores de correo electrónico y los navegadores web con filtros que bloquean URLs maliciosas, tipos de archivos y demás, y gestionar esos controles de manera efectiva. La implementación de estas medidas puede ayudar a garantizar una mejor ciberseguridad.

Además, los usuarios deben recibir formación sobre las mejores prácticas de seguridad. Con los ataques de phishing volviéndose más frecuentes y sofisticados, la educación en toda la organización puede ayudar a aumentar significativamente la protección.