El poder del proxy: Abordar la amenaza del correo electrónico saliente
Una estadística reciente (actualmente reciente) dice que el 80% del correo electrónico entrante es basura. Eso se basa en la evidencia anecdótica de ver mis carpetas de "basura" y "spam" llenarse mucho más rápido que el correo electrónico válido que permanece en mi bandeja de entrada, así que no estoy realmente seguro de que quiera citar eso como absoluto, pero apuesto a que la mayoría de las personas estimarían el mismo porcentaje de basura y válido en sus propias bandejas de entrada.
Entre la basura siempre hay una porción más pequeña de correo electrónico malicioso. El tipo que en realidad no es más que un intento de phishing para enviar un virus o para obligarme a compartir mis credenciales con ellos. Más pequeño, porque nosotros (en el Nosotros corporativo), como la mayoría del 72% de las organizaciones, aprovechamos los servicios de mitigación de SPAM. Esa es una estadística real, de nuestro informe sobre el estado de la entrega de aplicação , por cierto.
Parecería entonces que entre la tecnología y la formación incansable de los equipos de seguridad, el correo electrónico es mucho más seguro que la mayoría de aplicações colaborativas.
Excepto cuando no lo es.
Esto es exactamente lo que CloudLock descubrió recientemente en su Informe de Ciberseguridad del tercer trimestre , entre otros datos interesantes. Lo que realmente me llamó la atención fue el detalle sobre “compartir” el correo electrónico. CloudLock descubrió que las organizaciones colaboran en promedio con 865 partes externas. Solo 25 de ellos representan el 75 % del uso compartido basado en la nube por organización. Pero el 70% del intercambio se realiza con direcciones de correo electrónico no corporativas sobre las que los equipos de seguridad tienen poco control.
En otras palabras, el correo electrónico saliente es un riesgo real para la seguridad corporativa. No necesariamente porque todos los que comparten datos corporativos con una dirección de correo electrónico externa, no corporativa, tengan intenciones maliciosas, sino por los riesgos desconocidos asociados con el almacenamiento de esos datos fuera de las instalaciones. ¿Está encriptado? Probablemente no. ¿Está a salvo de los escaneos y de las miradas indiscretas de los empleados del proveedor de correo electrónico? Probablemente no.
Y, sin embargo, como señala CloudLock, los equipos de seguridad tienen poco control sobre este tipo de actividad.
Si bien eso es cierto, hay alguien que quizás sí tenga el control (o la capacidad de controlar) ese tipo de actividad: el equipo de red.
Supongamos por un momento que su sistema de correo electrónico corporativo está local. Si bien hoy en día muchos no lo hacen, aún hay muchos más que sí lo hacen, debido a regulaciones y esfuerzos de cumplimiento que simplemente no se pueden aplicar adecuadamente fuera del sitio. De esta forma, todo el mundo utiliza un servicio que está en su centro de datos, en su red y bajo su control.
Aquí es donde un proxy programable puede proporcionar el control (al ofrecer visibilidad) que necesita para detener (si ese es su deseo) el intercambio de datos corporativos con direcciones de correo electrónico no corporativas.
Mira, un proxy inverso se ubica delante de un servicio. Generalmente se trata de un servidor web y el proxy proporciona servicios de equilibrio de carga. En este caso, el proxy se ubicará frente a su servicio SMTP (como Exchange) y brindará un servicio de limpieza saliente. ¿Cómo es posible que esto ocurra?, te preguntarás. Inspeccionando cada “ENVÍO” y determinando si el destino es “corporativo” o no, y si contiene algún dato sensible.
Créeme, lo primero es más fácil que lo segundo. SMTP es un protocolo bien conocido y detalladamente descrito. La programabilidad de la ruta de datos le brinda la capacidad de analizar ese protocolo y determinar fácilmente si es "corporativo" o "no corporativo" . Después de todo, usted conoce los dominios para los cuales administra el correo electrónico. Esas son corporativas. ¿Algo más? No corporativo.
Determinar si los archivos adjuntos o los datos en línea pueden contener información o datos confidenciales (o riesgosos) es un poco más complicado. Pero dado que tiene acceso a toda la carga útil, incluidos los archivos adjuntos, puede comenzar a utilizar las mismas técnicas que usan los firewalls de aplicação web para "escanear y limpiar" los datos confidenciales que provienen de las aplicações. También puedes usar el nombre del archivo adjunto como pista. Quizás simplemente bloquees cualquier cosa que sea un archivo .zip o .xls. Usted podría permitir el intercambio válido con direcciones de correo electrónico no corporativas al incluir en una lista aquellos que pueden enviar a direcciones no corporativas o una lista de direcciones no corporativas aprobadas que pueden recibir.
Básicamente, depende de ti. ¿Hasta qué punto desea controlar esta posible fuga de información? ¿Qué importancia tiene abordar esta amenaza particular?
El poder del proxy (programable) es prácticamente infinito porque una vez que combinas la visibilidad con el código, terminas con opciones. Puede implementar soluciones únicas a los problemas que surgen sin tener que depender de nuevo software o soluciones que introduzcan desafíos arquitectónicos y operativos adicionales. Por eso necesitas un proxy de aplicación moderno con capacidad de programación, rendimiento y (soporte para muchos) protocolos; porque visibilidad + capacidad de programación = victoria.