Escolar Documentos
Profissional Documentos
Cultura Documentos
Osterman Research
WHITE PAPER
Resumo executivo
Basta uma leitura casual das notícias do dia para encontrarmos inúmeras histórias de
ataques cibernéticos contra organizações dos setores de saúde, governamental, educacional
e de infraestrutura crítica (como foi o caso da Colonial Pipeline). Muitos desses ataques
utilizam o e-mail como vetor de ataque inicial. As organizações não sabem como proteger
melhor a si próprias e poucas dispõem internamente dos ativos de segurança de TI e os
talentos em segurança cibernética necessários para fazê-lo por conta própria. Paralelamente
a isso, provedores de serviços gerenciados (MSPs), revendedores de valor agregado (VARs)
de segurança e distribuidores de nuvem estão procurando novos serviços de valor agregado
de parceiros confiáveis para colocar no mercado. Essa justaposição destaca a oportunidade
de proteger o e-mail contra as ameaças atuais e em evolução.
Este white paper foi escrito para ajudar MSPs, VARs de segurança e distribuidores de nuvem
(doravante referidos coletivamente como “MSPs”) a compreender o cenário atual de
ameaças cibernéticas e a oportunidade para soluções de segurança de e-mail avançada que
protegem seus clientes enquanto oferecem um fluxo de receita recorrente adicional.
PRINCIPAIS CONCLUSÕES
As principais conclusões deste white paper são:
PHISHING E RANSOMWARE
O phishing e o ransomware tornaram-se ameaças significativas.1 Os criminosos cibernéticos
lançam ataques de phishing tanto genéricos quanto direcionados para roubar credenciais de
contas, acessar dados comercialmente confidenciais e valiosos e distribuir malware.
Os ataques de ransomware podem incapacitar suas vítimas por dias ou semanas — ou até
mesmo arruiná-las definitivamente — e sempre causam problemas para os clientes da
organização (por exemplo, impossibilidade de obter combustível e serviços de saúde ou de
assistir aulas). O e-mail costuma ser considerado o vetor predominante para o início das
ameaças cibernéticas e as organizações precisam reforçar suas proteções contra ataques de
phishing, spear phishing e whaling e contra distribuição de ransomware.
De todo o tráfego de e-mail que não é spam, um pequeno percentual é malicioso, perigoso e
nunca deve ser entregue nas caixas de entrada dos usuários. Como basta apenas um e-mail
para iniciar um ataque de phishing, ransomware ou comprometimento de e-mail corporativo
(BEC), a varredura de menos de 100% do tráfego em tempo real é um princípio de design
perigoso.
DESENVOLVIMENTO RÁPIDO
Nós vivemos e trabalhamos em uma era acelerada, com comunicações globais instantâneas,
coordenação rápida de cadeias de fornecimento e processos físico–digitais que
frequentemente parecem mágicos. Em tal contexto, nenhum MSP tem a largura de banda e
a disposição necessárias para distribuir uma segurança de e-mail avançada ao longo de vários
anos, meses ou mesmo semanas. Velocidade é o “x” da questão. Soluções com distribuição
rápida e menos tempo para apresentar resultados permitem que os MSPs concentrem-se na
oferta, e não em cumprir perfeitamente com todos os requisitos antes de sequer começar.
Nenhuma
SERVIÇOS DE RESPOSTA A INCIDENTES organização pode
Todas as organizações — inclusive MSPs — são afetadas pela escassez global de talentos em se permitir uma
segurança cibernética.2 Poucas conseguem encontrar especialistas bem treinados em
quantidade suficiente para preencher as vagas atuais na área de segurança, sem contar as
abordagem de
futuras. Ao fazer uma parceria com um fornecedor de serviços segurança de e-mail amostragem na
avançada, o acesso a habilidades complementares para resposta a incidentes possibilita um varredura de
processo simplificado de adoção, além de viabilizar a operação e a otimização contínuas da
solução, seja no tratamento das denúncias dos usuários ou no ajuste fino do sistema. A e-mails externos e
disponibilidade de assistência especializada imediata por parte do fornecedor em caso de internos em busca
problemas, incidentes e quaisquer outras consultas técnicas reduz o custo e o risco do
alinhamento com uma nova oferta, o que dá à equipe de segurança atual a tranquilidade de de ameaças
saber que a equipe do fornecedor atua como uma extensão da equipe do centro de cibernéticas
operações de segurança (SOC).
transportadas por
VELOCIDADE DE DETECÇÃO
e-mail.
O e-mail não é uma ferramenta de comunicação em tempo real; esse é domínio de
aplicativos de colaboração, como Microsoft Teams Chat, Slack e serviços de mensagens
instantâneas. Ainda assim, geralmente se espera que ele seja rápido. As pessoas entendem
um atraso de 10 a 20 segundos na entrega, mas se tiverem de esperar um minuto ou mais
por um e-mail que elas sabem que um colega ou cliente já enviou, elas começam a achar que
algo falhou. Passados mais alguns minutos, elas provavelmente chamarão o suporte técnico
para investigar a situação.
ATAQUES DE PHISHING
Os ataques de phishing procuram vítimas propensas a realizar ações alinhadas com os
interesses do criminoso cibernético, contrariando seus próprios interesses. Os criminosos
cibernéticos enviam iscas de phishing para roubar credenciais de contas dos usuários, obter
acesso a dados confidenciais ou instalar malware no dispositivo da vítima para um ataque
imediato ou futuro. O phishing lateral (também conhecido como phishing interno) aproveita
a penetração inicial de uma conta comprometida para comprometer contas internas ainda
mais ou lançar ataques de phishing contra os clientes, parceiros e contatos da organização.
Nos últimos anos, o spam vem sendo frequentemente utilizado como maneira de entregar
iscas de phishing e outras cargas maliciosas, como ransomware. Deter os ataques de
phishing antes que estes cheguem às caixas de entrada dos usuários é uma maneira eficaz de
derrubar um vetor de ameaças significativo para organizações que utilizam e-mail.
Figura 1
Lista de verificações de segurança de e-mail avançada
Item da lista de Características a evitar Características preferidas
verificações
Cobertura de ameaças Foco único Amplo e profundo
Nível de análise Encapsulamento original Análise profunda de URLs e anexos
Análise multicamada Monolítica Multicamada
Velocidade Perturba o fluxo de e-mail Imperceptível
Precisão da detecção de Alto nível de falsos positivos Alta precisão na detecção de ameaças
ameaças em avaliações independentes
Funcionalidade dos Danificado e inoperante Totalmente funcional
arquivos após uma
varredura MSPs que estejam
Varredura de URLs Somente lista de negação Bloqueio de URLs maliciosos avaliando soluções
conhecidos e desconhecidos
de segurança de
e-mail avançada
Inteligência sobre ameaças Fonte única e indisponível Múltiplas fontes
Anti-BEC Proteção fraca contra Implementação de verificações em
conteúdo sem carga nível de rede, como spoofing de precisam de um
maliciosa domínios, SPF, DKIM e DMARC conjunto de
Capacidades de ATP Somente ameaças conhecidas Ameaças conhecidas e desconhecidas
capacidades
Detecção de dia zero Análise em nível de Análise em nível de CPU/exploração
aplicativo/malware complementares
Antievasão Não lida com técnicas de Feita para contrapor tentativas em diversas áreas
evasão avançadas de evasão
de recursos.
Proteção antes da caixa de Modo de detecção, no qual Modo de prevenção, no qual e-mails
entrada os e-mails são e URLs são sempre examinados antes
ocasionalmente examinados da entrega ao usuário final
após chegar à caixa de
entrada do usuário final
Varredura 100% dinâmica Baseada em assinaturas sem Representação dinâmica completa de
do conteúdo varredura dinâmica todo o conteúdo de arquivos/URLs
Resposta a incidentes Indisponível Integrada na solução, sem custo
adicional
Geração de relatórios Nenhuma, irregular ou básica Regular e detalhada
VERIFICAÇÃO 4: VELOCIDADE
As soluções de segurança de e-mail avançada precisam passar no teste do telefone. Quando
um usuário fala com um colega ou cliente, o comentário “Acabei de enviar um e-mail” deve
ser acompanhado pela entrega do e-mail em questão no prazo de alguns segundos. Se a
entrega parecer lenta e o usuário clicar continuamente no botão Enviar/Receber, o fluxo As soluções de
natural do e-mail terá sido perturbado. Os usuários começam a pensar que há algo de errado
quando as mensagens de e-mail não são entregues no prazo de alguns minutos ou mais. segurança de
e-mail avançada
VERIFICAÇÃO 5: PRECISÃO DA DETECÇÃO DE AMEAÇAS precisam ser
A velocidade de operação é um lado da moeda das soluções de segurança de e-mail
avançada. A precisão do julgamento é o outro lado. É preciso evitar que mensagens e anexos
tanto rápidas
que contenham ameaças sejam considerados seguros e entregues aos usuários finais. quanto precisas.
É importante que a solução de segurança de e-mail avançada tenha altas taxas de detecção e Apenas uma
poucos falsos positivos para conquistar a confiança dos usuários.
dessas qualidades
VERIFICAÇÃO 6: FUNCIONALIDADE DOS ARQUIVOS APÓS UMA VARREDURA não é suficiente.
Os arquivos precisam ser verificados recursivamente quanto à presença de ameaças
incorporadas e ocultas, caso contrário a solução de segurança de e-mail avançada não estará
fazendo o que se espera dela. Porém, uma vez verificado e marcado como benigno, o
arquivo entregue ao usuário final precisa estar tão plenamente funcional quanto possível.
Ele não deve ser danificado ou tornado inoperante. Diante de arquivos danificados ou
inoperantes, os usuários voltarão a usar ferramentas não aprovadas que contornam
verificações de segurança, expondo a organização a ameaças de segurança mais
significativas.
VERIFICAÇÃO 9: ANTI-BEC
Para as empresas, é fundamental poder detectar e-mails que não contenham
necessariamente arquivos/URLs maliciosos, mas que constituam uma ameaça devido à
possibilidade de impostura. Muitas tentativas de spoofing podem ser identificadas avaliando-
se o alinhamento entre declarações fundamentais de segurança de e-mail mantidas no
registro de DNS do cliente, como SPF (Sender Policy Framework), DKIM (DomainKeys
Identified Mail) e DMARC (Domain-based Message Authentication, Reporting and
Conformance), juntamente com DNSSEC (Domain Name System Security Extensions).
Quando combinada com verificações de reputação de IP, a falta de alinhamento entre esses
elementos pode lançar dúvidas quanto à autenticidade de uma determinada mensagem.
Para a segunda e a terceira abordagens acima, o melhor é ter o mínimo possível a instalar e
também é preferível interferir o mínimo possível com os fluxos de e-mail (por exemplo, não
ter de alterar registros MX). Uma abordagem de instalação zero e impacto zero proporciona
aos MSPs a garantia de que os fluxos de tráfego de e-mail atuais não serão comprometidos
durante o teste e que, uma vez concluído o teste, o caminho de saída seja igualmente simples.
• Tempo no mercado
Há quantos anos o candidato a fornecedor está em atividade? Fornecedores com pouco
mais de alguns anos de atividade — ou mesmo uma década — têm um histórico
comprovado oferecendo valor, suportando diversos ciclos econômicos e adaptando-se à
dinâmica variável do mercado de segurança de e-mail avançada.
• Diversidade das parcerias atuais
Qual é a extensão e a diversidade das parcerias atuais entre o candidato a fornecedor e
outros MSPs no seu mercado e em outras áreas? Candidatos a fornecedor com força
nessa área costumam já ter um programa de parceria forte, incluindo suporte para
integração e recursos de marketing prontos para usar. Ser o primeiro parceiro do
fornecedor é um risco. Avalie a força de
• Presença global
mercado e
É fácil o candidato a fornecedor dizer que tem “presença global”, mas se ele está empresarial de
sediado em apenas um local físico e conta com apenas um rack em um data center candidatos a
qualquer, é uma promessa vazia. É muito mais difícil e oneroso para o fornecedor abrir
filiais em diversos locais ao redor do mundo, assegurar uma presença física em data fornecedor de
centers em diversos lugares e desenvolver as capacidades necessárias para armazenar e segurança de
proteger dados localmente para cumprir as inúmeras leis de soberania de dados
existentes mundo afora. Essas iniciativas difíceis e onerosas são uma boa indicação de
e-mail avançada,
solidez para possíveis clientes. bem como
oportunidades de
AVALIAÇÃO DE OPORTUNIDADES DE CRESCIMENTO COMPLEMENTARES
O estabelecimento de parcerias em menor número, porém mais fortes, permite aos MSPs
crescimento
reduzir complexidades, simplificar operações e agilizar estratégias de colocação no mercado. complementares.
Quais são as oportunidades complementares de crescimento com um candidato a
fornecedor além de apenas a segurança de e-mail avançada? Quais outros serviços de
segurança, de proteção de dados e de TI em geral estão disponíveis e que podem ser
utilizados por um MSP como oportunidades de cross-sell e up-sell para aumentar a receita
mensal recorrente de clientes que tenham comprovado o valor da oferta inicial?
A visão da Acronis
O Advanced Email Security para Acronis Cyber Protect Cloud, oferecido pela Perception
Point, concentra-se em possibilitar que MSPs protejam seus clientes contra a variedade de
ameaças transportadas por e-mail que se encontra à solta mundo afora. A oferta Advanced
Email Security inclui um conjunto de recursos complementares para elevar as proteções de
e-mail:
• Antispam
Filtros antispam e verificações de reputação de IP separam o spam e evitam que ele lote
as caixas de entrada dos usuários. Gráficos de comunicação são criados automaticamente
para identificar padrões estabelecidos de comunicação por e-mail e desvios com
consequências maliciosas.
• Antievasão
URLs e arquivos incorporados em mensagens de e-mail e anexos são descompactados
recursivamente em busca de técnicas evasivas empregadas por criminosos cibernéticos.
Cada elemento descompactado é analisado separadamente pelas camadas de proteção
do Advanced Email Security e os arquivos e URLs são submetidos a varreduras dinâmicas
utilizando múltiplas versões de aplicativos e padrões de iniciação para revelar novas
técnicas de evasão.
O foco da oferta
• Inteligência sobre ameaças
do Advanced
Vários serviços separados de inteligência sobre ameaças são utilizados pelo Advanced Email Security
Email Security para trazer para o serviço as percepções mais recentes sobre vetores de está em
ameaças novos e emergentes. A solução aproveita o serviço de inteligência sobre
ameaças da própria Perception Point, que se baseia nas ameaças encontradas por toda a possibilitar que
base de clientes, bem como em serviços adicionais de inteligência sobre ameaças de MSPs protejam
fornecedores de segurança externos e na comunidade de segurança cibernética.
seus clientes
• Antiphishing
contra a
Múltiplos filtros de phishing são utilizados para identificar e deter ataques de phishing,
inclusive um mecanismo próprio de reconhecimento de imagens que verifica se há uso variedade de
inadequado ou malicioso da imagem das 1.000 maiores marcas nos URLs de destino. ameaças
A oferta do Advanced Email Security também aproveita defesas antiphishing de vários
outros fornecedores de segurança para reforçar as verificações de reputação de URL. transportadas por
• Anti-BEC
e-mail que se
Algoritmos de autoaprendizagem protegem contra ataques de spoofing avaliando o encontra à solta
alinhamento entre registros SPF, DKIM e DMARC, bem como análises de reputação de IP mundo afora.
mais amplas. Desvios em relação às operações padrão geram alertas que são utilizados
para impedir que conteúdo suspeito chegue aos usuários finais, como ataques de BEC
que utilizam nomes de domínio parecidos e truques envolvendo o nome de exibição.
O anti-BEC também inclui o uso de listas de VIPs para detectar impostura de nomes de
exibição, utilização de nomes de marcas semelhantes com pequenas alterações,
impostura de marcas conhecidas, análise de textos e linguagem e outros métodos.
• Análise estática baseada em assinaturas
Detecção de ameaças conhecidas utilizando múltiplos mecanismos antivírus baseados
em assinaturas em conjunto com um mecanismo de detecção exclusivo para
identificação de uma variedade de assinaturas mais complicadas. A detecção com base
em assinaturas é aplicada a e-mails e arquivos para erradicar ataques maliciosos,
suspeitos e perigosos.
Nenhuma parte deste documento pode ser reproduzida ou distribuída em qualquer forma ou por quaisquer meios
sem a permissão da Osterman Research e tampouco revendida ou distribuída por qualquer outra entidade além da
Osterman Research sem autorização prévia por escrito da Osterman Research.
A Osterman Research não fornece consultoria jurídica. Nada neste documento constitui consultoria jurídica e
tampouco este documento ou qualquer produto de software ou outra oferta aqui referida substitui a conformidade
do leitor com quaisquer leis (inclusive, mas sem limitar-se a, qualquer ato, estatuto, regulamento, regra, diretiva,
ordem administrativa, ordem executiva etc., coletivamente referidos como “Leis”) referidas neste documento.
Se necessário, o leitor deve obter um aconselhamento jurídico competente em relação a quaisquer leis aqui referidas.
A Osterman Research não oferece garantia alguma quanto à integralidade ou à precisão das informações contidas
neste documento.
ESTE DOCUMENTO É FORNECIDO “NO ESTADO”, SEM GARANTIAS DE QUALQUER ESPÉCIE. TODAS AS
REPRESENTAÇÕES, CONDIÇÕES E GARANTIAS, EXPRESSAS OU IMPLÍCITAS, INCLUSIVE QUALQUER GARANTIA
IMPLÍCITA DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM DETERMINADO PROPÓSITO, SÃO RENUNCIADAS, SALVO NA
MEDIDA EM QUE TAIS RENÚNCIAS SEJAM CONSIDERADAS ILEGAIS.
1 Osterman Research, How to Reduce the Risk of Phishing and Ransomware (Como reduzir o risco do phishing e do
ransomware), março de 2021, em https://ostermanresearch.com/2021/03/17/orwp_0336/
2
Osterman Research, How to Minimize the Impact of the Cybersecurity Skills Shortage (Como minimizar o impacto
da escassez de talentos em segurança cibernética), outubro de 2020, em
https://ostermanresearch.com/2020/10/30/orwp_0334/
3
FBI, FBI Releases the Internet Crime Complaint Center 2020 Internet Crime Report, Including COVID-19 Scam
Statistics (FBI lança relatório de crimes de Internet de 2020, do centro de reclamações de crimes de Internet,
incluindo estatísticas sobre fraudes de COVID-19), março de 2021, em https://www.fbi.gov/news/pressrel/press-
releases/fbi-releases-the-internet-crime-complaint-center-2020-internet-crime-report-including-covid-19-scam-
statistics
4 SE Labs, Email Security Services Protection (2020 Q1) (Proteção de serviços de segurança de e-mail, primeiro