Avaliação de segurança de e-mail avançada:

um guia para MSPs

Osterman Research
WHITE PAPER

White Paper da Osterman Research

publicado em julho de 2021
Patrocinado pela Acronis

Avaliação de segurança de e-mail avançada:

um guia para MSPs

©2021 Osterman Research 2

Avaliação de segurança de e-mail avançada:
um guia para MSPs

Resumo executivo
Basta uma leitura casual das notícias do dia para encontrarmos inúmeras histórias de
ataques cibernéticos contra organizações dos setores de saúde, governamental, educacional
e de infraestrutura crítica (como foi o caso da Colonial Pipeline). Muitos desses ataques
utilizam o e-mail como vetor de ataque inicial. As organizações não sabem como proteger
melhor a si próprias e poucas dispõem internamente dos ativos de segurança de TI e os
talentos em segurança cibernética necessários para fazê-lo por conta própria. Paralelamente
a isso, provedores de serviços gerenciados (MSPs), revendedores de valor agregado (VARs)
de segurança e distribuidores de nuvem estão procurando novos serviços de valor agregado
de parceiros confiáveis para colocar no mercado. Essa justaposição destaca a oportunidade
de proteger o e-mail contra as ameaças atuais e em evolução.

Este white paper foi escrito para ajudar MSPs, VARs de segurança e distribuidores de nuvem
(doravante referidos coletivamente como “MSPs”) a compreender o cenário atual de
ameaças cibernéticas e a oportunidade para soluções de segurança de e-mail avançada que
protegem seus clientes enquanto oferecem um fluxo de receita recorrente adicional.

PRINCIPAIS CONCLUSÕES
As principais conclusões deste white paper são:

• A segurança de e-mail é um desafio ímpar

Qual é a
A armamentização do e-mail por criminosos cibernéticos abriu caminho para múltiplas oportunidade que
ameaças, inclusive phishing, comprometimento de e-mail corporativo (BEC), malware, soluções de
ransomware e ataques de dia zero. A segurança depende de que se faça varredura de
100% do tráfego em tempo real, sem deixar de avaliar um e-mail sequer antes que o segurança de
mesmo seja entregue. e-mail avançada
• MSPs podem melhorar a segurança de e-mail para os clientes que protegem seus
Todas as organizações estão enfrentando as ameaças do phishing, do comprometimento
de e-mail corporativo e do spoofing, das ameaças persistentes avançadas e dos ataques clientes enquanto
de dia zero. Os MSPs podem desempenhar um papel de destaque na defesa do fluxo de oferecem um novo
e-mail do cliente.
fluxo de receita
• Uma lista de verificações para soluções de segurança de e-mail avançada
MSPs que estejam avaliando soluções de segurança de e-mail avançada devem estar recorrente
atentos a atributos e características importantes em 16 áreas diferentes. Uma lista de representam para
verificações pode ajudá-lo no processo de tomada de decisões.
MSPs?
• Avalie a eficácia da solução antes de comprar
Existem várias abordagens à disposição dos MSPs para avaliar a eficácia de soluções de
segurança de e-mail avançada antes da compra, como examinar resultados de testes
independentes em laboratório e submeter a solução a testes do mundo real.
• Avalie a força dos possíveis fornecedores
Avalie a solidez empresarial e de mercado dos candidatos a fornecedor de segurança de
e-mail avançada para se certificar de que o candidato a fornecedor continuará existindo
no futuro. Bons sinais incluem seu tempo no mercado, parcerias existentes, presença
global e oportunidades de crescimento complementares.
• A Acronis tem muito a oferecer aos MSPs
A nova solução Advanced Email Security para o Acronis Cyber Protect Cloud permite que
os MSPs protejam seus clientes contra ameaças baseadas em e-mail. A solução viabiliza
um conjunto de recursos complementares de segurança de e-mail avançada,
acrescentando uma camada de proteção a mais.

SOBRE ESTE WHITE PAPER

Este white paper é patrocinado pela Acronis. Informações sobre a Acronis são fornecidas no
final do documento.

©2021 Osterman Research 2

Avaliação de segurança de e-mail avançada:
um guia para MSPs

O que é segurança de e-mail avançada?

Os criminosos cibernéticos transformaram o e-mail em uma arma para entregar diversos
tipos de ameaças cibernéticas. Técnicas básicas de segurança de e-mail identificam algumas
dessas ameaças, enquanto a segurança de e-mail avançada busca bloquear as demais.
A variação em tipos de ataque obriga a segurança de e-mail avançada a se concentrar nos
diversos vetores de ataque em vez de apenas um. É uma questão de design sempre incluir
vetores adicionais. Esta seção aborda o que diferencia a segurança de e-mail avançada da
segurança de e-mail básica.

PHISHING E RANSOMWARE
O phishing e o ransomware tornaram-se ameaças significativas.1 Os criminosos cibernéticos
lançam ataques de phishing tanto genéricos quanto direcionados para roubar credenciais de
contas, acessar dados comercialmente confidenciais e valiosos e distribuir malware.
Os ataques de ransomware podem incapacitar suas vítimas por dias ou semanas — ou até
mesmo arruiná-las definitivamente — e sempre causam problemas para os clientes da
organização (por exemplo, impossibilidade de obter combustível e serviços de saúde ou de
assistir aulas). O e-mail costuma ser considerado o vetor predominante para o início das
ameaças cibernéticas e as organizações precisam reforçar suas proteções contra ataques de
phishing, spear phishing e whaling e contra distribuição de ransomware.

AMEAÇAS PERSISTENTES AVANÇADAS E ATAQUES DE DIA ZERO

Ameaças persistentes avançadas (APTs) e ataques de dia zero são ameaças cibernéticas
particularmente perniciosas. As APTs escondem-se em mensagens ou anexos de e-mail como Os criminosos
benignas e não maliciosas e, após infiltrarem-se sem serem detectadas, esperam até o final
cibernéticos
de uma contagem regressiva ou até que um sinal de execução seja recebido. Os ataques de
dia zero chegam como ataques cibernéticos inéditos, não sendo detectados por transformaram o
comparações com assinaturas de ameaças conhecidas. Os criminosos cibernéticos criam e-mail em uma
ameaças de dia zero com rapidez e facilidade, aproveitando tecnologias de inteligência
artificial (AI) e autoaprendizagem (ML) para desenvolver armas comprometedoras em arma para
constante mudança. A detecção de APTs e ataques de dia zero exige mais do que as entregar diversos
capacidades incluídas em ferramentas de segurança de e-mail básicas. São necessárias
técnicas avançadas que descompactem recursivamente as mensagens e anexos para
tipos de ameaças
identificar ameaças ocultas comparando o comportamento do código com parâmetros cibernéticas.
operacionais normais e correlacionando um conjunto mais amplo de sinais de acesso, rede e
operacionais subjacentes para identificar novas ameaças maliciosas.

MÚLTIPLAS AMEAÇAS, MÚLTIPLAS DEFESAS

O canal de e-mail está sujeito a múltiplas ameaças cibernéticas. Qualquer solução que
otimize para uma única ameaça proporciona uma falsa sensação de segurança por não
revelar o contexto mais amplo das ameaças. As soluções de segurança de e-mail avançada
não podem depender de uma única abordagem, camada ou método, mas precisam fazer uso
de um conjunto sempre variável e continuamente aprimorado de camadas de defesa
coordenada que, juntas, ofereçam cobertura contra tipos de ameaças novos e conhecidos.
Os criminosos cibernéticos inovam e otimizam continuamente suas campanhas de ataque —
inclusive desenvolvendo maneiras de evadir métodos de detecção de segurança — e,
portanto, soluções que se baseiam em sucessos passados são propensas a serem
comprometidas rapidamente.

VARREDURA DE 100% DO TRÁFEGO EM TEMPO REAL

Pelo menos metade de todo o tráfego de e-mail é spam: publicidade comercial indesejada
que desperdiça tempo, desvia a atenção e lota as caixas de entrada dos usuários. Soluções
básicas de segurança de e-mail são boas — ainda que não sejam perfeitas — para identificar
e bloquear spam.

©2021 Osterman Research 3

Avaliação de segurança de e-mail avançada:
um guia para MSPs

De todo o tráfego de e-mail que não é spam, um pequeno percentual é malicioso, perigoso e
nunca deve ser entregue nas caixas de entrada dos usuários. Como basta apenas um e-mail
para iniciar um ataque de phishing, ransomware ou comprometimento de e-mail corporativo
(BEC), a varredura de menos de 100% do tráfego em tempo real é um princípio de design
perigoso.

Nenhuma organização pode se permitir uma abordagem de amostragem na varredura de

e-mails externos e internos em busca de ameaças cibernéticas transportadas por e-mail.
Os e-mails internos podem ser ainda mais perigosos do que os externos porque uma conta
comprometida após um ataque de phishing pode ser utilizada para disseminar conteúdo
malicioso internamente, aproveitando-se da confiança inspirada por pedidos vindos da conta
de e-mail de um colega.

DESENVOLVIMENTO RÁPIDO
Nós vivemos e trabalhamos em uma era acelerada, com comunicações globais instantâneas,
coordenação rápida de cadeias de fornecimento e processos físico–digitais que
frequentemente parecem mágicos. Em tal contexto, nenhum MSP tem a largura de banda e
a disposição necessárias para distribuir uma segurança de e-mail avançada ao longo de vários
anos, meses ou mesmo semanas. Velocidade é o “x” da questão. Soluções com distribuição
rápida e menos tempo para apresentar resultados permitem que os MSPs concentrem-se na
oferta, e não em cumprir perfeitamente com todos os requisitos antes de sequer começar.
Nenhuma
SERVIÇOS DE RESPOSTA A INCIDENTES organização pode
Todas as organizações — inclusive MSPs — são afetadas pela escassez global de talentos em se permitir uma
segurança cibernética.2 Poucas conseguem encontrar especialistas bem treinados em
quantidade suficiente para preencher as vagas atuais na área de segurança, sem contar as
abordagem de
futuras. Ao fazer uma parceria com um fornecedor de serviços segurança de e-mail amostragem na
avançada, o acesso a habilidades complementares para resposta a incidentes possibilita um varredura de
processo simplificado de adoção, além de viabilizar a operação e a otimização contínuas da
solução, seja no tratamento das denúncias dos usuários ou no ajuste fino do sistema. A e-mails externos e
disponibilidade de assistência especializada imediata por parte do fornecedor em caso de internos em busca
problemas, incidentes e quaisquer outras consultas técnicas reduz o custo e o risco do
alinhamento com uma nova oferta, o que dá à equipe de segurança atual a tranquilidade de de ameaças
saber que a equipe do fornecedor atua como uma extensão da equipe do centro de cibernéticas
operações de segurança (SOC).
transportadas por
VELOCIDADE DE DETECÇÃO
e-mail.
O e-mail não é uma ferramenta de comunicação em tempo real; esse é domínio de
aplicativos de colaboração, como Microsoft Teams Chat, Slack e serviços de mensagens
instantâneas. Ainda assim, geralmente se espera que ele seja rápido. As pessoas entendem
um atraso de 10 a 20 segundos na entrega, mas se tiverem de esperar um minuto ou mais
por um e-mail que elas sabem que um colega ou cliente já enviou, elas começam a achar que
algo falhou. Passados mais alguns minutos, elas provavelmente chamarão o suporte técnico
para investigar a situação.

Para se adequar ao uso do ecossistema, as soluções de segurança de e-mail avançada

precisam realizar suas verificações o mais rapidamente possível, de maneira a não atrapalhar
ou retardar o fluxo da comunicação por e-mail. Elas também não devem deixar que as
ameaças passem livremente. Algumas ofertas de segurança de e-mail avançada exigem de
5 a 20 minutos para verificar uma mensagem de e-mail — isso é inaceitável porque obriga os
profissionais de segurança a escolher entre retardar todo o tráfego de e-mail ou examinar
menos de 100% e corrigir ameaças após a entrega.

©2021 Osterman Research 4

Avaliação de segurança de e-mail avançada:
um guia para MSPs

Como melhorar a segurança de e-mail para

os clientes
Os MSPs podem melhorar a segurança de e-mail para os clientes bloqueando quatro tipos de
ataques cibernéticos avançados, transportados por e-mail, que contornam defesas de
segurança de e-mail básicas e tradicionais. Nesta seção, examinaremos rapidamente as
quatro ameaças que exigem proteções avançadas.

ATAQUES DE PHISHING
Os ataques de phishing procuram vítimas propensas a realizar ações alinhadas com os
interesses do criminoso cibernético, contrariando seus próprios interesses. Os criminosos
cibernéticos enviam iscas de phishing para roubar credenciais de contas dos usuários, obter
acesso a dados confidenciais ou instalar malware no dispositivo da vítima para um ataque
imediato ou futuro. O phishing lateral (também conhecido como phishing interno) aproveita
a penetração inicial de uma conta comprometida para comprometer contas internas ainda
mais ou lançar ataques de phishing contra os clientes, parceiros e contatos da organização.
Nos últimos anos, o spam vem sendo frequentemente utilizado como maneira de entregar
iscas de phishing e outras cargas maliciosas, como ransomware. Deter os ataques de
phishing antes que estes cheguem às caixas de entrada dos usuários é uma maneira eficaz de
derrubar um vetor de ameaças significativo para organizações que utilizam e-mail.

ATAQUES DE BEC E TENTATIVAS DE SPOOFING

Ataques de BEC e tentativas de spoofing não entregam cargas maliciosas, mas inserem
conteúdo malicioso em processos empresariais aparentemente normais, como alterar um
Os ataques de BEC
número de conta bancária para um pagamento próximo, desviar fundos de pagamento a um não transportam
grande fornecedor ou solicitar uma transferência bancária urgente para garantir uma cargas maliciosas,
aquisição empresarial secreta. A ausência de uma carga maliciosa torna tais ataques imunes
a métodos de segurança de e-mail tradicionais e é por isso que eles têm conseguido roubar o que os torna
dezenas de milhões de dólares em alguns ataques e mais de US$ 1,8 bilhão, no total, durante imunes a métodos
o ano de 2020.3 O spoofing (por exemplo, ataques que envolvem alteração no nome de
exibição ou uso de domínios semelhantes) aposta na falibilidade do ser humano, que não de segurança de
percebe pequenas diferenças de grafia em endereços de e-mail e nomes de domínios, entre e-mail tradicionais.
outros métodos.

TÉCNICAS AVANÇADAS DE EVASÃO

As técnicas de evasão utilizadas em campanhas de e-mail maliciosas objetivam ocultar a
verdadeira intenção de uma carga viral dos processos de segurança, como testes de
verificação em sandboxes virtuais, escondendo o conteúdo malicioso sob várias camadas
dentro de arquivos e URLs, bem como ataques “chamarizes”, que só ativam links maliciosos
após o processamento de segurança ser concluído e a mensagem, agora marcada como
limpa, ser entregue na caixa de correio do usuário. Os criminosos cibernéticos estão cientes
das defesas aprimoradas sendo instaladas para frustrar seus ataques e estão revidando com
técnicas novas e inovadoras para passar por essas defesas reforçadas sem serem percebidos.
A detecção de técnicas de evasão avançadas requer vigilância contínua.

APTS E ATAQUES DE DIA ZERO

As APTs procuram estabelecer nos endpoints uma cabeça de ponte para daí lançar mais
ataques, enquanto as explorações de dia zero usam do ineditismo como maneira de evadir
defesas criadas para proteger contra explorações conhecidas. Os criminosos cibernéticos
inovam para criar técnicas de exploração de última geração, daí a necessidade de proteções
de segurança de e-mail avançada capazes de detectar explorações desconhecidas.

©2021 Osterman Research 5

Avaliação de segurança de e-mail avançada:
um guia para MSPs

Capacidades críticas: lista de verificações de

16 itens
MSPs que estejam avaliando soluções de segurança de e-mail avançada precisam de um
conjunto de capacidades complementares em diversas áreas de recursos. Nesta seção
apresentamos uma lista de verificações para ajudar nas atividades de avaliação.
Veja um resumo na Figura 1.

Figura 1
Lista de verificações de segurança de e-mail avançada
Item da lista de Características a evitar
verificações
Cobertura de ameaças Foco único
Nível de análise Encapsulamento original
Análise multicamada Monolítica
Velocidade Perturba o fluxo de e-mail
Precisão da detecção de Alto nível de falsos positivos
ameaças
Funcionalidade dos Danificado e inoperante
arquivos após uma
varredura
Varredura de URLs Somente lista de negação
Inteligência sobre ameaças Fonte única e indisponível
Anti-BEC Proteção fraca contra
conteúdo sem carga
maliciosa
Capacidades de ATP Somente ameaças conhecidas
Detecção de dia zero Análise em nível de
aplicativo/malware
Antievasão Não lida com técnicas de
evasão
Proteção antes da caixa de Modo de detecção, no qual
entrada os e-mails são
ocasionalmente examinados
após chegar à caixa de
entrada do usuário final
Varredura 100% dinâmica Baseada em assinaturas sem
do conteúdo varredura dinâmica
Resposta a incidentes Indisponível
Geração de relatórios Nenhuma, irregular ou básica
Características preferidas
Amplo e profundo
Análise profunda de URLs e anexos
Multicamada
Imperceptível
Alta precisão na detecção de ameaças
em avaliações independentes
Totalmente funcional
MSPs que estejam
Bloqueio de URLs maliciosos avaliando soluções
conhecidos e desconhecidos
de segurança de
e-mail avançada
Múltiplas fontes
Implementação de verificações em
nível de rede, como spoofing de precisam de um
domínios, SPF, DKIM e DMARC conjunto de
Ameaças conhecidas e desconhecidas
capacidades
Análise em nível de CPU/exploração
complementares
Feita para contrapor tentativas em diversas áreas
avançadas de evasão
de recursos.
Modo de prevenção, no qual e-mails
e URLs são sempre examinados antes
da entrega ao usuário final
Representação dinâmica completa de
todo o conteúdo de arquivos/URLs
Integrada na solução, sem custo
adicional
Regular e detalhada

Fonte: Osterman Research (2021)

VERIFICAÇÃO 1: COBERTURA DE AMEAÇAS

O e-mail está sob ataque de múltiplos tipos de ameaça, inclusive explorações e ataques de
última geração. Uma solução de segurança de e-mail avançada deve examinar ampla e
profundamente cada mensagem — bem como quaisquer anexos e links — para investigar a
possibilidade de ameaças cibernéticas que combinem vários tipos de ataque.
Uma optimização para um determinado tipo de ameaça (como phishing) pode ser útil para
evitar tal perigo, mas ignora, por princípio, riscos mais amplos.

©2021 Osterman Research 6

Avaliação de segurança de e-mail avançada:
um guia para MSPs

VERIFICAÇÃO 2: NÍVEL DE ANÁLISE

As soluções de segurança de e-mail avançada precisam ignorar a forma como o e-mail e
quaisquer anexos são acondicionados inicialmente. Os criminosos cibernéticos escondem
ameaças em acondicionamentos aparentemente benignos, como um arquivo do Word ou
arquivo zip. Abrir o acondicionamento original de cada e-mail e quaisquer anexos é a única
maneira de identificar ameaças maliciosas escondidas na entrega. Cada elemento individual
precisa ser verificado quanto à presença de ameaças por meio de uma análise profunda com
vários níveis de aninhamento.

VERIFICAÇÃO 3: ABORDAGEM MULTICAMADA

Diversas ferramentas de segurança avançada precisam trabalhar em conjunto para avaliar os
elementos básicos das mensagens e anexos de e-mail quanto à presença de diferentes tipos
de ameaças cibernéticas. O desenvolvimento de uma perspectiva geral baseada em uma
análise detalhada de cada elemento da mensagem e seus anexos assegura, com alto grau de
confiança, que a mensagem é benigna ou maliciosa. Múltiplas camadas independentes
trabalhando juntas abrem espaço para identificação de novos padrões de ataque e ameaças
avançados.

VERIFICAÇÃO 4: VELOCIDADE
As soluções de segurança de e-mail avançada precisam passar no teste do telefone. Quando
um usuário fala com um colega ou cliente, o comentário “Acabei de enviar um e-mail” deve
ser acompanhado pela entrega do e-mail em questão no prazo de alguns segundos. Se a
entrega parecer lenta e o usuário clicar continuamente no botão Enviar/Receber, o fluxo As soluções de
natural do e-mail terá sido perturbado. Os usuários começam a pensar que há algo de errado
quando as mensagens de e-mail não são entregues no prazo de alguns minutos ou mais. segurança de
e-mail avançada
VERIFICAÇÃO 5: PRECISÃO DA DETECÇÃO DE AMEAÇAS precisam ser
A velocidade de operação é um lado da moeda das soluções de segurança de e-mail
avançada. A precisão do julgamento é o outro lado. É preciso evitar que mensagens e anexos
tanto rápidas
que contenham ameaças sejam considerados seguros e entregues aos usuários finais. quanto precisas.
É importante que a solução de segurança de e-mail avançada tenha altas taxas de detecção e Apenas uma
poucos falsos positivos para conquistar a confiança dos usuários.
dessas qualidades
VERIFICAÇÃO 6: FUNCIONALIDADE DOS ARQUIVOS APÓS UMA VARREDURA não é suficiente.
Os arquivos precisam ser verificados recursivamente quanto à presença de ameaças
incorporadas e ocultas, caso contrário a solução de segurança de e-mail avançada não estará
fazendo o que se espera dela. Porém, uma vez verificado e marcado como benigno, o
arquivo entregue ao usuário final precisa estar tão plenamente funcional quanto possível.
Ele não deve ser danificado ou tornado inoperante. Diante de arquivos danificados ou
inoperantes, os usuários voltarão a usar ferramentas não aprovadas que contornam
verificações de segurança, expondo a organização a ameaças de segurança mais
significativas.

VERIFICAÇÃO 7: VARREDURA DE URLS

Os URLs incluídos em mensagens e anexos de e-mail podem levar a sites maliciosos que
entreguem malware, ransomware, APTs e outras ameaças. Uma solução de segurança de
e-mail avançada precisa verificar se o URL coincide com os de sites maliciosos conhecidos,
visitar o site de destino e examiná-lo recursivamente em busca de ameaças, avaliar a origem
e o quão recente é o registro do domínio e verificar nomes de domínios semelhantes que
possam indicar que se trata de uma tentativa de spoofing, entre outras coisas.

©2021 Osterman Research 7

Avaliação de segurança de e-mail avançada:
um guia para MSPs

VERIFICAÇÃO 8: INTELIGÊNCIA SOBRE AMEAÇAS

Novas ameaças cibernéticas surgem todos os dias e as empresas não podem se dar ao luxo
de ficar desprotegidas. Serviços de inteligência sobre ameaças que se integram bem com
uma solução de segurança de e-mail avançada viabilizam uma proteção abrangente contra
perigos emergentes transportados via e-mail, tornando novas campanhas de ameaças
ineficazes rapidamente.

VERIFICAÇÃO 9: ANTI-BEC
Para as empresas, é fundamental poder detectar e-mails que não contenham
necessariamente arquivos/URLs maliciosos, mas que constituam uma ameaça devido à
possibilidade de impostura. Muitas tentativas de spoofing podem ser identificadas avaliando-
se o alinhamento entre declarações fundamentais de segurança de e-mail mantidas no
registro de DNS do cliente, como SPF (Sender Policy Framework), DKIM (DomainKeys
Identified Mail) e DMARC (Domain-based Message Authentication, Reporting and
Conformance), juntamente com DNSSEC (Domain Name System Security Extensions).
Quando combinada com verificações de reputação de IP, a falta de alinhamento entre esses
elementos pode lançar dúvidas quanto à autenticidade de uma determinada mensagem.

VERIFICAÇÃO 10: CAPACIDADES DE ATP

Proteção avançada contra ameaças (ATP) refere-se a um conjunto de capacidades que vão
além da varredura de ameaças conhecidas apenas. A ATP inclui proteções contra impostura, A inclusão de
ataques de dia zero, links e anexos armamentizados e campanhas de phishing de credenciais
que visam dados confidenciais, entre outras. Uma lista sólida de capacidades de ATP é um técnicas de evasão
bom sinal de que uma determinada solução de segurança de-mail avançada objetiva fazer inovadoras
mais do que apenas identificar ataques conhecidos utilizando assinaturas familiares.
utilizadas por
VERIFICAÇÃO 11: DETECÇÃO DE DIA ZERO criminosos
Um ataque de dia zero aproveita uma vulnerabilidade de software (também conhecida como cibernéticos
“bug”) desconhecida ou não resolvida pelo fornecedor do software. Módulos de proteção
precisa ser levada
avançada contra ameaças, como sandboxes e sistemas de desarme e reconstrução de
conteúdo (CDR), normalmente fazem varreduras em nível de aplicativo, baseando-se em em conta no
dados ou comportamentos conhecidos. Um ataque de dia zero começa em nível de CPU com desenvolvimento
uma tentativa de executar código malicioso. Portanto, uma maneira mais determinística de
verificar ataques de dia zero é aproveitar dados em nível de CPU para capturar o ataque em de soluções de
nível de exploração. segurança de
e-mail avançada.
VERIFICAÇÃO 12: ANTIEVASÃO
A inclusão de técnicas de evasão inovadoras utilizadas por criminosos cibernéticos precisa
ser levada em conta no desenvolvimento de soluções de segurança de e-mail avançada. Não
faz sentido agir como se técnicas de evasão não fossem utilizadas. Por exemplo, uma técnica
de evasão comum consiste em verificar se um documento está sendo aberto em uma
sandbox virtual e, caso esteja, não implantar a carga maliciosa. Uma outra técnica é verificar
os detalhes da infraestrutura do IP que está solicitando um link de URL e, caso se origine de
um espaço de endereços IP notoriamente pertencente a um serviço de segurança, fornecer
uma página benigna em vez da maliciosa. Soluções de segurança de e-mail avançada
precisam de seu próprio nível de evasão dissimulada das técnicas de evasão para atestar a
veracidade de cada mensagem, anexo e link.

©2021 Osterman Research 8

Avaliação de segurança de e-mail avançada:
um guia para MSPs

VERIFICAÇÃO 13: PROTEÇÃO ANTES DA CAIXA DE ENTRADA

É fundamental que as organizações distribuam suas soluções de segurança avançada de
maneira que ofereça proteção aos usuários antes da caixa de entrada, no que também se
conhece como “modo de prevenção”. O modo de prevenção assegura que cada e-mail e URL
seja examinado antes de ser entregue ao usuário final. A alternativa a isso é operar o sistema
em modo de detecção, que primeiro entrega o e-mail ao usuário e, em seguida, conclui a
varredura em segundo plano, retirando o e-mail da caixa de entrada do usuário caso se
descubra que é malicioso, o que expõe a organização a risco caso o usuário abra o e-mail
antes que a varredura seja concluída.

VERIFICAÇÃO 14: VARREDURA 100% DINÂMICA DO CONTEÚDO

As soluções de segurança avançada de hoje em dia não podem contar apenas com o uso de
detecção com base em assinaturas e outras verificações estáticas. Elas precisam examinar
ativamente o conteúdo, desencadeando os mecanismos de infecção contidos em um arquivo
ou URL em uma máquina virtual para verificá-los em tempo real. Além disso, uma varredura
parcial do conteúdo, devido a considerações de escala ou desempenho da solução de
segurança de e-mail, deixaria a organização sujeita a risco.

VERIFICAÇÃO 15: RESPOSTA A INCIDENTES

Os MSPs podem se beneficiar de serviços de resposta a incidentes oferecidos por
fornecedores de soluções que os permitam aproveitar a força de parceiros em vez de
desenvolver internamente novas qualificações. Os serviços de resposta a incidentes devem
oferecer: Os serviços de
• Suporte técnico e de produto contínuo.
resposta a
incidentes devem
• Caminhos de escalonamento para problemas difíceis.
oferecer suporte
• Diagnóstico técnico.
contínuo,
• Otimização do sistema com regras e configurações de política para a organização em
questão, de acordo com as ameaças recém-encontradas. caminhos de
escalonamento e
VERIFICAÇÃO 16: GERAÇÃO DE RELATÓRIOS diagnóstico
Não permitir que as ameaças cheguem aos clientes é um resultado importante, mas sem ter
noção da quantidade e da diversidade das ameaças bloqueadas, os clientes podem se tornar
técnico.
indiferentes e apáticos em relação ao serviço. Capacidades de geração de relatórios
proporcionam um fluxo regular de atualizações para os clientes, possibilitando que eles
compreendam os tipos de ameaças aos quais estão sujeitos (e dos quais estão sendo
protegidos), o que pode auxiliar em suas próprias iniciativas de reforçar as defesas, como
acrescentar um novo módulo de conscientização quanto à segurança ou um nível adicional
de proteção avançada. Relatórios também reforçam a necessidade e a eficácia das
capacidades de segurança atuais, o que ajuda na retenção de clientes e protege os seus
fluxos de receita recorrente.

©2021 Osterman Research 9

Avaliação de segurança de e-mail avançada:
um guia para MSPs

Critérios de avaliação e práticas recomendadas

Nesta seção, descrevemos critérios de avaliação e práticas recomendadas para MSPs que
estejam avaliando soluções de segurança de e-mail avançada.

AVALIAÇÃO DA EFICÁCIA ANTES DA COMPRA

Avaliar a eficácia de soluções de segurança de e-mail avançada é uma tarefa desafiadora,
difícil e cheia de nuances. Não há padrões de teste aceitos pelo setor de segurança com os
quais testar. Os criminosos cibernéticos estão inovando continuamente os tipos e vetores de
ataque, inclusive aproveitando notícias sociais e econômicas atuais para enganar as vítimas.
Os fornecedores de soluções de segurança de e-mail avançada fazem um bom marketing ao
alegar serem “o melhor” em taxas de identificação, velocidade de avaliação e eficácia geral,
mas não revelam todos os detalhes de seu arsenal de proteções para não revelar segredos
aos seus adversários, o que tornaria os produtos inócuos. Essa combinação de fatores
apresenta grandes desafios para clientes que desejam avaliar soluções de segurança de
e-mail avançada antes da compra e da implantação.

Existem três boas abordagens para MSPs ao realizar análises comparativas:

1. Consultar avaliações de laboratórios de teste independentes

Nenhum MSP quer estabelecer uma parceria com um fornecedor de segurança de
e-mail avançada que não cumpre o que promete. A SE Labs, empresa privada de testes
independente e administrada autonomamente que avalia produtos e serviços de
segurança, realizou um teste detalhado e diferenciado de oito soluções de segurança de Avaliar a eficácia
e-mail concorrentes no início de 2020 utilizando ameaças de e-mail ativas e
direcionadas. O relatório da SE Labs descreve sua metodologia de teste e classificação e
de soluções de
está disponível para download e revisão.4 Observe que a solução Advanced Email segurança de
Security da Acronis para o Acronis Cyber Protect Cloud é oferecida pela Perception e-mail avançada
Point, cuja taxa de detecção superou qualquer outra solução avaliada.
é uma tarefa
2. Distribuir uma proteção complementar
Os MSPs podem configurar uma solução de segurança de e-mail avançada adicional para desafiadora,
receber todos os e-mails marcados como limpos processados por sua estrutura de difícil e cheia de
segurança de e-mail atual. Os e-mails marcados como limpos são, então, avaliados pela
solução complementar para identificar as ameaças não detectadas. Relatórios podem
nuances.
ser utilizados para revelar quantas ameaças adicionais foram identificadas e capturadas.
A premissa dessa abordagem é que, se a solução complementar consegue capturar
ameaças não detectadas adicionais, ela também capturaria todas as ameaças já
detectadas pela estrutura de segurança de e-mail atual. Essa abordagem é um teste em
condições reais e de alto nível de exigência porque utiliza os fluxos de tráfego de e-mail
reais de um MSP.
3. Distribuir proteção primária em modo somente de avaliação
Fornecedores de soluções de segurança de e-mail avançada podem oferecer um modo
somente de avaliação de sua tecnologia para permitir que os MSPs avaliem sua eficácia.
Em modo somente de avaliação — também chamado de modo de espelhamento ou
modo sem bloqueio — todos os e-mails são entregues aos usuários finais, mas relatórios
são gerados sobre a quantidade e os tipos de mensagens identificadas como maliciosas.
As mensagens de e-mail não são removidas do fluxo de e-mail padrão dos usuários finais
— não afetando, portanto, as comunicações — e a equipe de segurança pode avaliar a
eficácia com base em fluxos de tráfego de e-mail da vida real.

©2021 Osterman Research 10

Avaliação de segurança de e-mail avançada:
um guia para MSPs

Para a segunda e a terceira abordagens acima, o melhor é ter o mínimo possível a instalar e
também é preferível interferir o mínimo possível com os fluxos de e-mail (por exemplo, não
ter de alterar registros MX). Uma abordagem de instalação zero e impacto zero proporciona
aos MSPs a garantia de que os fluxos de tráfego de e-mail atuais não serão comprometidos
durante o teste e que, uma vez concluído o teste, o caminho de saída seja igualmente simples.

AVALIAÇÃO DA FORÇA DO FORNECEDOR

Avalie a força de mercado e empresarial de candidatos a fornecedor de segurança de e-mail
avançada. Fatores importantes na avaliação da força e da viabilidade de longo prazo de um
fornecedor incluem:

• Tempo no mercado
Há quantos anos o candidato a fornecedor está em atividade? Fornecedores com pouco
mais de alguns anos de atividade — ou mesmo uma década — têm um histórico
comprovado oferecendo valor, suportando diversos ciclos econômicos e adaptando-se à
dinâmica variável do mercado de segurança de e-mail avançada.
• Diversidade das parcerias atuais
Qual é a extensão e a diversidade das parcerias atuais entre o candidato a fornecedor e
outros MSPs no seu mercado e em outras áreas? Candidatos a fornecedor com força
nessa área costumam já ter um programa de parceria forte, incluindo suporte para
integração e recursos de marketing prontos para usar. Ser o primeiro parceiro do
fornecedor é um risco. Avalie a força de
• Presença global
mercado e
É fácil o candidato a fornecedor dizer que tem “presença global”, mas se ele está empresarial de
sediado em apenas um local físico e conta com apenas um rack em um data center candidatos a
qualquer, é uma promessa vazia. É muito mais difícil e oneroso para o fornecedor abrir
filiais em diversos locais ao redor do mundo, assegurar uma presença física em data fornecedor de
centers em diversos lugares e desenvolver as capacidades necessárias para armazenar e segurança de
proteger dados localmente para cumprir as inúmeras leis de soberania de dados
existentes mundo afora. Essas iniciativas difíceis e onerosas são uma boa indicação de
e-mail avançada,
solidez para possíveis clientes. bem como
oportunidades de
AVALIAÇÃO DE OPORTUNIDADES DE CRESCIMENTO COMPLEMENTARES
O estabelecimento de parcerias em menor número, porém mais fortes, permite aos MSPs
crescimento
reduzir complexidades, simplificar operações e agilizar estratégias de colocação no mercado. complementares.
Quais são as oportunidades complementares de crescimento com um candidato a
fornecedor além de apenas a segurança de e-mail avançada? Quais outros serviços de
segurança, de proteção de dados e de TI em geral estão disponíveis e que podem ser
utilizados por um MSP como oportunidades de cross-sell e up-sell para aumentar a receita
mensal recorrente de clientes que tenham comprovado o valor da oferta inicial?

©2021 Osterman Research 11

Avaliação de segurança de e-mail avançada:
um guia para MSPs

A visão da Acronis
O Advanced Email Security para Acronis Cyber Protect Cloud, oferecido pela Perception
Point, concentra-se em possibilitar que MSPs protejam seus clientes contra a variedade de
ameaças transportadas por e-mail que se encontra à solta mundo afora. A oferta Advanced
Email Security inclui um conjunto de recursos complementares para elevar as proteções de
e-mail:

• Antispam
Filtros antispam e verificações de reputação de IP separam o spam e evitam que ele lote
as caixas de entrada dos usuários. Gráficos de comunicação são criados automaticamente
para identificar padrões estabelecidos de comunicação por e-mail e desvios com
consequências maliciosas.
• Antievasão
URLs e arquivos incorporados em mensagens de e-mail e anexos são descompactados
recursivamente em busca de técnicas evasivas empregadas por criminosos cibernéticos.
Cada elemento descompactado é analisado separadamente pelas camadas de proteção
do Advanced Email Security e os arquivos e URLs são submetidos a varreduras dinâmicas
utilizando múltiplas versões de aplicativos e padrões de iniciação para revelar novas
técnicas de evasão.
O foco da oferta
• Inteligência sobre ameaças
do Advanced
Vários serviços separados de inteligência sobre ameaças são utilizados pelo Advanced Email Security
Email Security para trazer para o serviço as percepções mais recentes sobre vetores de está em
ameaças novos e emergentes. A solução aproveita o serviço de inteligência sobre
ameaças da própria Perception Point, que se baseia nas ameaças encontradas por toda a possibilitar que
base de clientes, bem como em serviços adicionais de inteligência sobre ameaças de MSPs protejam
fornecedores de segurança externos e na comunidade de segurança cibernética.
seus clientes
• Antiphishing
contra a
Múltiplos filtros de phishing são utilizados para identificar e deter ataques de phishing,
inclusive um mecanismo próprio de reconhecimento de imagens que verifica se há uso variedade de
inadequado ou malicioso da imagem das 1.000 maiores marcas nos URLs de destino. ameaças
A oferta do Advanced Email Security também aproveita defesas antiphishing de vários
outros fornecedores de segurança para reforçar as verificações de reputação de URL. transportadas por
• Anti-BEC
e-mail que se
Algoritmos de autoaprendizagem protegem contra ataques de spoofing avaliando o encontra à solta
alinhamento entre registros SPF, DKIM e DMARC, bem como análises de reputação de IP mundo afora.
mais amplas. Desvios em relação às operações padrão geram alertas que são utilizados
para impedir que conteúdo suspeito chegue aos usuários finais, como ataques de BEC
que utilizam nomes de domínio parecidos e truques envolvendo o nome de exibição.
O anti-BEC também inclui o uso de listas de VIPs para detectar impostura de nomes de
exibição, utilização de nomes de marcas semelhantes com pequenas alterações,
impostura de marcas conhecidas, análise de textos e linguagem e outros métodos.
• Análise estática baseada em assinaturas
Detecção de ameaças conhecidas utilizando múltiplos mecanismos antivírus baseados
em assinaturas em conjunto com um mecanismo de detecção exclusivo para
identificação de uma variedade de assinaturas mais complicadas. A detecção com base
em assinaturas é aplicada a e-mails e arquivos para erradicar ataques maliciosos,
suspeitos e perigosos.

©2021 Osterman Research 12

Avaliação de segurança de e-mail avançada:
um guia para MSPs

• Detecção dinâmica de última geração

Evite APTs e ameaças de dia zero com uma tecnologia exclusiva de proteção em nível de
CPU que se concentra em desvios em relação aos fluxos padrão no código assembly.
Ao analisar o fluxo de execução em tempo real dos aplicativos, ataques novos podem ser
bloqueados no estágio de exploração, antes que o malware chegue a ser liberado.
Diferentemente das soluções de CDR, a funcionalidade do conteúdo não é
comprometida.

Resumo e próximas etapas

As organizações enfrentam ameaças constantes por meio de mensagens de e-mail, anexos e
links incorporados. Existem soluções de segurança de e-mail avançada disponíveis para
resguardar o canal de e-mail com proteções de última geração. Os MSPs têm a oportunidade
de elevar significativamente seus serviços de segurança de e-mail e obter receitas
recorrentes oferecendo serviços criados com base na solução Acronis Advanced Email
Security para a plataforma Acronis Cyber Protect Cloud.

©2021 Osterman Research 13

Avaliação de segurança de e-mail avançada:
um guia para MSPs

Patrocinado pela Acronis

Na Acronis, acreditamos que os dados, aplicativos, sistemas e a produtividade de cada
organização devem ser protegidos contra perda, roubo e inatividade — sejam estes causados
por ataques cibernéticos, falha de hardware, desastres naturais ou erro humano. Para MSPs
que prestam suporte a seus clientes, corporações que atendem usuários globais ou
organizações que manuseiam dados confidenciais, nós reduzimos riscos, aumentamos a www.acronis.com
produtividade e asseguramos que a sua organização esteja #CyberFit. @Acronis
+1 781 791 4486
Motivados por nossa paixão por proteger cada workload, nós criamos a única solução
completa de proteção cibernética para ambientes de qualquer porte — e resolvemos os
desafios de segurança, acessibilidade, privacidade, autenticidade e proteção (SAPAS na sigla
em inglês) do mundo moderno.

Nossa combinação exclusiva de automação e integração viabiliza todas as capacidades de

prevenção, detecção, resposta, recuperação e análise forense necessárias para proteger
todos os seus dados e sua infraestrutura digital enquanto simplifica o seu trabalho de
proteção.

A Acronis é um parceiro estabelecido de MSPs no setor de segurança cibernética e proteção

de dados há mais de 18 anos. De fato, nosso principal produto, o Acronis Cyber Protect
Cloud, que integra backup de dados e recuperação de desastres, antimalware de última
geração e gerenciamento de proteção de endpoint, foi desenvolvido especificamente para
Eleve a proteção
provedores de serviços. A solução oferece ampla integração com ferramentas RMM e PSA, de e-mail para os
painéis de controle de hospedagem, sistemas de cobrança e provedores de mercados, além seus clientes e
de oferecer uma API para quaisquer integrações personalizadas. Ela também oferece aos
provedores de serviços um portal multilocatário, preços para pagamento conforme o uso, obtenha receitas
capacidades de white-labeling e gerenciamento de revendedores. recorrentes
O Acronis Cyber Protect Cloud tem cinco pacotes extras que permitem aos MSPs aprimorar
adicionais
seus serviços de proteção cibernética com capacidades avançadas de segurança, backup, oferecendo
gerenciamento, recuperação de desastres e segurança de e-mail. Isso permite que os serviços criados
provedores de serviços ofereçam uma proteção melhor aos clientes e ainda controlar seu
custo total de propriedade. com base no
Acronis Advanced
Saiba como a Acronis permite oferecer proteção cibernética com facilidade, eficiência e
segurança: Email Security.

• Entre em contato com o departamento de vendas da Acronis para uma

demonstração do produto ao vivo, ajustada conforme o seu caso de uso
• Inicie hoje mesmo a sua avaliação gratuita de 30 dias.
• Visite nosso Centro de recursos para obter white papers, estudos de casos, e-books
e mais
• Confira o blog da Acronis

©2021 Osterman Research 14

Avaliação de segurança de e-mail avançada:
um guia para MSPs

© 2021 Osterman Research. Todos os direitos reservados.

Nenhuma parte deste documento pode ser reproduzida ou distribuída em qualquer forma ou por quaisquer meios
sem a permissão da Osterman Research e tampouco revendida ou distribuída por qualquer outra entidade além da
Osterman Research sem autorização prévia por escrito da Osterman Research.

A Osterman Research não fornece consultoria jurídica. Nada neste documento constitui consultoria jurídica e
tampouco este documento ou qualquer produto de software ou outra oferta aqui referida substitui a conformidade
do leitor com quaisquer leis (inclusive, mas sem limitar-se a, qualquer ato, estatuto, regulamento, regra, diretiva,
ordem administrativa, ordem executiva etc., coletivamente referidos como “Leis”) referidas neste documento.
Se necessário, o leitor deve obter um aconselhamento jurídico competente em relação a quaisquer leis aqui referidas.
A Osterman Research não oferece garantia alguma quanto à integralidade ou à precisão das informações contidas
neste documento.

ESTE DOCUMENTO É FORNECIDO “NO ESTADO”, SEM GARANTIAS DE QUALQUER ESPÉCIE. TODAS AS
REPRESENTAÇÕES, CONDIÇÕES E GARANTIAS, EXPRESSAS OU IMPLÍCITAS, INCLUSIVE QUALQUER GARANTIA
IMPLÍCITA DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM DETERMINADO PROPÓSITO, SÃO RENUNCIADAS, SALVO NA
MEDIDA EM QUE TAIS RENÚNCIAS SEJAM CONSIDERADAS ILEGAIS.

1 Osterman Research, How to Reduce the Risk of Phishing and Ransomware (Como reduzir o risco do phishing e do
ransomware), março de 2021, em https://ostermanresearch.com/2021/03/17/orwp_0336/
2
Osterman Research, How to Minimize the Impact of the Cybersecurity Skills Shortage (Como minimizar o impacto
da escassez de talentos em segurança cibernética), outubro de 2020, em
https://ostermanresearch.com/2020/10/30/orwp_0334/
3
FBI, FBI Releases the Internet Crime Complaint Center 2020 Internet Crime Report, Including COVID-19 Scam
Statistics (FBI lança relatório de crimes de Internet de 2020, do centro de reclamações de crimes de Internet,
incluindo estatísticas sobre fraudes de COVID-19), março de 2021, em https://www.fbi.gov/news/pressrel/press-
releases/fbi-releases-the-internet-crime-complaint-center-2020-internet-crime-report-including-covid-19-scam-
statistics
4 SE Labs, Email Security Services Protection (2020 Q1) (Proteção de serviços de segurança de e-mail, primeiro

trimestre de 2020), março de 2020, em https://selabs.uk/reports/email-security-services-protection/

©2021 Osterman Research 15