Examinen estas cinco mejores prácticas y los criterios más importantes para evaluar los productos de software de seguridad de correo electrónico y desplegarlos en sus empresas.
Por Karen Scarfone
Las puertas de enlace o gateways de seguridad de correo electrónico supervisan el tráfico de correo electrónico entrante y saliente de una organización en busca de mensajes no deseados o malintencionados. Estos productos bloquean o ponen en cuarentena el malware, los ataques de phishing y el spam como su funcionalidad principal, pero muchos también ofrecen prevención de pérdida de datos y capacidades de cifrado de correo electrónico para el correo electrónico saliente.
Muchos productos y servicios de gateway de seguridad de correo electrónico disponibles satisfacen las necesidades de prácticamente todas las organizaciones. Tratar de seleccionar un producto o servicio de entre las muchas opciones disponibles, sin embargo, puede ser una tarea desalentadora. Como parte de una evaluación de gateways de seguridad de correo electrónico, una organización debe desarrollar un conjunto de criterios, como una lista de preguntas, para responder por cada producto evaluado a través de investigaciones, discusiones de proveedores, pruebas de productos u otros medios.
Este artículo proporciona varios criterios potenciales que deben incluirse en una evaluación de gateways de seguridad del correo electrónico.
¿Qué tan avanzadas son las funciones de seguridad básicas?
Cada gateway de seguridad de correo electrónico debe proteger a la organización contra correo electrónico malicioso: aquél que contiene malware, intentos de phishing y correo no deseado. Sin embargo, esto no significa que un gateway de seguridad de correo electrónico deba ofrecer funciones básicas de antivirus, antispam y antiphishing. Las tecnologías basadas en esta vieja generación de controles antimalware no son muy efectivas contra las amenazas actuales.
En su lugar, una organización debería buscar tecnologías antivirus, antispam y antiphishing más avanzadas. Por ejemplo, la detección de malware debe usar sandboxing y otras técnicas avanzadas para evaluar los archivos en busca de posibles comportamientos maliciosos. El simple uso de técnicas basadas en firmas para la detección de malware, como las firmas antivirus, ya no es suficiente.
Los proveedores de gateways de seguridad de correo electrónico generalmente ofrecen sandboxing y otras técnicas avanzadas a través de suscripciones a otros productos.
Barracuda Networks Inc., por ejemplo, ofrece sandboxing para su gateway de seguridad de correo electrónico con una suscripción por separado a su producto Advanced Threat Protection (ATP). ATP protege contra malware avanzado, ataques de día cero y ataques dirigidos no detectados por las funciones de análisis de virus del Barracuda Email Security Gateway.
Idealmente, las funciones de seguridad básicas también deben utilizar inteligencia de amenazas actualizada. La inteligencia de amenazas es información recopilada por un proveedor de seguridad sobre amenazas actuales y recientes, como las direcciones IP de los hosts que realizan ataques o las URLs de dominios maliciosos.
Al incorporar servicios de inteligencia de amenazas y técnicas avanzadas de detección, un qateway de seguridad de correo electrónico puede ser mucho más efectivo para detectar correos electrónicos maliciosos, suponiendo que la inteligencia de amenazas se mantenga actualizada en todo momento –por ejemplo, que sea actualizada cada pocos minutos.
Los servicios de Mimecast afirman que su gateway de seguridad de correo electrónico, que se basa en una sola plataforma en la nube, ofrece una mejor seguridad y rendimiento del sistema a través de una inteligencia de amenazas constantemente actualizada.
¿Qué otras características de seguridad ofrecen los gateways de seguridad de correo electrónico?
Algunos dispositivos solo ofrecen las funciones básicas de seguridad mencionadas anteriormente. Sin embargo, los gateways ofrecen cada vez más funciones de seguridad adicionales relacionadas con el correo electrónico, en particular la prevención de pérdida de datos (DLP) y las capacidades de cifrado de correo electrónico para los correos electrónicos salientes.
Para muchas organizaciones, especialmente para las grandes, estas funciones adicionales son irrelevantes, ya que la organización ya tiene capacidades de cifrado de correo electrónico y DLP empresarial. Sin embargo, para las organizaciones sin estas capacidades, agregar las opciones de cifrado de correo electrónico y DLP a un gateway de seguridad de correo electrónico, a menudo por una tarifa adicional, puede ser una forma rentable y simplificada de agregar estas capacidades a la empresa.
¿Qué tan útiles y personalizables son las características de gestión?
La usabilidad es una ventaja obvia para la administración de gateways de correo electrónico. Cuanto más fácil sea administrar un gateway a diario, más probable será que los administradores lo administren adecuadamente y, por lo tanto, más efectivo será. Sin embargo, la importancia de la personalización no se debe pasar por alto.
Si bien es posible que las organizaciones no deseen pasar mucho tiempo personalizando sus gateways de correo electrónico, hacerlo puede mejorar las capacidades de detección, así como mejorar el proceso de administración personalizando los paneles de control del administrador, los informes de la puerta de enlace y otros aspectos del gateway.
Las necesidades de usabilidad y personalización de la administración del gateway varían ampliamente entre las organizaciones. Las organizaciones de alto riesgo requieren un alto grado de personalización para hacer que la detección sea lo más avanzada posible, incluso si afecta negativamente la capacidad de uso.
¿Cuáles son las típicas tasas de falsos positivos y negativos?
Una tasa de falsos positivos es el porcentaje de correos electrónicos benignos que se clasifican incorrectamente como maliciosos. De manera similar, una tasa de falsos negativos es el porcentaje de correos electrónicos maliciosos que se clasifican incorrectamente como benignos. Idealmente, las tasas de falsos positivos y negativos deberían ser lo más bajas posible, pero es imposible llevar estas tasas hasta cero. Ninguna tecnología de detección es perfecta, y algo que baja una tasa a menudo hace que la otra tasa aumente.
Dado que cada gateway de seguridad de correo electrónico utiliza varias técnicas de detección en paralelo entre sí, generalmente no es útil informar las tasas generales de falsos positivos y negativos a toda la puerta de enlace. En su lugar, los proveedores proporcionan tasas típicas para cada tipo de amenaza: detección de spam, detección de malware y detección de phishing, entre otros.
Una organización debe poder «sintonizar» las metodologías de detección de la puerta de enlace para aumentar o disminuir las tasas de manera que el gateway tenga el equilibrio de tasas deseado. Una empresa podría ser capaz de tolerar una tasa de falsos negativos relativamente alta para lograr una tasa de falsos positivos muy baja, por ejemplo.
¿Los mensajes de correo electrónico o los archivos adjuntos se procesan o almacenan en un sistema externo?
Algunos gateways de seguridad de correo electrónico son servicios basados en la nube. Con estos productos, los correos electrónicos de la organización pasarán a través de un sistema externo. Algunas puertas de enlace de seguridad de correo electrónico en el sitio, hardware y dispositivos virtuales, pueden enrutar mensajes sospechosos a un servidor controlado por el proveedor de la puerta de enlace para un análisis adicional.
Transferir el correo electrónico a un servidor externo para su procesamiento o almacenamiento puede ser un riesgo inaceptable para algunas organizaciones, especialmente si los gateways están analizando los mensajes de correo electrónico internos. Esto podría hacer que el proveedor del gateway acceda a datos confidenciales y los exponga, involuntariamente o intencionalmente, a una violación. De manera similar, si el servidor del proveedor está comprometido, los datos confidenciales también podrían verse comprometidos.
Las organizaciones con necesidades particularmente altas para proteger la confidencialidad de sus correos electrónicos que no están cifrados pueden considerar la posibilidad de adquirir gateways de seguridad de correo electrónico en sitio en lugar de servicios basados en la nube.
Otra consideración para el uso de sistemas externos es que las leyes de seguridad y privacidad y otros requisitos pueden diferir entre las distintas jurisdicciones.
Supongamos que una organización compra servicios de un proveedor de gateways de seguridad de correo electrónico basado en la nube. Si este proveedor tiene instalaciones en la nube configuradas en múltiples jurisdicciones legales, particularmente en diferentes países, los mensajes de correo electrónico pueden estar sujetos a leyes diferentes, que pueden requerir el uso de controles de seguridad y privacidad adicionales o diferentes. También puede presentar diferentes riesgos, por ejemplo, un gobierno extranjero puede tener la autoridad para acceder al correo electrónico de la organización en los servidores del proveedor dentro de ese país.
Hagan su tarea y evalúen
Puede ser abrumador tratar de evaluar los productos y servicios de gateways de seguridad de correo electrónico cuando hay tantas opciones disponibles. La definición de criterios básicos para la evaluación es un paso útil para analizar las posibilidades. No existe un producto adecuado para todas las organizaciones. Cada una tiene sus propios requisitos de seguridad, infraestructura de correo electrónico y entorno de TI, así como también enfrentan una combinación diferente de amenazas.
Esto subraya por qué es tan importante para cada organización hacer su propia evaluación de gateways de seguridad de correo electrónico. El simple hecho de confiar en evaluaciones de terceros no es suficiente para hacer la mejor selección, aunque dichas evaluaciones pueden proporcionar información valiosa.
Este artículo presenta varios criterios, que están diseñados como un punto de partida para que una organización desarrolle su propia lista de criterios más completa. Cada organización debe considerar todos sus requisitos únicos, incluidas las leyes, regulaciones y otras necesidades de cumplimiento aplicables.