Vamos a resumir la introducción de FUDdy: todos sabemos que los ataques de phishing están aumentando en escala y complejidad, que la IA está permitiendo ataques más sofisticados que evaden las defensas tradicionales y la interminable brecha de talento en ciberseguridad significa que todos estamos luchando por mantener a los equipos de seguridad completamente equipados. Dada esa realidad, los equipos de seguridad deben poder monitorear y responder a las amenazas de manera efectiva y eficiente. Obviamente, no puede dejar que las amenazas reales pasen desapercibidas, pero tampoco puede darse el lujo de perder el tiempo buscando falsos positivos. En esta publicación, veremos algunas de las formas en que el enfoque único de Material Security para la seguridad del correo electrónico y la protección de datos puede ahorrar drásticamente, y de manera cuantificable, horas a sus equipos de seguridad cada semana al tiempo que mejora la efectividad de su programa de seguridad. ¿Cuál es su presupuesto de alertas? Antes de sumergirnos en el «cómo», tomemos un momento para ver por qué la eficiencia es fundamental en las operaciones de seguridad. Para hacer eso, pensemos en cuántas alertas pueden sus equipos de seguridad y respuesta a incidentes de manera realista clasificar, investigar y responder en un día determinado. Al igual que su departamento tiene un presupuesto que limita la cantidad de dinero que puede gastar en personas y herramientas, sus equipos de seguridad tienen un límite en la cantidad de tiempo que pueden dedicar a responder a las amenazas en un día determinado. Ese es su presupuesto de alertas. Ese número cambiará día a día, por supuesto, dependiendo de la gravedad y la complejidad de los incidentes que surjan, la cantidad de proyectos estratégicos críticos en los que esté trabajando su equipo y una miríada de otros factores. Pero hay un límite. Y así como no puede permitirse el lujo de desperdiciar sus limitados recursos financieros en herramientas redundantes o software que no aporta ningún valor a su equipo, no puede permitirse que sus equipos desperdicien su presupuesto de alertas investigando alertas duplicadas, solucionando el mismo problema una y otra vez o persiguiendo falsos positivos. La eficiencia con la que su equipo de seguridad gasta su presupuesto de alertas es tan importante como la forma en que gasta su dinero, si no más. Ahora profundicemos en cómo ayudamos a mejorar esa eficiencia. Equilibrar la precisión y la sensibilidad No importa cuántas alertas reciba su equipo, hay una cantidad limitada de horas en un día determinado que su equipo puede dedicar a responderlas. El enfoque de Material para el phishing se ha basado en la filosofía de que debemos ayudar a nuestros clientes a aprovechar al máximo su tiempo. Las alertas que generamos deben detectar la mayor cantidad posible de amenazas y, al mismo tiempo, generar la menor cantidad posible de falsos positivos. «Precisión» y «recuperación» son términos que resultarán familiares para un científico de datos, pero que pueden no resultar inmediatamente familiares para los expertos en seguridad. En el contexto de las detecciones de correo electrónico, la precisión es una medida de cuántos correos electrónicos marcados como maliciosos son realmente maliciosos, mientras que la recuperación es una medida de cuántos de los correos electrónicos maliciosos reales recibidos son marcados por el sistema. Un sistema de seguridad que genera muy pocos falsos positivos tiene una alta precisión, y un sistema que detecta casi todas las amenazas que detecta tiene una alta recuperación. A un cierto nivel granular, existe una cierta compensación entre los dos: como puede imaginar, puede reducir la cantidad de falsos positivos que genera disminuyendo la sensibilidad de las detecciones, pero reducir la sensibilidad a menudo hará que también se pasen por alto los verdaderos positivos. Por el contrario, puede minimizar esos verdaderos positivos que no se detectan aumentando la sensibilidad, pero al hacerlo se generarán más falsos positivos. El objetivo de Material ha sido crear un motor de detección que equilibre los dos de manera eficaz y muestre los mensajes maliciosos en los que realmente necesita centrarse. En el entorno de amenazas cada vez más complejo de la actualidad, ninguna capa de protección es suficiente, y ningún método de detección puede lograr el equilibrio adecuado por sí solo. Con ese fin, el motor de detección de Material se compone de cuatro componentes clave: Detecciones de Material: una combinación de técnicas de aprendizaje automático con reglas creadas por nuestro equipo dedicado de investigación de amenazas. La IA y el ML son excelentes para conectar puntos y encontrar relaciones que los humanos pueden pasar por alto, pero a pesar de todos los avances en IA últimamente, todavía no hay reemplazo para la percepción y la capacidad de la experiencia humana. Las detecciones de Material son lo mejor de ambos mundos. Detecciones personalizadas: cada organización y cada entorno son únicos, por lo que brindamos a los clientes la capacidad de crear detecciones personalizadas en función de lo que está viendo en su base de usuarios o en la naturaleza. Alertas del proveedor de correo electrónico: Google y Microsoft emiten alertas periódicas sobre correos electrónicos de phishing que han detectado después de la entrega; ingerimos y procesamos esas alertas y las agregamos a nuestras detecciones. Informes de usuarios: Material automatiza su buzón de correo de abuso, desde la ingesta de informes de usuarios, la consolidación de mensajes similares dentro de un solo caso y la aplicación de protección automatizada de inmediato, al tiempo que proporciona flujos de remediación flexibles a los equipos de seguridad. Todas estas facetas se combinan en una plataforma de detección poderosa e increíblemente precisa que brinda a nuestros clientes una protección poderosa sin perder el tiempo con falsos positivos y ruido, logrando lo que creemos que es el equilibrio adecuado entre precisión y recuperación. Pero si bien equilibrar de manera efectiva la precisión y la sensibilidad es fundamental, no es suficiente: una plataforma de seguridad de correo electrónico moderna también debe optimizar las operaciones de seguridad en sí mismas. Engáñame dos veces, la culpa es mía Ha habido un aumento notable en las campañas de ataques por correo electrónico que no solo son de amplio alcance sino también muy personalizadas. Existe un debate sobre cuánto de esto se puede atribuir a la IA generativa: la suposición predominante era que la explosión de la IA generativa daría a los adversarios una nueva bolsa de herramientas con las que jugar, pero investigaciones como la DBIR 2024 de Verizon muestran poco impacto significativo en los ataques y las infracciones en este momento. Independientemente de si estos ataques son generados por IA o no, no se puede negar que están en aumento. Claro, todos todavía recibimos los mensajes genéricos y transparentes de «¿estás disponible?» de nuestros «directores ejecutivos» cuando nos unimos por primera vez a una nueva empresa. Pero también recibimos correos electrónicos con facturas falsas que provienen de dominios que son falsificaciones u homóglifos de socios y proveedores de confianza. Vemos ataques complejos de pretextos que presentan historias completamente creíbles de remitentes que parecen tener conexiones con nosotros. Recibimos correos electrónicos de dominios falsificados u homóglifos que engañan incluso al usuario más consciente. Y a menudo estos ataques se repiten en toda una organización, pero se adaptan a cada destinatario. No solo evaden los controles de seguridad de correo electrónico nativos y logran atravesar los grupos de seguridad de correo electrónico, sino que aparecen como ataques individuales. Las líneas de asunto, los remitentes e incluso el contenido del cuerpo pueden variar de un correo electrónico a otro, lo que dificulta agruparlos fácilmente, lo que significa que su equipo de seguridad debe pasar por varios ciclos para investigar y responder a docenas o cientos de iteraciones del mismo ataque exacto. Material ayuda a los equipos de seguridad e IR a abordar este problema con la agrupación automática de mensajes sospechosos. Cuando Material detecta una amenaza potencial, crea automáticamente un caso dentro de nuestra plataforma. Luego, rastrea todo el entorno en busca de mensajes que coincidan con ese caso, según una variedad de criterios. Busca similitudes entre los campos habituales, por supuesto: remitentes coincidentes, líneas de asunto coincidentes, texto del cuerpo coincidente, etc. Pero también busca cosas como las URL integradas en los mensajes y los archivos adjuntos, ataques coincidentes que de otro modo serían imposibles de agrupar por otros medios. Material crea casos para todos los mensajes detectados y agrupa los mensajes similares, lo que simplifica la investigación y la remediación. Y cuando los mensajes se agrupan en un solo caso, la clasificación, la investigación e incluso la solución son mucho más sencillas. Los aumentos de velocidad se aplican automáticamente de forma predeterminada a todos los mensajes dentro del caso, por lo que sus usuarios recibirán una advertencia de que el mensaje puede ser malicioso antes de que su equipo tenga la oportunidad de investigar. Y una vez que haya investigado y aplicado una solución a un solo mensaje dentro del caso, todos los mensajes de ese caso, incluso los mensajes coincidentes que se entregan después de su investigación, reciben esa misma solución. Ya hemos visto ejemplos poderosos de cómo esto ayuda a nuestros clientes en el mundo real. Un cliente de Material nos dijo recientemente que hizo un seguimiento de sus investigaciones de correo electrónico de phishing durante un período de tres meses. En esos 90 días con la ayuda de Material Security, su SOC ahorró más de 300 horas de tiempo investigando y respondiendo correos electrónicos de phishing. Todas esas horas se quedaron en su presupuesto de alertas para lidiar con otros asuntos urgentes. Aprovechar la inteligencia colectiva de su organización La fuerza laboral de hoy es muy consciente de las amenazas de phishing. Eso no significa que no caigan en la trampa, por supuesto, pero significa que están atentos a mensajes sospechosos, mal redactados o simplemente inesperados. Y es importante hacerlo bien. Ninguna línea de defensa va a atrapar todas las amenazas de correo electrónico entrantes y, a pesar de todos los increíbles avances en inteligencia artificial y detecciones de máquinas, a veces no hay sustituto para un empleado con buen ojo que se da cuenta de que un correo electrónico simplemente no pasa la prueba del olfato. La desventaja es que gestionar los informes de los usuarios también puede ser una carga importante para su equipo de seguridad si no se maneja correctamente. Informes duplicados, correos electrónicos inofensivos marcados para revisión, la necesidad de responder a los usuarios que marcaron… cuando suma los minutos que todas estas acciones requieren en docenas o cientos de informes todos los días, puede ser una pérdida de tiempo significativa. Material automatiza el ciclo de vida completo de la respuesta a los informes de los usuarios, aplicando inmunidad colectiva inmediata a todos los mensajes dentro de un caso de mensaje informado en toda su organización. Material reduce el trabajo diario de los informes de usuarios, automatizando su buzón de correo de abuso para acelerar la remediación y ahorrar tiempo a su equipo de seguridad. Material agrega automáticamente un aumento de velocidad a los mensajes informados en toda su base de usuarios, lo que proporciona una capa inmediata de protección mientras su equipo de seguridad investiga el problema. Las opciones de remediación granular permiten a sus equipos acelerar, bloquear enlaces o eliminar directamente los correos electrónicos informados que resulten ser maliciosos. Y gracias a la consolidación de casos y la coincidencia de mensajes similares, cuando haya investigado y respondido a un correo electrónico, habrá respondido a todos los mensajes similares en todo el caso. Finalmente, Material responde automáticamente a los denunciantes con un mensaje de reconocimiento, que puede cambiar o actualizar a medida que avanza su investigación si lo desea. Material simplifica y agiliza el proceso de ingesta y respuesta a los informes de los usuarios, al mismo tiempo que agrega protección inmediata para proporcionar cobertura aérea para las investigaciones. Protección avanzada en la que puede confiar, eficiencia que puede llevar al banco Sus equipos de seguridad ya tienen bastante con hacer malabarismos. Con Material Security, detectarán muchos menos falsos positivos, clasificarán e investigarán los casos de phishing más rápido y dedicarán menos tiempo a tareas administrativas innecesarias con los informes de los usuarios. Material libera una mayor parte de su presupuesto de alertas para que pueda dedicarlo a lo que realmente importa. Para ver cuánto tiempo puede dedicarle a su equipo de seguridad, contáctenos hoy mismo para solicitar una demostración. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.