proofpoint email isolation y browser isolation

RESUMEN TÉCNICO

Proofpoint Email Isolation y Browser IsolationHoy en día, las empresas libran una batalla constante para proteger a sus usuarios de los ataques dirigidos de phishing. La mayoría de estos ataques se introducen en el entorno empresarial a través del correo corporativo, pero la navegación web y el correo electrónico personal también se están convirtiendo rápidamente en vectores de ataque.

Los estudios demuestran que hasta el 60 % de los ataques que sufren las empresas son consecuencia del uso de la web o el correo electrónico personal en dispositivos corporativos1. Estos canales ya son de por sí difíciles de proteger, sobre todo sin provocar frustración en los usuarios, invadir su privacidad ni dificultar su trabajo. La estrategia de todo o nada (bloquear por completo la navegación personal o permitir el acceso indiscriminado a Internet) rara vez funciona.

Proofpoint Email Isolation y Proofpoint Browser Isolation ayudan a detener los ataques de phishing sin los efectos perjudiciales que tienen en la productividad los bloqueos generalizados de sitios web o restricciones similares. Ofrecen a los equipos de TI y seguridad un control adaptable basado en los riesgos y una capa adicional de seguridad. Con Email Isolation y Browser Isolation, podrá detener los ataques dirigidos a sus usuarios a través del correo electrónico corporativo, el correo electrónico personal y la navegación web.

Ambas soluciones son fáciles de desplegar, administrar y mantener. A diferencia de muchas herramientas de aislamiento, Email Isolation y Browser Isolation están completamente basadas en la nube y funcionan en modo automático. Las sesiones de navegación con URL sin clasificar y potencialmente peligrosas se aíslan automáticamente del entorno corporativo y dejan de suponer un riesgo para los usuarios. Estos siguen disfrutando de su libertad y su privacidad y, por su parte, los equipos de TI y seguridad obtienen tranquilidad y visibilidad de las amenazas dirigidas a los empleados.

La lucha diaria contra el riesgo asociado a los usuariosLos ciberdelincuentes son cada vez más creativos y sofisticados. Ahora se centran menos en las infraestructuras y más en las personas y, como parte de ese cambio, en lugar de atacar a empresas enteras prefieren dirigirse a usuarios concretos. Estas son solo algunas de las amenazas a las que se enfrentan las empresas:

Ataques de malware basados en la web• Las descargas desapercibidas y los sitios web comprometidos son

formas que utilizan los ciberdelincuentes para infectar a sus víctimas y recopilar información.

• El phishing de credenciales, el reconocimiento malintencionado del terreno y otros ataques sin carga maliciosa pueden eludir los tradicionales entornos aislados.

• Los agresores investigan a sus objetivos y eligen usuarios específicos; nosotros los denominamos VAP (Very Attacked People™, o personas muy atacadas).

Campañas de correo electrónico basadas en phishing dirigido/URL• Las herramientas tradicionales empleadas para bloquear las

campañas de phishing han mejorado, pero aún tienen dificultades con las URL nuevas y desconocidas.

• El phishing dirigido y los ataques patrocinados por Estados persiguen a menudo cuentas de correo electrónico personales para conseguir acceso a recursos corporativos.

Dominios sin clasificar y desconocidos• Siempre hay quien acaba haciendo clic en una URL no segura incluida

en un mensaje de correo electrónico.

Ingente carga de trabajo para los equipos de TI• Administrar excepciones de dominio para listas de bloqueo y listas

seguras es una tarea muy laboriosa. Además, para ocuparse de los dominios comprometidos se ponen en marcha procesos que con frecuencia resultan inútiles.

• Numerosos proveedores incluyen en sus soluciones de aislamiento web un agente para endpoints que consume demasiados recursos, lo que ralentiza los PC de los usuarios y dificulta su trabajo.

• Sin duda, limitar las URL a una lista previamente comprobada de sitios autorizados provoca malestar y frustración entre los usuarios.

• Para intentar sortear lo que perciben como un bloqueo impuesto por exigencias de la seguridad, los usuarios pueden llevarse el trabajo a sus dispositivos personales no protegidos o a redes externas.

Para los ciberdelincuentes, no todos los usuarios son igualesCuando se trata de ataques contra personas concretas, no existe una solución milagrosa. Intentar proteger a todas ellas al mismo nivel y de la misma forma es costoso y genera molestias innecesarias a los usuarios de bajo riesgo.

Esto se debe a que cada persona es diferente, como lo es su valor para los ciberdelincuentes y el riesgo que entraña para los empresarios. Todos tenemos hábitos digitales distintos y nuestros propios puntos débiles. Los agresores nos atacan de diversas formas y con distinta intensidad. Además, disfrutamos de distintos niveles de acceso privilegiado a los datos, los sistemas y a otros recursos cloud y de la red.

Los ciberdelincuentes, cada vez más sofisticados, investigan y eligen a personas concretas de una empresa para lanzar contra ellos ataques de phishing bien diseñados. Estas personas muy atacadas (VAP) necesitan todavía más protección.

1 Osterman Research. "Why You Should Seriously Consider Web Isolation Technology" (Por qué debería platearse seriamente el uso de una tecnología de aislamiento web). Diciembre de 2018.

PROOFPOINT EMAIL ISOLATION Y BROWSER ISOLATION | RESUMEN TÉCNICO

2

Aislamiento de Proofpoint: integraciones.

Aislamiento de Proofpoint

Navegación aisladaGateway

web

Redireccio-namiento

a la páginade bloqueo

Cualquier navegador • El código de redireccionamiento se integra en la página de bloqueo.

• Para tomar la decisión de redireccionamiento se utilizan las políticas de categoría del gateway web.

• El tráfico del navegador atraviesa el gateway web y las políticas de aislamiento y se redirige según su clasificación.

Gateway web

Aislamientode URL - TAP

Aislamiento de SaaS - PCASB

Enlace directo

Aislamiento de Proofpoint

La solución: aislamiento adaptableEmail Isolation y Browser Isolation satisfacen las necesidades de seguridad de las empresas sin que los usuarios se vean afectados. En lugar de aplicar la misma estrategia de seguridad para todos, la solución adapta los controles de aislamiento a las vulnerabilidades, el perfil de ataque y los privilegios específicos de los usuarios. Todos los usuarios están protegidos, pero los más vulnerables, los que reciben más ataques y los que acceden a los datos y los sistemas más sensibles reciben una capa adicional de seguridad.

Email Isolation y Browser Isolation funcionan con las herramientas de filtrado web existentes (proxy, gateway web o firewall) además de Proofpoint Targeted Attack Protection (TAP). Los enlaces a URL nuevas y desconocidas se abren en sesiones de navegación gestionadas y aisladas para mantener las amenazas fuera del entorno corporativo.

En lugar de procesar el código HTML en los PC locales, la tecnología de aislamiento utiliza un navegador remoto basado en la nube para gestionar la actividad de los usuarios en un contenedor seguro. El contenido con un nivel de riesgo alto, como el código ejecutable, se elimina y la versión limpia de la página se envía al navegador del usuario. El contenido no seguro que encontrarían normalmente los usuarios no llega nunca al endpoint, ni a la empresa.

Los usuarios pueden ver el contenido del sitio web como de costumbre, pero no pueden descargar ni subir contenido, ni tampoco introducir datos en formularios si en la configuración de dominios específicos se limita el contenido. Al mismo tiempo, el sitio web no puede:

• Obtener mayores privilegios ni acceso raíz.

• Ejecutar código malicioso.

• Realizar cambios persistentes no autorizados en el sistema.

• Modificar archivos esenciales del sistema.

Además de nuestros controles centrados en las personas, Email Isolation y Browser Isolation aplican una estrategia basada en riesgos para proteger a los usuarios de forma personalizada. Ahora puede dirigir a determinados usuarios al entorno aislado en función de los factores de riesgo de cada uno. También es posible acceder de forma segura a URL sospechosas y sin clasificar, incluso mientras TAP las analiza en segundo plano. En cuanto TAP considera que la URL es segura, los usuarios tienen la opción de salir del entorno aislado y cargar la versión completa del sitio web.

Estas son las principales ventajas del aislamiento adaptable:

Reducción de la superficie de ataqueEmail Isolation y Browser Isolation ayudan a las empresas a adoptar una estrategia inteligente para que la navegación de alto riesgo se lleve a cabo fuera del entorno corporativo. Así, los empleados disfrutan de mayor autonomía y pueden visitar sitios web no clasificados y personales sin riesgos ni perjuicios para la seguridad.

Estas son las características de Browser Isolation que pueden mejorar su nivel de seguridad:

• Riesgo prácticamente nulo para los activos corporativos. Ya no es necesario inspeccionar archivos ni controlar el comportamiento de los usuarios.

• Imposibilidad de descargar archivos ni adjuntos del correo electrónico con cargas o macros potencialmente maliciosas.

• Durante una sesión de navegación aislada, los archivos se convierten a contenido HTML5 seguro y desinfectado para su visualización e impresión.

• Reducción del robo de credenciales gracias a restricciones dinámicas de introducción de datos con el teclado durante la sesión aislada.

• En el endpoint local del usuario no pueden ejecutarse descargas desapercibidas ni otros contenidos web maliciosos.

• Aislamiento del contenido de fuentes de confianza potencialmente comprometidas por ataques de tipo "watering-hole" y enlaces de correo electrónico a apps cloud con carga maliciosa (incluidos SharePoint, Dropbox y OneDrive).

Reducción de la carga de trabajo de los equipos internos de TICon otras tecnologías tradicionales de filtrado de URL, los equipos de TI deben decidir si autorizan o bloquean todas las URL sin clasificar, el correo web personal y otros sitios de riesgo. Si bloquean todas estas categorías, los equipos de TI suelen recibir de los usuarios multitud de solicitudes de excepciones puntuales para sitios concretos.

Con Browser Isolation, los equipos de TI ya no dedican tiempo a gestionar solicitudes de excepciones. Todas las URL pueden verse con seguridad en un navegador aislado y, una vez clasificadas como seguras, utilizarse en su versión completa.


3

EE. UU.

Bélgica

Tokio

Leyenda

Data Center

Punto de salida

Salida futura

Aislamiento de Proofpoint en el mundo.

Para las empresas, esto se traduce en:

• Ahorro inmediato de costes de TI. Ya no son necesarias las excepciones puntuales para URL sin clasificar ni sitios de correo web personal.

• Mayor productividad y mejor disposición de los empleados. Los usuarios ya no acusan la frustración por los bloqueos ni la sobrecarga de crear incidencias de soporte técnico.

• Privacidad de los empleados durante las sesiones de navegación aislada; cumplimiento de las normas de privacidad de los trabajadores.

• Despliegue e integración simplificados con los filtros web existentes (proxy, gateway y firewall): aproveche lo que ya posee.

• Pleno despliegue cloud: no es preciso instalar hardware ni agentes de endpoints. La configuración es rápida y la rentabilidad casi inmediata.

DiferenciadoresEstos son los motivos por los que Email Isolation y Browser Isolation son más eficaces que las herramientas de aislamiento tradicionales.

• Rentabilidad y facilidad de despliegue

- 100 % cloud: sin necesidad de software ni hardware local.

- Sin necesidad de agentes de endpoints.

- Sin configuración especial del navegador (como la configuración de proxies).

• Facilidad de integración

- Sin necesidad de complejos encadenamientos de proxies.

- Aproveche e integre las inversiones existentes (proxy, gateway web, firewall, filtrado web de endpoints, Proofpoint Email Protection y TAP).

• Detección e inteligencia de amenazas

- Detección de phishing en tiempo real y análisis en profundidad en entornos aislados con Proofpoint Email Protection y TAP.

- La tecnología de aislamiento de Proofpoint utiliza la misma inteligencia sobre amenazas que protege el ecosistema de Proofpoint y el correo electrónico corporativo.

- La profundidad y la amplitud de la inteligencia de Proofpoint son únicas en el sector.

• Privacidad

- Es el único servicio de aislamiento web que da prioridad a la privacidad del usuario para cumplir la estricta normativa europea en esta materia.

- Incomunicación con el tráfico web externo a las sesiones aisladas.

Requisitos de instalaciónEmail Isolation y Browser Isolation son soluciones cloud totalmente disponibles desde cualquier lugar, lo que significa que no es necesario instalar nada en los endpoints ni en la red.

Desde el punto de vista de los usuarios, los cambios son pocos. Navegan por la web como siempre: en su navegador preferido y en la red corporativa habitual. En un segundo plano, el tráfico de su navegador los redirige a nuestro dominio de producción, donde sus páginas web se aíslan en un navegador remoto cloud. Todo el contenido activo, como los scripts, se ejecuta aquí. Al navegador local del usuario solo se envía contenido HTML, CSS y estático seguro, como imágenes.

Proofpoint Browser Isolation es compatible con todos los navegadores web actuales, incluidos:

• Internet Explorer 11 en Windows 7, 8 y 10

• Edge en Windows 10

• Safari en macOS X

• Firefox en Windows 10, macOS X

• Chrome en Windows 10, macOS X


4

Integración con filtros webPodemos integrarnos con todas sus infraestructuras existentes, ya se trate de su proxy, gateway web o firewall, de sus filtros web de endpoints o de Proofpoint Email Protection y TAP. Los usuarios pueden registrarse en Browser Isolation de dos formas.

La primera consiste en acceder a nuestro dominio de producción con su navegador predeterminado. Puede enviar un enlace directo desde una dirección de correo electrónico corporativo dedicada o en una visita inicial a un dominio aislado.

La segunda es a través del espacio público de direcciones IP del dominio en la configuración de Browser Isolation. En este caso, todos los usuarios procedentes del espacio de direcciones configurado son enviados automáticamente al entorno aislado.

Una vez configurada, la empresa puede activar una página de bloqueo según la categoría del sitio web. La mayoría de los clientes prefieren reenviar directamente a los usuarios a un entorno aislado. Configuran la página de bloqueo como una "señal de tráfico" que permite a los usuarios saber que entran en un entorno aislado y por qué.

Arquitectura del servicioEl aislamiento funciona con varios servicios cloud mundiales y regionales.

Los servicios mundiales se encargan de las actividades relacionadas con usuarios y cuentas (identificación, presencia y datos personales) y del redireccionamiento de la geolocalización. Permiten que los usuarios de todo el mundo utilicen el sistema desde cualquier lugar; el tráfico se enruta desde el data center más cercano hasta el punto de salida local.

El servicio regional proporciona las funciones de aislamiento y salida. Funciona en varias ubicaciones para agilizar la experiencia del usuario. La configuración avanzada (modo de investigación) permite a los usuarios seleccionar de forma manual la geolocalización del servicio de salida remoto y especificar los encabezados HTTP y el servidor desde los que desean acceder a un sitio web.

Eficacia de la seguridadNuestras funciones de aislamiento adaptable se nutren de la inteligencia sobre amenazas que recopilamos del correo electrónico corporativo. Aislamos automáticamente las URL sospechosas de acuerdo con dos métodos de análisis predictivo. El primero es una comprobación de la reputación en la que el gráfico de amenazas Nexus de Proofpoint ayuda a determinar si una URL específica está incluida o no en nuestra lista de sitios maliciosos. Para ello combina nuestra plataforma de aprendizaje automático NexusAI, técnicas de detección avanzadas y la experiencia humana.

El segundo es nuestro análisis de amenazas, que envía el código HTML a nuestro motor estático para comprobar y determinar si la página es maliciosa. Durante todo este tiempo, la introducción de datos con el teclado está desactivada. Este mecanismo de control adaptable complementa a Proofpoint Email Protection y Targeted Attack Protection. Los usuarios pueden acceder e interaccionar plenamente con la mayoría de los sitios web. Cuando se trata de sitios web que los análisis iniciales consideran sospechosos, pueden ver el sitio en modalidad de solo lectura mientras se realiza un análisis de amenazas en profundidad en segundo plano. Si se detecta algún elemento malicioso, la sesión de navegación se marca y la página se bloquea para que ningún usuario pueda acceder a ella.

Aplicación de controles pormenorizados a grupos de usuarios existentesCon los cambios en el panorama de amenazas, no es necesario aislar a todo el mundo de los enlaces que reciben a través del correo electrónico corporativo. Intentar proteger a todos al mismo nivel y de la misma forma es costoso y genera molestias innecesarias a los usuarios de bajo riesgo. Email Isolation y Browser Isolation le ofrecen la posibilidad de adaptarse rápidamente a estas amenazas y modificar las políticas para los grupos de usuarios existentes. De este modo, la empresa entera disfruta de mayor granularidad. Todos los grupos de usuarios de Proofpoint Email Protection se añaden automáticamente a Email Isolation y Browser Isolation al configurar la política de aislamiento de URL. También es posible importar la lista de usuarios VIP del centro de usuarios y la lista VAP de TAP para configurar políticas de aislamiento aplicables a estos grupos en concreto. Esta flexibilidad de políticas le permite crear ajustes de aislamiento personalizados para grupos específicos y así dar a sus usuarios libertad para acceder a los sitios que deseen, todo ello mientras los protege de las URL no seguras y las amenazas basadas en la web.

NexusAI

Detección avanzada

Investigadoresde amenazas

Correlación automática de amenazas en

todos los vectores

Integración entre todos los productos

de seguridadde Proofpoint

Eficacia: detectar más y más rápido

Visibilidad centrada en las personas

Amenazas potencialesy conocidas

Pila de detección de Proofpoint

Gráfico de amenazas Nexus

de Proofpoint

Ventajas parala comunidadde Proofpoint

Información del gráfico de amenazas Nexus de Proofpoint.

Cuando es necesario, Email Isolation y Browser Isolation le ofrecen las funciones necesarias para modificar y aplicar con rapidez políticas de aislamiento pormenorizadas a grupos existentes con perfiles de alto riesgo. Al asegurar la protección adecuada de sus usuarios, contribuirá a reducir su superficie de ataque.

Registro de datosLa seguridad de los datos es nuestra prioridad. Por diseño, Email Isolation y Browser Isolation reducen al mínimo la recopilación de datos confidenciales e información de identificación personal.

• Las direcciones de correo electrónico se almacenan como valores hash y se utilizan como ID de usuario anónimo a menos que se solicite activamente el "modo no anónimo".

• Las cookies de los sitios del usuario se correlacionan con las ID de usuario anónimo (excepto en "modo no anónimo") y se almacenan cifradas en nuestra base de datos.

• El historial de navegación se correlaciona con las ID de usuario anónimo (excepto en "modo no anónimo") y se almacena cifrado en nuestra base de datos.

• Solo los administradores del cliente utilizan contraseñas para iniciar sesión en la consola de aislamiento (panel). Las contraseñas se convierten a formato hash con BCrypt.

ConclusiónLas tecnologías de Email Isolation y Browser Isolation refuerzan de forma inigualable su nivel de seguridad frente a las amenazas complejas que entran en su empresa. Esta plataforma de seguridad no solo impide la navegación de alto riesgo en la web, sino que también protege los datos que salen de la organización, impide las estafas por correo electrónico, y simplifica y automatiza las medidas de respuesta. Todo ello le permite dedicar su tiempo y sus recursos a lo que más importa. Reducimos la superficie de ataque de su empresa con un método seguro e integrable para que sus usuarios naveguen por Internet.

Destino realsin aislamiento

Clic

Página de bloqueo de la marca

Página de bloqueo de

la marca

Destino realsin aislamiento

Redireccionador

1. Comprueba la políticade grupos

2. Toma la decisiónde aislar

Proofpoint Protection

Server (PPS)

Módulode protección

de URL

Compruebala reputación.

Pone en cuarentena las amenazas conocidas.

Reescribe las URL.Las envía al usuario.

Entorno aislado

Gráfico deamenazas

Inteligencia de amenazas integrada

Reputación

Detecciónde malwarey phishing

en tiempo realEntorno aislado

1

4

5

2

3

Análisis de correo electrónico dephishing en tiempo real

URL reescrita en mensaje de correo electrónico entrante según las rutas y los dominios de la política.

Un usuario hace clic en una URL que se reenvía al redireccionador de TAP. La política de redireccionamiento puede ajustarse en función de la pertenencia al grupo de usuarios de aislamiento de Proofpoint.

El usuario es redirigido al entorno aislado. El sitio web se abre de forma segura y al endpoint solo se envía contenido pasivo.

a. Se desactivan las cargas y descargas.

b. Se aplican restricciones dinámicas de entrada y detección de phishing en tiempo real.

c. Aquí puede crearse una política para desactivar la introducción de datos con el teclado hasta que el entorno aislado indique que no hay riesgo.

Opción de salir del entorno aislado cuando el análisis en entorno aislado considera el sitio seguro. El usuario continúa navegando con normalidad.

1

2

3

4

5

¿Qué ocurre cuando alguien hace clic?

ACERCA DE PROOFPOINT

Proofpoint, Inc. (NASDAQ:PFPT) es una compañía líder en ciberseguridad y cumplimiento de normativas que protege el activo más importante y de mayor riesgo para las organizaciones: las personas. Gracias a una suite integrada de soluciones basadas en cloud, Proofpoint ayuda a empresas de todo el mundo a detener las amenazas dirigidas, a salvaguardar sus datos y a hacer a los usuarios más resilientes frente a ciberataques. Compañías líderes de todos los tamaños, entre las que se encuentran más de la mitad del Fortune 1000, confían en las soluciones de Proofpoint para su seguridad centrada en personas y su cumplimiento regulatorio, mitigando los riesgos más críticos en sus sistemas de correo electrónico, cloud, redes sociales y web. Encontrará más información en www.proofpoint.com/es.

©Proofpoint, Inc. Proofpoint es una marca comercial de Proofpoint, Inc. en Estados Unidos y en otros países. Todas las marcas comerciales mencionadas en este documento son propiedad exclusiva de sus respectivos propietarios.

MÁS INFORMACIÓNPara obtener más información, visite proofpoint.com/es.

1203-001-01-02 12/20


http://www.proofpoint.com/es

http://proofpoint.com/es/products

proofpoint email isolation y browser isolation

Documents