Implementar y Mantener Protecciones Antimalware en el Servidor de Correo
Descripción
Implementar y mantener protecciones antimalware en el servidor de correo electrónico, como escaneo de adjuntos y/o sandboxing.
Lista de Verificación de Implementación
Herramientas Recomendadas
Gateway web seguro nativo en la nube con inspección en línea, filtrado de URL, sandboxing y DLP para tráfico web
Zscaler · Suscripción por usuario
Plataforma de firewall de próxima generación con políticas conscientes de aplicaciones, prevención de amenazas, filtrado de URL y SD-WAN
Palo Alto Networks · Dispositivo + suscripción
Plataforma DLP y CASB nativa en la nube que proporciona protección de datos en línea para SaaS, IaaS, web y endpoint
Netskope · Suscripción por usuario
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Entrega de Malware de Día Cero mediante Adjuntos de Correo
IntegridadEl malware novedoso que aún no ha sido firmado por proveedores de antivirus llega como adjuntos de correo, y sin sandboxing del lado del servidor y análisis de comportamiento los adjuntos maliciosos llegan a las bandejas de entrada de los usuarios y se ejecutan al abrirlos.
Malware Evasivo que Evade Escaneo de Correo Basado en Firmas
ConfidencialidadEl malware polimórfico o metamórfico adjunto a correos evade la detección basada en firmas en el servidor de correo, requiriendo capacidades de análisis de comportamiento y sandboxing que no están desplegadas, permitiendo que la carga llegue a los endpoints.
Explotación de Documentos Armamentizados mediante Correo
ConfidencialidadLos documentos cuidadosamente elaborados que explotan vulnerabilidades de aplicaciones (como Follina, CVE-2023-21716 u objetos OLE embebidos) pasan a través de servidores de correo sin inspección anti-malware que detectaría el comportamiento de explotación en un entorno sandbox.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Solución Anti-Malware ni Sandboxing en el Servidor de Correo
El servidor de correo carece de protección anti-malware dedicada con capacidades de sandboxing, dependiendo únicamente del antivirus de endpoint para detectar adjuntos maliciosos después de que ya han sido entregados a las bandejas de entrada de los usuarios.
Anti-Malware de Correo Limitado a Detección Basada en Firmas
La protección del servidor de correo usa solo escaneo basado en firmas sin análisis de comportamiento ni sandboxing de detonación, omitiendo amenazas de día cero, malware polimórfico y exploits sofisticados basados en documentos que requieren análisis dinámico.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Informes de escaneo de vulnerabilidades que muestren el alcance y los hallazgos | Por ciclo de escaneo |
| Registro | Seguimiento de remediación de vulnerabilidades con métricas de cumplimiento de SLA | Mensual |
| Técnico | Estado de implementación de anti-malware y estadísticas de detección | Mensual |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |