Los piratas informáticos maliciosos se están volviendo cada vez más creativos con las técnicas que utilizan para ingresar a las redes para robar datos y causar estragos, pero su medio principal para abrir esa puerta se ha mantenido bastante constante. El correo electrónico es, con mucho, el punto de entrada más popular para configurar y ejecutar phishing, ransomware y otros vectores de ataque, causando daños por unos $ 2.4 mil millones en 2021 solo para interacciones de correo electrónico comercial en los Estados Unidos, según un Informe del año pasado del FBI.
Hoy, una startup llamada seguridad sublime emerge del sigilo con un nuevo enfoque colectivo para resolver este problema: ha creado una plataforma y un lenguaje específico de dominio (DSL) para investigadores y gerentes de operaciones de seguridad, aquellos que defienden las redes, para escribir, ejecutar y compartir reglas entre sí para detectar y bloquear la amplia gama de amenazas de correo electrónico más (y menos) comúnmente transmitidas.
La startup con sede en Washington, D.C. ha estado funcionando en versión beta privada durante más de un año, y durante ese tiempo ha atraído a una serie de grandes clientes multinacionales que van desde organizaciones gubernamentales hasta empresas como Spotify, así como una lista de… esperando otros 2.500. Ahora, a medida que avanza hacia la disponibilidad general, también anuncia $9.8 millones en financiamiento.
Decibel lidera la ronda, con la participación de Slow Ventures y varias personas del mundo de la ciberseguridad, incluidos Sounil Yu (el creador de Cyber Defense Matrix y DIE Triad); el creador de Snort y Sourcefire, Martin Roesch; los CISO veteranos Jerry Perullo y Michael Sutton; los fundadores de Demisto, Rishi Bhargava y Slavik Markovich; el fundador de Lookout, Kevin Patrick Mahaffey; y el fundador de Phantom Cyber y Pangea, Oliver Friedrichs.
Sublime cubre vectores como malware, ransomware, phishing de credenciales, suplantación de identidad VIP y phishing de devolución de llamada. Su código se puede aplicar a los sistemas de correo electrónico empresarial Microsoft 365 y Google Workspace, así como ejecutarse en cuentas individuales a través de IMAP. Et en plus de son utilisation la plus basique – la sécurité des e-mails entrants – Sublime peut être utilisé pour collecter et analyser les tendances des menaces contre une organisation, bloquer des domaines entiers, exécuter des exercices de sécurité pour la conformité et la formation , y aún más.
El producto principal es de uso gratuito cuando se aloja de forma independiente. La versión alojada, Sublime Cloud, se factura después de los primeros 10 buzones. Los clientes empresariales también pagan cuando se autohospedan pero desean servicios de soporte y monitoreo.
Joshua Kamdjou, quien cofundó Sublime con Ian Thiel, dijo en una entrevista que primero se le ocurrió la idea de la puesta en marcha basada en el trabajo que estaba haciendo para el Ministerio de Defensa, donde comenzó a trabajar como un hacker de «sombrero blanco». cuando todavía estaba en la escuela secundaria.
Allí aprendió sobre las técnicas que utilizan los hackers maliciosos con los correos electrónicos de phishing.
«Los atacantes constantemente encuentran nuevas formas de eludir las defensas», dijo, el problema es que la mayoría de esas defensas se basan en configuraciones de seguridad implementadas por proveedores de seguridad únicos, un enfoque de «caja negra» en sus palabras. Cuando los piratas informáticos aplicaban nuevas técnicas, era responsabilidad de los proveedores lanzar parches y actualizaciones en sus sistemas para reflejarlas.
Pero luego surgirían nuevas técnicas, y así sucesivamente, creando retrasos y lagunas en la protección. “El vendedor es el cuello de botella”, dijo. En sus propias pruebas, Kamdjou aplicó una técnica de phishing un mes, luego volvió un mes después, «y el problema seguiría ahí».
Kamdjou vio la oportunidad de crear una solución aprovechando el conocimiento colectivo y las prácticas de trabajo de los desarrolladores. Viniendo del mundo de la piratería y la codificación, usar servicios como GitHub para rastrear y contribuir a proyectos estaba en su ADN. Aplicó este modelo de crowdsourcing a cómo Sublime rastrearía y haría crecer su propia base de datos de vectores y enfoques de amenazas.
Para ser claros, Sublime no es de «código abierto» y Thiel y Kamdjou dijeron que todavía estaban deliberando sobre qué aspectos, si es que había alguno, podrían convertirse en código abierto en el futuro. Pero toma prestada parte de esa filosofía. El equipo de Sublime escribió alrededor de dos tercios de las reglas de la base de datos de Sublime, un tercio de las cuales fueron proporcionados por la comunidad, dijo Thiel.
Luego, las organizaciones individuales toman sus propias decisiones sobre cómo personalizar su propia seguridad de correo electrónico, cuáles de estas reglas aplicar y cuáles omitir, dando a los clientes mucho más poder. Este ha sido su punto de venta hasta ahora.
«Sublime brinda a los equipos de detección la capacidad de recuperar el control de la bandeja de entrada del correo electrónico», dijo Dan Nguyen-Huu, socio de Decibel, en una entrevista. «DSL impulsado por la comunidad significa que todos sus clientes hablan el mismo idioma, comparten reglas y están en mejores condiciones de remediar», dijo. «Significa que pueden unirse para luchar contra el enemigo común». El enfoque adoptado es único en el mercado, agregó.
“Los defensores conocen sus redes mejor que nadie, pero no los armamos como comunidad”, dijo Kamdjou. También es la cantidad de otros productos de seguridad no relacionados con el correo electrónico que funcionan. YARA para binarios, Sigma/EQL para registros, Snort/Suricata para redes, osquery/EDR para puntos finales, Semgrep para análisis estático son algunos de los ejemplos citados por Kamdjou.
Curiosamente, la cantidad de contribuyentes hasta ahora solo ha sido una pequeña fracción de la cantidad total de usuarios que Sublime tiene actualmente.
«Es un poco como Twitter», dijo Kamdjou. «La mayoría no tuitea, solo lee, y parece que nuestro modelo será similar con solo una pequeña cantidad de reglas de escritura y el resto las encontrará útiles».
Twitter es una analogía adecuada por otra razón: Thiel dijo que Sublime creció en gran medida de boca en boca, y muchas de esas palabras se intercambiaron en esa plataforma social en particular. «Infosec vive en Twitter», dijo.
Con nuevas herramientas como la IA generativa que representa formas potenciales de aumentar el volumen de correos electrónicos más sofisticados y convincentes, puede ver por qué y dónde tendría sentido acelerar la forma en que los propios usuarios finales podrían identificar y responder a estas amenazas. Esto podría generar más contribuyentes y un mayor uso de Sublime con el tiempo; lo que será interesante observar es cómo y si los modelos de IA también comienzan a aplicarse para generar más defensas.