Los pasados 14 y 16 de marzo tuvo lugar en Barcelona y Madrid, respectivamente, un nuevo encuentro del espacio RESPUESTAS SIC, en esta ocasión, para abordar el gran reto que supone la protección del endpoint, dada su inexorable evolución hacia dispositivos móviles cada vez más versátiles y dispersos en la red que hacen necesaria una nueva aproximación a las estrategias de seguridad de las compañías que complementen a los tradicionales sistemas basados en firmas, como los antivirus, con tecnologías avanzadas de prevención, detección y respuesta ante amenazas cada vez más sofisticadas. Para ello, el encuentro contó con un solvente panel de expertos en la materia que, junto con las propuestas de las compañías patrocinadoras –Check Point, Intel Security, Palo Alto Networks, Panda Security, SentinelOne, Symantec y Trend Micro- trasladaron a la nutrida asistencia valiosas aportaciones técnicas, prácticas y tecnológicas que, sin duda, marcarán un nuevo horizonte en la protección del punto final.
Sesión de Madrid
El endpoint o puesto de trabajo es un viejo campo de batalla que sigue generando fuertes quebraderos de cabeza a los departamentos de seguridad dada la exponencial evolución y sofisticación de las amenazas cibernéticas, así como la propia transformación del puesto de trabajo que ha ido cambiando conforme han ido apareciendo nuevos dispositivos móviles. Esta situación está provocando que el concepto de puesto de trabajo ya no esté vinculado a una ubicación física determinada ni a unos parámetros con un denominador común y se adhieran a él mayor complejidad y nuevos vectores de ataque.
La acción de los tradicionales sistemas EPP basados en firmas -software malicioso, troyanos, adware y un largo etcétera de amenazas conocidas-, y que popularizó a los antivirus, así como la protección que adosan los cortafuegos y otros dispositivos de seguridad de red, sin duda, ya no es suficiente. La evolución hacia la seguridad avanzada del endpoint sin firmas, con entornos heurísticos, reputación de aplicaciones, sandboxing, etc., son grandes pasos en firme hacía nuevas estrategias de seguridad del punto final, pero a día de hoy, también se hace necesario tener en cuenta en dicha estrategia una seguridad integrada en los procesos de negocio de las empresas, las cuales, se apoyan cada vez en los servicios gestionados que ofrecen los MSSPs.
Con todo, se hace necesario ir más allá y replantearse las funcionalidades más adecuadas y ventajosas que deberían de tener las soluciones y los servicios de seguridad del endpoint para prevenir, detectar y bloquear el malware avanzado y evitar pérdidas de los datos críticos corporativos. Por este motivo, el primer Respuestas SIC del año se ha querido dedicar tanto al complejo estado del arte como al futuro de la protección del punto final.
Javier Fernandez Martin
El gran experto en ciberseguridad Javier Fernández Martín, fue el encargado de abrir el evento para ofrecer a la audiencia las “Claves para un enfoque correcto” de la seguridad del endpoint, focalizándose especialmente en el implacable desarrollo del Internet de las Cosas (IoT) desde su más amplia acepción. Para Fernández, “nos encontramos en una fase crítica de un proceso de transformación digital que es imparable -ya que así lo solicita el negocio-, que nos dirige hacía el IoT, un entorno que va a provocar que los vectores de riesgo crezcan de forma exponencial, con amenazas contra las infraestructuras, contra las aplicaciones y, especialmente, contra los datos, que es dónde reside el corazón del negocio”. De acuerdo con este reputado profesional, hay que considerar el IoT como un endpoint más. “Aunque a diferencia de los puestos de trabajo tradicionales, estos nuevos dispositivos no están gestionados, ni monitorizados, ni parcheados y, además, las nuevas generaciones ya se integran con tecnologías de aprendizaje de máquina capaces de extraer numerosos patrones del usuario haciendo que el mercado de tráfico de datos se este frotando las manos”, alertaba. Por este motivo, Fernández lanzó un mensaje claro: “es vital prevenir, detectar, y remediar, con especial foco en la primera: la prevención”. “Hay que ser predictivo versus reactivo y, para ello, no hay una tecnología única, ni una única aproximación válida”, puntualizaba.
Sesión de Madrid
Es este sentido, Fernandez explicaba que no solo hay que tener en cuenta la parte de protección del endpoint sino, también, su integración con otras herramientas existentes y su adecuación a los criterios tecnológicos, económicos y políticos de la compañía. A ello, hay que sumarle el necesario proceso de verificación e, incluso, de re-verificación, a la hora de adoptar servicios gestionados de seguridad del endpoint. Y es que, para este reputado profesional, “hay jugadores muy consolidados pero también hay mucho humo” dentro de un marco donde es muy importante el conocimiento de las tecnologías pero, también, su alineación con los procesos de negocio y las personas. Por lo tanto, “es clave elegir un proveedor o socio adecuado que combine de forma efectiva esas tres cosas”. Además, “es fundamental pensar en servicios apoyados en herramientas de última generación y que evolucionen regularmente en conformidad con los requerimientos del negocio; buscar soluciones basadas en modelo Opex, ofertadas en modelo SaaS y si es posible en modalidad mensual; validar al proveedor y a la solución en POC no intrusiva y de duración acotada; analizar la arquitectura en la nube y on premise, así como los mecanismos de despliegue del agente, entre otros elementos. Y es que, cualquier brecha a la seguridad del endpoint pueden causar un gran impacto económico y reputacional a los negocios”, sentenciaba.
Sesión de Barcelona
Tras la ponencia magistral de Fernández, los representantes de las siete compañías patrocinadoras, todos ellos reconocidos expertos con amplia trayectoria en el sector, cogieron el testigo para presentar a la audiencia las nuevas propuestas tecnológicas que están apareciendo a tenor de la importancia de contar con una estrategia de seguridad del endpoint eficaz y consistente, que complemente a los sistemas basados en firmas, como los antivirus, los cuales, aún siguen siendo necesarios pero no suficientes. Así pues, Eusebio Nieva, Director Técnico de España y Portugal de Check Point, fue el encargado de dar el pistoletazo de salida a esta segunda parte de las jornadas.
Eusebio Nieva
Para el directivo la aparición de nuevos puestos de trabajo requiere una nueva forma de abordar su protección. Aunque, “para nosotros, el antivirus no está muerto”, declaraba Nieva. “Únicamente, hace falta complementar sus capacidades para poder abarcar todas las nuevas amenazas que se están generando”, puntualizó. En este sentido, para Check Point una estrategia de seguridad solvente en los puestos de trabajo se compone de tres procesos fundamentales: prevención, detección y respuesta. Para prevenir los nuevos ataques cibernéticos, entre sus amplia gama de soluciones, la firma propone nuevas tecnologías como Threat Emulation and Extraction y Check Point Anti-ramsonware. Para la fase de detección, posee herramientas como Check Point Zero-Phishing, la cual, bloquea sitios web de phishing además de proteger la reutilización de credenciales corporativas en sitios web no corporativos, incluyendo la ingeniería social. Asimismo de cara a ofrecer respuesta a un ataque perpetrado “proporcionamos otras herramientas complementarias para identificar y aislar el host infectado, observando que el endpoint tiene un comportamiento fuera de lo normal, además de identificar los bots”, concluía Nieva.
Carlos Muñoz Sesión de Madrid
Tras la intervención de Nieva llegó el turno de Carlos Muñoz, Director Técnico de España y Portugal de Intel Security, para quien también existen tres aspectos básicos de una buena arquitectura de seguridad: la protección del endpoint tradicional (EPP); la detección de aquello que no tienen firmas conocidas; y finalmente, las herramientas de detección y respuesta (EDR), junto con las capacidades de resiliencia de una compañía. Para este experto “es muy importante unificar las tecnologías y todos los elementos de gestión para poder adosar nuevas capacidades de protección del endpoint y tener una arquitectura de seguridad consistente”. En este sentido, la estrategia de la compañía se basa en una aproximación orientada a plataformas, entre las que destaca Dynamic Endpoint Platform, dentro de la cual, se distinguen las soluciones Real Protect, basada en técnicas de aprendizaje de máquina; tecnologías de Contención Dinámica de Aplicaciones (DAC), reducción del greyware evitando que realice acciones maliciosas en el sistema mientras se realizan análisis de detección de actividad; así como McAfee Threat Intelligence Exchange Server, una herramienta que analiza y protege globalmente de forma automática e instantánea.
Jesús Díaz Sesión de Madrid
Por su parte, Jesús Díaz, Ingeniero de Sistemas Senior en Palo Alto Networks, aderezó el encuentro dando un tinte ‘revolucionario’ a la jornada. Y es que, para esta compañía “es necesario llevar a cabo una revolución en la seguridad del endpoint porque a día de hoy las soluciones tradicionales son poco útiles o insuficientes”, comenzaba batallando Díaz. Para este experto, una solución para el punto final robusta debe ser capaz de trabajar tanto frente a las amenazas desconocidas como las conocidas, de modo online y offline, así como en la nube y en la propia infraestructura del cliente. Además, los fundamentos críticos para que esta revolución ocurra han de focalizarse en la prevención -la detección y respuesta son secundarios-, integrada con el threat intelligence. En este sentido, el secreto de la propuesta de Palo Alto reside en analizar las técnicas utilizadas por los atacantes, lo que permite tener muchas oportunidades de detectar patrones de exploits a los que la gran mayoría de los atacantes recurren, buscando la prevención en los fallos lógicos. Con esto en mente, “construimos nuestra plataforma de protección compuesta por un cortafuegos denominado WildFire. A ello, se le une Mindment, para compartir inteligencia y entender y aprender del malware que han detectado otros. Y, la solución Traps, que hemos desarrollando específicamente para la seguridad del endpoint”, finalizaba Díaz.
Raúl Pérez
Tras la propuesta de Palo Alto, subió al estrado Raúl Pérez, Global Presales Manager de Panda Security, que hace 7 años decidió dar una vuelta de tuerca a su negocio y comenzó a gestar un proyecto con base en la nube que, en la actualidad, está reportando gran éxito a la compañía a través de su disruptiva propuesta Adaptive Defense, una plataforma integrada de seguridad para dispositivos, aplicaciones, datos y usuarios centrada especialmente en lo desconocido. “Hemos invertido mucho tiempo en darle color a la seguridad del puesto de trabajo, clasificando todo el goodware del planeta así como las aplicaciones de los clientes, descartando los ficheros desconocidos y siendo capaz de catalogar el greyware mediante reglas específicas y reconocimientos automáticos en malware o goodware”, describía Pérez. De esta forma, la firma española ha conseguido que “el 99,82% de los procesos se analicen de forma automática a través de sistema de catalogación de big data apoyado en un analista de datos para no tener ningún gap y evitar así las brechas de seguridad actuales”.
Adaptive Defense ofrece, por tanto, una protección avanzada contra el software malicioso en un sistema en nube complementada por una herramienta de reporting denominada Advanced Reporting Tool, a través de la cual ofrece visibilidad de todas las aplicaciones de la compañía siendo capaz de identificar cualquier anomalía en ellas.
Patrice Puichaud
A continuación, llegaba el turno de Patrice Puichaud, Director Senior e Ingeniero de Sistemas en SentinelOne, una compañía nacida hace tan solo cuatro años -en enero de 2013- en Israel cuya aproximación ha removido el marcado de la seguridad del endpoint con una nueva propuesta basada en la protección unificada en tiempo real, a través de una solución que analiza el comportamiento de las aplicaciones del usuario y del endpoint, alejándose de la protección de los antivirus clásicos.
“En SentinelOne realizamos procesos de prevención a través de listas blancas y negras con un servicio de reputación en la nube. El segundo lugar, analizamos los ficheros a través de un proceso de protección estática y de machine learning. Lo interesante de esta fase de detección de ataques es que no utilizamos un motor de comportamiento en el punto final en tiempo real, sustituyendo los procesos tradicionales de sandboxing. Por último, ofrecemos capacidades de respuesta con mitigación, remediación, así como rolback de ficheros, auto-inmunización y cuarentena de red en Windows, Mac y Linux”.
La compañía ofrece esta solución en modalidad en nube u on premise y cuya confianza es tal que “ofrecemos a nuestros clientes una garantía de ramsonware de hasta un millón de dólares”, concluía retando Puichaud.
José Carlos Cerezo
A continuación, José Carlos Cerezo, EMEA Threat Protection Product Lead de Symantec, cogió el testigo para profundizar en el hecho de que es perfectamente compatible ser tradicional e innovador en una compañía como Symantec, que desde hace años posee reconocidos mimbres en la protección del endpoint, moviéndose en diferentes frentes y ofreciendo una visión holística de la misma. En la actualidad, Symantec posee tecnologías de protección de nueva generación, con nuevas capacidades para aumentar la prevención y la detección, así como funcionalidades de machine learning, inteligencia de amenazas en la nube y capacidades de integración y orquestación con diferentes tecnologías. “Por ejemplo, con Intelligence Threat Cloud hemos cambiado el uso de firmas a través de la comprobación de ficheros sospechosos en la red de inteligencia de Symantec a la que, después de la compra, se ha unido recientemente la de Blue Coat”, explicaba Cerezo. Precisamente, las tecnologías de Blue Coat, especialmente aquellas dirigidas a la seguridad de la red, marcarán el devenir de las soluciones de seguridad del punto final de Symantec adosando mayor protección al endpoint. “En el futuro, nuestro concepto se centrará en la plataforma Cyber Defense Platform donde destaca la integración con las tecnologías de Blue Coat, como por ejemplo, su Proxy SG-SEP 14, lo que nos permitirá juntar el mundo del perímetro con el mundo del endpoint de Symantec, compartiendo la telemetría del punto final con la protección de la red y viceversa”. Y es que, “ahora Symantec es más que un antivirus”, terminaba sentenciando Cerezo.
José de la Cruz
Finalmente José de la Cruz, Customer Service Manager en Trend Micro, cerraba el turno de la industria con la propuesta de Trend Micro, que ha dado un paso adelante al implementar la seguridad XGen. Se trata de una mezcla de técnicas multi-generacionales, tales como análisis de comportamiento, protecciones avanzadas de ransomware, protección contra exploits, aprendizaje de máquina, prevención de intrusiones y control de aplicaciones para combatir las ciberamenazas del mañana. En este sentido, de la Cruz explicaba que la seguridad XGen aplica de forma inteligente la tecnología correcta en el momento adecuado, creando una protección más eficaz frente a una completa gama de amenazas conocidas y desconocidas. Para ello, la firma se apoya además, en una buena base de datos que en Trend Micro se traduce en la Smart Protection Network, la cual, se alimenta de la Global Threat Intelligence y de nuestros investigadores, para proporcionar un sistema de machine learning muy fiable. “Con todo nuestro objetivo es reducir el numero de falsos positivos y aportando visibilidad al cliente”, concluía de la Cruz.
Tras las respectivas ponencias, los representantes de los principales fabricantes de la industria atendieron a una serie de cuestiones planteadas por la audiencia que quiso ahondar sobre la importancia de las nuevas técnicas de aprendizaje de máquina para aumentar las capacidades de las soluciones de prevención y detección de amenazas en el punto de trabajo. En este punto, todos los fabricantes recalaron en la capacidad del machine learning como una tecnología que ayudará sobremanera a luchar contra nuevas mutaciones y desarrollos de las ciberamenazas, dando mayor precisión a la protección del puesto de trabajo gracias especialmente al análisis de comportamientos y a sus capacidades para identificar y predecir qué es lo que podría ocurrir en una determinada empresa.
Sesión de Madrid
Otra de las reflexiones surgidas tuvo que ver con el imparable desarrollo del IoT y la necesidad de encontrar una fórmula para poder gestionar y proteger estos dispositivos de forma adecuada. Para ello, los asistentes se mostraron partidarios de diferenciar entre el IoT de consumo y aquel que afecta a las infraestructuras críticas tanto de las empresas, como de los estados. En este sentido, los participantes en el estrado aludieron a llegada de las nuevas normativas, que está obligando a los operadores a disponer de la seguridad adecuada. En el mundo de consumo, por su parte, sería necesaria conseguir una estandarización con protocolos más seguros, aunque se insistía en que “sin normativa ni concienciación, van a haber problemas seguro”, como bien explicó Eusebio Nieva.
Sesión de Barcelona
A raíz de este debate, surgió el importante papel de los integradores y su capacidad para ofrecer ofertas de gestión del punto final. Para todos los fabricantes, “el integrador es la parte más valiosa de la cadena de valor y creo que están preparados para absorber estas nuevas tecnologías y ofrecérselas a sus clientes”, como bien indicaba José Carlos Cerezo. No obstante, para Raúl Pérez, “es importante que todas las tecnologías que se vayan desarrollando adquieran cierta madurez para poder entregárselas con mayor garantía a los clientes”. En este sentido, José de la Cruz añadía que “los fabricantes tenemos una responsabilidad compartida por un lado, de formarlos y por parte de los integradores, de conocerlas”. No obstante, Cerezo terminaba alertando que “no todos los proveedores están preparados de igual forma”. Por este motivo, “es importante que se revisen y se verifiquen a los proveedores” como apuntaba de forma acertada Javier Fernández en la apertura del evento.
Ambas sesiones concluyeron con la visión que dos expertos de empresas usuarias tienen de los escenarios actuales en los que la protección de los puestos de trabajo es vital, así como de las necesidades y limitaciones que les surgen a la hora de abordar este reto.
Alejandro Ramos y Mario Trotta, en la sesión de Barcelona
Así, Mario Trotta, IT Security Manager de Securitas Direct, rompió el hielo abordando los principales problemas con los que se encuentra a la hora de modernizar y asegurar la protección de los endpoints. “El principal escollo empieza con que, actualmente, las soluciones siguen siendo pura tecnología y nos resulta complicado adaptarlas a los procesos de negocio y a las particularidades de cada empresa: trabajamos muchos con integradores y operadores especialistas en seguridad y tenemos que estar en permanente contacto solicitando su ayuda y colaboración”, afirmaba Trotta. Una problemática que no posee de igual manera Alejandro Ramos, Global Chief Information Security Officer en Telefónica, ya que “nosotros, afortunadamente somos integradores para nosotros mismos, lo que nos da un valor añadido del conocimiento más especializado”. No obstante, existe un problema común a todas las empresas y es “la dificultad de poseer el presupuesto necesario”, afirmaba Ramos.
Sesión de Barcelona
Por otro lado, ambos directivos coincidían en la importancia del rendimiento de las soluciones propuestas como uno de los principales retos. Algo poco comentado por los fabricantes. Y es que a pesar de que se están creando mejores soluciones también, “los agentes cada vez son más pesados, más complejos y poseen más funcionalidades, incluso, observamos que, irónicamente, tienen más vulnerabilidades a pesar de que se desarrollan para protegernos; esto hace que a veces, ciertas capacidades se nos pongan en contra”, reflexionaba Ramos.
Numerosos asistentes plantearon sus dudas a los participantes
Para finalizar, surgió otra cuestión muy importante para evitar que el puesto de trabajo se convierta en un peligroso vector de riesgo: la concienciación del usuario. En este sentido Trotta ahondaba en la importancia de abordar este reto estableciendo una estrategia de formación y concienciación dependiendo del tipo de personal al que va dirigida, “ya que si tienes un departamento con alto índice de rotación es prácticamente inútil y debería de hacerse lo más simple posible; algo completamente diferente si se dirige a otro tipo de empleados más estables y con diferentes roles”. Ramos, en cambio, no cree en la concienciación como tercera capa de seguridad sino como “la última capa de la seguridad porque, para Ramos, el hecho de que una amenaza cibernética llegue al usuario significa “que todo lo demás ha fallado”. SIC