Con la Cloud, el IoT, el incremento de los dispositivos conectados, y el trabajo remoto, ha aumentado la superficie por la que una empresa puede ser atacada, por lo que la seguridad del endpoint es cada vez más relevante. Desde ITware Latam hablamos con Juan Marino, Cybersecurity Sales Strategy Manager at Cisco, sobre el tema.
Con la Cloud, el IoT, el incremento de los dispositivos conectados, y el trabajo remoto, ha aumentado la superficie por la que una empresa puede ser atacada, por lo que la seguridad del endpoint es cada vez más relevante. Desde ITware Latam hablamos con Juan Marino, Cybersecurity Sales Strategy Manager at Cisco, sobre el tema.
“Cuando hablamos de seguridad en el endpoint, nos referimos a todos los controles, tecnológicos mayormente, que podemos implementar en el dispositivo final, generalmente con el que interactúa un usuario. Digo generalmente porque podría ser también una máquina, una HMI, una Human Machine Interface, que es una que está entre una red operativa en un ámbito de factura y un operador, que sería un usuario especializado”, comienza Marino explicando lo que actualmente se puede definir como endpoint.
Luego remarca una razón fundamental para su protección. Y aunque suene contra intuitivo, no es porque el endpoint en sí mismo sea el objetivo, sino porque es parte de una cadena de ataques, y el ciberdelincuente necesita entrar ahí para poder moverse a otro lugar. Es por ello que “Proteger ese endpoint es una de las misiones clave para tratar de evitar la proliferación de un ataque”.
El desafío ante un límite cada vez más expandido
Las empresas se enfrentan hoy al desafío de que el límite del edge se ha expandido, cada vez se usa más la Cloud, se afirma el teletrabajo, se incrementan las redes IoT, se suman dispositivos nuevos muchas veces no securizados, y hasta no hay un debido control de todo lo que suma un endpoint.
“Hay una serie de transformaciones, de tendencias, que estamos viendo que desafían la protección del entorno”, dice Marino, que agrega que tendencias como el BYOD (Bring your own Device) hay vuelto con el teletrabajo y la proliferación de dispositivos nuevos, y las empresas muchas veces no tienen la capacidad de gestionarlos, cuando por seguridad y administración se requiere instalar un perfil empresarial en los mismos.
“Entonces se busca como un tradeoff, la empresa puede tocar un poquito mi dispositivo para protegerlo, pero no deja de ser mío, y yo hago más o menos lo que quiero. Hay que encontrar ese balance, que no es tan simple porque implica una serie de políticas, procesos y tecnologías para hacer esto posible. Entonces esa es una de las grandes cuestiones”, comenta el directivo.
Para Marino otra cuestión importante a tener en cuenta es que ha cambiado el lugar donde está el dato. Y eso se debe a la migración hacia la nube y la descentralización de las aplicaciones y servicios. Es por ello que señala que seguridad pasa a ser una especie de servicio o de control que se disponibiliza en muchos lugares.
“Puede estar en el medio del camino en la red, puede estar como un servicio propio de la nube, o puede ser un software que tengo instalado en el endpoint, entonces es una combinación”, agrega. Pero al mismo tiempo sostiene que como que la tensión se está yendo para distintos lugares, se sobrevaloran otras cosas, y las empresas se olvidan de que el endpoint tiene que seguir siendo protegiendo.
Entonces recomienda por lo menos tener una protección básica sobre el endpoint de la mano de un anti-malware, o, en la medida de lo posible, un EDR (Endpoin Detection Response), que es una solución más avanzadas, que trascienden solamente el tema de firmas, sino que empiezan a mirar otras cosas, como por ejemplo cómo las aplicaciones usan procesos de memoria, qué tráfico se está generando como consecuencia del uso de las aplicaciones, y que salten las alarmas cuando pasan cosas que no deberían suceder.
Entran allí también entonces tecnologías como inteligencia artificial, machine learning y telemetría, o soluciones como Secure Traffic Analytics en las redes.
Cuáles son las amenazas más importantes
Para Marino la amenaza que más preocupa a las empresas hoy en día en el ransomware y todo lo relacionado con la extorción digital, la encriptación e indisponibilización de la información del dispositivo comprometido, y la extorsión posterior.
Y la razón principal del problema del ransomware es que se ha masificado, cada día le es más fácil a un ciberdelincuente armar ataques de este tipo, porque cada vez están más disponibles y accesibles en el mercado ilegal, como la darkweb.
“Yo puedo ser cualquier inexperto y digo quiero hacer plata con el cibercrimen. Bueno, me descargo una forma de malware, busco una base de datos de usuarios y contraseñas que ya fueron robados en algún ataque del tipo phishing, y yo elijo enviarles un mensaje a todos esos usuarios de correo, y puede ser con ese adjunto que tiene el malware, o con un link que me lleva a algún lugar donde se descargan el malware, y sí logró infectar a una porción de esas víctimas, puedo cobrar parte de eso en bitcoins. E inclusive, como esto es una cadena de valor, yo puedo pagarle un porcentaje al que me dio las herramientas para poder dar servicio”, explica Marino.
Y recalca que lo que no hay que perder de vista es que hoy los ataques siguen un patrón, lo que se denomina cadena del ataque, en donde antes de que te infecten con ese ransomware, probablemente alguien envió un correo con un phishing y robó credenciales, y con esas credenciales lograron meterse en una empresa.
Qué puede hacer una empresa para proteger su endpoint
Si miramos y nos vamos 10 años para atrás o 15 años para atrás, ya existía seguridad de endpoints: se llamaba Antivirus, y por ahí se agregaba un firewall, comenta Marino. “Entonces, en estricto rigor, casi todos tienen alguna forma de protección de endpoint con un antivirus, sea gratis o pago. El problema es que se genera un cambio generacional en la tecnología. Por eso se empezó a hablar del Next Generation Todo, next generation antivirus, next generation firewall, etcétera”, agrega el directivo.
Es por ello que hoy, si una empresa protege el endpoint con un antivirus tradicional, es lo mismo que nada, porque lo que van a bloquear efectivamente es muy trivial, por lo que hay que evolucionar dejando atrás esa tecnología con una de protección más avanzada. Y según Marino para muchos eso genera la falsa idea de que se está protegido porque se tiene algo, pero en realidad no sirve.
“Por otro lado, es porque hay tantas cosas nuevas. Se habla del Cloud Security, del Application Security, del Network Security, de lo que sea Security, que la atención y la inversión se diluye entre distintas cosas. Ahí es donde una empresa, sea grande, mediana o pequeña, necesita a alguien que lo oriente y defina prioridades realistas para su contexto”, explica Marino
Por ejemplo, una PyME difícilmente arme un SoC, pero debería contemplar tener adjunta una buena solución de backup, o integrar soluciones como seguridad por DNS, o implementar segundo factor autenticación y proteger el core business con una validación robusta de identidad, detalla el directivo.
Por otro lado, hay que ver caso por caso. Y nuevamente en una PyME, el implementar soluciones de seguridad, el problema es la capacidad de llevarlos a la práctica, porque no tienen el foco en eso, no tienen gente, el talento. Por eso contemplar adquirir un servicio gerenciado de seguridad también es una opción viable.
“Eso recién se está empezando a ver en nuestras latitudes un surgimiento de empresas del ecosistema de partners que se dieron cuenta que hay que dar un servicio, que el producto solo no es la solución. Y ahí yo creo que vamos a empezar a ver cada vez más frecuentemente empresas que con productos muy simples te dan un servicio gestionado y te pueden dar hasta proactivamente una cierta alerta. Mira, te está pasando esto, cuidado, para poder corregir. Porque si no hay corrección tarde o temprano tendríamos la empresa sufriendo alguna brecha por no hacer lo que tiene que hacer”, sostiene Marino.
“Hay una tendencia ahí de la que me parece que recién estamos empezando a ver los primeros pasos. Nosotros como vendedor, como Cisco, tenemos productos que son la panacea para poder construir un servicio. Si yo fuera un partner que da servicios de seguridad, agarró un producto de Cisco, como Umbrella, que es seguridad por DNS, se lo vendo a una PyME, y le doy un servicio donde automatizadamente le puedo ir mostrando cómo protegerse, te puedo dar recomendaciones. Eso es lo que necesita una empresa pequeña o mediana”, expresa el directivo.
Dicho esto, Marino recomienda dos estrategias básicas que una empresa debe implementar en su camino a la seguridad. Una es el uso de “multifactor authentication”, que no es una tecnología nueva, pero si recién ahora está yendo mainstream, y todos están empezando a ver cómo incorporarlo.
Cada vez más servicios, sobre todo las redes sociales, el email y demás, la van adoptando, «pero más allá de que lo actives en distintas cosas por separado, a nivel empresa, a nivel corporativo, hay soluciones que te permiten controlar de una forma más centralizada cómo los usuarios acceden a distintas aplicaciones de negocio y cómo es implementar los mecanismos de control”, apunta Marino
Luego incluye la seguridad por DNS, “porque en el balance de efectividad y simplicidad no hay nada como eso. La única manera de tener un control más universal es que puedas en todos los endpoint, móviles y dispositivos de escritorio, implementar seguridad por DNS, que significa que cuando intentan salir a Internet hay una validación del dominio, que no sea el dominio malicioso, y evitar que se ejecuten un montón de ataques que terminarían en un ransomware o pueden terminar en una filtración de datos o cualquier otra cosa”, incorpora el directivo.
Las soluciones de Cisco
En Cisco hablan de cuatro dominios para armar su porfolio de seguridad: Usuario/endpoint es uno, luego está la red, la nube es el siguiente, y las aplicaciones son el cuarto dominio.
Remitiéndonos al primero, ahí tenemos lo que llaman Cisco Secure Endpoint, que es ni más ni menos que una protección de endpoint de nueva generación, llamado genéricamente como EDR (endpoints detection response), que es un software que corre el endpoint, y que va a combinar una cantidad de técnicas para detectar la gran mayoría de los malos conocidos usando hashes, y comportamientos sospechosos usando conceptos como inteligencia artificial. Esta es la que se denomina última línea de defensa, o sea, cuando las cosas ya llegaron al endpoint, y lo que se quiere es evitar que haga algo malo, y se bloquea su ejecución.
Pero eso hay que complementamos con la llamada primera línea de defensa, que es cuando el endpoint sale a conectarse a Internet. Y esto es Cisco Umbrella, que como su nombre lo indica es como un paraguas que cubre cuando cualquier cosa intenta conectarse a Internet.
Y finalmente Cisco Duo, que es la validación de identidad del usuario mediante tecnología multi-factor. En este caso hay varias formas de autenticación, pero Marino señala que la que casi todos prefieren el Push Authentication: que llegue un mensaje para apretar el botón verde o rojo en el teléfono, y d esta manera reconocer que fue un usuario válido, y dar o no el permiso
Finalmente agrega una cuarta, que es tradicional y también corren en el endpoint, que es el cliente de VPN. “Eso existe desde hace mucho tiempo y sigue siendo muy importante, porque una de las formas de tener más control de cómo se accede a las aplicaciones y servicios es poder justamente tunelizar hacia un sitio central y que todos los controles estén en ese sitio central. Entonces hoy las empresas están un poco transición entre mantener esa centralización, donde hay más control, y empezar a dejar que cada uno acceda directo a Internet y aplicar controles distribuidos, lo cual es un cambio de arquitectura”, señaliza Marino.
Conclusiones y mensaje final
Marino destaca que hay dos grandes problemas hoy en día. Uno es que el cibercrimen prolifera cada vez más porque funciona, es lucrativo, es factible, es impune, entonces se dan todas las condiciones para para que eso siga creciendo. Pero el segundo tema es que la solución, que son los productos de seguridad, a su vez crearon un nuevo problema: que una empresa tiene 20 productos de seguridad diferentes y eso repercute sobre la efectividad, que sigue siendo parcial o baja. Y sobre ellos tienen que lidiar con su costo operativo.
“Lo que nosotros decimos como fabricante, y con este abordaje amplio, es que el futuro que estamos viendo, y a lo que apostamos, es que no podés seguir lidiando con 50 cosas distintas, tenés que construir una plataforma en donde los elementos de esa plataforma, que protegen los cuatro dominios que dijimos antes, sea de la menor cantidad de fabricantes diferentes, y esto no lo digo sólo yo, lo dice Gartner. Porque sino es inmanejable, y al final, como la seguridad no puede ser puntual, no hay ningún ataque avanzado que lo bloquees en un solo lugar, tenés que correlacionar los cuatro dominios para darte cuenta de lo que te está pasando, la única manera real que hoy existe para hacer esto es como una plataforma integrada. Y esa integración hoy no existe si la querés lograr entre 10 fabricantes distintos”, delinea Marino.
“Hablando de un SoC, el monitoreo sirve si hay alguien monitoreando, la tecnología sola no hace nada. Entonces hoy la mayoría de las empresas están en un estadío en donde no pueden lidiar con esto y aparece el concepto de “socketless”. No me sirve tener gente ahí sentada mirando, lo que necesito es un nivel de automatización claro, para que sólo me enteré de las cosas en las que realmente tengo que actuar. Separar la paja del trigo. Y para esto necesitas integración. Y la integración entre muchos fabricantes no existen, no es llevada a la práctica. Todos dicen que se puede, pero no se puede. Es más, las empresas compran un SIEM (Security Information and Event Management), la plataforma que consolida todo y te dicen no, acá esto es un gran embudo donde tú colectas todo lo que te dicen todos tus productos y acá vas a ver en una pantalla a la realidad. No es así, tener que invertir horas y horas para ver qué haces con toda esa información del SIEM. Entonces, como eso no fue suficiente, apareció otro concepto nuevo, el SOAR, Security Orchestration Automation Response. ¿Qué hace?, trata de hacer funcionar lo que no hace funcionar al SIEM. Pero seguimos tratando de arreglar un problema de heterogeneidad de productos, que no se puede resolver así de fácil”, concluye Marino.
No hay comentarios:
Publicar un comentario