'Los IDS aún existen por una sola razón, y se llama checkbox' (ExtraHop)

ExtraHop es un proveedor de seguridad y monitorización de redes que en 2018 lanzó Reveal (x) una solución NDR, con la que ganó presencia en el mercado rápidamente. Dice también Gartner en su estudio Market Guide for Network Detection and Response que las capacidades de detección de ExtraHop aprovechan una combinación de técnicas, incluidos los controles basados ​​en reglas y en la reputación, pero también combinan el aprendizaje automático supervisado y no supervisado para detectar anomalías y desviaciones de los comportamientos normales de la red.

Este contenido salió publicado en el número de Abril de 2021 de la revista IT Digital Secutity. Descárgatela.

Christian Buhrow, el responsable de ExtraHop en las regiones de DACH e Iberia, nos cuenta que los ataques avanzados son cada vez más inteligentes y complejos, y esto significa que “las herramientas que necesitas para detenerlos y para detectarlos también tienen que ser más complejas”. Añade el directivo que ha habido un cambio, una evolución tecnológica en las herramientas de seguridad que se utilizan en las empresas. Apunta a que desde hace más de diez años los SIEM han sido la única tecnología capaz de recoger datos de la infraestructura de las empresas, “de recoger esos log files y extraer sentido de ellos”; en cuanto a los antivirus, “no eran muy inteligentes, solamente podían detectar una firma de algún malware que ya era conocido” y no utilizaban análisis de comportamiento o de anomalías; del mismo modo los IPS o los IDS, “que tienen todas las empresas, no valen para mucho porque lo único que hacen es comparar firmas de ataques conocidos. Nunca van a poder detectar un ataque Zero Day”. Asegura Christian Buhrow que se necesita más y que la parte que te permite tener visibilidad total de lo que pasa en una empresa es el análisis de tráfico, “una tecnología que tiene cuatro o cinco años, muy novedosa, que se ha desarrollado mucho en los últimos dos, y que pocas empresas conocen”.

NDR, ¿sustitutos o complementarios?

Los NDR, ¿sustituyen alguna tecnología de seguridad que tiene las empresas, como los IPS o IDS, eliminando así parte del stack de seguridad que tienen las empresas? Empieza respondiendo Christian Buhrow que no sustituyen ni a los SIEMS ni a las soluciones de seguridad endpoint.

Las soluciones antivirus han evolucionado hacia lo que se conoce como EDR (Endpoint Detection and Response), soluciones más inteligentes, con conexión a la nube y, lo más importante, “añaden la parte de análisis de comportamiento y anomalías que le faltaban a los antivirus”. El NDR también es una evolución, “podrías denominarlo el Next Generation IDS, porque va mucho más allá”.

En el mundo del EDR, los nuevos jugadores del mercado están evolucionando su oferta de producto para, además de dar la solución de detección y respuesta, aportar también una solución de antivirus, que no por no ser avanzados han dejado de utilizarse porque, como se dice en el mercado “siguen parando mucha morralla”. La complejidad que tienen que afrontar los responsables de ciberseguridad, que necesitan tanto el AV/AM como el EDR está haciendo que los fabricantes de antivirus tradicionales estén desarrollando EDRs (como es el caso de Bitdefender, Sophos, Trend Micro, Kaspersky, Panda… y tantos otros) y los fabricantes de EDR están añadiendo a su oferte un AV/AV, como es el caso de Crowdstrike. ¿Podemos suponer una evolución parecida en el mercado de visibilidad de red y que ExtraHop incluya en su oferta un IDS?

“Precisamente la compañía está a punto de lanzar una gran campaña hablando de Next Generation IDS”, responde Christian Buhrow, añadiendo que “los IDS aún existen por una sola razón, y se llama Checkbox” y que la estrategia a media plazo es que los NDR sustituyan a los IDS.

Zero Trust + NDR = Zero Trust v.2.0

Está de moda ahora hablar de Zero Trust y de SASE (Secure Access Service Edge), un modelo y una arquitectura que buscan dar un nuevo impulso a la ciberseguridad. ¿Cómo encaja NDR en este tipo de conceptos? Dice el directivo de ExtraHop que a primera vista no parece haber relación porque el modelo Zero Trust se basa en dar acceso a la red únicamente a los usuarios, dispositivos o aplicaciones autenticados; “pero la debilidad de Zero Trust es que una vez que estás dentro del castillo te puedes mover y hacer todo lo que quieras”, dice haciendo referencia al NIS SP 800-207, una recomendación de esta directiva para ampliar las capacidades de Zero Trust al advertir que “el Zero Trust como lo tenemos montado no es suficiente. Necesitamos también una monitorización continua”.

Dice Buhrow que hasta ahora saber qué hacen esas identidades, aplicaciones o dispositivos una vez han sido autenticados “no ha sido un parte de Zero Trust”, pero que esto es, precisamente, lo que hace ExtraHop: ver cada movimiento, ver exactamente qué hace cada dispositivo, cada usuario, qué hacen en cada momento, con qué aplicaciones trabajan, con quién comunican y qué transacciones se realizan dentro de la red. Es, en opinión del directivo, la versión 2.0 de Zero Trust

ExtraHop en España

En España ExtraHop trabaja de la mano de Ingecom, su mayorista exclusivo con el que se trabaja en dos vías, por un lado educando el mercado, a los clientes, porque el NDR “es una tecnología novedosa”, y por otra parte buscando integradores que se comprometan a trabajar con ExtraHop.

A estos integradores se le pide que entiendan que NDR “es una tecnología clave para el futuro”, que “somos la mejor opción en este mundo del NDR”, y que se comprometan a desarrollar mercado junto con nosotros. Dice también Buhrow que el mensaje de NDR en España está más avanzado que en otros países como Suiza, Austria o incluso Alemania. La clave está en le red, asegura, añadiendo que las operadoras han hecho un buen trabajo en nuestro país.