'Lo que cambia radicalmente el panorama es el análisis por comportamiento y no basado en firmas' (Carbon Black)

“Ha sido un año muy interesante”, responde Javier Cazaña, Regional Sales Manager Iberia at VMware Carbon Black. Con una larga experiencia en el mercado de seguridad, donde ha ocupado puestos en McAfee, Trend Micro, F-Secure o Sealpath, Javier Cazaña se convirtió en el country manager de Carbon Black en julio de 2019. Apenas dos meses después VMware compró la compañía, y Cazaña se incorporó a una empresa internacional con una facturación anual de 10.000 millones de dólares que hace tiempo que se expande más allá de la tecnología de virtualización que le hiciera famosa.

Este contenido salió publicado en el número de Septiembre de la revista IT Digital Security disponible desde este enlace.

Ha sido un año muy interesante en el que ha primado el mensaje de Seguridad Intrínseca, la principal razón por la que VMware compra Carbon Black.

Empecemos por el principio: Carbon Black es, junto con otro puñado de empresas, una de las que gesta el concepto de EDR (endpoint, detection and response) para la protección del punto final más allá de los antivrus/antimalware tradicionales. Entre las ventajas de esta compañía, una gran capacidad de análisis de patrones de comportamiento que puedan afectar a la seguridad y que permiten aumentar la visibilidad de lo que ocurre dentro de las empresas. En opinión de Javier Cazaña, Carbon Black no sólo refuerza la seguridad del endpoint, sino que su tecnología se integra en soluciones orientadas al mundo del datacenter, de las aplicaciones, de contenedores o de nube permitiendo, sin agente, “poder proteger todos esos entornos y aumentar el rendimiento con una implementación increíblemente sencilla, y dando visibilidad de todos esos movimientos también a nivel de red”.

Carbon Black no ha sido sino una más de las grandes adquisiciones de VMware para reforzar su apuesta por la seguridad. Las últimas han sido las de Lastline, Datriun o True Visibility Suite, algo que según Cazaña, contenta a los partnes de la compañía. “Estamos construyendo un portfolio de nueva generación que cualquier compañía que quiera revisar su plan integral de seguridad va a poder utilizar”, asegura el responsable de VMware Carbon Black, añadiendo que entre las ventajas destaca que la propuesta de la compañía permite concentrar tecnologías, “porque uno de los grandes problemas que estamos viendo es que las compañías tienen muy diversificado su portfolio de seguridad interno”.

La nueva generación propone una visibilidad absoluta analizando todos los procesos y comportamientos para accionar una serie de protecciones automáticas; “es decir, ponemos sobre la mesa uno de los debates más importantes, que no es otro que la automatización de la seguridad, el poder prever lo que necesita la compañía mediante una investigación continua que te permite aprender de manera constante”.

Next Generation es un concepto que ha acompañado a muchas tecnologías. Hace ya tiempo que se habla de next generation firewall, de next generation endpoint o incluso de un next generation DLP. Para Javier Cazaña la siguiente generación de seguridad se basa en varias cosas: “para mí es la protección proactiva con la nube”. Añade el experto que lo que cambia radicalmente el panorama es el análisis por comportamiento y no basado en firmas capaz no sólo de detener una amenaza sino ofrecer la información adecuada a través de una herramienta muy fácil de utilizar, “tanto como para que temas como el Threat Hunting, que es una de las metodologías más duras y difíciles de entender, puedan automatizarse”. La seguridad de nueva generación, asegura Javier Cazaña es la protección en streaming, protección extremo a extremo desde un único agente que te va a ocupar menos de un 1% de la capacidad de tu máquina”.

Por otra parte, la telemetría, la capacidad de recoger información de todos los procesos que se realizan en las máquinas, adquiere un papel fundamental que, según Cazaña, “hasta ahora no se estaba tomando en cuenta”. El último punto de esa seguridad de próxima generación es la integración con terceros. Asegura Javier Cazaña que el paradigma ha cambiado y que ahora es fundamental integrarse y poder compartir información con el resto de soluciones de seguridad que tiene el cliente. La propuesta de VMware Carbon Black es colocar un EDR Enterprise que se integre con lo que haya y contar con toda la parte de visibilidad para que, el día que el cliente se plantee el cambio a una nueva tecnología de nueva generación podamos, desde el mismo agente y activando una licencia, ofrecerle esa protección por comportamiento, sin firmas de una manera más eficiente y rápida.

Los secretos de un EDR

EDR es la próxima generación de la seguridad endpoint. Hace tiempo que se habla de ellos aunque estén lejos de haberse implantado de manera generalizada. El antivirus tradicional sigue triunfando mientras empresas como Carbon Black llaman la atención de gigantes tecnológicos, otras como SentinelOne o Crowdstrike retan a los fabricantes tradicionales, y unas cuantas, más conocidas en otros segmentos de mercado, proponen su propia solución de seguridad endpoint avanzada, como pueden ser un Palo Alto, Check Point o incluso Qualys.

Preguntamos a Javier Cazaña cuál es la diferencia. Inicia la respuesta asegurando que “marketing está haciendo un gran trabajo”, y que lo primero que hay que tener en cuenta con las propias siglas: Endpoint, Detection and Response. “Si hablamos de EDR hablamos de visibilidad”, asegura; “hablamos de recoger toda la información, todas las ejecuciones que se están produciendo en una máquina, llevarlas a la nube, a una herramienta que te permita trabajar con toda esa información de una manera inteligente. A eso hay que añadirle análisis por comportamiento”, explica Javier Cazaña aclarando que un EDR de primer línea es aquel que no filtra la información, que cada una de las ejecuciones de lo que está pasando en la máquina es registrada en algún punto, y que además es capaz de proveer ese mapa para ver de dónde procede cada una de esas conexiones y cómo se está produciendo el ataque para que tú puedas ir aprendiendo; por otro lado, la herramienta tiene que permitir, en un momento dado, hacer esa búsqueda proactiva de amenazas a través de Threat Hunting, pero de la manera más fácil. Es decir, tenemos que ser capaces también de buscar la eficiencia en cuanto a los recursos humanos”.

A la hora de escoger recomienda Cazaña que las empresas, “por la potencial crisis que puede venir, tienen que enfocarse en la concentración de tecnologías, en proveedores que tengan un roadmap potente y sólido hacia el futuro”.

Una de las cosas que cambian radicalmente cuando te vas a nueva generación es que hablamos de despliegues súper automáticos. Que desde un mismo agente seas capaz de poner ese antivirus de siguiente generación y que mañana tengas más presupuesto y te plantees añadir remediación, una pieza de auditoría continua, o instalar un módulo porque ahora resulta que he conseguido que mi equipo se forme para hacer algo de Threat Hunting para mejorar así las capacidades de mi compañía, es algo que podemos ofrecer”, asegura el directivo de VMware.

Creciendo hacia…

Temas tan de moda como el IoT o la seguridad industrial no han salido aún a relucir. ¿Hacia dónde crecerá Cabon Black? “He aprendido que la visión de VMware es la protección de cualquier dispositivo, en cualquier tipo de entorno… el famoso ‘Any cloud, Any App, Any Device’ que VMware lleva defendiendo algún tiempo”, y esa misma visión es la que se aplica a Carbon Black “para enriquecer su propia estrategia”.

Cerramos la entrevista preguntado a Javier Cazaña si cree que la crisis sanitaria va a modificar los hábitos de compra de seguridad en el próximo año. Tiene claro que después de haberse hecho frente a la máxima prioridad, que era asegurar el teletrabajo, “llega una revisión del Plan Director de Seguridad”.

Asegura que sobre la mesa hay muchos contratos que renovar y nuevas soluciones de próxima generación que tendrán su oportunidad; “vamos a ver una grandísima inversión y verdaderas sorpresas en el cambio de proveedores de seguridad en los clientes finales”, asegura, porque están viendo que debido al incremento de ataques más complejos ya no están tan protegidos.

“Yo creo que la inversión va a ir a proteger esos vectores de ataque desde el endpoint a técnicas muchísimo más avanzadas, como es el comportamiento”, dice Javier Cazaña, añadiendo que para los partners augura un incremento en servicios de calidad y que por lo tanto van a necesitar muchos analistas e ingenieros capacitados que sean capaces de interpretar esa información para poder asesorar de una manera mucho más eficiente a esos clientes.

Finaliza añadiendo que hay que elegir fabricantes que tengan una solidez financiera y que sean capaces de presentar un plan que soporte no solamente una buena calidad de asesoramiento sino que sean flexibles en un momento dado ante una crisis.