'Los servicios de threat hunting se van a convertir en una capacidad clave para las compañías' (Álvaro Fernández, Sophos)

Mucho ha evolucionado el mundo de la seguridad endpoint. Protagonistas absolutas de los antiviruvs y antimalware (AV/AM) que empezaron a aparecer en los años ’90 con motores de detección de firmas, las soluciones de seguridad evolucionaron hacia la detección heurística, o de patrones, para dar pie a una detección basado en comportamiento. Los AV/AM han evolucionado hasta los EDR (Endpoint Detection and Response), han pasado de detectar a responder, y empiezan a dar el siguiente paso en su evolución: MDR, o Managed Detection and Response, añadiendo una capa de servicios.

“Nosotros hemos evolucionado muy bien”, dice Álvaro Fernández, Enterprise, Executive para Sophos Iberia, “porque no hemos cogido nuestra consola de antivirus y la hemos subido a la nube, sino que hemos creado desde cero una nueva consola nativa en el cloud y sobre eso hemos construido la solución de Intercept X con EDR que es perfecta para protegerse frente los ataques más sofisticados del momento”.

La protección de nueva generación y el EDR ofrecen mucha información, muchas capacidades de visibilidad y de investigación que son extremadamente útiles para las empresas, pero que requiere contar con gente, con expertos de ciberseguridad, y de ahí surge una nueva evolución, que son las propuestas de MDR y que en el caso de Sophos se llama MTD (Managed Threat Response).

Hacer de la detección y respuesta un servicio ofrecido desde el fabricante es una oportunidad para los integradores que en este momento no dispongan de los recursos tanto económicos como humanos. De esta manera a través del servicio de Sophos MTR pueden dar este servicio clave a sus clientes. Explica Álvaro Fernández que no hay que comparar un MDR con un servicio de seguridad gestionado ofrecido por un MSSP puesto que son cosas distintas, digamos que un servicio de MSSP tradicional pasa por gestionar los firewalls, extraer los logs de los firewalls y de otras fuentes de la organización para consolidarlas y hacer un servicio de monitorización y operación de los diferentes elementos de ciberseguridad; “ahí nosotros no entramos, el servio de MTR es un servicio proactivo de búsqueda de amenazas ocultas y la respuesta necesaria para mitigar la amenaza”, asegura Álvaro Fernández al tiempo que explica que lo que se está viendo es que “hay una necesidad por parte de los clientes y de los partners de este tipo de servicios de Threat hunting sobre las plataformas EDR”. Menciona el servicio de threat hunting, que “se va a convertir en una capacidad clave para las compañías” y que requiere no sólo de la tecnología, sino también de un equipo humano experto que pueda hacer esa caza de amenazas. Y esos perfiles, son escasos y difíciles de retener. “Los fabricantes de ciberseguridad tenemos suerte de poder contar con estos perfiles al igual que los provedores especilistas de servicios de ciberseguridad”.

Esta situación es la que ha llevado a algunos fabricantes, entre ellos a Sophos a ofrecer servicios de threat hunting a través de Sophos MTR, servicios “que ponemos a disposición de nuestros clientes y aquellos partners que quieran ofrecerlo”. Asegura Álvaro Fernández que los MDR no son una competencia y que mientras que a un fabricante le es fácil escalar ese tipo de servicios, a un partner le cuesta más y “se puede apoyar en nosotros para continuar dando servicios de MDR a otros clientes suyos”.

Todo el mundo habla de threat hunting, de detection and response, de managed detection and response, dice el ejecutivo de Sophos. Es cierto que se ha convertido en tendencia, y son muchas las empresas que lo ofrecen, pero, en opinión de Álvaro Fernandez, es importante que las empresas tengan más conocimiento de la oferta, profundicen en los detalles. “Para nosotros Threat Hunting es una investigación dirigida por humanos de eventos causales o adyacentes, y que a través de esa investigación son capaces de detectar indicadores de compromiso (IOC) o indicadores de ataque (IOA) y que previamente la tecnología existente no era capaz de detectar”.

Es decir, la investigación detecta un ataque oculto y esta es una capacidad que las empresas necesitan en un momento en que los ataques son cada vez más sofisticados y la única forma de detectarlos es contar con un equipo de gente experta, de threat hunters, que estén haciendo continuamente esa monitorización e investigación para buscar comportamientos.

Asegura Álvaro Fernández que la tecnología está muy bien, que hay que tenerla y apoyarse en ella, “pero por detrás hay que poner experiencia e intuición humana y especialidades en ciberseguridad para detectar ese tipo de amenazas”. Y lo que está ocurriendo es que muchas empresas que trabajan con un EDR están recopilando mucha información pero no tienen las capacidades de hacer threat hunting y búsqueda de amenazas. “Si hace diez años sería impensable que una empresa no tuviese antivirus, y hace dos años que no tuvieran un anti ransomware, dentro de poco, será muy complicado vivir sin unas capacidades de threat hunting”, asegura Álvaro Fernández.

Sophos MTR

No ha pasado un año desde que Sophos lanzara su servicio MTR, que incluye el servicio de Threat Hunting, y por otro lado la respuesta que se da frente a una amenaza. Explica Álvaro Fernández que para algunos la respuesta es una mera notificación de una amenaza previamente validada con una serie de recomendaciones para hacerle frente, pero “nosotros somos capaces no sólo de hacer esa notificación, sino también de dar ir un paso más allá, de dar una respuesta que puede ser colaborativa porque se coordina la respuesta con el cliente y un partner, o puede ser en un modo autorizado por el que nosotros tomamos las acciones necesarias para responder a esa amenaza para después informar al cliente de lo que ha pasado”.

Se trata de un servicio diferencial que ha hecho que menos de un año después de haber sido lanzado, el servicio cuente ya con 1.000 clientes a nivel mundial, “y las previsiones son que crezca mucho más”.

De cara al canal asegura Álvaro Fernández que los partner están contentos con el servicio “porque es algo que antes no podían ofrecer a sus clientes, bien porque no se quería meter en ese negocio o porque les era muy complicado montar este servicio, pero ahora lo pueden dar a través de Sophos”.

¿Qué tipo de partner y cliente está accediendo a este tipo de servicio? Las grandes empresas suelen contar con suficientes recursos como para montarse su propio SOC con su SIEM, sus analistas, y su EDR con expertos en caza de amenazas, “y como tienen esos recursos, no lo externalizan”. El perfil tipo de este tipo de servicios, asegura Álvaro Fernández es una empresa mediana - pequeña, que no tiene un servicio de 24x7 de seguridad o de operativa IT y que realmente tiene un problema si sufre un ataque porque no tiene forma de responder a ello.

Y en cuanto al perfil del partner perfecto, explica el ejecutivo de Sophos, que hay mucho MSSP que están más metidos en la parte de gestión, de operativa, “pero no tanto en este tipo de servicios tan verticales y específicos de seguridad”. Este tipo de partner, asegura, podrían ofrecer el servicio, aunque reconoce que serían los menos. “La gran mayoría de los partners que se dedican a revender soluciones, hacer consultoría de seguridad o incluso pentesting, hay ciertas áreas que no tienen cubiertas, como puede ser el dar como un servicio el threat hunting, que es muy útil para sus clientes”.

Rapid Response

Dentro de la oferta de Sophos MTR se ha publicado recientemente un servicio de Rapid Response que lleva en pruebas desde hace unos meses. Asegura Álvaro Fernández que, “desgraciadamente” está teniendo muy buena acogida porque se recurre a él cuando una empresa sufre un incidente grave de seguridad y necesita apoyo externo; el servicio busca restablecer y hacer que vuelva a la vida normal esa compañía.

Lo que ha visto la compañía es que cuando las empresas sufren un incidente grave de seguridad, se produce una situación de nerviosismo, desorientación, estrés… y “nosotros entramos para poner un poco de orden, señalar por dónde empezar a trabajar”. Se trata de un servicio que dura 45 días “no tiene costes ocultos y está disponible para cualquier compañía que lo necesite”.

Rosalía Arroyo