‘El desarrollo de las ciudades inteligentes y el crecimiento de IoT generarán un panorama de amenazas mucho más agresivo’ (NetWitness)

  • Entrevistas

Karim Abillama,  Netwitness

A mediados de octubre NetWitness anunciaba el nombramiento de Karim Abillama como Presales Director International Business, de Netwitness, una compañía propiedad de RSA que ofrece detección y respuesta ante amenazas complejas. Abillama, que ha trabajado con RSA durante casi una década, ha jugado un papel clave a la hora de impulsar la agenda de innovación de NetWitness en áreas que incluyen la seguridad de Internet de las cosas (IoT), la adopción de usuarios y trasladar las demandas del mercado al equipo de productos de NetWitness.

NetWitness proporciona soluciones de monitorización de red para organizaciones comerciales y gubernamentales a nivel internacional. La compañía toma su nombre de un producto desarrollado a mediados de los ’90 por CTX Corporation, para ayudar a los analistas a comprender mejor los grandes volúmenes de datos de red. CTX Corporationfue adquirida en diciembre de 2002 por ManTech International Corporation y es en noviembre de 2006 cuando NetWitness Corporation se separa de Mantech y decide llevar su tecnología de análisis de redes al mercado mundial, más allá del entorno gubernamental en el que se estaba moviendo.

Este contenido salió publicado en el número de Noviembre de 2021 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

Centrada en productos para respaldar un profundo conocimiento de la situación de la red en tiempo real y una respuesta ágil, la compañía anunció el julio de 2010 el producto NetWitness Visualize y se convirtió en la empresa privada de seguridad empresarial de más rápido crecimiento. El 1 de abril de 2011, EMC Corporation adquirió NetWitness por un precio estimado de entre 450 y 500 millones de dólares, para integrar sus productos en la división de seguridad de EMC, RSA Security: además de combinar NetWitness con RSA enVision SIEM, RSA Professional Services introdujo los servicios de Respuesta a Incidentes (IR) basados ??en NetWitness.

Las inversiones de RSA añadieron nuevas capacidades de análisis de registros y redes y en 2014 el producto se rebautizó como RSA Security Analytics, para renombrarlo en 2016 como RSA NetWitness Suite. Por cierto, en 2012 NetWitness adquirió Silicium Security y su producto Enterprise Compromise Assessment Tool (ECAT), que cambiaría su nombre por el de NetWitness Endpoint, y permite detectar anomalías basadas en endpoints.

En 2018 NetWitness adquirió Fortscale, una empresa pionera en análisis de entidades y comportamiento del usuario (UEBA). Se agregó Security Orchestration, Automation & Response con NetWitness Orchestrator. Sobre la base de los cimientos de NetWitness, la evolución de UEBA y SOAR introdujo la propuesta RSA NetWitness Platform, una solución integral de detección y respuesta de amenazas y SIEM evolucionado. En 2020, NetWitness lanzó IoT Security Monitor, un servicio en la nube para monitorizar y alertar sobre dispositivos y sistemas de Internet de las cosas. La integración con NetWitness agrega un vector de visibilidad importante para los dispositivos basados en IP.

En esta entrevista hablamos con Karim Abillama, Director de Preventa del Negocio Internacional de NetWitness, sobre amenazas, puntos ciegos o el futuro de la seguridad.

¿Qué tipo de amenazas son las que más preocupan a las organizaciones?

Es innegable que se están produciendo diversas campañas de ataques de estados-nación contra infraestructuras críticas, no solo en Europa, sino a nivel mundial. Aunque en una estrategia de ciberseguridad el intercambio de información sobre amenazas y la ciberresiliencia son dos elementos claves, aún queda mucho por avanzar, sobre todo en el primer aspecto. Por ello, las empresas, sobre todo las que gestionan infraestructuras críticas, deben centrarse en aspectos como la visibilidad.

No se puede proteger lo que no se percibe, y dado que hay muchos puntos ciegos y brechas de datos que no se detectan, la visibilidad es clave. Un ataque o una violación de datos puede tener consecuencias muy perjudiciales, tanto en lo que atañe a la reputación como a la infraestructura; el daño o destrucción de un servicio crítico afectaría a toda la población.

¿Hay algún problema que esté viendo sistemáticamente en las empresas?

Hay dos escenarios claramente definidos: el de las organizaciones que son conscientes de sus puntos ciegos y necesitan ayuda - urgente- para obtener visibilidad sobre ellos, y las que no los conocen y, por esa razón, se enfrentan a riesgos mayores. La falta de visibilidad, los puntos ciegos, impiden a los Centros de Operaciones de Seguridad (SOC) detectar e investigar eficazmente las amenazas. La falta de visibilidad no se circunscribe únicamente a las TI, sino que se extiende a los entornos OT e IoT, que se enfrentan a una plétora de riesgos y exposición a los ciberataques.

¿En qué deben centrarse realmente las empresas para una gestión inteligente de las amenazas y las operaciones de seguridad?

Principalmente deben centrarse en dos medidas: adelantarse rápidamente a la detección de amenazas y ser capaces de responder ágilmente a dichas amenazas. Para conseguirlo, las organizaciones no solo necesitan un marco sólido detrás de los procesos de seguridad, sino también el conjunto de herramientas adecuado. Hasta ahora, muchas de ellas han invertido en controles de ciberseguridad y preventivos que no les han librado de ser vulneradas, por lo que ahora deben centrarse en una plataforma de detección y respuesta a las amenazas realmente evolucionada, en la que puedan analizar los datos.

Tener todos los datos de la red disponibles (incluso puntos finales enriquecidos con el contexto empresarial, inteligencia sobre amenazas… ya sea en la nube o en las instalaciones) en una ubicación central es fundamental para que los equipos de seguridad puedan darles sentido, aprovechando los análisis incorporados actualmente en las plataformas.

Karim, usted trabaja con personas de muchos sectores verticales, como la administración pública, la sanidad y la banca. ¿Cuáles son los retos que intentan superar los profesionales de la seguridad? 

Además de la “fatiga de alerta”, causada por las tareas manuales repetitivas y la necesidad de saltar continuamente entre herramientas dispares, hay también un problema de escasez de habilidades a nivel mundial. A menudo, un analista o un equipo pequeño no está capacitado o no tiene el conjunto de habilidades adecuado para reconocer y analizar patrones sospechosos. Por ello, las organizaciones se apoyan cada vez más en tecnologías como la de NetWitness para solventar ese problema: ¿cómo detecto y percibo si está ocurriendo algo malo y cómo respondo rápidamente? Las plataformas adecuadas de detección de amenazas y de automatización y respuesta de las operaciones de seguridad (SOAR) pueden hacer más fácil y eficiente la vida de los analistas en el campo.

¿Por qué la plataforma NetWitness también es adecuada para las necesidades de seguridad de las entidades gubernamentales?

No es de extrañar que los gobiernos sean extremadamente sensibles a la seguridad, ya que históricamente han sido muy a menudo objeto de ataques. Al igual que otras organizaciones que quieren ser proactivos frente a las amenazas, estas entidades también buscan herramientas de investigación y análisis forense que les proporcionen una gran cantidad de datos para ayudarles a detectar, analizar y responder eficazmente a las amenazas. Es una cuestión de seguridad nacional.

Al trabajar con los gobiernos o con cualquier industria, un elemento diferenciador clave para nosotros ha sido la combinación de la herramienta y la experiencia. Si proporcionas la herramienta al cliente, pero no el equipo que hay detrás de ella, no les ofreces el verdadero valor de tu producto. La experiencia técnica de nuestros equipos de respuesta a incidentes y caza de amenazas ha podido demostrar a los clientes el verdadero valor de NetWitness.

¿Cómo pueden estas industrias, gobiernos e infraestructuras construir una sólida estrategia de gestión de amenazas, por dónde se empieza y cuáles son los pasos esenciales?

No hay una línea de salida única; cada organización comienza su viaje en un punto diferente. No obstante, para que la hoja de ruta sea eficaz, se debe comenzar con una evaluación adecuada basada en riesgos para después identificar los distintos peligros que podrían afectar a esos activos. Tras ello, es importante entender -en un sentido amplio- el panorama de amenazas que podría afectar a la organización, identificando primero “las joyas de la corona”, los activos más importantes, para luego cuestionarse, ¿cuál podría ser el objetivo de la empresa desde el punto de vista de la gestión de amenazas?

A continuación, se deben crear las capacidades necesarias para identificar las vulnerabilidades de seguridad e identificar a las personas, procesos y tecnología necesarios para una estrategia adecuada de detección y respuesta a las amenazas. Este plan puede empezar a crearse abarcando la visibilidad, las capacidades de análisis e investigación en toda la empresa, la remediación, la orquestación y la automatización. Obviamente, hay diferentes maneras de concebir la estrategia, ya que algunos clientes comienzan a buscar marcos globales para iniciar su viaje estratégico.

Mirando hacia el futuro, ¿cómo será la ciberseguridad?

El desarrollo de las ciudades inteligentes y el crecimiento de IoT generarán un impulso tecnológico, pero también una mayor sofisticación por parte de los adversarios y un panorama de amenazas mucho más agresivo; con un incremento del phishing y del malware básico. También es posible que se produzca un aumento de los ataques dirigidos a la cadena de suministro y del ransomware.

Para contrarrestar a los sofisticados actores de las amenazas, la tecnología Extended Detection and Response (XDR) debería proporcionar a los analistas y cazadores de amenazas una capacidad de detección superior y más precisa, así como una orquestación y respuesta automatizadas.

En NetWitness nos enfocamos en añadir valor a nuestras capacidades patentadas de detección de amenazas en redes y endpoints. Estos esfuerzos deberían permitir reducir el tiempo necesario para detectar tanto ataques dirigidos de día cero, como de ransomware, cifrados y movimientos laterales. Estamos invirtiendo mucho en la investigación de las técnicas y tácticas que utilizan los adversarios. También estamos tratando de proporcionar más contenido para la detección de amenazas aprovechando diferentes fuentes: nuestra propia investigación, los hallazgos de nuestro equipo de respuesta a incidentes a nivel mundial, nuestros socios tecnológicos y la comunidad de ciberseguridad.