“El valor de Vectra IA es su capacidad de proveer de inteligencia artificial especializada en ciberseguridad” (Ricardo Hernández)
- Entrevistas
Integrar inteligencia artificia entrenada en ciberseguridad para detectar ciberamenazas. Con ese objetivo nace Vectra AI en 2010 para expandirse años después por el norte de Europa. Presente en España a través de Arrow, en abril de este año decide abrir oficina bajo el liderazgo de Ricardo Hernández, un conocido del sector que hace unos meses estaba dirigiendo Forescout.
Evolución de Vectra
Vectra AI se funda en 2010 con el objetivo de integrar inteligencia artificial especializada en ciberseguridad para hacer detección de ciberamenazas. Nos lo cuenta Ricardo Hernández que el primer producto comercial se centró en redes on-premise. La compañía, “coge una copia de tráfico y analizarla en tiempo real sobre comportamientos del atacante. No tiene en cuenta el malware ni las vulnerabilidades, sino comportamientos del atacante”. A partir de ahí se empezó a pensar en aplicar la tecnología a la red, “que es donde pensamos que es más útil: la capacidad de correlar mucho flujo de información en tiempo real y encontrar puntos muy dispersos a lo largo del tiempo y a lo largo de las redes que pudieran indicar un ataque”.
Este contenido salió publicado en el número de Noviembre de 2021 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.
Cuando las empresas empezaron a mirar a la nube y entornos híbridos “se trabajó en adaptar el núcleo de inteligencia artificial para poder dar servicio a cualquier tipología de red” teniendo en cuenta que los algoritmos de detección son específicas para cada entorno, bien sea un entorno de red tradicional, Office 365 o AWS.
Explica Ricardo Hernandez que lo que mejor define a la empresa a día de hoy es el NDR (Network Detection and Response) en un modelo gestionado. Aunque hay muchos clientes de empresa mediana, el foco de Vectra, donde destaca el valor de la solución es en la gran cuenta o, en su defecto, en empresas más maduras dice Ricardo Hernández, explicando que la de Vectra no es la primera solución que pondría una empresa que empieza a tener una infraestructura de seguridad, “si no cuando ya se tiene cierta madurez y una cierta experiencia, cuando se tiene un CISO y las base de la prevención (firewall, protección de correo, EDR)”.
A nivel general dice el nuevo responsable de Vectra AI que en España la adopción tecnológica va un poco retrasada respecto a otros países de nuestro entorno, como Inglaterra, Alemania o Francia, pero que la adopción del EDR (Endpoint, Detection and Response), que es el paso previo a la adopción del NDR “ya está en toda su plenitud”. Asegura además que en España se está viendo mucho interés por NDR y “de aquí a un par de años su adopción va a ser muy importante”.
De la prevención a la detección y respuesta
Hasta ahora le foco de la inversión ha estado en la prevención, pero el mercado se ha dado cuenta de que a pesar de esa inversión y tener procesos muy maduros, los ciberdelincuentes están muy profesionalizados, tienen muchos recursos y siempre encuentran alguna forma de entrar. Esto ha llevado a mirar hacia la detección y respuesta, un movimiento que se inició en el endpoint con el EDR y que evoluciona hasta el XDR (eXtended Detection and Response) y el NDR. Estas tecnologías permiten a las empresas detectar una amenaza y poder responder a ella la para evitar que hagan daño, o reducirlo al máximo.
El diferencial de Vectra es, según Ricardo Hernández, la inteligencia artificial y el machine learning. Realmente lo que la empresa sabe hacer y es su valor añadido, “es esa capacidad de entrenar algoritmos y de proveer de inteligencia artificial especializada en ciberseguridad; es la capacidad de coger los flujos de tráfico, analizarlos en tiempo real, relacionar puntos que pueden estar totalmente dispersos, pero que te pueden dar indicio de un ataque, y correlarlo contra las fases de un atacante, contra el Kill Chain”.
Sigue explicando el directivo que el valor es contar con una inteligencia artificial que ya viene entrenada con muchísimos de los casos de uso específicos para detectar comportamiento sospechosos.
Previsiones
2021 se considera el año de aterrizaje y evangelización, de contar a los clientes “que hay una solución que puede cerrar ese gap en su estrategia de seguridad”.
Es también el año de llegar al canal de distribución, sobre todo a un canal especializado que puede aportar valor “y formarle y darle las herramientas para que puedan extender el mensaje de Vectra” con el fin de replicar la presencia que la compañía tiene en otros mercados.
Ahora mismo, explica el directivo, con un mayorista se cubre todo el mercado y Arrow “nos da el valor añadido que necesitamos y encaja muy bien en nuestra estrategia”. Se suma el hecho de que existen sinergias con otros fabricantes representados por el mayorista, como Splunk o Qradar “que nos permiten dar una respuesta más potente”.
Dice también el responsable de Vectra AI en España que “no queremos presentarnos como la solución única y exclusiva para resolver todo el tema de seguridad, sino que tenemos una muy buena solución de detección en red y que somos parte de un ecosistema”. Siguiendo esta línea, asegura que no es intención de la compañía adentrarse en el mundo del endpoint, pero que “interactuamos con los mejores EDR del mercado”, de forma que si las herramientas de Vectra AI detectan que un endpoint ha sido comprometido, “avisan al EDR para que se le aísle, o remedie, de forma que se le da valor a la inversión que el cliente ha realizado”. En general la parte de la respuesta se realizará con el EDR, el SIEM, el SOAR si es un poco más avanzado.
Cognito, abanderado de Vectra AI
Cognito es la plataforma de Vectra. La solución analiza el tráfico de red en centros de datos privados, nubes públicas y entornos empresariales para detectar comportamientos ocultos y poder identificar y priorizar todas las detecciones de amenazas en función de las puntuaciones de gravedad y certeza.
Las conductas de amenaza y las técnicas de ciberataque detectadas por Cognito incluyen comunicaciones de comando y control de botnets, monetización de botnets, reconocimiento interno, movimiento lateral y robo de datos o exfiltración.
Vectra ofrece tres aplicaciones en la plataforma Cognito para abordar casos de uso:
. Cognito Stream ofrece metadatos de red a escala empresarial enriquecidos con información de seguridad en formato Zeek para lagos de datos y aplicaciones SIEM.
. Cognito Recall ofrece a los analistas de seguridad un punto de partida lógico para realizar búsquedas de amenazas asistidas por IA e investigaciones concluyentes de incidentes.
. Cognito Detect automatiza la detección en tiempo real de atacantes ocultos en cargas de trabajo de centros de datos y en la nube y dispositivos de usuarios y de Internet de las cosas.
Rosalía Arroyo