Cytomic, a la conquista del mercado enterprise con el Threat Hunting como propuesta diferencial

  • Reportajes
Cytomic

Cytomic es el nombre de la unidad de negocio de Panda Security para el mercado de la gran cuenta. Nace como una forma de especializar la propuesta de Panda Security para el mercado empresarial con Orion, una oferta que integrará las soluciones de Endpoint Protection (EPP) y Endpoint Detection and Response (EDR) con la clasificación y los servicios de Threat Hunting de la compañía.

Se cumple un año de la llegada de María Campos a Panda Security para impulsar el negocio Enterprise de la compañía. Un año en el que Panda ha seguido demostrando que está lejos de ser, simplemente, el comodín de las pymes y que su tecnología sigue rompiendo moldes.

Este contenido fue publicado en el número de junio de la revista IT Digital Security, disponible desde este enlace.

Un año después de que María Campos asumiera su rol de VP Sales Worldwide Key Account, MSSP y Telcos de Panda Security se anuncia que el negocio de la compañía que da servicio al mundo de las grandes cuentas cobra identidad propia bajo la marca Cytomic. Y esto solo es “el aperitivo”, advierte María Campos durante un breve encuentro mantenido en PASS 2019 (Panda Security Summit), el evento anual de la compañía que ha contado con casi mil asistentes.

Quién sabe si Cytomic es el comienzo de una nueva Panda que, enfocada desde sus inicios en el mundo del consumo y de las pymes, apunta desde hace un tiempo hacia el mundo de la gran cuenta, las telcos y los servicios gestionados. Lejos queda esa Panda de los años 90, la primera empresa de seguridad marca España, o la que ocho años después creó el primer antivirus con firmas que se actualizaban diariamente, o aquella que en 2009 apostó por la nube para proteger a empresas y usuarios. De Panda Software se convirtió en Panda Security en 2007 y bajo este nombre ha gestionado la compañía su negocio de seguridad para todos los segmentos del mercado.

Cytomic no es sino un paso más en el trabajo ya iniciado por Panda en los últimos años, y en particular en el último, durante el cual se ha puesto en marcha una nueva unidad de negocio propia con un equipo nuevo, con una especialización en el offering, con un go-to-market nuevo, “con adaptaciones en la tecnología para centrar la respuesta a las demandas de las grandes cuentas del segmento Enterprise”, explicaba María, añadiendo que ahora, un año después “tiene todo el sentido que esta unidad de negocio tenga identidad propia para que se identifique dentro de Panda”.

Añade la directiva que se acaban de “desplegar más de un millón de nodos en las cuentas grandes, y eso no ha llevado a dar este pasito adicional de lanzar Cytomic como una business unit dentro de Panda”.

¿Cytomic?

“La hemos llamado Cytonic porque refleja muy bien cómo nosotros entendemos la seguridad” dice Campos, explicando que en un modelo atómico no te quedas en el átomo, sino que analizas las relaciones en el átomo y los enlaces para crear algo superior: la materia. “En Cytomic lo que pretendemos es precisamente eso, no quedarnos en el átomo, en el estudio de eventos aislados, sino entender el comportamiento, qué tienen en común distintos eventos” para conseguir una visión global; “desgranar y descifrar enlaces entre distintos eventos y comportamientos, que parece que a priori no tienen ninguna relación, pero al final ver todas esas uniones que nos ayudan a identificar la formación de los ataques”, añade María Campos.

Es en este modelo en el que la compañía lleva trabajando el último año para conseguir crecimientos, en el mercado Enterprise, de más del 40%. Crecer un 40% en un país de pymes es crecer muchísimo, ¿de dónde viene el crecimiento? “No creas que en el mercado hay soluciones tan potentes y comparables a la de Cytomic”, asegura Campos, explicando que se trata de una propuesta “muy basada en cloud y con un automatismo muy elevado y una concepción del modelo de clasificación de aplicaciones que funciona muy bien”.

Lógicamente no lo hubiera reconocido siendo responsable de McAfee, pero ahora sí que asegura con cierto orgullo que Panda innovó en el mercado con “una solución y un modelo totalmente cloud-based, con una capa muy ligera que no impacta en los antivirus tradicionales y gran cantidad de herramientas de automatización”. Es un modelo que parece estar funcionando y que es el que está impulsando el negocio Enterprise de la compañía. El modelo se basa en Panda Adaptive Defense, una suite de ciberseguridad lanzada hace un año que proporciona visibilidad detallada de toda la actividad en todos los endpoints, control de todos los procesos en ejecución y la reducción de la superficie de ataque; una triple defensa para detectar cualquier actividad sospechosa en tiempo real.

Y como “diferenciación adicional” menciona María Campos que la tecnología de Panda añade una primera capa de servicios que, aunque “ni muchísimo menos sustituye a los servicios avanzados de nuestro canal”, da un primer nivel de visibilidad, de clasificación continua de aplicaciones, de búsqueda de posibles indicadores de ataque que son muy del gusto de los clientes, quienes “están acogiendo muy bien la propuesta de valor de Panda, ahora Cytomic”.

Detrás de esta explicación no hay otra cosas que la propuesta de Threat Hunting de la compañía. No son muchos los fabricantes que están apostando por este modelo de seguridad proactiva que va en busca de la amenaza, en lugar de identificarla. Según el informe 2018 Threat Hunting Survey (SANS) un 43% ya llevan a cabo operaciones de Threat Hunting de manera continuada como parte de su estrategia de prevención de ciber riesgos, mientras que el 65% prevé una mayor inversión en herramientas de este tipo en los próximos dos años. Panda, que hace años apostó por Threat Hunting, utiliza toda su experiencia en esta área para lanzar Orion, la primera solución bajo la marca Cytomic, una plataforma que lleva el servicio de threat hunting de la compañía a las empresas.

Sobre si el canal de distribución está acompañando a Panda Security en su evolución, dice María Campos que “hay que distinguir perfiles de canal”. Explica que sí que se observa un movimiento y una apuesta importante en toda la parte de MSSP y MDR (Managed Security Services Providers y Managed Detection and Response), que buscan dar valor e industrializar servicios, “pero cuando vamos a la zona de Threat Hunting avanzado, respuesta a incidentes, investigación avanzada, nos cuenta más encontrar un nivel de madurez apropiado para construir esos servicios en base a la tecnología”.

Cuenta Panda Security con varios tipos de canales: los tecnológicos, con los que se hacen muchas alianzas y se comparte inteligencia; los partners más tradicionales de integración, de despliegue de soporte, que están muy abiertos; los canales MSSP para dar servicio bajo registro o MDR para centrarse mucho en la gestión; “y hay una apuesta muy fuerte por los canales de threat hunting, de servicios avanzados, donde todavía nos queda mucho por hacer, porque hay carencias en el nivel de madurez y es todo mucho más selectivo”.

Consolidación

Hace años que se habla de consolidación del mercado de seguridad, uno de los más fragmentados del sector TI. Si bien en cierto que casi cada semana se anuncia una compraventa, también lo son las sucesivas rondas de financiación a nuevos players que entran. Asumiendo que en todo caso no será a corto plazo, quizá la consolidación no se realice tanto a nivel de fabricantes, sino de consolas de gestión o de arquitecturas de seguridad abiertas que aglutinen diferentes ofertas. Frente a esta idea María Campos destaca la efectividad del modelo de ciberseguridad de Panda Security cuando se compara con el de otros fabricantes “mucho más horizontales, que van poniendo piezas en las distintas áreas”.

Menciona la directiva el modelo Zero Trust de no confiar en nada ni en nadie y una propuesta en la que “no es necesario poner tantas piezas dispersas por todas las áreas de tu infraestructura”. Juega Panda con ventaja gracias a su propuesta EDR (Endpoint Detection and Response) que recoge todo tipo de feeds de inteligencia de otras partes de la red. “No tenemos el offering de ir metiendo piezas aisladas en todas las áreas que luego tienes que ir interconectando. Cuando dices con confíes en nada ni en nadie, estamos clasificando todas las aplicaciones, estamos diciendo que todo lo que no digas que es seguro de momento lo vamos a bloquear, eso es muy potente”.

Habla María Campos de clasificar aplicaciones, pero ¿se clasifican también usuarios? “Efectivamente. Eso es lo que está por venir”, desvela la directiva, asegurando que uno de los pilares de cara a futuro de Orion será toda la parte de UEBA (User and Entity Behavior Analytics), de comportamiento, de perfilados, IAM… Y es que en un mundo basado en cloud y en servicios, la identidad y comportamiento se convierte en elemento imprescindible para saber quién accede y con qué permisos a los recursos de las empresas. Se trata de un paso lógico que sigue una gran tendencia del mercado para la detección de amenazas; la idea consiste en aprender lo que las personas y las entidades hacen normalmente: desde dónde se conectan, a qué servidores de archivos y aplicaciones están accediendo, desde qué dispositivos, qué privilegios tienen, cómo de fuertes son sus contraseñas, etc., buscando establecer una línea base de lo que es el comportamiento habitual del que no lo es para que, cuando algo inusual ocurra, se identifique una posible amenaza.

En todo caso, y volviendo a la propuesta de Panda, dice María Campos que “a pesar de que no pretendemos meter piezas en todas las partes de tu infraestructura, vamos integrando los logs de distintas piezas de la red para unirlos con nuestra tecnología”. Explica la directiva que en Cytomic “no hay un paraguas, sino que tenemos muchos pilares que luego se comunican entre sí. Tenemos el EDR, tenemos el EPP (Endpoint Protection Platform), los insight, la parte del dato, la parte de inteligencia… todo muy clasificado en pilares, pero con una inteligencia y horizontal que es toda la parte de Threat Hunting”.

En lugar de consolidación prefiere María Campos hablar de un futuro en el que la clave será la “compartición de Inteligencia”; un futuro en el que el API (Interfaz de Programación de Aplicaciones), que es lo que te permite hablar con todo el mundo, es la clave. “Si hay una cosa clara es que todo es compartición, todo tiene que ser inteligencia”, dice Campos, añadiendo que hace falta tener una visión global “y ver cómo vamos uniendo distintos eventos, distintas informaciones, distintas inteligencias para luego tomar una decisión. Es lo único que nos va a hacer avanzar como industria y entender procesos de ataque”.

TAGS