'La manera en que estamos haciendo la seguridad está equivocada' (Cymulate)

  • Reportajes

Cymulate

Tel Aviv. Existe un problema fundamental en el mercado de seguridad, repetido en multitud de estudios que toman el pulso y el sentir de los responsables de seguridad: no saben realmente cuán segura está su empresa; si las soluciones de seguridad en las que han invertido funcionan; si, llegado el momento, frente a un ataque, esas soluciones se comportarán como deben.

Hasta no hace mucho tiempo la evaluación del daño que un ciberataque podría causar en los sistemas pasaba por ejecutar pruebas de pentesting, evaluaciones de seguridad, auditorías, Threat Hunting, etc. Pero cada uno de estos enfoques tiene limitaciones que impiden proporcionar una imagen completa y continua de la postura de seguridad general de una organización. La reacción del mercado ha sido desarrollar un nuevo tipo de herramienta: breach and attack simulation (BAS), del que por el momento no se tienen muchos datos, más allá de una previsión del Cyber Research Databank que apunta a que podría alcanzar los mil millones de dólares para 2020.

Este contenido fue publicado en el número de julio de la revista IT Digital Security, disponible desde este enlace.

La tecnología de simulación de brechas y ataques pone a prueba, de manera constante, las defensas de una red ejecutando ataques simulados para medir la efectividad de las capacidades de prevención, detección y mitigación de una empresa. Por ejemplo, se podría simular un ataque de phishing en los sistemas de correo electrónico de una compañía, un ataque en el servidor de seguridad de la aplicación web (WAF) de la compañía, el intento de exfiltración de datos, el movimiento lateral dentro de redes o un ataque de malware en un endpoint.

Es en este mercado donde nace Cymulate en junio de 2016 de la mano de Eyal Wachsman y Avihai Ben-Yossef, convertidos ahora en CEO y CTO de la compañía respectivamente. En tres años han pasado por dos rondas de financiación que acumulan 10,5 millones de dólares. La segunda, en marzo de este año, ha alcanzado los 7,5 millones procedentes, principalmente, de Dell Technologies Capital y Vertex Ventures. Crunchbase estima que la compañía tiene unos ingresos anuales de un millón de dólares, una cifra que su CEO quiere incrementar hasta llevar a Cymulate al podio de las ‘One Billion Company’. Nos lo ha contado Eyal Wachsman durante una entrevista mantenida en la sede de la compañía, en Tel Aviv.

Tres años después de la creación de la compañía Wachsman, que durante más de 20 años ha desarrollado su carrera en el mundo de la ciberseguridad, asegura seguir aprendiendo cosas nuevas. “Es mi primera vez como CEO de una compañía, de una startup, y he aprendido mucho”. Tiene un objetivo: desarrollar la visión de la compañía, que no es otra que aprender de los clientes, entender qué necesitan y luego desarrollar productos que les permitan cerrar todos los gaps que tienen en ciberseguridad. “Creo que desde que establecimos Cymulate, las organizaciones están afrontando la ciberseguridad de una manera diferente”, asegura.

Dice Wachsman que los fabricantes de ciberseguridad tienen que entender que el mercado está cambiando; “como fabricante puedes prometer que puedes proteger la organización, pero hoy no tenemos que asumir esa promesa, porque nosotros podemos confirmarla, y probarla, y si no eres bueno, te van a reemplazar, escogerán diferentes productos. Tenemos clientes, grandes clientes, que han comprado y pagado por productos de seguridad, y no voy a mencionar nombres, pero después de ver cómo nuestra plataforma los superaba, los han reemplazado”. Añade el CEO de Cymulate que la plataforma de la compañía permite a las empresas comprobar la efectividad de los controles de seguridad de forma que “si una organización quiere comprar  buenos productos de seguridad, tener dos o tres fabricantes entre los que escoger, nuestro cyber lab los  prueba bajo ataques reales. De forma que nosotros hemos cambiado la manera en que las organizaciones compran nuevos productos de seguridad: pruébalos y escoge al mejor”. Ya no hay que creer en los que dicen grandes consultoras, sino lo que se ve en la vida real, y después “decide lo que quieres hacer”.

Un mercado incierto

Sobre la situación actual, dice Eyal Wachsman que nos enfrentamos con un gran problema: en los últimos tres años, cada año las organizaciones han gastado miles de millones de dólares en comprar productos de seguridad, pero sólo están utilizando el 20% de las capacidades de esos productos. El consejo del CEO de Cymulate es que antes de ir a comprar nuevas tecnologías, nuevos productos, se invierta dinero “en cambiar la configuración de los controles de seguridad que ya tienes, para pasar de ese 20% a un 80%, o más, de las capacidades. Eso es lo que estamos haciendo ahora: incrementar esas capacidades cambiando las configuraciones”.

Sobre el futuro: “creo que el mundo va hacia la automatización”. En un 75% de lo que hace Cymulate está reemplazando a los consultores tradicionales de pentesting, risk assessment, etc., dice Wachsman, añadiendo que utilizar una firma de consultoría es como planificar tus vacaciones y comprobar cómo está el tiempo dos semanas antes; “las firmas  de consultoría llegan a tu oficina, comprueban tu tecnología, vuelven a sus oficina y tres semanas, o mes y medio después vuelven con los resultados. Unos resultados que ya no son relevantes. Lo que nosotros hacemos en ofrecer los resultados de manera inmediata y lo hacemos de manera continua”.

Comentábamos que Eyal Wachsman acumula 20 años de experiencia en ciberseguridad. De su papel como CISO en grandes empresas nació la idea de crear Cymulate, “porque no importa lo que se inviertan en seguridad, en gente, en tecnología, cuando los malos deciden penetrar en tu organización, lo consiguen”. ¿Por qué? “Porque la manera en que estamos haciendo la seguridad está equivocada. No nos estamos testeando todo el tiempo, no estamos preparados para predecir lo que podría pasarle a nuestra red. Esa es la razón por la que creamos la compañía. Por supuesto, incluso los clientes que utilizan Cymulate puedes ser vulnerables si  no reparan todas las brechas que encontramos, pero les permite estar un paso por delante”.

Cymulate en el terreno de juego

El mercado de compra de startups está en auge. Ya no es habitual que las grandes empresas desarrollen nuevas unidades de negocio o se adentren en nuevos mercado por sí solas. Compran tecnología. Cymulate ya ha recibido ofertas de compra, pero esa no es la visión de Wachsman, que asegura haber creado esta empresas para ser una ‘One Billion Company’. “Mi filosofía es la de comprar otras compañías, no la de ser comprado. Adquirir compañías que complementen nuestra tecnología”.

Le preguntamos si tendría sentido crecer hacia el mercado de Threat Hunting. “No estoy seguro todavía”, dice mientras apunta que quizá las adquisiciones serían de otras compañía del mercado BAS”, una categoría de mercado que quiere liderar; “en Europa ya somos líderes. Queremos serlo también en el mercado estadounidense”.

Insistimos sobre la posible expansión de Cymulate hacia el mercado de Threat Hunting. “Podría ser Threat Hunting. Podría ser escaneo y gestión de vulnerabilidades”, comenta Wachsman. ¿Cómo Qualys? “Qualys es mucho más grande que nosotros. Tenemos buena relación con ellos y otras compañías del sector, como Rapid7, Tenable… pero en mi visión está ser el siguiente Qualys, o el siguiente Tenable”.

Sobre la plataforma de simulación de ataques de la compañía nos cuenta que es muy inteligente y muy simple, que no importa cuán experto sea el CISO “porque puedes utilizar nuestra plataforma con un solo click y conseguir resultados de forma inmediata, resultados en los que es muy fácil entender qué es lo que está mal”. De forma que con Cymulate el CISO, el equipo de seguridad, el administrador del SOC, o el administrador de TI, dependiendo del tamaño de la organización, “tendrá una plataforma muy fácil de utilizar, incluso si está en la playa, porque es un producto basado en cloud. Pueden irse de vacaciones, lanzar el ataque desde Tailandia, o programar el ataque”.

No nos marchamos sin preguntarle cuántos años cree que tardará en conseguir ser una ‘One Billion Company’: “En tres años a partir de ahora”.

Rosalía Arroyo