"El endpoint ha dejado de ser tradicional hace mucho tiempo" (Symantec)

Los de Symantec han sido años convulsos. La empresa de seguridad quiso adentrarse en el mundo del backup y compró Veritas, para deshacerse de este negocio años después. La de veritas, si bien una de las más destacadas, es una de las muchas compras realizadas por la compañía a lo largo de su historia. En su historial de compras empresas de la talla de Altiris por unos 800 millones de dólares, la de VeriSign o la de BlueCoat, por la que pagó 4.650 millones de dólares.

Este contenido fue publicada en el número de Septiembre de la revista IT Digital Security, disponible desde este enlace.

Durante los cálidos días del último verano Symantec, o más exactamente, el negocio empresarial de Symantec, se ha vendido a Broadcom por 10.700 millones de dólares después de semanas de rumores y noticias sin confirmar. Symantec se ha convertido en la tercera gran compra del gigante después de las de Brocade y CA Technologies.

En España Broadcom hereda un negocio que va viendo en popa, con unos resultados “espectaculares”, asegura Miguel Ángel Martos durante una entrevista mantenida semanas antes del anuncio de compra. El crecimiento de Symantec Iberia está por encima del mercado, que crece “entre un 10% y un 14% según los datos que se quieran comparar”; la empresa está contratando y el primer trimestre, cerrado a finales de junio “ha sido un éxito”.

Explica Martos que se están viendo dos grandes tendencias en el mercado de seguridad: por un lado una consolidación de las plataformas tecnológicas, y por otro un repunto en el interés por la prevención de fugas de información. Y si en el primer caso el dinamizador ha sido el despliegue cloud, en el segundo normativas como GDPR han despertado conciencias; “es una constatación de algo que sabíamos que iba a ocurrir”, comenta Miguel Ángel Martos.

Preguntamos al directivo por el mundo del endpoint, un mercado en constante evolución en el que un grupo de jóvenes empresas se han propuesto retar a los fabricantes tradicionales. Responde Martos asegurando que el endpoint ha dejado de ser tradicional hace mucho tiempo, aunque por comodidad sigamos hablando de ‘antivirus’. Explica que dentro del endpoint hay tres grandes conceptos: protección, detección y remediación, “y en estos tres conceptos se mezclan muchas cosas”. Esas nuevas empresas se centran sobre todo en la parte de remediación y detección, “y desde Symantec lo vemos interesantes porque demuestra que hay una verdadera necesidad en el mercado por adoptar políticas de seguridad en el endpoint, algo que llevamos mucho tiempo diciendo”, asegura el director general de Symantec Iberia, añadiendo que estas acciones de detección y remediación en el endpoint tienen todo el sentido cuando lo puedes combinar con el resto de soluciones para hacer una remediación o detección completa; “no tiene tanto sentido que sólo puedas hacer esa serie de detecciones o remediaciones en el endpoint. Que una remediación afecte sólo al endpoint y no afecte a la protección web, al email o a tus plataformas en cloud no es completa. Y esto es lo que estamos posicionando desde Symantec”.

¿Se nos sigue olvidando que el móvil es un endpoint? “Es quizá uno de los elementos más sensibles en este momento”, dice Miguel Ángel Martos. En el mundo del endpoint se establecer cuatro grandes áreas: el endpoint tradicional, o puesto de trabajo, el endpoint de servidores, el endpoint móvil y el endpoint industrial, y ahí entendemos el IoT. “Estos cuatro elementos tienen, en algunos casos, problemas comunes, pero también tienen soluciones particulares. El endpoint móvil vemos que, junto con el IoT, siguen siendo lo dos elementos más descuidaos a la hora de proteger”.

Según Martos ahora sí que se está viendo una tendencia clara entre los clientes a la hora de proteger el endpoint móvil, que requiere una nueva concepción de protección que Gartner ha bautizado como Mobile Threat Defense y que Symantec adoptó gracias a la compra de Skycure. Mobile Threat Defense analiza diferentes comportamientos dentro del terminal móvil, como dónde se conecta o si una aplicación está haciendo un uso indebido de los recursos del terminal y, en el caso de Symantec, puede integrarse con el resto de plataformas de seguridad del endpoint y con el resto de soluciones de detección antimalware.

UEBA, el comportamiento es lo que cuenta

Comentamos que el análisis de comportamiento se ha convertido en una herramienta clave de seguridad. Hace unos años la seguridad era evitar que entrase el malo, pero eso ha evolucionado de muchas maneras, y el análisis del comportamiento es una de las vías. En todo caso apunta Martos que un comportamiento anómalo no siempre tiene que ser claramente un factor de riesgo; “tan importante es detectar un comportamiento anómalo como identificar que ese comportamiento anómalo es un factor de riesgo, porque si no está inundando a tu cliente con falsos positivos y estas generando mucho ruido, y cuando haya de verdad un factor de riesgo no vas a poder identificarlo”.

En el caso del análisis de comportamiento, la correlación es muy importante. Explica Martos que se puede tener un comportamiento anómalo dentro del endpoint, pero realmente se determina que es anómalo si se puede ver que un usuario está haciendo  algo en el endpoint, y al mismo tiempo en la plataforma de cloud y además haciendo mal uso de la navegación; “si yo soy capaz de combinar el conocimiento de estos varios elementos puedo saber si de verdad el comportamiento es anómalo y es un factor potencial de riesgo sobre el que debemos actuar”.

El análisis de comportamiento es, además, uno de los elementos típicamente más útiles en este momento para detectar una fuga de información. Lo que llama la atención es que no es una tecnología nueva. Hace más de una decena de años que se utiliza en banca online. ¿Qué es lo que ha cambiado? “Primero la cantidad de datos que eres capaz de manejar. Ya no sólo hablamos de los datos de tu propia organización porque ya no sólo se trata de lo que tu hagas dentro de tu casa. En el caso de Symantec tenemos la red de ciberinteligencia más grande del mundo y esa red aporta información que nos puede estar dando indicadores de que algo puede ser anómalo, o que si es anómalo es un factor de riesgo, o no”.

IA, ML o Deception

La capacidad de análisis pasa por Inteligencia Artificial y Machine Learning, y eso a su vez pasa por tener capacidad de cómputo. Symantec implementa técnicas de IA al menos en diez o doce tecnologías, y es algo que “llevamos tiempo haciendo”.

Una tecnología de IA o de ML tiene que tener primero un set de datos que sea representativo y fiable de lo que se quiere investigar. Eso genera un output, un resultado final, que posteriormente se analiza, y con cuyo resultado se vuelve a alimentar la máquina de inteligencia. “De lo que dispone Symantec es de un set de datos mucho más potente de lo que tiene ninguna empresa en este momento en la industria; además, llevamos implementando técnicas de inteligencia artificial desde hace muchísimos años en nuestra tecnología”.

Junto con la Inteligencia Artificial, la Deception, o tecnología de engaño también se está convirtiendo en un elemento importante dentro de la seguridad. Asegura Martos que “el endpoint es una herramienta muy compleja que hace muchísimas más cosas, una de ellas es nuestra solución es el Deception”. Hace más de un año, a raíz de la compra de Javelin, que Symantec incorpora en algunos de sus productos técnicas de Deception “para detectar intentos de movimiento lateral por medio de búsquedas dentro del directorio activo”. Asegura el directivo que se trata de una técnica única porque no se necesitamos descargar nada en el directorio activo, ya que se hace todo en la memoria; “es una técnica única, tremendamente eficiente, y es quizá el primer paso realmente efectivo para una política clara de remediación en una red; el detectar un intento de movimiento lateral dentro del directorio activo”.

¿Hacia dónde vamos?

“Lo que hemos visto claramente es que lo que están haciendo nuestros clientes es implementar una política definitiva de Zero Trust”, asegura Miguel Ángel Martos. El modelo Zero Trust consiste en aplicar confianza cero en cualquier acceso que haya dentro de su red, algo que “tiene especial importancia cuando un cliente va a migrar hacia entornos de nube”.

El aislamiento es una tecnología muy potente en modelos de confianza cero, junto con la certificación y el poder ocultar tu red al exterior. La mayoría de las empresas están migran al cloud sus infraestructuras, pero también sus recursos y aplicaciones. Symantec implementa una técnica llamada Secure Access Cloud que se interpone entre ese servicio del cliente y el usuario interno, creando un Gateway que aísla completamente estos dos puntos, de forma que nadie desde fuera va a ver el servidor o aplicación a la que se quiera acceder; “lo que va a ver es el servicio que yo publico como intermediario y cuando el usuario quiere acceder a ese servicio yo me encargo de hacer de Gateway. Esto garantiza una política de ocultación: ocultamos la red del cliente completamente al entorno de internet sin que eso sea un menoscabo de accesibilidad”, explica el director general de Symantec Iberia.

También es tendencia la protección del endpoint más allá del endpoint. Por ejemplo, el servidor ha dejado de ser hace mucho tiempo una unidad estable que está dentro del datacenter y que se mueve como carga de trabajo en entonos de cloud. En este nuevo entorno Symantec aporta su Cloud Workload Protection, su plataforma de protección de contenedores que garantiza el mínimo nivel de protección de una carga de trabajo esté donde esté; “si la carga de trabajo está es tu servidor físico, perfecto, pero si decides moverlo a Amazon, Google, o cualquier proveedor de cloud nosotros te vamos a garantizar ese mismo nivel de protección de esa carga de trabajo”, explica Martos asegurando que el perímetro real, único, es el dato.

Sobre el futuro de la seguridad, o mejor dicho, de la inseguridad, de los ciberarataques a los que deberemos enfrentarnos en los próximos meses y años, dice Martos que “no sabemos qué es lo siguiente que nos va a venir, lo que sí sé es cómo se va a resolver. Lo que sí veo es que cada día es más complejo para una organización estar al día y a la última de cualquier novedad tecnológica que les permita defenderse con propiedad de cualquier tipo de ataques”. Y la propuesta de Symantec es unir fuerza con el cliente, y acompañarlo en el proceso, “dando las suficientes garantías de que nos vamos a poder adelantar antes que el resto de la industria a esos movimientos que vayan a hacer los malos”.

Demasiada complejidad

Los equipos de seguridad manejan demasiadas herramientas de seguridad. Una media de 57, una cifra que en algunos casos alcanza el centenar. Para el directito de Symantec “es algo que no debería ocurrir. Hoy no tiene sentido plantear una postura de seguridad eficiente en un entorno multifabricante complejo”.

La solución pasa por consolidar tecnologías, una consolidación inteligente en la que se automaticen movimientos de detección, remediación y respuesta dentro del entorno, un entorno suficientemente abierto como para poder inyectar tecnologías, un entorno que en Symantec pasa por ICDX, en Fortinet por Fabric, en Check Point por Infinity o en Sophos por Sophos Central.

Symantec ICDX, o Integrated Cyber Defence Exchange, es una plataforma abierta y  gratuita que cuenta ya con 900 socios y que desde la compañía ven como “la forma de trabajar con este entorno, la forma de consolidar tecnologías”, en la que participan aliados y también competidores. “Hace unos años el mensaje era de propietario, pero eso acabó. Yo te voy a ofrecer una plataforma integrada porque tu vida a ser más fácil, la remediación va a ser automática y tu gente se va a poder dedicar a tareas de mucho más valor, porque la gente es muy valiosa en estos tiempos”.