'El siguiente gran paso es la seguridad como código' (Trend Micro)

  • Reportajes

La seguridad, ese elemento transversal que avanzó de las infraestructuras tradicionales al cloud, sigue su carrera de los contenedores al serverless. De esto hablamos con Rik Ferguson, Vice President Security Research de Trend Micro, a quién también preguntamos por el papel de la Inteligencia artificial en la seguridad o los retos de los CISO.

También te puede interesar...

Formación y concienciación para mejorar la seguridad

Especial Ciberseguridad Industrial

Especial Cloud

“La adopción del cloud depende de la geografía”. Así comienza la conversación con Rik Ferguson, Vice President Security Research de Trend Micro, durante la celebración del evento CloudSec Europe de Londres. Nos cuenta el directivo que en Europa y Estados Unidos la situación está más madura, bastante más que en Asia; “en Malasia, por ejemplo, no se invierte en cloud porque el gobierno no está contento con la nube”, mientras que en Europa y en Estados Unidos “nos estamos moviendo más allá de lo que conocemos como la infraestructura cloud tradicional; estamos yendo más allá de la virtualización… lo que hemos hecho es implementar realmente la infraestructura como servicio, el modelo de AWS”.

Este contenido fue publicado en el número de Octubre de la revista IT Digital Security, disponible desde este enlace.

En este punto las empresas ya han adoptado la tecnología de contenedores “porque a los equipos de desarrollo realmente les gusta”, dice Ferguson. La nube, los contenedores, van más allá de reducir costes, “se trata de habilitar negocio” y de llegar a producción mucho más rápido, actualizando el producto cuando se necesite. El siguiente paso, la siguiente interacción que veremos es el desarrollo serverless, “un patrón que nos permite un desarrollo centrado sólo en código; sólo se desarrollar la función que luego se despliega en una arquitectura serverless, y esto es incluso más atractivo para los desarrolladores”. Y en lo que a la seguridad se refiere “todo esto supone un reto desde el punto de vista de la seguridad”.

Hablar de serverles es hablar de una aplicación en la nube donde su código personalizado (que se ejecuta como funciones en la nube) utiliza una serie de servicios y API para resolver un problema específico. Prefiere Rik Ferguson hablar de “Invisible Container o micro containerization”, de una forma rápida y rentable de obtener una aplicación altamente escalable y de alta disponibilidad. La clave, dice el directivo de Trend Micro, es que “en estos entornos serverless lo que tienes que hacer, como fabricante de seguridad, es preguntarte cómo puedo desplegar la seguridad como código, porque es lo único que voy a tener. Continúa explicando Rik Ferguson que si todo lo que están haciendo los desarrolladores es escribir código para luego desplegarlo en una arquitectura de terceros, ¿cómo puedo asegurar ese código únicamente; el siguiente objetivo es “implementar seguridad como código de forma que tenga una oferta serverless que sea literalmente dos líneas de código, pero eso no va a funcionar en la seguridad legacy”.

En todo caso, el momento en torno al serverless es incipiente y quedan años para que esta nueva tecnología, tan prometedora, suponga un verdadero quebradero de cabeza para los responsables de TI y de seguridad de las empresas. “Con respecto a serverless estamos en el mismo momento que hace cinco o seis años con las nubes públicas”, dice Rik Ferguson antes de que entremos a hablar de otra cosa.

¿Cuál es el principal reto de los CISO?

Y preguntamos no sólo de retos desde el punto de vista de la seguridad. Por eso la respuesta del directivo de Trend Micro lo dice todo: “El principal reto de los CISO es cambiar la mentalidad”, y el discurso. Normalmente las conversaciones en torno a la seguridad están muy orientadas a la tecnología, y esa costumbre hace que cuando alguien de seguridad intenta hablar con la parte de negocio se acerque diciendo: ‘necesitamos una defensa para la seguridad endpoint que utilice machine learning para la detección de amenazas’ y los que te escuchan no saben de qué se está hablando, y por lo tanto la respuesta sea: ‘yo no necesito eso’, incluso cuando no saben ni lo que es. Y esto es por lo que, para Ferguron, “uno de los mayores retos de los CISO para conseguir el budget que necesitan es aprender cómo hablar el lenguaje de los negocios, cómo hablar sobre el nivel de riego y qué hacer con ese riesgo”.

Es decir, hay que aproximarse sabiendo dónde están los activos del negocio y cuán importantes son para la misión del negocio, y luego traducir esos riesgos a su idioma y explicar cuáles son las consecuencias de no gestionar bien esos riesgos. Llegados a este punto se plantea a la parte de negocio tres opciones: aceptar los riesgos, que en la práctica significa no hacer nada; mitigar los riesgos, que significa hacer algo; o compensar el riesgo, que está relacionado con los seguros. “Si consiguen hablar ese idioma forzarán a los negocios. Por eso uno de ellos retos del CISO está en esa traducción”.

Demasiadas herramientas

Hay un estudio que desveló una preocupante realidad. De media, los equipos de seguridad están administrando 57,1 herramientas de seguridad. Más de una cuarta parte de los encuestados (26,5%) afirmaron estar ejecutando más de 76 herramientas de seguridad en toda su organización.

Rik Ferguson coincide en que hay dos grandes problemas para los centros de operaciones de seguridad: hay demasiados datos y hay demasiadas herramientas, y ambos van de la mano; cuantas más herramientas tengas el número de alertas y de información que tienes que gestionar para entender qué es lo que está pasando también crece. “Desde mi punto de vista tener múltiples soluciones no es sostenible” asegura el directivo, que aboga por consolidar herramientas en el mismo fabricante cuyas soluciones ya están diseñadas desde la base para hablar unas con otras, para compartir información, y actuar sobre la misma. Los beneficios, asegura el directivo de Trend Micro, es que “tendrás menos consolas que mirar, menos cursos de formación que hacer, menos licencias por la que pagar y la posibilidad de que la información se duplique se reduce muchísimo”. Y añade que estas ventajas son las que están moviendo a la industria hacia soluciones tipo XDR, que no es otra cosa que llevar la detección y respuesta del endpoint (EDR) a cualquier cosa y a cualquier parte: al email, al servidor, cargas de trabajo, red, etc.

Sobre la propuesta de apostar por el ‘best of breed’ y adoptar arquitecturas de seguridad capaces de gestionar todas las herramientas dice Rik Ferguson que entonces se necesita que todas se pongan a trabajar juntas “y entonces necesito invertir en una capa por encima que haga que todo ocurra. Son dos aproximaciones diferentes para el mismo problema”.

Inteligencia Artificial

Sobre la Inteligencia Artificial “desempeñará un papel importante en el panorama de la seguridad”, dice Ferguson. El directivo cautivó a los asistentes a CloudSec hablando, junto a su colega Robert McArdle, sobre las futuras ciberamenazas.

Una de las mayores amenazas a las que se enfrenta la seguridad empresarial es que los ciberdelincuentes utilizan la inteligencia artificial para sus propios fines, convirtiéndose en un ‘Hacker Artificial’ al que se le puede entrenar para detectar agujeros de seguridad. Y no sólo lo haría más rápido que los humanos, sino que “al pensar de manera diferente, también podría encontrar vulnerabilidades que las personas nunca hubieran detectado”.

Es más, decía Ferguron en el escenario, la IA también podría causar los ataques, ataques que se producirán a la velocidad de las máquinas, y con la posibilidad cambiar las tácticas a alta velocidad porque “el código malicioso será 'consciente' del contexto en el que se está ejecutando.

La inteligencia artificial también estará tras un nuevo tipo de ataque que Ferguson mencionó como ‘Deepfake Ransomware’ que utiliza imágenes, vídeos o grabaciones de audio falsas generadas por IA para el chantaje. Podrían dar un giro a los ataques de fraude al poder hacer una llamada o enviar un vídeo haciéndose pasar por un directivo para gestionar una transferencia.

Pero, como dice el directivo, la Inteligencia Artificial no solo es un arma para los ciberdelincuente sino para los fabricantes. Al respecto señalar que Trend Micro utiliza el aprendizaje automático para sus productos desde hace años. Ferguson ve un área de aplicación muy importante en el filtrado de la gran cantidad de alertas de seguridad que llegan diariamente a todos los centros de seguridad de TI.