"El próximo año será clave para SonicWall" (Bill Conner)

No es fácil sobrevivir a un mercado tan cambiante y fragmentado como el de la ciberseguridad; el mercado se consolida, pero a un ritmo más lento que la cantidad de empresas que aparecen dando soluciones a problemas muy concretos. Un mal paso puede ser el último, y pocos saben lo cerca del abismo que estuvo SonicWall durante unos años, mientras intentaba brillar a la sombra de un gigante, Dell, quien la compró en 2012. “Uno de mis grandes temores era que la marca SonicWall desapareciera”, comenta Conner.

Cuatro años y medio después SonicWall era vendida a Francisco Partners y Elliot Management, y la empresa empezó a recuperar el tiempo perdido. En los tres últimos años ha desarrollado más de 162 millones de líneas de código; ha lanzado, remodelado y actualizado medio centenar de aplicaciones; ha creado su propio canal de distribución, porque se vendía a través del de Dell; ha tenido que rehacer los servicios, que ya son propios, y ha tenido que remodelar el marketing. “No creo que nadie haya hecho esto en tres años”, dice Bill Conner en un encuentro mantenido durante una visita a Madrid.

Reconoce el directivo que han sido tres años “emocionantes” y que es ahora cuando “estamos llegando al lugar que pensé que estaríamos hace un año, pero nos llevó más tiempo”. ¿El siguiente paso? “Nuestra próxima generación de productos”, dice Bill Conner, además de poner foco en la seguridad de la nube y potenciar Capture a través de una serie de productos que van desde SonicWall Capture Cloud Platform a SonicWall Capture ATP, pasando por Capture Client o Capture Security Center. El siguiente paso es seguir avanzando con el mercado para hacer frente a amenazas diseñadas para evadir las sandboxes tradicionales, programadas para moverse lateralmente o explorar vulnerabilidades a nivel de procesador; el siguiente paso ya se dio con la adopción de modelos de Zero Trust que llevó a la compañía a “reposicionar nuestros firewalls” y que la empuja a crear nuevo hardware.

El siguiente paso es seguir avanzando mientras el CISO afronta el reto de “mantenerse al día” y “defenderse con menos recursos” en un mercado en el que no sólo se lucha contra los ciberdelincuentes, sino contra gobiernos. La respuesta de SonicWall es una plataforma capaz de dar más por menos, asegura Bill Conner, y de manera centralizada; “unificar capacidades y ofrecer una verdadera seguridad por capas con una administración común”.

Preguntamos al directivo sobre la seguridad del cloud. Tiene claro el directivo que la mayoría de los clientes creen que el cloud significa seguridad, y no entienden de quién es la responsabilidad; por eso tendrían que leer detenidamente los contratos y darse cuenta de que los proveedores de aplicaciones en la nube no son los responsables de la seguridad, dice el directivo. “Creo que existe la misma percepción sobre el cifrado; piensan que lo está cifrado debe ser seguro, pero no es así”.

El informe de amenazas de la compañía dice también que el ransomware está cayendo. Pero, aunque así sea en términos numéricos, lo que está ocurriendo en realidad es que el ransomware es ahora más dirigido, y aún más rentable. “El objetivo es ir a donde hay mucho dinero, como ciudades u hospitales, y ahora incluso la mitad de las compañías de seguros les dicen a las empresas atacadas que paguen por lo cual es una locura”.

Más le preocupa al directivo que la Dark Web haya descubierto la manera de superar los entornos sandbox tradicionales porque eso significa que “las amenazas están pasando” y que “el juego ha cambiado”. Es lo que está diciendo a los clientes, a los partners y a las operadoras: “el 50% de lo que no estás viendo está diseñado para superar las sandboxes tradicionales”, incluso las soluciones que tienen diferentes motores de detección -como la propia de SonicWall. Explica el directivo que en SonicWall se aproximaron a la sandbox con múltiples motores de detección porque “pensamos que necesitábamos tres formas diferentes de ver lo que estaba pasando pasado”. Pero se han dado cuenta de que eso no es suficiente, que sólo un pequeño porcentaje de amenazas superando esa caja de arena supone un gran problema de seguridad para las empresas.

Menciona también Bill Conner el reto del tráfico cifrado, que no está siendo observado por parte de la mayoría de las empresas, así como los ataques de canal lateral descubiertos en las vulnerabilidades Meltdown y Spectre, “que tardamos cinco meses en detectar”.

Tomamos prestada una frase de un partner de SonicWall, quien asegura que esta compañía “es el secreto mejor guardado de la industria” Para preguntarle a Bill Conner qué opina de tal afirmación. Sonrisa de satisfacción mediante, asegura que el proceso de reconstrucción de la compañía no ha finalizado, que el próximo año estará cargado de novedades porque se ha estado trabajando entre bambalinas; “el próximo año verás algo realmente interesante”, dice el CEO de SonicWall.

Vuelta de tuerca a la sandbox

Como comentábamos, la tecnología de sandboxing de SonicWall trabaja con tres motores diferentes. Cualquier cosa desconocida se envía a ese entorno, donde se aíslan los procesos para detectar amenazas. Según datos de la compañía, el año pasado SonicWall descubrió y creó protecciones para más de 56 millones de nuevas formas de malware, una cifra que pone de manifiesto que debe hacerse algo para descubrir y detener malware desconocido, es decir, ataques de día cero. La respuesta no ha sido otra que Capture Advanced Threat Protection (ATP), un sandbox en la nube que permite detener nuevos ataques en un entorno aislado, independiente de la red, y donde se ejecutan archivos sospechosos para comprender sus objetivos.

Capture Advanced Threat Protection está integrado en los productos de la compañía, desde los firewalls a las soluciones de seguridad endpoint, funcionando de manera diferente en cada uno de ellos. Por ejemplo, cuando trabaja en conjunción con el firewall la sandbox recibe una amplia gama de tipos de archivos que no pasaron los filtros del antivirus o las listas blancas de cortafuegos; si se trata del correo electrónico, éste enviará automáticamente archivos desconocidos que lleguen por correo electrónico a Capture ATP para su análisis antes de enviarlos a las bandejas de entrada; para acceso móvil, si alguien intenta cargar un archivo en una unidad compartida se probará el archivo para asegurarse de que esté limpio antes de que otros miembros de la organización puedan acceder a él. Y, por último, para la protección del endpoint, Capture Client monitoriza continuamente el comportamiento de un sistema, y dado que es común que el malware utilice técnicas de evasión, enviar archivos sospechosos a Capture ATP es una forma inteligente de eliminar el malware antes de que se ejecute.

Lo que se ha añadido a los tres motores de Capture Advanced Threat Protection es RTDMI, o Real Time Deep Memory Inspection, una tecnología desarrollada por SonicWall para hacer frente a los ataques de canal lateral, utilizados para explotar y filtrar datos de las vulnerabilidades del procesador, como MDS, Meltdown, Spectre, Foreshadow, PortSmash y Spoiler. Esta tecnología está ayudando a SonicWall a detectar más amenazas que antes y dejando en evidencia la capacidad de detección de amenazas de otros fabricantes. “No confíes en mí, ponlo y mira lo que ocurre”, es el mensaje de Bill Conner a los que quieran probar. La tecnología, además, se ofrece como servicio, una ventaja más.

Explica el directivo que la compañía ya lo ha probado. Lo puso en su red el 20 de diciembre de 2017 y pasado un mes ya se habían descubierto 500 amenazas que antes no se habrían detectado. Amenazas que además llegaban a través de documentos PDF, de Office 365.

También hablamos con Bill Connerde perímetro. La pérdida del mismo es obvia, sobre todo para un fabricante de firewalls que ha evolucionado mucho más allá de los cortafuegos. Algunos colocan el perímetro en el dato, otros en la identidad de los usuarios. Bill Conner no lo colca en ningún sitio; dice que ya no hay perímetro, aunque añade que cuando se define por software todo puede ser el perímetro.

¿Qué parte del negocio crecerá más el año próximo? “Creo que todavía verás crecer los firewalls”, dice Bill Conner, añadiendo que se está viendo un gran crecimiento en esa área, pero también en torno a la seguridad móvil, la seguridad web, la seguridad de las aplicaciones. Pero lo que parece claro es que los entornos de sandbox y lo que en ellos ocurre darán mucho que hablar en los próximos meses.

Rosalía Arroyo