2020 será el año de los puestos no gestionados y el IoT para SentinelOne

Una de las principales conclusiones de un reciente estudio elaborado por Ponemon Institute dice que las organizaciones no están haciendo progresos a la hora de reducir los riesgos de seguridad del endpoint, “especialmente contra amenazas nuevas y desconocidas”. El estudio, The Third Annual Ponemon Institute Study on the State of Endpoint Security Risk [https://engage.morphisec.com/2020-endpoint-security-risk-study], recoge que en 2019 el 68% de las compañías experimentaron uno o más ataques contra endpoints que comprometieron sus datos o infraestructuras, frente al 54% de 2017. De los incidentes que tuvieron éxito, un 80% eran amenazas nuevas o desconocidas, ataques de Día Cero, que según la consultora se duplicarán durante este 2020. El informe también dice que el coste medio por brecha del endpoint alcanzó los nueve millones de dólares en 2019, frente a los dos millones de 2018.

Este contenido fue publicado en el número de Febrero de la revista IT Digital Security, disponible desde este enlace.

Los datos indican, entre otras cosas, que el endpoint se ha convertido en objetivo de los ciberdelincuentes, y que no está protegido adecuadamente. El mercado de seguridad endpoint está en plena revolución, y los protagonistas son los EDR – Endpoint Detection and Response.

En el desarrollo tecnológico se producen evoluciones, “y cuando la evolución no es suficiente, se produce una revolución, un cambio drástico”, que es lo que ha ocurrido en el mundo de protección del endpoint, nos contaba Frederic Benichou, Regional Director para el Sur de EMEA de SentinelOne, en una reciente visita a Madrid. Explica el directivo que los antivirus (AV) tradicionales funcionan en base a un principio muy antiguo de firmas y que este funcionamiento está “completamente obsoleto”. Tres son las razones principales: diciendo que los proveedores antivirus la han perdido, dice el directivo que la primera es la “guerra del tiempo”. Explica Benichou que un hacker no utiliza hoy el mismo virus que ayer ni que el de esta mañana, sino el que ha creado a primera hora de la tarde para que los productos que se basan en firmas no puedan detectarlo.

La segunda razón es que la mayoría de las amenazas modernas no están basadas en ficheros, y los AV tradicionales sólo funcionan con amenazas que ya han visto en un fichero. Es cierto, reconoce, que ha habido una evolución en la detección de esas amenazas con fichero, pero si un hacker toma el control del ordenador e inyecta en la memoria un ejecutable que despliega una cadena de procesos no los va a detener porque no hay fichero. Basada 100% en Inteligencia Artificial, la propuesta de SentinelOne analiza las cadenas de procesos en tiempo real, y en tiempo real detecta que hay un comportamiento maliciosos, poniendo fin a esos proceso. La aproximación, asegura, “es completamente diferente”.

La tercera razón por la que hay que dar el salto a los EDR es que los AV tradicionales consumen más recursos, sobre todo cuanto más grandes es la empresa porque necesitan estar actualizando sus firmas constantemente, de forma que “en lugar de analizar las amenazas de una manera inteligente, de analizar y hacer Threat hunting, los responsables de seguridad de la empresas dedican su tiempo a hacer que las firmas estén actualizadas”.

Valor añadido

Asegura por tanto Frederic Benichou que los AV son soluciones viejas y que SentinelOne, junto con otros actores de nueva generación, “somos los que estamos revolucionando el mercado de seguridad endpoint con soluciones basadas en Inteligencia Artificial”.

En el caso de SentinelOne, dice el responsable para el sur de Europa de la compañía que “proveemos una solución muy completa a nivel de protección de amenazas, pasando por la detección en tiempo real y mitigación”, a lo que se suman otras acciones que se pueden hacer después, que es una de las grandes bazas de los EDR: la capacidad de hacer investigaciones, de interpretar una alerta, de entender lo que ha ocurrido. Si, por ejemplo, el agente ha acabado con un proceso en la fase número quince, necesito saber cuáles eran las fases anteriores, entenderlas para conocer todo el proceso completo y aprender de ello. Y esto ayuda a dar una mejor respuesta, como puede ser aislar la máquina de la red para evitar la propagación o buscar un fichero sospechoso, y todo esto de una manera automatizada. “La solución es muy completa antes, durante y después”, asegura Benichou.

Es una solución completa para Mac, Windows y Linux, es decir, para entornos de ordenadores y servidores. Por ahora se deja al margen el mundo móvil porque, por el momento, el riesgo es más pequeño; “todavía no se ha dado el caso de que haya habido una empresa paralizada por el ataque de un ransomware a través de un dispositivo móvil. El nivel de riesgo no es comparable”, dice el directivo. Aun así, reconoce Benichou que se están valorando oportunidades y se sigue de cerca el mercado.

David contra Goliat

Por más que los estudios, los expertos y las consultoras digan que hay que avanzar y apostar por el EDR, un mercado en el que irrumpieron SentinelOne, CrowdStike, Carbon Black (ahora en manos de VMware, o Cylance (propiedad ahora de Blackberry) y al que han ido yendo otras empresas con soluciones de protección del endpoint con más presencia en el mercado, el cambio no es fácil.

A nivel mundial SentinelOne ha tenido un gran crecimiento. Estima Owler una facturación anual de unos cien millones de dólares, y menciona Benichou un crecimiento del 300% en 2018, más de 500 empleados, frente a los 150 que había hace un par de años, y más de 2.500 clientes, “fundamentalmente en empresas de más de 100.000 endpoints”. Asegura el directivo que el crecimiento es muy grande “porque la solución responde realmente a los requerimientos de los grandes clientes: mejor protección que un AV contra amenazas, visibilidad, capacidad de investigación además de interpretación…”.

Explica Benichou que el producto de SentinelOne puede ser útil en dos tipos de casos. Por un lado, detectar una amenaza y después hacer una investigación; y un segundo escenario en el que no hay amenaza, no hay ataque, pero puedo utilizar la herramienta para hacer Threat Hunting, buscar indicadores de compromiso. En el segundo caso de uso se puede buscar, por ejemplo, quién, entre mis tres mil puestos de trabajo han ido a una dirección IP concreta, o han visto un fichero, o lanzado determinado proceso, o creado un usuario con permisos de administrador…

Llevar el mensaje del EDR no es fácil. Dice el responsable de SentinelOne para el sur de Europa que el viejo continente es más conservador que Estados Unidos, donde además las empresas invierten más en TI; “en Estados Unidos se consume IT y aquí se toma mucho tiempo para verificar el presupuesto”. Otro de los grandes retos a los que se enfrenta la compañía en la mentalidad de quedarse con lo que se conoce, renovando lo que se tiene. “SentinelOne llega con un producto de nueva generación que cuesta más dinero, pero hace un montón de cosas más que solamente un AV. Hay clientes en los que la madurez, la conciencia de la necesidad es mayor, y otros que no son conscientes, y nuestro trabajo es empezar con los early adopters y gradualmente cada año aumentar el número de clientes y de conciencia”, afirma   

EDR también para los más pequeños

Aunque muchos de los clientes de SentinelOne son grandes empresas, asegura el directivo que el producto es válido para todos los segmentos del mercado. Encaja en las grandes empresas porque es un producto escalable, asegura Benichou, con muy altos niveles de prestaciones; y encaja en las pequeñas porque es muy fácil de desplegar, utiliza un agente totalmente autónomo, no requiere ninguna actualización de firmas y consume pocos recursos en el PC. En general “provee mucha más seguridad y visibilidad con menos tiempo de administración.

Existe, además, una propuesta de servicios gestionado a través de canal de distribución a disposición de los clientes y la opción de Vigilance, que es un “servicio en el que un equipo especializado de SentinelOne va a vigilar las alertas para el cliente, interpretar cada alerta y saber qué acción tomar para cada alerta”. Según Benichou, Vigilance responde a nuevo acrónimo que empieza a oírse en el mercado: MDR - Manage, Detection and Response”, de forma que Vigilance es un servicios de MDR de SentinelOne.

2020, el año del IoT

Si en 2019 el foco de la compañía fue enriquecer su oferta de EDR con una propuesta mucho más avanzada, capaz de dar visibilidad en profundidad para hacer Threat Hunting “de forma que hoy en día tenemos un producto realmente equilibrado entre la parte de protección y respuesta y ambas partes perfectamente integradas, para 2020 las miras están puestas en el IoT”.

Este es el año de SentinelOne Ranger, una funcionalidad que la compañía anunciaba en 2019 que permite a las empresas “descubrir y mapear todos los dispositivos que haya en tu red” y eso significa detectar todo aquello que esté conectado a la red empresarial, ya sea el dispositivo personal de un empleado, o una cámara, impresora… “todo tipo de dispositivos de IoT”.

Explica Benichou que en una primera fase la funcionalidad permitirá establecer una cartografía muy detallada, clasificando por tipo de dispositivos, y que en una segunda “vamos a proveer métodos que permitan proteger contra ataques que pueden utilizar estos dispositivos IoT para lanzar un ataque dentro de una empresa”, y menciona que a través de la consola de control de SentinelOne se podrá controlar el firewall para escribir una regla que bloquee todo el tráfico que llegue desde las cámaras IP, por ejemplo “porque no hay ninguna razón para que exista un tráfico legítimo que llega de una cámara”, y añade el directivo que “tener una visibilidad sobre el 100% de los dispositivos que están conectados a tu red con una dirección IP es importante para tu seguridad”.

Rosalía Arroyo