Ha vuelto la conferencia RSA. Presencialmente, tras el paréntesis de 2021: se esperaban 21.000 asistentes y fueron 26.000 los que acudieron al Moscone Center de San Francisco. Muchas cosas han cambiado en la ciberseguridad desde la edición de febrero de 2020, días antes de la irrupción de la pandemia. En este tiempo, el mundo ha experimentado ataques a la cadena de suministro (SolarWinds fue el más mediático) o a una infraestructura crítica (Colonial Pipeline) pero, sobre todo, se asiste a cambios en el modus operandi de los atacantes, de pronto muy interesados en reventar routers o impresoras vulnerables. Aderezado este año con una guerra en la que juegan un papel crucial los ciberataques.
Nir Zuk
Otra de las diferencias con respecto a 2020 ha sido un incremento notable de la preocupación ante amenazas que pueden producirse en cualquier momento. Por consiguiente, se están dedicando ingentes cantidades de dinero a asegurarse de que los sistemas, los datos y las aplicaciones no se ven afectados en demasía en ese caso. El aumento del gasto en seguridad ha hecho explotar un negocio floreciente y multimillonario: las compañías especializadas en soluciones de defensa y prevención se han encontrado con un maná que va a seguir creciendo. Y mientras sigue esperándose una concentración que no llega https://norbertogallego.com/la-ciberseguridad-un-sector-hiperventilado/2021/10/07/ ,la financiación de capital riesgo destinada a las startups de este sector ha pasado de 12.400 millones de dólares (que ya eran un récord) a 29.400 millones, según han calculado los analistas.
Ser el mayor encuentro de especialistas en ciberseguridad del mundo supone que la RSA sea un espejo de tendencias. Estrictamente, no han variado mucho en dos años: Zero Trust y su trasunto SASE https://norbertogallego.com/sase-la-ciberseguridad-emergente/2021/03/03/ así como la más reciente, XDR, parecen ser los pilares sobre los que se apoyan las ofertas de los más de 400 proveedores que este año reservaron espacio en la conferencia.
En esta medida, las ponencias pudieron parecer convencionales. Excepto una, la de Palo Alto Network. A priori el primero del ranking pasó de puntillas sobre su estrategia SASE, principalmente porque el mercado la tiene clara. Habrá sido por esta razón que el cofundador y CTO de la compañía, Nir Zuk https://norbertogallego.com/nir-zuk/2016/02/15/ , optó por diferenciarse con la presentación de su propuesta de SOC (sigla en inglés de Centro de Operaciones de Seguridad) autónomo.
Lo importante aquí es el calificativo, revelador de la intención de que los SOC empiecen a depender más de la Inteligencia Artificial y de herramientas de aprendizaje automático y menos de la supervisión humana en la detección y prevención de ciberataques. Según Zuk, reiterativo en el argumento, Palo Alto Networks (PANW) ya ha desplegado la tecnología de SOC autónomo en una decena de empresa que han aceptado ser conejillos de Indias para recopilar datos acerca de su eficacia. Además, naturalmente, de emplearla en su propio centro de operaciones de seguridad.
La firma californiana de origen israelí cree que con esta nueva tecnología podrá dar un golpe en la mesa a sus competidores. A primera vista no le falta razón: si la novedad tuviera éxito, las empresas podrían reducir en medida significativa su plantilla de analistas de seguridad y esto recortaría costes que en los últimos años han ido subiendo. Para PANW, el arma es de doble filo: vaya que los SOC sean eficaces en mejorar la eficacia de la detección de amenazas, pero prescindir de especialistas podría generar problemas si un ataque tuviera éxito: la IA no sabría cómo actuar porque no habrá sido entrenada para esa situación concreta.
Por lo anterior, se vaticina que la idea de Zuk tendría éxito asegurado si sus clientes optaran por un modelo híbrido: SOC autónomo para prevenir e impedir amenazas, seres humanos para defender los sistemas en casos de ataques.
PANW está convencida – este fue el centro de la presentación de Zuk en San Francisco – de que el SOC autónomo ha venido para quedarse, pero sigue investigando para minimizar cualquier fallo que pudiera tener. Y tan convencida está como para confiar en que más proveedores de soluciones van a seguir su ejemplo incorporándola a sus ofertas en sustitución de los formatos tradicionales: SIEM y SOC convencional.
Que no es un disparo accidental lo demuestra la inversión de la compañía en desarrollar su plataforma de IA bautizada con un nombre no recordable en primera instancia: Cortex XSIAM [traducible como inteligencia de seguridad extendida y gestión de la automatización. Presuntamente, le va a permitir el descubrimiento continuo de vulnerabilidades gestionando la superficie de ataque. La base instalada con decenas de miles de clientes permite a PANW obtener información de inteligencia.
Que Palo Alto Networks presentara un enfoque novedoso no significa que fuera el tono dominante en la conferencia. Quedó patente que la filosofía Zero Trust tiene todas las papeletas para seguir siendo la metodología sobre la que las empresas van a basar sus estrategias de ciberseguridad. Es fácil descubrir por qué: suena muy bien lo de establecer un marco de seguridad en el que no se confía en absolutamente nadie que se conecte a la red. En lugar de confiar en los empleados u otros usuarios, y en lugar de confiar en los dispositivos y redes por defecto, la buscada confianza cero se basa en el uso de la identidad y el comportamiento para verificar a usuarios y máquinas en tiempo real, reduciendo el acceso en base a privilegios mínimos. Con perdón de la metáfora, se trata de lo que una madre diría a su hijo pequeño: “nunca abras la puerta a nadie hasta que yo confirme de quién se trata”.
Sin embargo, algo tan simple, pese a tratarse del modelo imperante a corto y medio plazo, son todavía muchas las organizaciones que no entienden el concepto; confusión a la que contribuyen las empresas del gremio cuando hacen creer a sus posibles clientes que Zero Trust es una gama de productos propios. Por lo que cuenta Mario Kotler desde San Francisco, bastaba darse una vuelta por la zona de exposición para comprobar cómo buena parte de los expositores (unos 400 inscritos) parecían estar vendiendo lo mismo: un jarabe llamado Zero Trust.
Tal vez la saturación puede explicar que otra sigla de moda, XDR [Extended Detection and Response] parezca perder fuelle por momentos. Todas las empresas que antes se dedicaban a la seguridad en el punto final [EPP, End-Point Detection] o a la gestión de información y eventos de seguridad [SIEM] han visto en XDR una oportunidad de reciclar su negocio con una sigla enigmática. El marketing juega, por supuesto, su legítimo papel: no suena igual `vendemos una solución para proteger un router o un servidor´ que decir `ofrecemos una herramienta de detección y respuesta ampliada´. Esto es lo que propone XDR: incluir diferentes tipos de búsqueda, detección y prevención de amenazas en todas las superficies de ataque.
En este tiempo de preocupación generalizada, ante la gama de soluciones (y supuestas soluciones) que se acogen a la sigla XDR, los responsables de TI y de ciberseguridad en las empresas se encuentran ante la tesitura de valorar muy bien cuál es la realidad de las propuestas que reciben y cuáles se adaptan mejor a sus necesidades.
Uno de los proveedores en los que fijarse es Crowdstrike https://norbertogallego.com/crowdstrike-estrella-emergente-de-la-seguridad/2021/08/09/ , que lleva tiempo predicando las soluciones XDR. Su apuesta le llevó a principios de año a crear, junto con otras compañías, la alianza CrowdXDR, con las que prometía detección en tiempo real y visibilidad completa, además de monitorizar cualquier entorno. Uno de los problemas de XDR es que cada fabricante va por su cuenta, de forma que no hay estándares y esto hace posible la aparición de brechas. La alianza sería una forma de combatir este problema, gracias a la compartición de datos de las empresas miembros. Los promotores, ostensiblemente con CrowdStrike a la cabeza, creen que la conjunción va por buen camino: en la RSA ha anunciado la intención de ampliarla para darle más empuje; ya de paso, presentó mejoras en Falcon, su plataforma XDR, con vistas a ampliar su cuota en este segmento de mercado.
La tercera de las siglas en juego, SASE [Secure Access Servide Edge] ya no tiene el protagonismo que tuvo hace un par de años. Sin embargo, sigue vigente y nada mejor que recordar que Cisco sigue insistiendo en los beneficios de este modelo basado en la nube y que agrupa las redes definidas por software (SD-WAN) con funciones de seguridad de la red al ofrecerlas desde un único proveedor de servicios. Incluso le ha puesto nombre un tanto enrevesado: Cisco+ Secure Connect Now, que incluye en una estratega más amplia Cisco Security Cloud. Esta plataforma opera en un entorno hibrido y multinube, tiene un motor de políticas unificado para múltiples productos y servicios y además utiliza el aprendizaje automático para la inferencia predictiva.
Es pretensión de Cisco que Security Cloud pueda situarse horizontalmente como una capa sobre la infraestructura de los servicios cloud (Azure, AWS o Google Cloud) y así proteger todas las aplicaciones principales. El otro objetivo es simplificar – el verbo se ha hecho dogma en el lenguaje de Cisco – la experiencia de seguridad para los usuarios, no sólo un producto sino un modelo operativo en la nube que simplifique la compra y el consumo de los componentes de la plataforma.