Forcepoint: “Hay que entender la conexión entre el ritmo de la gente y el flujo de los datos”

La visión tradicional de los expertos y fabricantes de ciberseguridad está basada en el threat-centric, en poner foco en la amenaza. Pero solo se actúa cuando ésta ya se ha producido, es un sistema estático (basado en antivirus, cortafuegos y proxy) que solo califica si ha sido importante o no, no es capaz de saber en el contexto real y dinámico si está siendo importante peligrosa o no. Por dicho motivo se precisa también un enfoque data-centric con pasarelas y firewalls de siguiente generación. Pero el cambio radical llega de la estrategia de poner la atención en el comportamiento humano, en el momento que las personas entran en contacto con los datos, independientemente de la posición y lugar que ocupen en la red. Se trataría entonces de una seguridad human-centric adaptativa, pues previamente debe haber un escaneado y una auditoria que marque los usos frecuentes, los accesos permitidos y los flujos normales, para poder determinar si hay comportamientos anómalos y actuar en consecuencia.

Esto que parecería ser más difícil cuando se trata de comportamientos humanos, que pueden tener muy diversas motivaciones (por negligencia o error, por desconocimiento, por dolo o codicia, por mala fe, por venganza), al final no es tan relevante para el propósito final, que es detectar a tiempo la amenaza y a más tardar en el mismo instante que se está produciendo. “Hay que conocer cada punto para poder medir. Hay gente diferente haciendo cosas diferentes todos los días, están las mismas cosas hechas por personas diferentes, y están las mismas personas haciendo cosas distintas de repente”, cuenta Fabiano Finamore, country manager de Forcepoint Iberia. “Saber qué está ocurriendo a mi alrededor y poner atención en las políticas de credenciales que deben aplicarse a cada persona, que no puede ser una única para todo, sino en función de la criticidad de los accesos (el 81% de las brechas de seguridad proceden de esta vía). Para ello necesitamos una mayor visibilidad de la red, establecer políticas correctas de accesos y movimientos a los datos, de promover las acciones necesarias y el esfuerzo de ejecución en las personas, y de asegurar su cumplimiento”.

Un primer informe realizado por Forcepoint (que se irá repitiendo cada año a partir de ahora) señala que en los dos últimos años se ha multiplicado por once veces los movimientos de datos en la nube. De repente, las compañías se han encontrado con una fragmentación de las soluciones de seguridad (entre 30 y 75 aplicaciones a controlar), una oleada de alertas (más de 5.000 notificaciones diarias antes de análisis) y una media de 45 días para gestionar una amenaza real. “Nosotros promulgamos un cambio de paradigma, hay que mirar la ciberseguridad de una nueva manera, necesitamos un cambio radical y repensar cómo tenemos que actuar en el futuro, que no es tanto futuro porque ya está aquí, porque la mayoría está inmersa en la transformación digital y la subida a la nube”, añade Finamore. “Hemos hecho lo posible por defender la red corporativa del cliente, pero ya no es suficiente, el perímetro se ha extendido por todos lados, aplicaciones como Salesforce, Office 365 o S3 de AWS se basan en la nube y están inmersas en un ecosistema más global”.

Forcepoint, “la startup más grande del mundo” en ciberseguridad por tamaño y la mejor tecnología de sandbox del mercado, tiene además a “papá” Raytheon (65.000 empleados y 25.000 millones de dólares de facturación) que pone todo el dinero que haga falta para desarrollar una completa suite basada en arquitectura modular que aplica en cada uno de los puntos de intersección entre los datos y los humanos (los human-points). Una ventaja que tienen los productos de Forcepoint es que pueden también trabajar con cualquier otro programa que tenga el cliente instalado previamente. “Aunque parte del problema en seguridad es incrementar la complejidad y no simplificarla, por lo que yo aconsejaría una única plataforma integrable por módulos que sea capaz de orquestar, gestionar y analizar”, dice Finamore. “Al tenerlo todo integrado puedo reaccionar rápidamente y aplicar las medidas correctivas para neutralizar y eliminar el riesgo”.

En España, lleva dos años presente a través de su único mayorista Ingecom, que cuenta con una red de 200 integradores. Actualmente se está trabajando en un plan de formación a través de un Autorithate Spain Center y crear un canal VAR que cubra el mercado en función a tres vectores: estratégicos (gran cuenta, mediana), territoriales (locales y regionales) y sectoriales (financiero, asegurador, medicina, retail). Según Emiliano Massa, director de Ventas para el Sur de Europa, el crecimiento ha sido en este tiempo del 400%, alineado con el de la joven empresa tejana con base en Austin, y se ha pasado de dos a nueve personas. El objetivo es cerrar el año con una facturación de 10-11 millones de dólares.

Ocho de ocho

Forcepoint ha lanzado una serie de predicciones para el 2018, que apuntan por dónde creen ellos que se moverán los “malos”. “Creemos que la industria tradicional de la seguridad se ha centrado en las cosas equivocadas. Los perímetros de seguridad se están erosionando y quedando obsoletos, por lo que, en lugar de centrarse en la construcción de muros más grandes, la industria necesita una mejor visibilidad”, piensa Massa. “Comprender cómo, cuándo y por qué las personas interactúan con datos críticos, sin importar dónde se encuentren, es muy importante. Éstos continúan moviéndose en la nube, por lo que hay que colocar el comportamiento humano y las intenciones en el centro”. Así, cada predicción tiene un elemento humano a trabajar:

1. La privacidad a vuelta de hoja. La lucha por la protección o circulación de datos privados de ciudadanos, clientes, empleados y particulares estará tensionada por la percepción que cada cual tenga según sea un ámbito público o personal. Se encenderá un debate al respecto legal, social, político y tecnológico, y la gente empezará a preguntar cosas sobre sus datos privados.
2. Hoy procrastinas, mañana pánico. La inminente promulgación del RGPD va a obligar a notificar en 72 horas cualquier brecha, y enfrentarse a multas importantes. Error al prepararse, prepararse para el error.
3. La alteración de las cosas. El IoT permitirá masificar los ataques, si bien en una primera fase no tenga tintes de ransomware (petición de rescates), así como poner la diana en nuevos dispositivos atractivos por la novedad con ataques MITM (man-in-the-middle).
4. Blockchain y criptomonedas. El mayor desarrollo de pagos a través de monedas virtuales y su proclamada invulnerabilidad estimulará el número de ataques retadores en este ámbito (credenciales de usuario e intercambio).
5. Agregadores de datos. Las vulnerabilidades reportadas, que son conocidas pero no reparadas, son una mina de oro y la vía más fácil de llegar a todo tipo de aplicaciones empresariales que beben de fuentes de datos de clientes, proyectos, equipo de ventas, campañas de marketing… “Trabaja de manera más inteligente, ya que no puedes trabajar de manera más dura”.
6. En la nube. Hay una gran zona de sombra que se extiende por las infraestructuras IaaS y PaaS, un usuario de confianza puede esconder sorpresas y lo que antes era un Domain Admin ahora es un Cloud Admin, por lo que hay que escrutar y monitorizar todos los accesos en ambos sentidos.
7. Encriptación por defecto. Es eslabón más débil sigue siendo el factor humano, por lo que ataques de hombre-en-el-medio se intensificarán. La prevención es el mejor remedio.
8. Próximo gran paso. Enfoque en el comportamiento humano (accidental, comprometido o malévalo) para identificar reglas y patrones que alerten de anomalías, a través de herramientas de inteligencia artificial y machine learning.