Grupo CMC trae al mercado de la seguridad la revolución en la prevención de vulnerabilidades
Lo único que es cierto en este terreno es que cuanto mejor es la defensa, más se sofistica el ataque. Así que hay que estar constantemente mejorando y aprendiendo del enemigo. Esta es la base de Nozomi, la startup que aplica inteligencia predictiva y machine learning en tiempo real a su software único.
La consultora española Grupo CMCque provee de servicios TIC a la industria en general ha cerrado un acuerdo con Nozomi Networks para poder adoptar su solución de seguridad ScadaGuardian. Lo que le da notoriedad a este acuerdo es el hecho de poner a disposición del mercado nacional e iberoamericano la solución más avanzada del mundo y única por el momento en su género para los entornos industriales en cuanto a seguridad pasiva: no interfiere en los procesos, y es capaz de reaccionar en tiempo real si detecta un ataque o intento de intrusión.
Nozomi, que en japonés responde a los anagramas de rápido, confiable y seguro, es una start-up suiza con apenas tres años de historia, que en el presente año ha logrado levantar una financiación de 7,5 millones de dólares y ha dado el salto al Silicon Valley. Dispone de varias referencias internacionales, principalmente en el sector energético y utilities, y la gente de CMC confía en introducir en lo que queda de año al menos su appliance en algún importante proyecto nacional que le dé visibilidad. “Tenemos algo ya avanzado, y sin duda supondría un gran espaldarazo. Las previsiones para 2017 es lograr una veintena de implementaciones, que generarían un volumen de ingresos superior a los 2 millones de euros (el precio por sistema varía entre los 100.000 y 200.000 euros, dependiendo de la configuración y número de nodos gestionados). Esto nos obligaría también a formar a unos 10-15 técnicos especializados en esta revolucionaria tecnología”, anuncia Jaime Hortelano, CEO del Grupo CMC.
Y es que ScadaGuardian propone una solución de seguridad vanguardista que es capaz de reducir drásticamente la detección de ciberataques de días a horas, algo que se vuelve cada vez más vital. “Lo normal hasta ahora es una media entre 60 y 150 días. Hay empresas que han sufrido una intrusión hace meses y permanece en la más absoluta ignorancia”, dice Edgard Capdevielle, CEO de Nozomi. “El mayor problema es que mientras hace cinco años se recibía un ciberataque o dos al año, en 2015 ya era prácticamente de uno diario, y la cifra va a continuar creciendo. Una situación totalmente extrapolable a España”.
Según el observatorio del CCN-CERT, durante 2015 se registraron en España 18.232 alertas, un 41% más que en 2014, de las cuales 430 fueron catalogadas como graves (y de ellas 134 dirigidas directamente a infraestructuras críticas, de las cuales 88 fueron graves por atacar recursos como centrales energéticas, presas o cadenas de alimentación). “La triste realidad es que para 2016 se espera que aumenten hasta 25.000 afectando a todo tipo de sistemas de la administración pública y las empresas de interés estratégico. Y lo peor, es que la cifra real se puede incrementar en un 45% si se detectaran todas las intrusiones, las cifras son solo las obligadas a ser declaradas al CPIC”, relataba Hortelano.
¿Qué proporciona de especial la tecnología de Nozomi? Pues análisis del comportamiento y aprendizaje automático en tiempo real. “Nuestro software crea un mapa del entorno en el que se despliega y escanea sus componentes para detectar posibles vulnerabilidades y cambios anómalos”, explica Capdevielle. “Los algoritmos de detección examinan la configuración de cada sistema y comprueban las correlaciones y si algo se sale de lo normal. Somos los más avanzados del mercado, debido a dos factores fundamentales: por un lado su capacidad de análisis previa a nivel de cortafuegos y su capacidad de análisis del comportamiento de la red en tiempo real de manera transparente y no intrusiva, y por otro su capacidad de proporcionar de manera unificada una visibilidad total a través de cuadros de mando personalizables y la configuración de alertas”.
El Internet de los hackers
Grupo CMC lleva en la práctica desde hace una década en el mundo del Internet de las Cosas, aunque entonces no se llamase así. La digitalización de procesos en múltiples mercados verticales (industria, infraestructuras, edificios, control aéreo, transporte…) le ha llevado a realizar “apasionantes proyectos de ingeniería en el campo de la energía, del agua, de la industria farma o de la salud, que pueden crecer en escala o latencia para manejar miles de dispositivos en segundos, pero lo que hemos aprendido es que cada vez es más fundamental tener un respaldo seguro que proteja este entorno, bien con soluciones propias, bien con las de nuestros partners”, explica Hortelano.
En este sentido, Capdevielle afirma que “nos hemos escogido mutuamente. Fue Fortinet la que hizo de celestina. A nosotros nos interesa de CMC su posición para entrar en España y sus mercados europeos (Italia) e iberoamericanos (México, Colombia). Respecto a los fabricantes de firewalls, ya tenemos certificados a Fortinet para nuestra solución ScadaGuardian, y en esta semana a Checkpoint, y la intención es tener en breve a los otros dos principales actores, Cisco y Palo Alto”.
Existe una notable diferencia entre la gestión de las redes corporativas y las de una red industrial. “Para empezar, en una red corporativa se producen muchas actividades distintas, corren muchas aplicaciones; si se tiene una interrupción, tampoco pasa nada grave porque tu correo se descargue media hora más tarde. Pero en la red industrial sólo hay un proceso y éste es crítico. Normalmente se trata de cosas físicas que se mueven, energía eléctrica, agua, petróleo, gas, una línea de montaje, control de despegues y aterrizajes…”, enumera el CEO de Nozomi. “Si hay un parón repentino, el impacto suele ser superior e incluso dramático, un horno que explota, una cirugía que no se puede posponer… resultado de muertes o de pérdida de mucho dinero. Los ciclos de mantenimiento y parada técnica son muy estrictos, y lo normal es que si se quiere actuar e introducir un proyecto de seguridad, haya que esperar a que se entre en mantenimiento, lo que ocurre una o dos veces al año. Nosotros en cambio tenemos una solución pasiva, que se puede incorporar en cualquier momento”.
Otra diferencia reseñable entre un tipo de red y otra es la calidad de sus medidas preventivas. Mientras que las empresas en general tienen sistemas más modernos y fiables, las infraestructuras suelen tener un desfase a veces superior a los diez años. Esto es debido en parte a que los ciclos de compra de las compañías comerciales suelen ser de cinco años, mientras que las industriales se pueden demorar diez y hasta 30 años. A veces, hasta que no se sustituye el equipo o la máquina en cuestión, lo que además agrava la situación al convivir dispositivos muy heterogéneos, a veces con protocolos con 20 años de diferencia, aumentando las vulnerabilidades y los riesgos de fallas de seguridad. “Hay quien dice que deberían ser los fabricantes de bienes de equipo, como Siemens, los responsables de proporcionar esa seguridad. Pero un fabricante se dedica prioritariamente a que su máquina funcione bien y se maneje bajo las especificaciones detalladas, y quizás la seguridad aparezca en la prioridad número 14. Si al diseñar el código embebido, la seguridad no aparece entre las tres primeras prioridades, olvídate. No hay tiempo. Es como si le pidiéramos a Microsoft que tuviera el mejor antivirus del mundo”, declara Capdevielle.
La cosa se puede complicar si ya metemos a redes compartidas o redes dedicadas, porque en una red compartida, en caso de caída, se puede levantar desde otras instancias, pero si es dedicada, sólo tiene su centro de datos como sostén. “La arquitectura de la red influye también en nuestro modelo de adquisición. Normalmente, hay un pago inicial por nuestro appliance (que puede estar situado físicamente en casa del cliente, o administrarse de manera virtualizada desde un centro de datos), que se conecta al punto más céntrico del backbone, y después hay una suscripción anual de un fee por cada nodo controlado. En redes centralizadas, como las refinerías petrolíferas, basta con un equipo ScadaGuardian; pero en las distribuidas como las de la red eléctrica, haría falta un equipo por subestación”, explica Capdevielle. “Ya el integrador sería el responsable de la gestión o del mantenimiento”.
Respecto a la competencia, es difícil de situar en estos momentos, se hayan en medio de un cambio de paradigma. “No hay nadie que le pueda decir al Santander o a Telefónica cuánto debe invertir en seguridad, ni siquiera en qué concretamente. Así que realmente competimos con cualquier player del ecosistema que quiera sacar tajada de esos presupuestos millonarios destinados a ciberseguridad. La diferencia quizás es que las compañías de una generación anterior basada en firewalls industriales ya no son efectivos. Se basan en listas blancas y listas negras con patrones específicos de ataque, pero no pueden aprender sobre la marcha del proceso y conocer cómo debería funcionar y comportarse un determinado dispositivo, ni parar un escaneo o reportar un comportamiento anómalo. No hay nadie más en esta categoría del análisis de comportamiento industrial, no es lo mismo el mantenimiento preventivo, que trata de adelantarse a un fallo previsible, que el mantenimiento predictivo, que aporta una solución de manera muy rápida y audaz antes de que se produzca un fallo inesperado”, comenta en CEO de Nozomi. “Puede que estemos abriendo el dique, y en tres semanas aparezcan soluciones similares. Serían bienvenidas. En mercados donde no hay competencia tampoco se gana tanto, prefiero que haya más gente y se cree una demanda, y poder ganarles por ser el mejor”.