Outpost24: “Las tecnologías de protección que ofrecemos cumplen con las características de un enfoque CTEM”
Entrevistamos a David García, Account Executive en Outpost24 y fundador de Sec2Crime, para conocer en detalle el estado de las soluciones CTEM y la estrategia de este fabricante especializado en ciberseguridad.
El mercado de la ciberseguridad está en constante evolución, hasta el punto de demandar, tanto de las empresas que proveen de soluciones en este campo, como de las compañías y organizaciones susceptibles de ser atacadas, un esfuerzo y dedicación constantes para hacer frente a un número y diversidad creciente de amenazas y a un aumento de su superficie de ataque.
Gartner, consultora especializada en la detección de tendencias y en la elaboración de planes estratégicos para abordar los constantes retos y exigencias en campos como el de la propia ciberseguridad, perfiló hace ya unos meses una propuesta integral como recomendación para las compañías y organizaciones en la dirección de gestionar las amenazas de ciberseguridad, más que los episodios propiamente dichos una vez que los atacantes hubieran conseguido burlar las medidas de protección.
Esa propuesta integral es la que Gartner bautizó como CTEM o Continuous Threat Exposure Management, por sus siglas en ingles. Outpost24, como compañía involucrada en el diseño de soluciones y productos en el campo de la ciberseguridad, está comprometida con esta estrategia consolidando su portfolio de soluciones de seguridad alrededor de esta visión CTEM, poniendo en la primera línea de defensa de las organizaciones elementos tan relevantes como la superficie de ataque o la priorización de las amenazas.
Para centrar un poco más dónde se ubica Outpost24 en el panorama de las soluciones de ciberseguridad y profundizar en sus soluciones, hemos hablado con David García Account Executive en Outpost24.
– Outpost24 puede parecer una compañía joven, si atendemos al timeline compartido en la web corporativa. Pero realmente tiene un origen anterior. ¿Podría hacer un recorrido por la evolución de la compañía hasta llegar a su posición actual?
Outpost24 tiene un origen anterior, a partir de 2001, con productos más enfocados en el análisis de vulnerabilidades. Sin embargo, es a partir de 2021, con la compra de compañías como Blueliv, compañía española especializada en ciber inteligencia,y SpecOps, centrada en productos de Access Risk; cuando se empezó a producir una evolución notable en la integración entre productos y la oferta diferencial en el mercado de la ciberseguridad.
El pasado año, en 2023, Outpost24 también adquierió Sweepatic, proveedor especializado en soluciones para la gestión de EASM (External Attack Surface Management), una de las tendencias que se están estableciendo ahora como dominantes en el campo de la ciberseguridad.
– Centrándonos un poco, podríamos decir que, a partir de 2020, hay un cambio de dirección en la compañía.
Sí. Piensa, además, que Outpost24 y el fondo de inversión Vitruvian Partners, a mediados de 2022, unieron sus fuerzas como parte del proceso de crecimiento de Outpost24. A partir de ese momento, con la llegada de este fondo de primer nivel, cambia el panorama dentro de los planes de expansión de la compañía, tras una primera fase de crecimiento.
Entonces, realmente los hitos más relevantes son:
- La parte relacionada con la inversión que confiere a la compañía un gran potencial de desarrollo y crecimiento.
- Algo más importante y que destacamos de forma especial es que Outpost24 pretende convertirse en la principal empresa de referencia como fabricante de tecnologías de ciber seguridad y de ciber inteligencia a nivel europeo.
Sabemos que ahora hay mucha concienciación acerca de dónde provienen, dónde se ubican o dónde se almacenan los datos y dónde se almacena la información. Es una circunstancia que preocupa a muchos clientes y nuestra idea, ya que tenemos nuestro principal data Center aquí, es que la información que nosotros generamos y la que nosotros almacenamos siempre se quede dentro de Europa.
Este es uno de los puntos que solemos destacar cuando hablamos de las ventajas de nuestra compañía. El foco es Europa, aunque realmente tenemos clientes de todo el Mundo. En el caso concreto de los clientes que están dentro de la Unión Europea, les decimos que se queden tranquilos: que sus datos van a permanecer aquí; ponemos en valor apartados como la fortaleza de las normativas en materia de Protección de Datos.
– ¿A qué audiencia van dirigidas las soluciones de seguridad de Outpost24?
Outpost24 está tendiendo hacia la adopción del CTEM y también a la diferenciación entre lo que pueden ser servicios de protección digital o el digital risk protection. Al final, el objetivo es acabar con la diferenciación que existe ahora mismo en distintas verticales del producto y que todo vaya en función, digamos, de ese enfoque-tendencia CTEM, de esa vista unificada que permita añadir productos y nuevas acciones en función del nivel de madurez del cliente y su escalabilidad en el tiempoAhora mismo siguen existiendo soluciones diferenciadas, como la parte de Specops, que sigue existiendo por sí misma, más vinculado al Access Risk. Es un producto más sencillo, pero con muchísimo valor, que atiende a necesidades muy específicas; por lo que su ciclo de implementación y venta también es distinto Son soluciones que tienen que ver con aspectos como el disponer de una política de contraseñas más fuerte o con que el propio empleado se pueda reiniciar su contraseña de forma segura con autenticación multifactor, por ejemplo. Es una propuesta muy específica y para un público que sabe lo que quiere. Nuestros clientes para estas soluciones son empresas que suelen pedirnos directamente ese tipo de funcionalidad. Puede ser casi cualquier tipo de cliente. El objetivo es el mismo: securizar las contraseñas de sus usuarios en el AD mientras mantienen la usabilidad y facilidad de acceso.
En otro orden de cosas, nos vamos ya al capítulo de la ciber inteligencia. Ciber inteligencia sí que es un concepto con el que nos vamos a un nivel de madurez y ciberseguridad generalmente alto. Es decir, nuestra audiencia con estas soluciones son empresas que ya tienen cubiertas la mayoría de las necesidades esenciales de ciberseguridad y que quieren añadir una capa más; un pasito más hacia la monitorización y prevención de asuntos críticos, como las filtraciones de datos.
Una de nuestras características diferenciadoras es la modularidad de la plataforma, con lo cual no tienes la obligación de contratar un todo en uno con un coste elevado. Las empresas que se acercan a Outpost24 no necesitan partir de un presupuesto en ciber seguridad excesivo; basta con tener la voluntad de empezar con sus primeros pasos
Pongamos un ejemplo, con una empresa en la que las necesidades de seguridad básicas están cubiertas y ahora lo que pretende es profundizar en aspectos como información filtrada que pueda afectar a la empresa. Estamos hablando ya de dar el salto a la ciber inteligencia, en cuyo caso, la compañía en cuestión puede optar por contratar un módulo de credenciales, por ejemplo, para explorar el impacto de las credenciales filtradas; un módulo para monitorizar redes sociales u otro para comprobar su huella en la Dark Web.
Es decir, Outpost24 cuenta con esta flexibilidad y modularidad a la hora de ofrecer soluciones a las empresas y organizaciones, tanto a través de partners como directamente con clientes finales
Estas propuestas, en última instancia, proceden de la herencia de Blueliv. Se mantiene de facto la referencia a la compañía Blueliv adquirida por Outpost24, en gran parte porque sus soluciones tienen una muy buena reputación dentro del sector de la ciber seguridad. La nomenclatura oficial, en cualquier caso, es ahora Threat Compass, dado que se ha pasado de un nombre referencial a la compañía de origen al nombre de la herramienta incluida dentro del grupo O24.
Como decía, dentro del apartado de la ciber inteligencia, Outpost24 cuenta diferentes módulos. Esto nos proporciona una gran flexibilidad porque puedes incorporarlos individualmente.
Si un cliente final trabaja con un MSSP de confianza y le interesa nuestra solución, pero quiere hacerlo con ese partner, también contemplamos el trato con MSSPs (Managed Security Services Providers). En esta modalidad de servicio gestionado, la tecnología no la gestiona el cliente final, sino su proveedor de servicios de seguridad gestionada, que muchas veces combina nuestra plataforma con muchas otras, integrándola vía API como parte de un servicio global más completo; o simplemente porque ve un valor especial en uno de nuestros módulos y quiere contar con sus fuentes dentro de su sistema.
Tras las verticales de Access Risk (contraseñas) y la de ciber inteligencia, llegamos a la vertical dedicada a las vulnerabilidades. La parte que lleva más tiempo es la de vulnerabilidades basadas en riesgos o Risk Vulnerability Management que ahora empezamos a denominar como Outscan NX. Se trata, básicamente, de una plataforma más tradicional, conocida y familiar dentro del sector de la ciber seguridad, pero con diferencias sustanciales que nos permiten diferenciarnos de la competencia.
No es una vertical tan novedosa dentro del repertorio de soluciones de Outpost24, al tratarse de escaneo, gestión y priorización de vulnerabilidades. Es decir, se lleva a cabo un escaneo de las vulnerabilidades de la organización, sin que importe el tipo de despliegue: el cliente puede tener la información en la nube u on-premise o en modalidades híbridas.
Tras escanear las potenciales vulnerabilidades, el siguiente paso es gestionarlas: asignar tareas, configurar notificaciones y alertas en base a las vulnerabilidades y, sobre todo, lo más importante, priorizarlas. Para ello, se establecen, digámoslo así, unas puntuaciones para las vulnerabilidades que permiten otorgarles un grado mayor o menor de importancia o criticidad.
Estas puntuaciones suelen tener en cuenta no solo los estándares de la industria (CVSS, generalmente), sino que pueden basarse también en características propias del negocio: no todas las vulnerabilidades afectan a diferentes negocios de la misma manera. En este apartado, Outpost24 cuenta con otra solución complementaria e integrable, Farsight, añadiendo una capa de ciber inteligencia que permite incorporar una puntuación adicional dinámica basada en los exploits asociados a la vulnerabilidad detectada
Es una tecnología que puede aplicar más a cualquier tipo de target, porque al final todas las empresas tienen vulnerabilidades y este tipo de herramienta es cada vez más esencial. Generalmente, las organizaciones suelen empezar con soluciones de tipo Open Source, sin coste, a cambio de no ser soluciones tan automatizadas ni tan profesionalizadas como las soluciones comerciales. Después, por volumen de negocio y por facilidad, llegan a plataformas como la ofrecida por Outpost24, que es mucho más visual, que permite un tipo de configuración más avanzada y, sobre todo, un tipo de reporting más detallado, para descubrir qué vulnerabilidades son críticas, cuáles no, qué resolver o cómo resolverlo; sin olvidar las posibilidades de filtrado y selección de targets que se van a escanear.
– Por no perder el hilo, estamos con la parte de audiencia.
Si, efectivamente, como explicación de los productos en función de la audiencia potencial…
En Specops y, por tanto, las soluciones de Access Risk, decíamos que nos dirigimos prácticamente a cualquier tipo de audiencia que quiera proteger sus contraseñas, un denominador común a cualquier tipo de empresa, sea pública o privada.
En el caso de la ciber inteligencia hablamos de empresas bastante maduras en ciberseguridad que quieren ampliar y dar un pasito más hacia la parte de descubrimiento y controlar su presencia en la Deep o Dark Web, entre otras funcionalidades.
Y en la parte que estamos ahora, que es la parte de vulnerabilidades, nuestra audiencia suelen ser empresas, también de todo tipo, como en el primer caso, pero que están en un proceso de transición desde soluciones Open Source o de herramientas de descubrimiento y detección de vulnerabilidades con un funcionamiento esencialmente “manual”, a propuesta más profesionalizadas que les permitan automatizar más las gestiones; así como compañías que desean valorar nuevos proveedores al no estar muy contentos con sus soluciones actuales.
– Llegados a este punto, ¿cómo encaja este repertorio de soluciones dentro de la solución Exposure Management Platform (EMP)?
Para posicionar aún más las soluciones de Outpost24, hay que decir que, por un lado, estamos desgranando los detalles de los productos de forma individual. Por otro lado, está el roadmap de producto que tiene como meta esa solución y vista unificada de todas las amenazas que puedan afectar a una organización.
Exposure Management Platform, engloba prácticamente todo lo que hemos estado viendo hasta ahora más la posibilidad de realizar pentesting semiautomatizados de aplicaciones web. En última instancia, son soluciones que encajan dentro de la visión de la estrategia CTEM perfilada por Gartner.
Actualmente, Outpost24 está en el proceso de unificación e integración de todas estas soluciones, resultado también de una visión estratégica a la hora de adquirir e invertir en otras compañías y sus soluciones. Es lo que sería el Continuous Threat Exposure Management con un dashboard unificado, de modo que toda la información esté relacionada.
Un ejemplo: una integración natural entre diferentes soluciones la tenemos entre el producto de ciber inteligencia (Threat Compass) y el producto de gestión de superficie de ataque externa (EASM). Estas dos soluciones, que vienen de dos empresas diferentes, tienen elementos en común: la superficie de ataque externa también permite, a través de la referencia a un dominio principal y posibles subdominios, mapear e identificar posibles riesgos que asume la organización mediante su exposición (inventariado), mientras que la ciberinteligencia permite profundizar en determinados tipos de riesgos (monitorización activa), como el fraude de dominios similares al dominio principal o la identificación e credenciales filtradas vinculadas a ese dominio; entre otras posibilidades.
– Exposure Management Platform, ¿es un producto comercial actualmente?
Sí. Si mañana un cliente busca una solución en esta dirección, inicialmente este cliente tendría plataformas por separado, pero dentro de las características de una propuesta CTEM.Este cliente formaría parte de este proceso de integración. El cliente accedería a los diferentes productos con accesos diferentes temporalmente, en la mayoría de los casos. Es un proceso gradual de unificación que se realizará en los meses próximos y 2025, pero que ya lleva una buena parte de trabajo realizado.
– Una forma de verlo entonces, sería que ¿estamos ante un proceso de consolidación de las herramientas con las que contaba Outpost24 para adaptarlo a la narrativa de las tendencias de seguridad actuales de forma que hasta cierto punto facilite a los CISOs la tarea de convencer a otros ejecutivos de sus empresas que tienen que invertir en ciberseguridad?
Efectivamente, sí. Es una forma de verlo, porque al final Gartner, como sabemos, tiene mucha influencia. Cuando hablamos de CTEM, al final es una de las principales tendencias que ya se vieron para para 2023 y es gestión de exposición de amenazas. La idea es que se haga con un sentido; que los planes de ciberseguridad, a partir de cierto nivel, estén inspirados en tendencias y frameworks concretos, previa investigación y análisis, por supuesto.
No es lo mismo ofrecer un plan de ciberseguridad que vaya por libre y desvinculado de la actualidad, que plantear una estrategia alineada con propuestas sólidas. Si tenemos un marco conceptual como CTEM que nos indica que, cubriendo algunos puntos concretos , pues tienes una mayor probabilidad de tener tu empresa protegida, es más fácil de contextualizar y justificar a nivel interno que se está siguiendo un esquema con un propósito, dentro de lo que se considera una estrategia de seguridad efectiva y basada en una tendencia de riesgos real. El siguiente paso será demostrar que dicha tendencia afecta también a nuestra industria y, más aún, a nuestra empresa (pero para eso están las auditorías y otros análisis internos/externos).
– El rol de los CISO parece haberse complicado en los últimos tiempos a medida que las amenazas aumentan en diversidad y frecuencia, así como la superficie de ataque de las organizaciones. ¿Cómo ayuda Outpost24 a los CISO a la hora de facilitar su tarea?
El aspecto más destacable, o uno de ellos, está en la flexibilidad que nos caracteriza en el momento del despliegue de las soluciones de ciberseguridad. En Outpost24 apostamos porque la información “se quede en casa” y no salga hacía terceros países, por ejemplo, que puedan suponer una fuente de preocupación para el cliente. Un cliente que muchas veces ni sabe, ni quiere saber o puede saber, sobre todo cuando un partner está ofreciendo un servicio de ciberseguridad, dónde está llevando la tecnología a su información.
Outpost24, a través de su propuesta CTEM, ofrece flexibilidad al CISO para tener una visión global de la seguridad de la compañía, sea directamente o a través de terceras partes o partners en los que se deposite la confianza de la gestión de las tecnologías de seguridad. Estos partners también se benefician de esta visión CTEM, al tiempo que el CISO recibe los informes o reportes finales correspondientes; si ese es el caso.
– ¿Cómo está llamado a progresar y evolucionar el roadmap de Outpost24?
La evolución natural del EASM es con la herramienta de ciber inteligencia. Lo que hace el EASM ahora mismo es el descubrimiento de activos y nuestra idea es que pueda haber una correlación de información entre lo que se obtiene de forma automatizada en un inventario de los activos expuestos que consigue el EASM, con profundizar en ellos a través de una herramienta como Threat Compass, por ejemplo.
Una de las evoluciones, que ya están en marcha, es la integración del módulo de credenciales de Threat Compass en la parte de EASM, de modo que ese descubrimiento de activos también pueda profundizar en credenciales que puedan estar asociadas a ese dominio principal y que hayan podido ser filtradas en la Dark Web.
El enfoque es profundizar, solo con ese dominio y ese descubrimiento, en cada activo y obtener una inteligencia de amenazas propiamente dicha.
– En el campo de la seguridad de aplicaciones web y móviles, ¿qué soluciones propone Outpost24?
En la parte de aplicaciones web, Outpost24 cuenta con un equipo de profesionales llamado Ghost Labs, encargado de todo lo relacionado con Seguridad Ofensiva, con foco en los tests de penetración o pen testing. Es un campo de aplicación que tiene que ver con la seguridad ofensiva, donde Outpost24 ofrece tanto la posibilidad de llevar a cabo pen testing únicos tradicionales, sistemáticos y programados, como realizar PTaaS (Pentesting as a Service) sobre Aplicaciones Web.
Las empresas, habitualmente, hacen uno o dos pen testing al año. Outpost24 ofrece la posibilidad de realizar pen testing continuado en aplicaciones web críticas, con informes que pueden generarse bajo demanda o de forma programada.
En cuanto a aplicaciones móviles, nuestra solución de ciber inteligencia, Threat Compass, también incorpora un módulo específico para la monitorización de aplicaciones web en Deep y Dark Web, controlando el posible uso no autorizado de las mismas, sus marcas y cualquier otro elemento que pueda poner en riesgo la seguridad de las propias aplicaciones o su exposición frente a terceros.
– Hasta qué punto el papel del CISO pueda estar amenazado por propuestas de seguridad progresivamente más avanzadas y elaboradas que evolucionen un poco hacia un “CISO as a Service”.
Depende mucho de la estrategia del negocio, de la estrategia del cliente final. Podríamos decir que hay varios tipos de CISO. Por un lado, está el CISO integral, el CISO tradicional, que al final puede depender o no de otros departamentos. Incluso eso varía a veces. En ocasiones puede depender del CIO, que sería el que lleve toda la parte de información y este se dedique solo la parte de seguridad de la información. O, como CISO, puede ser un departamento aparte, totalmente independiente. Pero, en esos casos, el CISO suele ser el encargado de manejar también todas las tecnologías que tengan que ver con la seguridad de la información y el dirigir a los equipos.
Aquí la diferenciación va a estar en si el propio cliente tiene capacidad y analistas, es decir, si tiene a gente, para poder utilizar nuestras herramientas, porque al final nuestras herramientas no van solas. Nuestras herramientas necesitan a alguien que las gestione.
Entonces la diferencia va a radicar en si la política de la empresa o del cliente final es una estrategia de negocio en la que no se quiere invertir en tener personal interno para este tipo de cosas. Pero esto pasa igual en IT. En ese caso recurrirán a un tercero que les lleve un servicio gestionado de este estilo, que suele ser lo habitual en muchos casos, salvo que sean empresas muy grandes, con ciber inteligencia. Es decir, si tienes que comprarte la herramienta de ciber inteligencia y además tienes que tener a tres o cuatro analistas dedicados para hacer los informes, porque cada uno tiene que estar un poco más especializado en unos temas u otros, ya no es lo mismo.
Si no se cuenta con un presupuesto muy grande, un servicio gestionado va a permitir tener equipos propios, incluso muchas veces integrados dentro de los SOCs. Las herramientas de ciber inteligencia muchas veces, las meten como un añadido dentro de los SOC para poder dar un valor añadido.
Yo creo que el CISO no se ve amenazado por una tendencia concreta como tal, sino que su rol dependerá de la estrategia de cada organización. Si la estrategia de un negocio decide externalizar un servicio o no, dependerá de muchos intereses. Es cierto que en ciberseguridad muchas veces se decide externalizar por no tener un gasto mayor de presupuesto. En ese sentido, muchas veces los clientes tienen acceso a nuestras plataformas con accesos limitados que se les dan por parte de los partners.
– Desde la parte comercial, ¿qué está previsto que llegue en Outpost24?
Siguiendo ese enfoque CTEM del que tanto hablamos, lo que estamos intentando hacer propuestas personalizadas y escalables, según las necesidades de cada cliente. Esto es, un cliente puede empezar por lo básico, con uno de los productosde Specops (por ejemplo,con la política de contraseñas ocon tecnologías multifactor). Pero eso no nos salva de que esa contraseña acabe filtrada. El siguiente paso natural es la adopción de tecnologías de ciber inteligencia que permitan detectar, por ejemplo, si en algún momento se comprometen credenciales o incluso de documentos sensibles y profundizar en la investigación y origen de las mismas. Pasamos así, de un producto preventivo y estático que impide a los usuarios usar contraseñas vulneradas o vulnerables, a una monitorización proactiva de credenciales en su conjunto y, más allá, al control continuado de la presencia de riesgos adicionales vinculados (como filtraciones de datos, fraude de tarjetas de crédito o indicadores de compromiso).
Además, si añadimos EASM, las empresas contarán con un inventario de los activos que puedan estar expuestos, un análisis de sus puertos, las IPs vulnerables, etcétera. Hecho esto (realizado un análisis pasivo y externo de los riesgos inicialmente), podríamos escalar hacia Outscan NX y procesar un escaneo proactivo e interno de las vulnerabilidades, aumentando el alcance. Por último, tendríamos la opción de realizar un test de penetración sobre aquellos activos que sean aplicaciones web y sobre los que necesitemos un nivel de profundidad mayor.