Trend Micro: “Se nos encontrará en el Internet de las Cosas”

Sin prisa pero sin pausa. Así podría definirse el crecimiento y evolución de Trend Micro desde que fuera fundada en 1988 por Steve Chang, su mujer, y su hermana, Eva Chen, actual CEO de la compañía. De proveedor antivirus a proveedor de seguridad cloud. 17 años de historia con un puñado de compras estratégicas, apenas once, pocas para la oleada de adquisiciones que en los últimos años plaga el mundo de las TI.

La última adquisición se anunciaba hace apenas unas semanas. Fue la de HP TippingPoint, con la que la compañía creará una unidad de negocio centrada en la Seguridad de Red. Vitales también fueron las de AffirmTrust y Broadweb, ambas en 2012, para reforzar las capacidades de visibilidad de red y defensa contra las temidas APT.

Pero además de saber escoger a quién comprar, Trend Micro tiene experiencia en firmar acuerdos estratégicos. Ya en sus inicios se asoció con Intel, con quien firmó un acuerdo por el que el fabricante de chips vendía bajo su propia marca un producto antivirus para LANS. Un año después, en 1993, fue con Novell con quien se asoció, uniendo su producto de seguridad con el sistema operativo de red de esta última. La última gran alianza se ha firmado con VMware para proteger las redes definidas por software.

La evolución de Trend Micro ha ido pareja a la de la industria de la seguridad, a la de los ciberdelincuentes. Y es precisamente de todo esto que hemos querido hablar con Renaud Bidou, Director Técnico para SEUR de Trend Micro.

¿Cuáles son las principales amenazas de seguridad a las que se enfrentan las empresas?

El mayor desafío al que se enfrentan las compañías actualmente es la rápida evolución a la que se propagan las amenazas más comunes. Modalidades de malware, ataques DDoS, técnicas de intrusión… no son nuevas, pero ahora evolucionan rápidamente.

La primera consecuencia de esto es que los mecanismos tradicionales de seguridad, que son estáticos, no pueden readaptarse para enfrentarse a las amenazas cambiantes, de forma que se muestran sobrepasados y anulados por ataques que, incluso, ni los detectan.

La semana pasada identificamos una variante de Dridex que llevaba una firma diferente en cada correo en el que iba adjunto. Una solución antivirus tradicional no tendría posibilidad de detener esta amenaza.

El segundo resultado de esta evolución es la capacidad de fundirse que tienen todas estas técnicas. Pongamos todas juntas: las técnicas de intrusión, los mecanismos de evasión (técnicas utilizadas para evitar la detección por parte de las soluciones de seguridad), la propagación del malware y las comunicaciones muy abiertas. El resultado que se obtiene es un botnet. Éste es, actualmente, el máximo nivel de la evolución.

A través de las botnets una red completa de sistemas infectados puede realizar cualquier tipo de operaciones: spam, cifrado, robo de datos, DDoS, etc. Son controladas de forma remota, pueden actualizar su código y cambiar su comportamiento en función de la demanda.

Volvemos a la cuestión: una defensa estática contra un ataque dinámico.

El ransomware se extiende, tiene cada vez más éxito, ¿es un problema de seguridad o de falta de backups en las empresas?

El ransomware es claramente un problema de seguridad. Pero no es un problema nuevo. Basta con recordar “Mellissa” o “I love you”. Estos gusanos que actuaban a través del correo electrónico infectaron diferentes partes de las TI a principios del año 2000. Exactamente lo mismo que hace el ransomware hoy.

En este caso específico, la estrategia de copia de seguridad corporativa es sólo una solución temporal que no se aplica a los datos personales, a los archivos, a los documentos locales, documentos de trabajo, etc. No es una estrategia real de defensa.

Por lo tanto, el problema real es que alguien recibe un fichero malicioso (primer fallo, ya que alguna solución de seguridad debería haberlo bloqueado) y se hace clic en él (segundo fallo, ya que los usuarios deben ser conscientes de los riesgos). Eso son dos problemas de seguridad.

¿Cómo ha evolucionado la seguridad en un mundo definido por software y cada vez más virtualizado?

Depende de cómo se entienda la virtualización. Y, más precisamente, de la estrategia de los fabricantes de seguridad en relación a la virtualización.

La manera más corriente y sencilla es considerar que las TI están ahora virtualizadas y, por lo tanto, las soluciones previas de seguridad también han sido virtualizadas de la misma forma. Es la razón por la que se pueden encontrar todas las soluciones usuales de seguridad de más de 10 años de antigüedad “en la nube”. En este caso, el propósito es reproducir el viejo concepto “DMZ” en el entorno virtual. (DMZ es la zona que se sitúa entre la red interna y la red externa, normalmente Internet. La función de una DMZ es permitir las conexiones tanto desde la red interna como de la externa, mientras que las conexiones que parten de la DMZ solo puedan salir a la red interna; así, los equipos locales (hosts, en argot de redes) jamás podrían conectarse a la red interna).

El enfoque alternativo es mucho más complejo, ya que requiere repensar por completo la arquitectura de seguridad, pero tiene más sentido para mí. El punto es que los datos están ahora repartidos por todos los contenedores virtualizados. Pueden ser discos virtuales (Google Drive, Dropbox, iCloud…), infraestructuras virtuales (AWS, Microsoft Azure, Google…) o aplicaciones virtuales (Salesforce Office365, Google Docs…).

Así que no hay más DMZ y se debe adoptar un nuevo enfoque. La seguridad debe ser ágil, para que pueda ser desplegada tan cerca de los datos como sea posible; fácil, rápida, y con el mismo nivel de control que usted tendría para una solución de seguridad desplegada en casa, en su ahora abandonada DMZ.

Evolución de la compañía: De proveedor de antivirus a proveedor de seguridad cloud. ¿Qué grandes hitos han marcado esta evolución?

Como ya comentamos con anterioridad, el hito principal es replantear por completo la estrategia de seguridad. El servicio de seguridad en la nube no es un objetivo, es uno de los componentes de una infraestructura ágil que tiene por objeto la protección de los datos allí donde quiera que se puedan mover.

Uno no tiene en cuenta la seguridad de datos si no integra un servicio de seguridad en la nube en su estrategia. Por otra parte, los proveedores deben ofrecer soluciones que puedan garantizar un nivel de seguridad igual para todos los datos dondequiera que se encuentren. Y aquí es donde se encuentra el verdadero desafío: ser capaz de garantizar que los datos almacenados o procesados en servicios en la nube reciben el mismo nivel de seguridad de los datos que se encuentran dentro de las infraestructuras de las empresas.

¿Qué opina de la tendencia hacia un Internet Cifrado?, ¿problema u oportunidad?

Depende del lado de la carretera en el que te encuentres. El negocio del ransomware se ha valorado recientemente en 30 millones de dólares para este año. Evidentemente, es una oportunidad para los hackers, pero un problema para las víctimas.

Hablando más en serio, para los proveedores de seguridad no es ni una oportunidad ni un problema. Es parte de la solución.

Las empresas tienen derecho a proteger la confidencialidad de sus datos, y a menudo por ley. Entonces debe ser parte de la estrategia de los proveedores de seguridad el proporcionar dicho servicio. No hay consistencia en afirmar que se desea proteger los datos sin que sea posible proteger la confidencialidad.

Y estamos de vuelta al problema inicial. Un proveedor debe tener una estrategia global para la protección de datos. Ya no se puede hacer frente a los desafíos de seguridad nacidos por la movilidad de datos si te quedas atascado en una antigua moda de pensar como el apilamiento de soluciones.

Los acuerdos firmados por Trend Micro con líderes del mundo cloud como AWS, Microsoft o VMware, ¿le colocan en una posición ventajosa de cara a proteger el Internet de las Cosas?

¡Claro! Internet de las Cosas es un paso más en la difusión de los datos que eventualmente se almacenan en la nube. Aquí es donde se nos encontrará.