Visibilidad, clave de la seguridad de entornos descentralizados
¿Es necesario cambiar el paradigma de la seguridad al perderse el perímetro? Lo hablamos con expertos de Fortinet, Check Point y OVH.
En un momento en el que el perímetro se ha perdido, en el que los recursos avanzan hacia entornos híbridos y en el que las empresas necesitan responder con rapidez en caso de desastre, hablar de visibilidad es fundamental. Cuanto más vean las compañías, más sabrán sobre las amenazas que acechan y mejor podrán actuar, independientemente de si lo que tienen conectado son ordenadores, tabletas, smartphones… o un coche. Para ahondar en el nuevo paradigma de la seguridad, NetMediaEurope ha recabado las opiniones de tres expertos de la industria tecnológica: Pablo García, Systems Engineer Carrier Virtualization & Cloud Expert de Fortinet; Mario García, Country Manager de Check Point en España; y Romain Coplo, Sales & Marketing Director de OVH.
Estos profesionales han sido los protagonistas del encuentro online “Visibilidad, clave de la seguridad de entornos descentralizados”. Su conversación, moderada por Rosalía Arroyo, fluye por diferentes frentes: desde el impacto de la tecnología de Machine Learning en las soluciones de seguridad al impacto del tráfico cifrado en la capacidad de visibilidad. Los representantes de Fortinet, Check Point y OVH analizan durante sus intervenciones el grado de preparación actual de las empresas para enfrentarse a incidentes. Aquí entran las vulnerabilidades ya conocidas pero no parcheadas, el malware móvil y el riesgo que entraña el internet de las cosas con su enorme red de dispositivos conectados, que no deja de crecer.
¿Cuál es el nuevo paradigma de la seguridad?
Para Pablo García, Systems Engineer Carrier Virtualization & Cloud Expert de Fortinet, el paradigma más importante hoy en día es “que la seguridad no puede ser una isla, que la seguridad debe formar parte de una estrategia global”. García explica que las empresas “cada vez son más complejas con ese perímetro que cada vez se difumina más, con usuarios remotos” y con el uso de “Cloud as a Service, de infraestructuras cada vez más híbridas” que se combinan con “data centers tradicionales” conformando “un mundo tan complejo que, al final, la única forma de protegerlo de forma adecuada es establecer una estrategia global”. Esto es, “la seguridad tiene que verse como un todo”, como “parte de la estrategia global de la empresa”.
“El auténtico paradigma en la seguridad”, según Mario García, Country Manager de Check Point en España, radica en que “las empresas se han vuelto digitales” y eso cambia las cosas. “La sangre de todas las empresas a día de hoy es la revolución digital. Y la revolución digital sin seguridad no va a ningún sitio”, desarrolla el directivo de Check Point, que piensa que estamos “más expuestos que nunca”. Sobre todo “teniendo en cuenta que los que están al otro lado son profesionales” que entienden el cibercrimen “como un negocio” y sólo miran “el coste de inversión” de sus acciones. “El que no se dé cuenta de que está en ese mundo va a aprenderlo a golpes”, opina Mario García.
A esto Romain Coplo, Sales & Marketing Director de OVH en España, añade que estamos viendo “ataques a un nivel global. ¿Por qué? Porque ahora vivimos en una economía global. El internet ha conectado todo el mundo” y “las infraestructuras informáticas no son” entidades “aisladas”, que es precisamente lo que conduce a “ataques de una dimensión jamás conocida hasta ahora” como los de Mirai o WannaCry, “que ha tocado varias empresas en el mundo” recientemente.
¿Qué impacto tiene el Machine Learning en las soluciones de seguridad?
Las soluciones de seguridad aprovechan el Machine Learning, la inteligencia artificial y el Big Data desde hace “muchos, muchos, años”, como apunta Mario García, para luchar contra la ciberdelincuencia. Aunque en los últimos tiempos se ha puesto de moda hablar de sus efectos y “ahora lo conoce el gran público”, como si fuese una novedad. Todo se reduce a “algoritmos”, indica Romain Coplo. Y a base de innovaciones se consiguen, por ejemplo, “arquitecturas que se pueden reprogramar de forma más ágil que lo que hacíamos antes” o la posibilidad de “limpiar el tráfico” potente con mayor velocidad. Y eso sí sería un avance.
El “Machine Learning es fundamental, llevamos muchos años usándolo y sin ello no podríamos detectar la cantidad inmensa de vulnerabilidades, ataques y nuevas amenazas que hay”, observa Pablo García, “pero no nos olvidemos que eso sirve para complementar la inteligencia humana. Sin la inteligencia humana todo eso no sirve”. El participante de Fortinet en la mesa redonda “Visibilidad, clave de la seguridad de entornos descentralizados” sostiene que “la inteligencia artificial es como el traje de Batman, es decir, dota a los humanos que son expertos en ese tipo de cosas” de unos “súper poderes” o de “un complemento”.
¿Tiene sentido hablar de visibilidad si la mayoría del tráfico está cifrado?
Con alrededor del 60 % del tráfico cifrado, aproximadamente, ¿tiene sentido hablar de la visibilidad? “Tiene completamente sentido”, determina Pablo García, que añade que “técnicamente es posible”. Aunque el tráfico cifrado plantee retos, se pueden aplicar “SSL Inspections”, “man-in-the-middle” y otras técnicas para “ver dentro”. También “se puede analizar comportamiento” en casos como los “ataques de denegación de servicio distribuidos”. Este experto considera que, “de hecho, la seguridad sin visibilidad no es seguridad, y más cuando dentro de menos de un año vamos a tener la nueva legislación” europea en pleno funcionamiento. Esto es, “la GDPR que va a llegar y que nos va a obligar a tener todavía más visibilidad de la que ya hay”. Es necesario aportar visibilidad para que, “si hay algún incidente, aislarlo lo más rápido posible y corregirlo”.
Romain Copolo apunta que el cifrado “es sólo una capa de protección”. En este sentido “la visibilidad es esencial. Cifrar es una manera de protegerse sobre algunas amenazas”, pero “no te protege de todo” sino de “una pequeña parte”. Lo que hace falta es “entender qué tipo de amenazas tienes”. Y eso se consigue con la visibilidad. Además, Mario García indica que se ha eliminado el impacto del tráfico cifrado a nivel de rendimiento. “Vivimos en un mundo en el que la tecnología evoluciona no de forma lineal sino de forma exponencial”, distingue. “Por tanto, la capacidad de computación que existe a día de hoy” tiene tal magnitud que “nos permite hacer cosas nuevas”. En la actualidad hay herramientas antes impensables para ver el tráfico y “entenderlo”. Incluso para navegar por la Deep Web y establecer qué podría ocurrir “en función de lo que ya te han robado”.
¿Se están gestionando correctamente los parches de seguridad?
Uno de los problemas que tienen las empresas es que se están explotando vulnerabilidades constantemente. Y además, vulnerabilidades conocidas. ¿Por qué? Porque la aplicación de parches es a estas alturas una tarea pendiente. “Cuanto más grande es la empresa, más difícil es”. Así lo observa Mario García. Resulta complejo porque las organizaciones de gran tamaño tienen muchos empleados. Y tienen muchos equipos, que pueden ser antiguos, acometer “tareas muy específicas” o tener “aplicaciones desarrolladas de una forma muy concreta”, por lo que “no se puedan tocar tan alegremente. Y por tanto, el sistema de parcheo tiene un nivel de dificultad que va mucho más allá de lo que la gente se imagina”.
El máximo responsable de Check Point en España recuerda que “la seguridad va en capas” y recomienda buscar a cada empresa “la solución de seguridad que le hace falta”. Con él coincide Romain Coplo en que “en las grandes empresas es complejo parchear”. Les resulta difícil aplicar las “políticas de seguridad” que tienen. Ahora bien, estas compañías también van siendo “más y más conscientes de los riesgos porque sufren más y más ataques”. En cuanto a los pequeños negocios “pasan un poco de la seguridad”, comenta Coplo, porque “si no sufren el riesgo, no van a invertir, a ser proactivos. Es el riesgo que tienen”. Y eso que para los más pequeños es más fácil “implementar” soluciones. Lo que sí se observa es que “a todos les interesa tener, por ejemplo, protecciones contra los ataques DDoS” y la caída de páginas web, que son “su vida”.
“Al final el problema es que la gente es consciente de esa necesidad pero es algo complejo”, valora Pablo García, que explica que “la seguridad se sigue percibiendo como un coste” cuando la realidad es que “el coste es no tener seguridad”. Porque acabarás incurriendo “en unos costes mucho mayores que si la tuvieras”, indica este experto. El primer problema es de concienciación. Y lo ideal es que toda la tecnología esté actualizada siempre. “Es necesario tener una adecuada seguridad para cada infraestructura en función de sus riesgos”, para que “posibles afectaciones” se minimicen o, directamente “no sean”. Una solución sería la automatización “utilizando virtual patching” o “un WAF” que entregue las “protecciones que deberían dar las aplicaciones, y que no tienen”.
¿Están preparadas las empresas a nivel de seguridad móvil?
¿Y la seguridad móvil? ¿Está superada la gestión de identidades y accesos? ¿Aplican soluciones las empresas? “Hay poca gente que se haya tomado la seguridad móvil en serio de verdad”, lamenta Mario García. “¿La seguridad en el móvil está superada? No, no, no hemos hecho ni empezar”, responde. “Tecnología hay; que esté desplegada, no”. Aún “hay que convencer a los usuarios: a los corporativos y al usuario final”, ya que “el móvil es una bolsa de dinero que está esperando simplemente que alguien vaya y la coja”, cuenta el Country Manager de Check Point. Se ha vuelto “constante que las aplicaciones estén infectadas” y que se engañe “al usuario para que se baje” malware de las tiendas. Pero es que además es posible robar y hackear terminales averiguando las credenciales.
“Los ataques a los móviles se han vuelto mucho más sencillos” y el problema es que, “una vez que tenga el control de tu dispositivo, tengo control de todo lo que tú quieras hacer después sobre él”, argumenta Mario García. Y para más inri al atacante no le “hace falta nada, ningún conocimiento y escasos recursos materiales para hacer una de éstas”. Se ha llegado al punto del “crimen como servicio”, como define Pablo García.
Romain Coplo añade que las “empresas permiten el Bring Your Own Device” y eso genera riesgo. “Si alguien me roba el móvil” y “consigue pasar los niveles de seguridad básicos”, va a poder “acceder a mis datos profesionales”. Los problemas continúan con “los objetos conectados”, algunos de los cuales están “escuchando de forma permanente tus conversaciones” y pueden derivar en “espionajes industriales” al caer “en manos malintencionadas. Eso es un tema real. Pero la gente”, recalca el director de ventas y marketing de OVH, “no es consciente”. Otros ejemplos son el uso de memorias USB que se encuentran tiradas “en los parking de las empresas” o los “regalitos” a través de foros. “Hay gente malintencionada” con “una imaginación increíble” capaz de “engañar muy fácilmente”, alerta Coplo.
¿Existe visibilidad en las empresas de lo que ocurre con los dispositivos móviles? “Existe la posibilidad de tener esa visibilidad, otra cosa es que se aplique”, contesta Pablo García. “Para eso se desarrolla tecnología como el doble factor de autenticación”. El tema es conseguir que los usuarios usen los recursos que ya existen para proteger equipos cada vez más potentes, y que acumulan más información, de forma adecuada. Ése “es el caballo de batalla de todo esto”. Los riesgos a nivel corporativo “pueden costar multas tremendas”, la “facturación” o “que la competencia me robe información”, incluso la propia empresa, tal y como remarca Pablo García. Así que, “si los usuarios no son conscientes no vamos a llegar a ningún sitio”. Aunque es un tema que se viene tratando desde hace tiempo, “sigue de rabiosa actualidad”.
¿Qué va a deparar el internet de las cosas en seguridad?
El internet de las cosas “es otro vector de ataques”, alerta Romain Coplo. “Todos los objetos conectados que tienen acceso a internet” acaban siendo “un peligro para las empresas, y básicamente para todo el mundo”. Aquí hay que destacar que “las empresas que crean objetos conectados no se han enfocado en las buenas capas de seguridad”. Y al final estos dispositivos no están protegidos y “es súper fácil acceder a los objetos conectados”. La solución pasa por “poner varias capas”, no sólo una. Y el riesgo es que “vamos a tener billones, billones y billones de objetos conectados” que hay que asegurar. El día de mañana “vamos a tener varios objetos conectados sobre nosotros”, incluyendo elementos como relojes y gafas.
Mario García apuesta por la “regulación” como respuesta, “porque va a ser imposible poner las capas de seguridad suficientes para protegerse frente a esos dispositivos. Los dispositivos habrán de ser seguros en sí mismos”, aunque luego sean “más caros”. Este profesional también cree que “llegaremos a los seguros cibernéticos”, de modo que asegurarse “dejará de ser un coste” y se convertirá en “una inversión” y hasta en una obligación. Mario García critica que los políticos “se están quedando atrás”. Si siguen por el mismo camino, “sus políticas serán irrelevantes y serán otras personas las que tomen las decisiones por ellos”, concluye, “simplemente porque se han quedado al margen de dónde está de verdad el negocio, de dónde está de verdad el dinero y cuáles son las necesidades de las personas”.
“La seguridad tiene que ir implícita. Es decir, los dispositivos tienen que ser seguros, tienen que cumplir una serie de protocolos”, expresa Pablo García, “si no, va a ser imposible dotar de seguridad a billones y billones de dispositivos”. Mientras, las empresas que se dedican a la seguridad deben extenderla a las nuevas realidades. “Uno de los problemas es que” el internet de las cosas “lleva menos tiempo” entre nosotros. Así, mientras “la seguridad física la tenemos interiorizada”, la relativa a “la transformación digital lleva menos tiempo”. A mayores, la tecnología “evoluciona a unas velocidades” mayores que “las regulaciones”. En este sentido, Pablo García considera que “quienes crean las leyes para este mundo tienen que tener conocimiento sobre este mundo”, “tienen que estar a la última y tienen que dejarse asesorar por quienes estamos trabajando en este mundo. Porque si no, al final va a ser imposible, siempre vamos a ir por detrás”.