Los Fabricantes debatieron sobre Detección y Respuesta en Entornos Híbridos de EDR a Cloud
Este es otro de los debates celebrados en hayCANAL.com durante el pasado año 2022, en este caso en torno al sector de la seguridad.
El 10 de febrero de 2022 tuvo lugar este debate en la revista hayCANAL, presentado por la periodista representante de dicho medio Carla Solano, en el que miembros de varios fabricantes del sector de la ciberseguridad mostraron su visión acerca de los principales pilares de una aproximación de Detección y Respuesta.
Participaron en esta mesa redonda Álvaro García, Senior Sales Engineer de CrowdStrike, Luis Suárez, Presales Manager, Iberia de Kaspersky, Enrique Valverde, Security Senior Solution Engineer de Vmware, Miguel Carrero, VP Security Service Providers & Strategic Accounts de WatchGuard y, como invitado especial, Ricardo Hernández, Country Manager en Iberia de Vectra AI, que ejerció como conductor de la conversación.
La primera cuestión planteada en el coloquio versó sobre cuáles son los principales pilares que debe tener una empresa en un esquema de Detección y Respuesta. Al respecto, Enrique Valverde, Security Senior Solution Engineer de Vmware, apuntó que “evidentemente visibilidad sobre los diferentes entornos”. El experto sostiene que cuando se trabaja en nubes públicas “perdemos por un lado el enfoque que tenemos a la hora de identificar los vectores de ataque y, sobre todo, la capacidad de gestionar diferentes tipos de nubes”.
Miguel Carrero, VP Security Service Providers & Strategic Accounts de WatchGuard, ha añadido a la visibilidad “el elemento de la telemetría, que te permite esa visibilidad”. La misma tiene que ser diseñada “no únicamente para el funcionamiento de las tecnologías, sino también para poder hacer esa investigación más o menos profunda de cara a la detección”. Y a esos dos elementos ha sumado “herramientas que te permitan explotar los datos”, en referencia a la analítica. Además, se ha referido a la evolución de la industria desde una estrategia unidimensional hacia la mezcla de tecnologías, llegando al XDR.
Sin embargo, Luis Suárez, Presales Manager, Iberia de Kaspersky, ha expresado una ligera discrepancia, sin salirse del acuerdo general con lo expuesto anteriormente, al argumentar que “también tenemos que separar los tipos de incidentes”. Suárez cree que “hay incidentes que requieren de cierta investigación y hay incidentes que simplemente a través de mecanismos de prevención son fáciles de detectar”. Llevado al plano de la visibilidad, “tiene que haber una base muy fuerte a nivel de prevención, porque cuanto más fuerte sea menos va a salir a la luz ese plan de respuesta que, en nuestra opinión, sólo debería salir a la luz en esos incidentes complejos”.
Respecto a esta disyuntiva, Ricardo Hernández, Country Manager en Iberia de Vectra AI, considera que “la parte de prevención es fundamental y es donde probablemente se ha centrado la inversión” y que “tenemos que reducir el número de incidentes que luego vamos a tener que detectar y que responder, y por supuesto es una pata que hay que tener en cuenta, pero sinceramente creo que son cosas diferentes”. Sobre lo mismo, Enrique Valverde de Vmware, observa que “hay diferentes pilares, no quiero decir que la visibilidad sea lo principal”, y reconoce la importancia similar de la capacidad de prevención o la telemetría. También señala la importancia de “aprovechar toda esa telemetría en los entornos cloud para aplicar tecnologías de machine learning y entrenar este sistema, de tal manera que vayamos afinando las detecciones”. Y ha añadido: “¿Por qué no educamos al resto de equipos de IT que tenemos en la compañía? ¿Por qué no hacemos que las soluciones de seguridad se puedan comunicar de alguna manera con la plataforma de virtualización, o con el administrador de red, por ejemplo?”, con el objeto de evitar silos aislados sin comunicación que “van a generar más ruido y van a dificultar el tiempo de detección y de respuesta”.
Por su parte, Álvaro García, Senior Sales Engineer de CrowdStrike, ha comprobado por su experiencia que “lo que la gente te intenta expresar es que la estrategia que han llevado durante años es un acto de fe permanentemente incompleto: Cuando no me pides un EDR me pides un EPP, me pides un EDR con machine learning… Son diferentes capas que intentan seguir una estrategia que de por sí es incompleta o fracasada”. Por ello, su reflexión sería “dar un paso atrás” para conocer cada caso, cada incidente y cada cliente, y ver lo que cada uno necesita, y en ese sentido hay muchas derivadas: “Por ejemplo, no necesito tecnología, necesito que alguien me ayude”, lo que lleva a: “¿Te ayudo yo (empresa)?, ¿te ayuda un partner que trabaja con mi solución?, ¿tú eres solvente para ser autosuficiente en un futuro para desarrollar tus incidentes de ciberseguridad?”.
Al hilo de lo anterior, Miguel Carrero de WatchGuard ha destacado la importancia de la labor del Proveedor de Servicios de Seguridad, “que está muy ligado a la madurez o falta de ella de cada cliente en particular”. Pero volviendo a la diferencia entre la prevención y la detección, Carrero considera que “la detección también hemos empezado a verla no únicamente en reactivo, sino en proactivo”, en referencia al Threat Hunting o estrategia de “detectar cosas que no he prevenido y que no tengo ya los síntomas para reactivamente responder”, y que cree que se puede llevar a cabo con la telemetría, por ejemplo, del último año. A este argumento, Álvaro García de CrowdStrike ha replicado que “para mí la clave es el tiempo de respuesta”, y por tanto “el Threat Hunting lo tienes que hacer en el momento, porque si lo hace seis meses después, es como si haces un análisis forense a alguien que ya está muerto seis meses después”. La contra – réplica de Miguel Carrero ha sido que, estando de acuerdo en la necesidad de la inmediatez, “lo importante del análisis histórico es la remediación: llegar a inocular tu entorno para que no te vuelva a ocurrir”.
Ricardo Hernández de Vectra AI ha visto en estas últimas intervenciones que “ahí vuelves al ciclo de la prevención y puedes volver a arrancar, a mejorar lo que tienes”. Enrique Valverde de Vmware se ha mostrado de acuerdo tanto con Álvaro como con Miguel: “La clave es el tiempo de detección, más allá del tiempo de respuesta”, pero “ninguno de los dos aspectos exime al otro”. Ha destacado la necesidad de contar con telemetría retenida, poniendo el ejemplo del ataque de año pasado a SolarWinds, que se tardó más de un mes en descubrir. También ha recordado que “las amenazas avanzan. Decimos que usamos IA, redes neuronales…, pero ¿pensamos que los malos no tienen también esto?”, concluyendo que “hay que saber mandar el mensaje, pero también hay que saber descubrir qué necesita el cliente”. Finalmente, ha hecho una consideración sobre la entrada en el mercado del concepto XDR en relación al Cero Trust, SASE y ciberseguridad en malla. Más tarde, Luis Suárez de Kaspersky reflexionaría que “me parece fascinante cómo todos al final al aplicamos la tecnología, aunque lo hacemos en distintas etapas o en distintos momentos”.
Ricardo Hernández ha planteado a los demás la cuestión de cómo consumir las soluciones de detección y respuesta (servicio puro, a través de un partner…), y cómo puede esto evolucionar y aportar valor. Álvaro García ha apuntado que se encuentra con muchos clientes que quieren acometer el proyecto por sí mismos a pesar de reconocer la complejidad de las situaciones, porque han visto a otro que tiene una solución y le ha funcionado, y la quieren también, pese a tener muchas otras prioridades de negocio que atender: “Yo puedo decirle al cliente: Yo tengo una solución de XDR fantástica… ¿para qué?”. Luis Suárez cree que “venimos de un modelo en el que el cliente quería tener el control sobre absolutamente todo, pero la tendencia ha ido cambiando: Cada vez el cliente pasaba más a externalizar servicios al partner, y ahora estamos en un estado siguiente a ese, que es directamente: `Si el fabricante tiene capacidad de darme este servicio, a mí me gustaría que fuera así´”, si bien más tarde matizaría que “esto siempre tiene que pasar por el partner”. Miguel Carrero ha querido aquí “romper una lanza” por un punto intermedio “entre la capacidad de lo que puede hacer un cliente final él solo, la capacidad de lo que puede hacer un vendor, pero desde Watchgard estamos convencidos de la labor del proveedor de servicios de valor (interno o externo), que también adecúa ese conocimiento al entorno particular del cliente”. Álvaro García se ha referido a la posibilidad de hacer una especie de “economía de escala” con los clientes, “pero al final, nuestra capacidad de capilarizar eso no está en contra de los servicios que puedan dar nuestros partners: Yo me quiero acordar de mis partners”, resaltando la proximidad con el cliente. Por su parte, Enrique Valverde ha afirmado que “hay una cosa que está clara, y es que la seguridad como industria ya se proporciona como un servicio, ya lo haga un partner o un fabricante”, y ha destacado que en general a los clientes les gusta trabajar con partners, resaltando la labor del canal para apoyar y educar al cliente.
A continuación, Ricardo Hernández ha pedido a los participantes un breve apunte sobre qué es lo que consideran lo más importante en la parte de Respuesta. Para Miguel Carrero, “el elemento fundamental es que tiene que ser muy rápida, pero siempre pensando que hay que hacerlo en coexistencia con el mundo de IT”. Enrique Valverde está a favor de la automatización, pero con matices: “tiene que estar bien definida, gestionada por las manos adecuadas” y resalta que “el tiempo de detección va a ser todavía más fundamental que el de respuesta”. Luis Suárez observa que hay algo “que no está tan a la orden del día como debería, que es el plan de respuesta a incidentes, los procesos”. Para Álvaro García, lo fundamental es plantearse: “¿quién me da la respuesta?, ¿va a ser capaz de entender lo que me pasa?, ¿tiene gente dentro que está preparada?, ¿qué expertise tiene?, ¿tiene incident responder?”.
Finalizado el debate, y tal y como viene siendo habitual en las mesas redondas de hayCANAL, cada uno de los participantes se ha dirigido a sus clientes y posibles clientes para mostrar la visión de su compañía respecto a la Detección y Respuesta.
