FlagDomingo, 17 Junio 2018

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

ciber 60 01

 

De acuerdo con Minerva Labs, el endpoint seguirá en la mira de los ciberatacantes después de que Shadow Brokers filtrara herramientas de hacking usadas por la NSA y que ahora le permite a cualquier cibercriminal contar con poderosos exploits como EternalBlue capaces de evadir las defensas empresariales de ciberseguridad y posteriormente explotar cualquier vulnerabilidad.

Del mismo modo se observa una fuerte tendencia de criptojacking, una técnica que usa el poder de cómputo del endpoint y la electricidad del dispositivo para minar monedas virtuales y en algunos casos, utilizan todos los recursos disponibles así que los equipos se tornan lentos. Lo que indica este reporte del analista en ciberseguridad es que la protección se torna indispensable en el endpoint para evitar la entrada de código malicioso y sobre todo contar con las herramientas necesarias de contención y en su caso remediación.

En este sentido en esta edición de SecuriTIC platicamos con diferentes marcas para conocer cómo ha evolucionado el negocio de brindar protección al endpoint y cómo se ha mantenido rentable.


CrowdStrike


ciber 60 02Marcio Bonifacio, Director de Ventas para Latam y el Caribe en CrowdStrike, consideró que el panorama de amenazas es siempre cambiante y específicamente la región de México es considerada la primera línea porque los negocios de la región son un objetivo clave para los atacantes que intentan exfiltrar propiedad intelectual y datos personales. Así que los empresarios necesitan asegurarse de que tienen el sistema correcto según los requerimientos de su infraestructura; asimismo, que responda de la manera más rápida posible.

La protección en el endpoint es crítica para la detección, más importante aún para la prevención y respuesta inmediata ante ataques modernos que de acuerdo con CrowdStrike, debe hacerse dentro de los siguientes 120 minutos promedio, para evitar que los ciberdelincuentes logren tener éxito y se lleven información de valor. Responder en tan corto tiempo es posible con la incorporación de la Inteligencia Artificial (IA) en el plan de ciberseguridad.

Por ello su seguridad Next Generation para endpoint ofrece un espectro completo en lo que se conoce en la industria como Detección y Respuesta (EDR) ya que el cliente ligero busca amenazas, limpia el ecosistema de TI, administra vulnerabilidades y cuenta con un motor inteligente contra código malicioso.

El agente lleva el nombre de CrowdStrike Falcon y puede ser implementado en cualquier lugar y momento por su arquitectura nativa de Nube, la cual a su vez permite una fácil escalabilidad en tiempo real para agregar más equipos a la red en el menor tiempo posible. Cabe mencionar que la propuesta fue catalogada por Gartner en la más alta posición dentro del cuadrante de visionarios.

Entre los planes del desarrollador se encuentra la cimentación de alianzas entre su tecnología y partners como Google, VMWare, Splunk, ServiceNow y ForeScout. Este campo extendido de acción es una fortaleza que los canales pueden aprovechar para incrementar la protección del endpoint y la infraestructura donde operen, ya que CrowdStrike lleva estas soluciones informáticas bajo un modelo comercial de canales. Esto podría ayudar a los asociados en la labor de concientización de los clientes y transmitir los beneficios de la solución EDR.

Adicionalmente, la firma agregó a la solución técnica un grupo de expertos en la materia para que en conjunto hagan sinergia en la defensa de los endpoints del cliente. Al considerar que las tácticas, técnicas y procedimientos (TTPs) de los ciberdelincuentes cambia constantemente, resulta efectivo basar la defensa en conocimiento de personal especializado y tecnología. Conozca más en https://www.crowdstrike.com/sites/es/.



Kaspersky Lab


ciber 60 03Eduardo Montellano, Gerente de Ventas de Canal en Kaspersky Lab México, recordó que se habla constantemente del inminente fin de la era de la protección en endpoints; sin embargo las modificaciones en este concepto hacen que se deba considerar como tal a cualquier equipo con una dirección IP, sean smartphones, tabletas, laptops, cafeteras, sensores u otros que forman parte de la red empresarial. La complejidad de los ataques es cada vez más avanzada y al sumar más equipos conectados, lo que sucede en consecuencia es una extensión de los puntos de interés para un cibercriminal.

Las soluciones de Kaspersky Lab van más allá de sólo considerar el antivirus, en realidad están diseñadas para interactuar con varias capas de ciberseguridad que en conjunto cubren los distintos vectores y evitan puntos vulnerables de los dispositivos ahora protegidos, lo que se conoce en la industria como “Next Generation”. No obstante, el fabricante de ciberseguridad considera que ha manejado ese principio de tiempo atrás porque las distintas soluciones interactúan con las fuentes de inteligencia global y se combinan con un departamento de investigadores de su equipo de investigación y análisis diseminados en todo el mundo.

La interacción entre tecnología y expertos hace que las soluciones funcionen de manera proactiva, incluida la destinada al endpoint. Mientras tanto, la sencilla administración, granularidad y visibilidad que proporciona dicha conjunción permite que el canal entregue un valor tangible al usuario final, que puede ser de las distintas verticales comerciales como financiero, industrial, educación, etcétera. Un diferenciador importante a mencionar es que las soluciones son compatibles con las de terceros del ramo de ciberseguridad.

La tecnología cambia a pasos agigantados y cualquier tipo de solución de seguridad tiene que ir unos pasos más adelante para ser efectivo. Las empresas son distintas en su tamaño, tipo de infraestructura, prioridades y necesidades. Kaspersky Lab cuenta con diversas soluciones de endpoint, cuyas características le permitan al canal ofrecer un plan de seguridad óptimo a los distintos perfiles de clientes. Para más información visite https://latam.kaspersky.com.

 

 


SonicWall


ciber 60 04Vladimir Alem, Director de Marketing en SonicWall para Latinoamérica, expresó que el perímetro tradicional que se conocía en las empresas dejó de existir desde la incorporación de dispositivos móviles y redes inalámbricas que les permiten estar fuera de las instalaciones o las políticas de una red cableada. Así que en términos de endpoint es importante reconocer esta realidad de productividad y proteger a los equipos como si estuvieran dentro de la organización.

El fabricante propone Capture Platform, una serie de módulos o capas de seguridad informática que se hablan entre sí para darle al operador de TI un contexto sobre amenazas detectadas, saber cómo entraron a la infraestructura y detectar malware de día cero. Por su parte, la capa de Capture Client se especializa en la protección para endpoints; la tecnología lanzada el año pasado considera entre sus herramientas un sandbox para realizar el análisis de datos.

Entre los diferenciales que aporta el cliente para endpoint es reconocer tráfico cifrado que suele representar hasta el 70% de los paquetes que recibe cada dispositivo en promedio. Capture Client puede tomar las políticas de seguridad del firewall y aplicar el Deep Packing Inspection (DPI) a la comunicación SSL, pero en una metodología simplificada que no impacta en el desempeño del equipo móvil ya que gran parte del análisis se hace desde la nube, lo que garantiza a su vez un motor actualizado de manera automática.

Otro diferencial del cliente es Roll Back para contrarrestar el ransomware. Si un código malicioso de esta categoría lograra cifrar los datos y pedir rescate por la información contenida en el endpoint, esta funcionalidad habilita puntos de respaldo para que el administrador pueda elegir un punto de restauración y regresar a un estado previo a la infección; la tecnología también ayuda cuando se presenta un fallo crítico en el endpoint.

En términos generales, la estrategia de habilitar capas modulares a través de Capture Platform también ayuda en la rentabilidad del canal porque puede ofertar una solución según las prioridades del cliente. A su vez, permite sumar lanzamientos recientes como es el caso de su Web Application Firewall (WAF) que, comercialmente hablando, permite a los canales entablar nuevas conversaciones con la base instalada y desarrollar estrategias de Cross Sell y UpSell.

Dicha plataforma puede bajar lo mismo a pequeñas que a grandes corporaciones lo que quiere decir que el canal sólo debe decidir la capacidad en hardware requerido según las especificaciones de la red y el número de endpoints. En términos de oportunidades de venta, significa la posibilidad de llevar un plan de seguridad para PyMEs, empresas con puntos distribuidos como en el retail o sectores con múltiples usuarios como sucede en gobierno y salud.

Si bien es cierto que muchos canales se enfrentan al reto de convencer comercialmente al tomador de decisión que ya tiene un antivirus para sus endpoints, el canal puede argumentar que se trata de una tecnología que mira hacia lo ya conocido y seguirá siendo importante como un historial en constante actualización. Sin embargo, su acción finaliza cuando el endpoint se topa con una amenaza de día cero o ataques persistentes como lo demostró el crecimiento del ransomware, cuantificado en 30% año contra año. Así que es necesario contar con herramientas especializadas que no dependan de una firma.

Cabe señalar que los atacantes mandan un cocktail de malware que se detiene con distintas soluciones, en la cual el antivirus es parte de la defensa, pero no la única capa. Los canales interesados en conocer más detalles pueden contactar con Roberto Campos (Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.), Director de Ventas para SonicWall México.

 


Sophos


ciber 60 05Maria Ardila, Latam Channel Director en Sophos, dijo que el entorno normal del endpoint es mantenerse continuamente en línea. Y por el comportamiento del usuario final, habituado a cambiar de tecnología constantemente, como canales hay que considerar el reto del área administrativa que necesita insertar esos nuevos equipos una vez cuenten con las políticas del resto de la infraestructura IT. El objetivo es evitar la entrada de ataques especializados y cada vez más inteligentes, lo cual se sopesa con un plan de ciberseguridad eficaz.

En este punto entra en juego la tecnología del fabricante y su lanzamiento de este año titulado Deep Learning, una tecnología de inteligencia artificial que puede reconocer un malware no visto anteriormente (Día Cero) por ningún otro vendor. Su detección tarda menos de un segundo y pese a lo que podría pensarse tradicionalmente de una solución para el endpoint, en realidad se trata de un agente cuyo consumo de los recursos del equipo son mínimos.

Esta innovación se suma al resto de las tecnología del fabricante como es la detección de ransomware por comportamiento, técnicas de explotación y el posterior análisis forense que le permite a Sophos mejorar continuamente las capas de protección para que si un código malicioso lograran evadir a una de ellas, la siguiente capa detenga el ataque.

Esto quiere decir que su estrategia de seguridad es desde hace 3 años sincronizada y ello le permite interconectar soluciones que compartan información entre sí. La finalidad es proveer a los clientes de una mayor visibilidad ante un ataque, reconocer el historial de la propagación y entonces dar una respuesta automática ante la gran mayoría de incidentes.

Es muy importante que los usuarios finales conozcan cuáles son los riesgos de ciberseguridad actuales y comprendan que un antivirus es una capa de seguridad. Sin embargo, las organizaciones interactúan con múltiples plataformas en vez de una sola; sumado a ello, hay que pensar que los ataques son cada vez más inteligentes y organizados.

En ese sentido, la estrategia para canales es que inicien conversaciones con sus clientes basadas en necesidades del negocio que les permita comprender los requerimientos en específico. Esto les abrirá un marco de acción para identificar soluciones y servicios que se adapten a esos requerimientos e inclusive ayudar en la detección de siguientes oportunidades comerciales.

Sophos ofrece a los asociados de negocio un programa de comercialización, desarrollo de alianzas y certificaciones para que incrementen sus tácticas de una charla comercial a una consultoría que proteja al endpoint, considerando en ese sentido la importancia de capacitar a los usuarios finales. Para más información https://www.sophos.com/ES-ES.aspx.

 


Cisco


ciber 60 06Yair Lelis, Especialista en Seguridad Enterprise para Cisco México, consideró que los endpoint son el punto neurálgico donde se manifiesta una enorme cantidad de amenazas; si bien existen otros códigos maliciosos que buscan atacar las aplicaciones Web o al servidor empresarial, lo cierto es que muchas necesitan de un huésped y en gran medida los atacantes intentarán que sean tabletas, laptops, smartphones, computadoras de escritorio y otros elementos que procesan las actividades del negocio.

Ante esta situación Cisco propone como defensa el motor de seguridad Advance Malware Protection (AMP) for Endpoint, se trata de un agente ligero que se conecta con la nube para analizar a partir de métodos avanzados cada archivo que llega a ese nodo de red y entonces proteger el dispositivo. También puede analizar memorias extraíbles USB y utilizar el mismo método antes de dejar pasar un archivo o bien, ponerlo en cuarentena. Con esto, la estrategia de visibilidad que caracteriza al fabricante se extiende al endpoint a partir del descrito cliente ligero.

El objetivo es reducir a 4 horas el tiempo de detección de amenazas avanzadas, una gran ventaja considerando, según el último reporte del fabricante, que en promedio las empresas tardan 100 días en identificar una amenaza dentro de su red. La significativa reducción se logra por la integración de sus herramientas y las de terceros, ya que Cisco cuenta con APIs abiertos que le permiten al canal lograr estos procesos de interconexión y que las diferentes soluciones de ciberseguridad compartan información en favor de la protección de la infraestructura TI. El canal puede crear un proyecto integral para proteger los puntos con los cuales tiene interacción el endpoint como es el correo electrónico, firewall y aplicaciones web.

Mientras tanto los APIs abiertos tienen la intención de resolver una problemática presente en la mayoría de las empresas, que según datos del fabricante, se deriva de poseer alrededor de 47 distintas soluciones de seguridad informática y esto crea serias complicaciones al momento de consolidar los distintos puntos de vista y efectuar una acción concreta de ciberseguridad.

A la par de la estrategia de integración, los canales cuentan con jornadas de capacitación que salen de lo tradicional, con eventos como Capture the Flag. Donde los partners asistentes forman grupos y simulan ataques contra el resto de los grupos, y a su vez tienen que elaborar su estrategia de defensa. El laboratorio es obviamente hands on y los ingenieros luchan contra amenazas reales, lo cual les permite salir con un conocimiento a mayor profundidad.

Cada una de las herramientas del fabricante permite a los asociados de negocio ofrecer servicios proactivos, monitorear la implementación y detectar anomalías con un plan de respuesta a incidentes por lo cual invitaron a los interesados invertir en los programas de habilitación que los ayudan a ser más eficientes en su atención del usuario final. Ello reditúa en una vía rápida de respuesta, que es altamente demandada en el sector empresarial. Para más detalles puede contactar con Miriam Serrato (Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.), Security Account Manager en Cisco.

 

Comercialmente hablando, el usuario final considera que la adquisición de un antivirus es protección suficiente para resguardar los datos en el endpoint. Sin embargo, ataques como WannaCry desprendidos de EternalBlue/DoublePulsar demostraron que es necesaria la incorporación de más capas y procedimientos que estabilicen al negocio en caso de una intrusión exitosa. En ese sentido, la consultoría del canal sobre cuál es la metodología y primeros activos a proteger son esenciales en la construcción de un plan de ciberseguridad que considere la mejora continua.

En temas de negocio se hace evidente que las soluciones de endpoint no vienen solas sino forman parte de una estrategia general de ciberseguridad por lo que cualquier empresa debe tenerla considerada entre sus primeras inversiones, lo que garantiza prácticamente que el negocio se mantenga rentable de manera ascendente.