Conferencia RSA 2020, el Estado del Arte de la Seguridad

Ha pasado más de un mes desde que finalizó la última edición de la Conferencia RSA.

Todos me presionaban para compartir mi opinión de la misma, pero las prioridades de los comités de crisis, juntas directivas, comités directivos, y sobre todo cómo enfrentarnos a este Cisne Negro llamado Covid-19, no solo en el tema de salud pública sino en el frente económico, no me habían permitido aterrizar todas las ideas.

Pero bueno, trataré de concentrarme y dar una percepción de lo que la conferencia refleja sobre nuestro sector.

Sigue siendo el evento más importante de seguridad, este año el riesgo pudo impactar en la asistencia, pero se obtuvo un registro de más de 36.000 asistentes y la Expo reunió más de 650 expositores. Pero mi conclusión es que el sector no tiene un mensaje claro para transmitir: hay estrategias confusas y no estamos entendiendo el objetivo o la estrategia a aplicar en el frente de CiberSeguridad.

Entendiendo el Problema

En versiones anteriores se percibía que el sector apostaba a alguna nueva tecnología o perseguía algún objetivo claro. Es el caso del 2011 cuando la Nube fue el objetivo a proteger. O en 2017 cuando la cacería de amenazas y el desarrollo y aplicación de modelos de detección se impuso. Y no olvidar la fiebre del 2018 y 2019 con la locura del aprendizaje de máquina.

El 2020 puede ser un punto de inflexión, pero es extraño que no haya un mensaje común entre los fabricantes y la única forma de atraer a los asistentes es con rifas, regalos y con una Demo que en el fondo no conecta con las necesidades actuales de la ciberseguridad.

La Propuesta del Sector de CiberSeguridad

Aunque el mensaje es difuso, creo que es posible estructurar algunas ideas de lo que ofrece el mercado, a continuación detallo un grupo ideas que se pueden resaltar por parte de los fabricantes de seguridad.

Arquitectura de CiberSeguridad

• Microsegmentación y protección de servicios en la Nube. Aplicar el concepto de Zero Trust para el acceso y la autenticación, es una estrategia de arquitectura de seguridad que nunca he compartido y que no se alinea con la realidad de las redes de datos actuales soportadas en metodologías ágiles, microservicios, serverless y perímetros porosos. Debemos profundizar en arquitecturas adaptativas más que intentar encajar controles de redes onpremise en redes nube.

• EDR fundamental en la estrategia de ciberseguridad. Es claro que el EndPoint es punto de acceso por parte de los atacantes. Y toda la estrategia de protección frente a los diferentes vectores de ataque actuales se soporta con el EDR. Esta es una solución fundamental en las estrategias de ciberseguridad a corto y mediano plazo.

• ¿Reaparecerá el monitoreo de red?. Encontré varias soluciones NDR (Network Detection & Response). Sabíamos que las complicaciones de la cantidad de RAW Data de la red, el cifrado y la microsegmentación había complicado un poco este tipo de soluciones. Pero la Nube y las capacidades actuales ha otorgado posibilidades para la evolución de este tipo de controles. Creo que debemos apostarle a estas soluciones y se debe implementar a Mediano y Largo plazo, para evolucionar las capacidades de cacería de amenazas.

Detección y Respuesta

• Mitre Att&ck la estrategia para reducir la fatiga de alerta. La cantidad de alertas generadas con la estrategia de reglas de correlación por parte del SIEM, ha evolucionado a una relación entre diferentes alertas que conectadas presenten una metodología clara de ataque. Diferentes modelos de conocimiento de técnicas y tácticas de ataques se vienen implementando en las herramientas para reducir la fatiga de alertas y se encuentra Mitre Att&ck como el más utilizado en el mercado.
• Del EDR al XDR pérdida de foco. La fuente de información clave para detección y respuesta es el EDR (EndPoint Detection & Response), pero aparece una estrategia para explotar este elemento y es el XDR, una solución que fácilmente orienta a montar una nueva arquitectura de seguridad dentro de la organización como algunos fabricantes trataron de realizar alguno años atrás sin mucho éxito.
• SIEM, UEBA, Security Analytics. Me causó un interés particular entender un poco qué está pasando con la herramienta estrella de la Gestión de Incidentes. La implementación de algoritmos de anomalías, outliers, clusterización de datos es algo común en todos los SIEM. La integración con fuentes de inteligencia y procesos para mejorar el triage e investigación lo tienen todos. La única diferencia: modelos de costeo y capacidad e integración de funcionalidades de respuesta (SOAR). Pero seguimos encontrando gestores de logs que se creen SIEM en el mercado: mucho cuidado con dicha selección.
• Servicios Gestionados de Detección y Respuesta. Por último, pero no menos importante, MDR (Managed Detection & Response). Muy pocos proveedores que presten servicios reales de detección y respuesta, una gran oportunidad en el mercado que pocos estamos aprovechando.
  

  Privacidad y Seguridad de Datos

• Y lo que realmente importa, el dato. La propuesta de valor de la Ciberseguridad es la protección de los datos, que generan información, que se convierten en el conocimiento de las organizaciones con lo que desarrollan sus ventajas competitivas. Pues poca evolución identifiqué en este frente, ninguna evolución del DLP (Protección de Fuga de Información), de la criptografía y del DRM (Gestión de Derechos de Datos).
• Reportes de cumplimiento. Mucha oferta de servicios de reportes de cumplimiento para terceros, para validar compliance, pero lejos de ser una solución de protección de privacidad o datos.
• Cumplimiento no privacidad como derecho de las personas. La propuesta de valor de estos proveedores se mueven más en el tema de compliance GDPR, Hippa, Graham Leach Bliley, y no en controlar el verdadero objetivo del buen uso de los datos personales.
  
  Conclusiones
• La conferencia de RSA 2020 sigue siendo el evento más importante de ciberseguridad a nivel global.
• El sector de ciberseguridad se encuentra en un estado de evolución, muchas de las estrategias planteadas por los fabricantes en los años anteriores no dieron el resultado deseado, el Dwell Time aumenta y la batalla contra las amenazas la hemos venido perdiendo.
• La guerra de los Firewall con inteligencia por suerte paró. Un control tan básico como el firewall no podía seguir generando tanto ruido en el mercado, mientras los atacantes continuaban ganando la batalla. La arquitectura sigue orientándose a tener control de acceso, autenticación, cifrado y auditoría. Pero si configuramos mal alguno de estos controles, sea el más caro de los firewalls o el IPTables, vamos a perder la batalla. La única funcionalidad clave termina siendo la seguridad adaptativa, el poder reconfigurar frente a nuevas amenazas o TTPs.
• Hace unos años tenía claro que la capacidad de detectar o prevenir un ataque en el Endpoint era nula. Ahora todas las apuestas están en el EDR. Todos lo debemos tener y más en estos momentos de Teletrabajo.
• Los servicios de Detección y Respuesta son fundamentales. Esto no es un SOC, es la verdadera capacidad de evolucionar para reducir el tiempo de permanencia de los atacantes (Dwell Time).