La ciberseguridad está tomando la importancia que requiere por estos lados del planeta y para ahondar en ello, conversamos con Norberto Milán, VP regional de Latinoamérica de Palo Alto Networks.
¿Cómo ha impactado esta nueva preocupación en la región, sobre todo en Chile, por el tema de ciberseguridad?
El tema de Ciberseguridad sigue evolucionando: los atacantes no siempre son externos; hoy en día vemos variedad de atacantes internos. Es decir, èstos no son atacantes intencionales, o maliciosos, pero el simple hecho de que algún ciber-criminal pueda clonar credenciales y luego conectarse a la red corporativa de su víctima, como lo haría regularmente un funcionario en un día de trabajo normal. Todo esto ocurre sin tener idea de que las credenciales laborales han sido comprometidas, y entonces el criminal comienza a navegar en los recursos internos de la red. Es en este momento cuando el atacante puede aprovechar esa información para engañar a la administración de red, (en hacerle pensar que es el mismo usuario que tiene derecho a navegar mediante los sistemas de la organización), y de pronto, el “usuario” comienza a tener un comportamiento muy diferente. Esta situación sirve para ejemplificar el aumento la complejidad de poder detectar a los atacantes y sus tácticas maliciosas. En nuestro caso, Palo Alto Networks está orientada a prevenir que los ataques tengan éxito. La prevención es lo más duro y difícil que hay. Muchas empresas realizan tareas de remediar ataques ya ocurridos y ver en el forense qué fue lo que pasó, pero siempre es más difícil prevenir que el daño ocurra. La buena noticia es que cada vez hay más interés en todos los países de Latinoamérica en evitar algún daño a la imagen de las empresas, las marcas o el comprometer la misma confianza que pueda tener el Mercado hacia las organizaciones, por lo tanto, la ciberseguridad cada vez toma más relevancia. De hecho, recientemente me he enterado que se han situado directores de empresas en las más altas esferas de la compañía, para dirigir la ciberseguridad de cada dirección.
Los especialistas destacan que la ciberseguridad no puede asegurar un cien por ciento. Entonces situaciones como las que ocurrieron en la banca en México, Ecuador, el mismo caso de Chile ¿se podrían haber evitado realmente?
Cuando un ataque se produce con un vector conocido, la respuesta es sí. Cien por ciento. El tema es que los ciberdelincuentes siempre tratan de cambiarle una característica al vector completo, para lograr engañar la tecnología, e intentar que el ataque no sea detectado. La respuesta es que la mayor parte de los casos sí pueden ser evitados. Aunque es imposible conocer a todas las variaciones de los componentes que pueden mezclarse en un intento de ataque, al detectar una cantidad suficiente de componentes, ya es posible prevenir la ejecución del ataque. Mayormente, los componentes son conocidos -no hay muchos exploits que existen en el mundo hoy día- y parte de nuestra labor es entender cómo se mezclan estos componentes para poder prevenir a todas las posibles variaciones de ataques.
Los ciberdelincuentes siempre tratan de
cambiarle una característica al vector
completo, para lograr engañar la tecnología,
e intentar que el ataque no sea detectado
La nueva ola en ciberseguridad es controlar lo que está ocurriendo dentro de una red ¿Ustedes cómo lo hacen?
Lo que siempre le decimos al cliente es que el paso número uno es tener una visibilidad absoluta, ya que comúnmente se cree que ya se tiene certeza de conocer todo lo que ocurre en la red, pero regularmente no es así. De hecho, cuando instalamos nuestras herramientas para brindarles la visibilidad que ellos anhelan, los clientes usualmente logran ver cosas que nunca antes habían podido ver circulando dentro de su propia red, y a partir de ese momento, es cuando les podemos explicar cómo prevenir.
El paso número dos es segmentar la red. Los usuarios de un sistema corporativo, de mercadeo (como ejemplo), quizás no deban tener acceso a las técnicas de las fábricas. Los usuarios de distintas funciones sí tienen que comunicarse entre ellos y acceder a información de distintas áreas, pero debemos limitar hacia donde se conectan. Eso es la segmentación, el cual es un paso muy importante. Una vez que lo hemos realizado, nos baja mucho el ruido de comunicación a la red.
El tercer paso es aplicar las técnicas de protección de todas las amenazas ya conocidas y con esto me refiero a “Wannacry”, por ejemplo. Una empresa nunca debe sufrir un ataque por un vector que ya se conoce porque eso es información pública, debe estar desglosado para todos y la tecnología con la que se cuente debe poder ofrecer esa protección; como una vacuna.
Y por último tenemos el cuarto paso, que es el más complejo, y consiste en proteger lo desconocido. Las campañas de ataque se hacen usando malware, usando tácticas o exploits que ya se conocen, pero que no se han mezclado para la creación de un vector nuevo. La tecnología tiene que poder reconocer que se están recibiendo componentes que ya se han usado en otros ataques o que se están usando técnicas ya conocidas, pero que en estos casos se están usando de un modo distinto. Tenemos que armar el ADN del ataque y eso requiere que la protección exista en la nube, en el endpoint, en el perímetro, en el data center y en todos los puntos donde el usuario pueda tener contacto con aplicaciones o contenido. Es importante asegurar que al estar protegiendo estos puntos, es necesario recolectar la información de todos los sitios y comunicarlos entre ellos para lograr una protección más efectiva: es necesario que el endpoint le hable al firewall del perímetro, al firewall del data center, y al de la nube.
Estos puntos se deben poder correlacionar para poder entender si lo que se está viendo son los componentes de un ataque y que pudiera estar llegando desde distintos sitios. En este punto, el machine learning permite conocer qué es lo que está pasando y reconocer cuando un ataque se está construyendo, para luego ir cerrando las posibles vulnerabilidades, y de esta forma es posible bloquearlo, y no permitirle la entrada al malware. Acto seguido, el sistema debe comunicarse al centro de control para recibir las instrucciones y secuestrar eso que ingresó, limitando lo más posible el impacto que pueda tener de manera que no dañe la empresa.
Por otro lado, han tenido un crecimiento importante en Chile y Latinoamérica. ¿Por qué las empresas están optando por Palo Alto Networks?
Porque estamos enfocados en prevención. Somos prácticamente la única marca que se enfoca fuertemente en este punto y además tenemos todos los componentes que se necesitan: tenemos una plataforma que aplica protección en el endpoint, en la nube, en el perímetro, y en el data center. Cuando sumamos todos estos componentes nos entrega un producto poderoso. Antes se hablaba mucho de protección por componente o del usar la tecnología para protegerse de ataques determinados, pero si estas tecnologías no se comunican entre ellas, no tienen cómo avisar si alguna amenaza está siendo detectada. Esa es la gran diferencia de Palo Alto Networks: tenemos todo unificado en una plataforma de ciberseguridad que nos permite correlacionar eventos en tiempo real. Nosotros no permitimos que algo que se detecte en un punto, tenga un desarrollo y se conecte en otro punto en la red y eso es lo que los clientes están probando cada vez más y cuando lo ven en su propio ambiente. Todo esto, aunado a la visibilidad y control que nosotros les entregamos, es cuando a los clientes le queda claro que necesitan lo que Palo Alto Networks les ofrece.