Siempre he tenido una excelente opinión de los informes de Gartner. Principalmente porque han dado en el clavo cuando han evaluado productos o servicios que yo conocía bien.
Este pasado junio han presentado en su evento de Maryland las “Top 10 Technologies for Information Security” de 2016. Voy a comentarlas en este post:
1. – Cloud access security brokers (CASB)
El uso de servicios IT en la nube es imparable; tanto por su rapidez de despliegue, como por la reducción de costes. Esto, en general, supone un dolor de cabeza para los responsables de seguridad que pierden visibilidad y control. Para ello se implantan sistemas que permitan forzar políticas, monitorizar comportamientos y gestionar riesgos, de acuerdo a las necesidades del CISO.
Los CASB están situados entre los proveedores y los consumidores de servicios en la nube. Estos sistemas pueden estar instalados en las oficinas de los clientes o también en la nube. Los CASB incluyen sistemas de autenticación, single sign-on, cifrado, mapeo de credenciales, logging, anti-malware, etc.
2. – Endpoint Detection and Response Solutions (EDR)
Al menos desde el 2014 Gartner ha diferenciado la línea “clásica” de antivirus que denomina Endpoint Protection Platform (EPP) de los EDR. Los EPP ofrecen principalmente: Anti-malware, Firewall personal, Host-based intrusion prevention y control de puertos.
Sin embargo las soluciones EDR adicionalmente realizan la recolección y almacenamiento de eventos desde todos los endpoints a un sistema central para detectar ataques basándose en indicadores de compromiso, análisis de comportamiento y técnicas de machine-learning.
3. – Protección de puesto final con aproximaciones no basadas en firmas.
Brian Dye, Vicepresidente de Symantec, decía en el 2014 que el antivirus “está muerto”. La creación de malware es de tal volumen que las aproximaciones basadas en firmas son cada vez menos útiles. Debido a esto las compañías están buscando soluciones que aumenten la efectividad incluyendo protección de memoria, protección contra exploits y sistemas matemáticos basados en machine-learning para bloquear e identificar el malware.
4. – User and Entity Behavioral Analytics (UEBA)
Debido a diversos factores (quizá el incidente de Snowden) las compañías han puesto el foco en las amenazas de los insiders. Han aparecido soluciones que permiten analizar el comportamiento de los usuarios y a la vez de otros elementos: Endpoints, redes, aplicaciones… para detectar amenazas. Las tecnologías incluyen correlación y diferentes tipos de análisis.
Algunas de estas compañías ya han sido adquiridas (Caspida fue adquirida por Splunk) y se prevén más fusiones y adquisiciones en este segmento de la industria.
5. – Microsegmentación y Visibilidad de Flujos
Para evitar que los atacantes progresen una vez que atraviesan las defensas perimetrales hay fabricantes que posibilitan realizar una microsegmentación de la red para permitir sólo conexiones lícitas. Estas soluciones están disponibles para entornos virtualizados principalmente.
Por otro lado existen herramientas para monitorizar las comunicaciones internas, que permiten a un analista visualizar los flujos de información entre diferentes sistemas.
Por último han aparecido soluciones de cifrado de comunicaciones internas (normalmente con IPsec punto a punto) para evitar capturas de información por equipos terceros.
6. – Herramientas para desarrollo seguro (DevSecOps)
Otra de las tendencias para este 2016 es la utilización de sistemas que ayuden al desarrollo seguro. Aquí se incluyen herramientas que a través de scripts, plantillas, modelos, etc. permiten crear aplicaciones seguras. Se pueden realizar pruebas durante el desarrollo sobre el código estático o comprobaciones en run-time. Adicionalmente varias soluciones realizan escaneos de vulnerabilidades automáticos antes de las puestas en producción.
7. – Intelligence-Driven Security Operations Center
Gartner prevee que para 2020 el 40% de los SOC se conviertan en intelligence-driven security operations center (ISOC).
El ISOC de Gartner cubre cuatro dominios: prevención, detección, respuesta y predicción. Según su modelo debe recibir información tanto de los sistemas internos (vía monitorización y correlación de eventos), como de los fabricantes, de fuentes abiertas, CERT y otras fuentes de información externa.
Los ISOC generan Inteligencia siguiendo un ciclo de vida definido. Por ejemplo, una vez conocido un IOC se debe chequear si estamos infectados, verificar accesos y movimientos laterales, informar y guiar a operaciones para evitar futuras infecciones y evaluar qué actores y organizaciones están asociados al ataque para predecir sus futuros movimientos.
El ISOC tiene cinco características principales para Gartner: utiliza inteligencia multifuente para estrategia y táctica, realiza analítica avanzada (estadística, machine-learning, data mining, simulación y optimización), automatiza en lo posible sus tareas, tiene una arquitectura adaptable a las amenazas cambiantes e investiga de forma proactiva.
8. – Browsers Remotos
Gran cantidad de ataques utilizan vulnerabilidades en el browser para infectar los endpoints. Una nueva aproximación para resolver este problema es presentar el browser desde un “servidor de browsers”, que típicamente será un servidor Linux que correrá en el CPD del cliente o en la nube. Así reducimos la superficie de ataque y contenemos el malware.
En el pasado los browsers simplemente presentaban el texto de un web server, ahora son una puerta para descargar y ejecutar código dentro de cualquier organización. Con este sistema sólo se presenta la información, no se ejecuta código fuera del “servidor de browsers”.
9. – Engaño
Gartner define las “Deception technologies” como el uso de engaños o trucos diseñados para entorpecer el proceso de aprendizaje de un atacante, para desactivar sus herramientas automáticas, para retrasar su proceso de intrusión o interrumpir su progresión en el ataque.
Gartner predice que para 2018 el 10% de las organizaciones utilizarán estas técnicas y herramientas y realizarán operaciones de engaño contra los atacantes.
Estas tecnologías crean vulnerabilidades, cookies, websites y en general todo tipo de recursos y sistemas falsos. Las herramientas comerciales anuncian que incluyen honeypots aunque van más allá de ellos, principalmente apoyándose en tecnologías de virtualización, que permiten un despliegue y un control más granular de diferentes tipos de engaños dentro de los sistemas de la organización.
10. – Servicios de seguridad y confianza a gran escala
Según los departamentos de seguridad vayan adquiriendo responsabilidad sobre los sistemas de campo (“Operational Technology”, “Internet of Things”, etc.) aparecerán nuevos modelos de seguridad para gestionar la confianza y la seguridad a gran escala.
El problema será asegurar la integridad, confidencialidad y disponibilidad en miles de millones de dispositivos, muchos de ellos con limitadas capacidades de procesamiento (piénsese por ejemplo en los contadores domésticos inteligentes).
Aparecerán nuevos modelos de confianza distribuidos para gestionar estos sistemas a gran escala. Uno de ellos podría ser la arquitectura Blockchain o similares.
Blockchain es el sistema que se utiliza con los bitcoints para evitar fraudes. Utiliza múltiples repositorios distribuidos a gran escala que replican la misma información. Blockchain establece un mecanismo de voto de forma que en caso de discrepancias entre valores almacenados en diferentes repositorios el valor que aparece en la mayoría de los mismos es tomado como el correcto. De esta forma hackear uno de los repositorios y cambiar un dato no tiene ningún efecto ya que en el mecanismo de voto recuperará el valor inicial.
Aunque Gartner presenta esta tecnología en su lista de tendencias para 2016, hay interés por parte de grandes bancos (ver el whitepaper de Santander InnoVentures por ejemplo) y el NASDAQ anunció el año pasado planes para implantarla para las transacciones internacionales; para mí no deja de ser una tecnología nueva, que hay que seguir con atención, pero que está lejos de ser una opción sólida para una implantación que arranque en 2016.
El informe original de Gartner se puede encontrar en http://www.gartner.com/newsroom/id/3347717
La solución de los browsers estaría genial!
Muchas gracias por el artículo