FlagMiércoles, 26 Septiembre 2018

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

sophos veelfuturo

 

Sophos desarrolló un seminario con canales y sus clientes finales para compartir lo que consideran será el futuro de la ciberserguridad en Latinoamérica. Alejandra García, directora General de Sophos México, presidió el evento destinado a desmitificar entre los tomadores de decisión la forma en que ven a la seguridad; es decir, como un gasto al interior de las empresas.

Más adelante, Oscar Chávez Arrieta, vicepresidente para Sophos Latinoamérica, explicó que su estrategia como fabricante está sustentada en cuatro pilares: la solución InterceptorX basada en un motor Deep Learning; elevar el papel de los mayoristas a Value Added Distributor; generar entre sus canales a los Monthly Service Providers, quienes ayudarán a sus clientes a adquirir tecnología en modelo opex; y un cuarto pilar pensado en adquisición por educación o bien, sensibilidad del cliente por proteger activamente su negocio.

Relató que los clientes esperan del canal una consultoría seria, por lo que instó a los partners a mantenerse actualizados sobre cómo mantener un nivel de conversación de negocios, contextualizado en los escenarios actuales que están enfrentando los clientes en sus infraestructuras. Aquellos canales que decidan no abordar un proceso consultivo especializado corren el riesgo de ser reemplazados por aquellos que sí lo están desarrollando como parte de sus estrategias de negocio, aconsejó.


El escenario de amenazas
Leonardo Granda, Senior Security Engineer Manager para Latinoamérica en Sophos, explicó al detalle cuáles son las amenazas con las que lidian dichos clientes, sobre todo del segmento Large Enterprise. En síntesis, a las amenazas reconocidas como malware se suman con cada vez mayor persistencia los ataques avanzados silenciosos.

Uno de ellos es la categoría de exploits, cuyo rasgo predominante es aprovechar una vulnerabilidad y entonces entrar a las instalaciones del cliente para conocer a detalle su entorno interno. Datos proporcionados por el gerente indican que en el año 2000 se encontraron 1574 vulnerabilidades, sin embargo la gráfica ha crecido a las 14,647 vulnerabilidades encontradas en el 2017, demostrando que es una de las técnicas favoritas de los ciberdelincuentes.

Resulta interesante relacionar los datos con una encuesta patrocinada por el fabricante. Entre las respuestas proporcionadas por 2700 gerentes o personas a cargo de TI de su empresa, en Latinoamérica, los resultados muestran que 54% de las organizaciones en latinas fueron atacadas, y por lo menos detectaron 2 ataques de ransomware en su organización; lo anterior sucedió aunque un 77% de los encuestados tienen implementada una solución antivirus ejecutándose.

De entre las diferentes amenazas y su desarrollo en la Internet, cabe destacar el caso de Wannacry. En agosto del 2016, NSA fue atacada y perdió las herramientas que desarrollaron sobre el sistema operativo Windows XP; el ataque atribuido a Shadow Brokers, en una subasta de enero de 2017 dio por origen la creación de Eternal Blue. Si bien Microsoft Windows declaró el fin de soporte para Windows XP, a raíz de los eventos decide lanzar un parche para la plataforma en febrero de 2017, sin embargo múltiples empresas fueron exitosamente atacadas en marzo de 2017 con WannaCry y más adelante con NotPetya, ambas originadas con Eternal Blue. La lección es que no se tiene la metodología correcta para que 3 ingenieros sean capaces de parchar 100 servidores en un fin de semana.

Una solución, inteligente en su funcionalidad
La inteligencia artificial entonces se ofrece como una alternativa para lidiar con ese espectro de amenazas que salen del campo de acción de un motor antimalware o el firewall y sus reglas internas. Daniela Arroyo, Sales Engineer México para Sophos dijo que la respuesta es el Deep Learning.

Antes de entrar en materia, acotó las diferencias con Machine Learning, la cual es una tecnología de aprendizaje que necesita desarrollar un árbol de decisiones para dar un porcentaje arriba del 90% sobre si un archivo es o no es malware. Estresó el hecho de que esta técnica necesita cotejar los datos con listas negras y blancas para hacer la comparación así que si el equipo en esos momentos no tiene conexión a la Nube del proveedor o de terceros, podría abrir una brecha de seguridad porque todavía no recibe la información más reciente de las firmas. Otra problemática que consideraron es la complejidad de las amenazas; conforme aumentan su grado de dificultad, el árbol de decisiones necesario para ejecutar dichas correlaciones necesitará más recursos y en algún momento podría volverse inviable.

Los archivos con código malicioso son cada vez más parecidos a los beningnos, lo que aumenta el índice de falsos positivos. Por ello el fabricante decidió ir por la estrategia de Deep Learning porque funciona similar al cerebro humano para aprender nuevas cosas sin necesitar aumentar dramáticamente el espacio necesario, del mismo modo no impacta en el desempeño del equipo y tampoco requiere de una nube para cotejar firmas porque de hecho no las requiere, indicó Daniela Arroyo de Sophos.

El monitoreo empieza desde que el usuario interactúa con los archivos; tal es el caso de CryptoGuard la cual realiza un caché inicial; si se trata de un archivo con ransomware, reconoce sus patrones de conducta (cambia extensiones, tarda mucho en finalizar el cifrado, etcétera), entiende que no es una aplicación válida y detiene su ejecución. Inclusive por el caché, puede revertir sus acciones maliciosas.

Otro módulo interesante a mencionar es Root Cause Analysis Detail, que en una gráfica descriptiva indica el origen de una amenaza, todos los cambios posteriores, sus movimientos que realizó y cual fue el camino que siguió. Entonces Sophos Clean revierte los cambios y regresa la administración a la empresa, En síntesis, la plataforma permite:

• Prevenir malware desconocido, de día cero
• Bloquea el malware antes de que se ejecute
• No depende de firmas
• Clasifica los archivos en maliciosos, apps potencialmente no deseadas (PUA)
• El cliente es ligero (menos 20MB) con actualizaciones poco frecuentes
• Protege aún cuando el host está offline
• Funciona “out of the box”, es decir sin entrenamiento adicional.
• Convive con soluciones de Terceros