«XDR es un principio esencial de la ciberseguridad moderna»

¿A qué retos de seguridad se enfrentan hoy en día las empresas? ¿Qué tecnologías les permiten simplificar su postura de seguridad y evitar añadir nuevas capas de complejidad a la gestión de su parque tecnológico? ¿Qué papel juegan en estos momentos tecnologías como XDR, EDR o Zero Trust? Para responder a estas preguntas hemos charlado con Carlos Vieira, country manager de WatchGuard en España.

Carlos también nos habla del lanzamiento de ThreatSync, una solución XDR completa, que se incluye como parte de la arquitectura Unified Security Platform de la compañía y que extiende esta tecnología a las familias de productos WatchGuard Network y Endpoint Security. Tal y como explica, la nueva solución equipa a las organizaciones con capacidades XDR para centralizar las detecciones entre productos y orquestar la respuesta automatizada a las amenazas desde un único panel de control.

[MCPRO] Uno de los lemas que os definen como empresa es: ciberseguridad simplificada, unificada e inteligente. Y esto es interesante teniendo en cuenta que hoy en día las amenazas de seguridad a las que se enfrentan las empresas son cada vez más complejas, diversas y asimismo, inteligentes. Es necesario por lo tanto una respuesta integral. 

[Carlos Vieira] Es evidente que estamos ante entornos cada vez más sofisticados que tienen como consecuencia una mayor complejidad y el incremento de la superficie de ataque. Esto requiere de más herramientas para poder cubrir y reducir esa superficie de ataque y así evitar futuros problemas de seguridad. 

Para facilitar todos los procesos y simplificar tal complejidad, WatchGuard ofrece herramientas integrales, pues si un mismo fabricante es capaz de poder proporcionar más de una solución, que esas soluciones se correlacionen y hablen entre sí, se gana en sencillez en las configuraciones y se evitan errores derivados de tal confusión, pudiendo hacer que las soluciones, al compartir información entre ellas, puedan detectar algunas amenazas que de otra forma resultaría mucho más complicado y prepara mejor a la organización para responder a tales amenazas. 

El hecho de poder utilizar más de un producto para dar respuesta ante una amenaza que ya se está sufriendo en ese mismo instante es una importante ventaja, pues de la otra manera, orquestar esa respuesta de forma automática en un momento dado con productos diferentes, sería demasiado difícil y costoso. En este sentido, herramientas como ThreatSync, nuestra solución XDR incluida como parte de la arquitectura Unified Security Platform de WatchGuard, ayuda a simplificar la ciberseguridad a la vez que mejora la visibilidad y respuesta a las amenazas en toda la organización de forma más rápida, reduciendo el riesgo y el coste, y dando una mayor precisión que de otro modo sería imposible. 

[MCPRO] Tras la pandemia, las necesidades de seguridad de las empresas han cambiado. ¿A qué retos se enfrentan en estos nuevos puestos de trabajo híbrido?

[Carlos Vieira]  Los entornos de trabajo híbridos ofrecen más flexibilidad a los empleados, pero también han ampliado la superficie de ataque de las organizaciones obligando a tomar nuevas medidas de seguridad, pues el equipo del usuario se ha convertido en un nuevo vector de ataque. La protección tradicional, centrada en el perímetro ya no es suficiente debido a que éste se ha diluido. 

Hablar de proteger el puesto de trabajo híbrido supone que las empresas deben asegurarse de que los empleados tengan acceso a la tecnología y formación necesarias para realizar su trabajo de forma eficiente, lo que incluye acceso a un equipo y una conexión a Internet de confianza, el establecimiento de políticas claras sobre el uso de la tecnología y la seguridad de los datos. Es importante aplicar políticas de zero-trust, ya que la empresa debe poder identificar quién es el usuario para permitirle acceder a lo que la empresa quiere que se le permita y limitar ese riesgo para que no se vean comprometidos otros servicios en un momento dado. En este punto, la gestión de identidad y las validaciones de la autenticación multifactor (MFA), juegan un papel clave.  

Junto a la parte preventiva, otro desafío pasa por mejorar todo lo relacionado con la detección. Así, es crucial implementar seguridad endpoint para que el acceso a las aplicaciones y recursos de la organización se realicen de una forma segura. Para ello, contar con una solución EDR (Endpoint Detection and Response) es clave, pues esta permite una supervisión proactiva y continua que impide la ejecución de procesos desconocidos de forma temprana, ayuda en la detección de indicadores de ataque, y mucho más. 

Por último, y no es menos importante, comprobar paulatinamente que todo el software está actualizado y las vulnerabilidades debidamente parcheadas, es otro elemento a tener en cuenta. 

[MCPRO] ¿Qué tipo de respuesta ofrecéis a las empresas para dar respuesta a este tipo de retos y qué políticas de seguridad más allá del software, recomendáis implementar?

[Carlos Vieira] Debemos partir de la base de que la mayoría de las brechas de seguridad se originan por un robo de credenciales. Bajo esta premisa, se hace indispensable contar con soluciones de autenticación multifactor (MFA) que garanticen que el usuario que se conecta es quien dice ser. 

Igualmente, es indispensable desplegar una solución de EDR para proteger contra el malware no conocido y también contar con servicios de Threat Hunting para poder detectar indicadores de riesgo que pueden estar dentro del entorno de la organización, pero que no se han llegado a explotar por ningún tipo de malware. De este modo, se tiene visibilidad de que hay una actividad maliciosa dentro de la red tratando de robar datos o acceder a otra información. También sería apropiado añadir la tecnología XDR como complemento a todo lo anterior para que todo esté orquestado y automatizado. 

Por otro lado, todo esto es indispensable que esté bajo el paraguas de lo que denominamos ciberhigiene y asentado sobre la base de programas de concienciación continuos. Una buena ciberhigiene pasa por una correcta actualización, mantenimiento, gestión, configuración y supervisión de todos los productos. De nada sirve contar con las soluciones más punteras si estas no son atendidas. La protección tiene que estar en todos los equipos y tiene que estar configurada correctamente. Una buena higiene, que haya buenas prácticas y establecer una periodicidad en esa revisión es clave para reducir la superficie de ataque de la que hablábamos al principio, pues cuanto más complicado se lo pongamos a los atacantes, menor será la probabilidad de sufrir una brecha porque resultará demasiado costoso lanzar el ataque.  

[MCPRO] ¿Qué importancia han adquirido en el momento actual las estrategias de seguridad Zero Trust? ¿Y cuál es el principal reto que hay que superar para que esta estrategia se desarrolle de forma adecuada en las empresas?

[Carlos Vieira] La estrategia de zero-trust se basa en otorgar los mínimos privilegios de acceso, lo que ayuda a evitar problemas mayores, y esto es algo que ha existido de siempre. Lo que ocurre es que ahora hay mayor concienciación en materia de ciberseguridad y las empresas están más familiarizadas con este término, lo que es algo muy positivo. 

Esta estrategia zero-trust debe ser algo global, es decir, aplicar no solo al endpoint, sino también a la red, a la gestión de identidades, etc. Debe ser algo interiorizado por toda la organización y aplicarse en todos los ámbitos. 

Aunque, como digo, zero-trust es un término cada vez más popular, sí es cierto que entre las grandes y medianas empresas está más interiorizado y es un enfoque generalizado; sin embargo, en el caso de las pequeñas, es importante seguir trabajando en el refuerzo de esa concienciación, pues todavía existen casos en los que creen que ellas no son blanco de ciberataques.

La labor de educación en seguridad ha de ser constante, pues hay de desterrar la percepción de que invertir en seguridad es un coste para que se perciba como lo que realmente es: una inversión para la buena marcha del negocio en todos los sentidos. 

[MCPRO] En el terreno de la detección, ¿qué aporta un EDR a una organización y cómo mejora esa respuesta frente a otras soluciones clásicas en el endpoint? 

[Carlos Vieira] La función de un EDR es proteger de todo malware desconocido, por tanto, responde a las amenazas conocidas y desconocidas al proporcionar visibilidad y al controlar las aplicaciones que se ejecutan en la red. Aunque los productos de antivirus y de plataformas de protección de endpoints son importantes para buscar y analizar amenazas conocidas, sus beneficios son limitados si no se realiza una supervisión continua para detectar ataques avanzados como las APT, las vulnerabilidades y los ataques sin archivos.

Contar con un EDR resuelve el reto de protegerse contra todo lo desconocido, por eso, desplegar un EDR sobre una solución de antivirus para endpoints llena los vacíos para lograr una seguridad completa y eficaz de los endpoints. 

[MCPRO] Una de las últimas soluciones que habéis presentado es WatchGuard ThreatSync: ¿en qué consiste y  cómo mejora la postura de seguridad de las empresas ante posibles amenazas? 

[Carlos Vieira] La industria de la ciberseguridad ha estado operando durante mucho tiempo en silos donde las herramientas de seguridad no se comunican entre sí. Hace mucho tiempo que los equipos de seguridad necesitan una solución que proporcione una posición de seguridad integral. Este es el objetivo de ThreatSync, la solución XDR de WatchGuard, que ofrece a los equipos de seguridad modernos una herramienta de inteligencia de incidentes centralizada para consolidar la seguridad y ofrecer detección y respuesta extendidas. 

La creciente complejidad de las amenazas y la proliferación de tecnologías de seguridad pueden hacer que sea difícil para las organizaciones tener una visión global de su posición de seguridad. A su vez, para los saturados equipos de seguridad también es un desafío combatir las amenazas avanzadas con una visibilidad limitada y herramientas de seguridad desconectadas, a lo que se suman los tiempos de detección lentos y los intentos de responder con precisión. Los expertos en seguridad actuales necesitan una solución de seguridad unificada para identificar, contener y responder con mayor rapidez a las amenazas emergentes. «, tal y como defiende WatchGuard. 

WatchGuard ThreatSync equipa a las empresas con capacidades de XDR para centralizar las detecciones y orquestar la respuesta a amenazas desde una vista unificada. Simplifica la ciberseguridad a la vez que mejora la visibilidad y automatiza las acciones de respuesta en toda la organización con mayor rapidez, lo que reduce los riesgos y costes, y proporciona una mayor precisión. 

Las principales características de la solución ThreatSync de WatchGuard incluyen:

• Configuración Cero– Los productos de seguridad de WatchGuard son bien conocidos por ser fáciles de desplegar y de gestionar. Desde la concesión de licencias hasta las operaciones, esa simplicidad mejora la eficiencia y está totalmente alineada con la misión de la compañía de proporcionar una plataforma que simplifique todos los aspectos de la entrega de seguridad. Como componente clave de Unified Security Platform de WatchGuard, ThreatSync proporciona una plataforma de productos cruzados totalmente integrada, reduciendo los costes asociados a la configuración e integración de múltiples soluciones puntuales de forma interna. 
• Seguridad integral – WatchGuard ofrece una cartera completa de productos y servicios de seguridad que trabajan en conjunto para proteger entornos, usuarios y dispositivos. ThreatSync aprovecha las capacidades de WatchGuard Network Security y Endpoint Detection and Response (EDR) para proporcionar detecciones cruzadas que se recopilan y se convierten en información útil y procesable en tiempo real a través de un único panel de control diseñado explícitamente para la gestión de la seguridad de extremo a extremo del proveedor de servicios. 
• Visibilidad unificada de amenazas – ThreatSync aumenta la precisión y acelera la detección unificando automáticamente los datos de amenazas de todo el stack de seguridad de WatchGuard en una única interfaz, con una UX orientada a los responsables de responder ante incidentes. ThreatSync reúne y muestra detecciones de productos cruzados en ordenadores, servidores y firewalls desde un único panel de control, eliminando la necesidad de que los administradores conozcan y utilicen múltiples consolas. Esto permite a los profesionales de la seguridad disfrutar de una experiencia de usuario consolidada al tiempo que obtienen un contexto de incidentes más amplio en torno a la detección, lo que les ayuda a responder y detener las amenazas avanzadas más rápido que nunca. 
• Detección unificada de amenazas – ThreatSync proporciona capacidades de detección ampliadas mediante la correlación de datos de diferentes capas de protección del stack de seguridad que indican la presencia de actores de amenazas. Mediante el uso de dominios cruzados y la correlación de actividades monitorizadas desde diferentes productos de seguridad WatchGuard, ThreatSync puntúa y detecta escenarios maliciosos que podrían ser indicadores de compromiso (IoCs). Esto reduce el tiempo medio de detección (MTTD) a la vez que permite una rápida contención global del impacto, la gravedad y el alcance. 
• Orquestación de respuesta unificada a amenazas – Cuando los expertos en seguridad y los administradores de TI disponen de la información que necesitan, es fácil responder con rapidez, aunque el dispositivo no esté físicamente disponible. ThreatSync reduce el tiempo medio de respuesta (MTTR) al permitir acciones de respuesta automatizadas para neutralizar las amenazas en todas las organizaciones en un proceso más simple y rápido, reduciendo el riesgo y ofreciendo una mayor precisión. Todo ello se gestiona desde WatchGuard Cloud, la interfaz de gestión específica para MSP y visibilidad de seguridad centralizada líder del sector de la compañía.

[MCPRO] ¿De qué forma se benefician los MSP y vuestros partners de una solución como esta? ¿Qué valor diferencial pueden aportar a sus clientes?

[Carlos Vieira] Los MSP pueden aportar un valor enorme con una solución como ThreatSync, porque el cliente final muchas veces no tiene capacidad para poder ver lo que ocurre dentro de su infraestructura de seguridad.

Para resolver esta situación, es necesaria la intervención de un tercero que preste este servicio y, el hecho de que cuente con una herramienta que no le suponga grandes desembolsos, al final esto se traduce en mayor rentabilidad. De otra manera, 

[MCPRO] Para terminar…¿a qué es lo que más deberían temer las empresas en cuanto a amenazas informáticas a corto y medio plazo? ¿en qué áreas deberían enfocar sus esfuerzos de inversión en ciberseguridad? 

[Carlos Vieira] La mayoría de los ataques que sufren las empresas se deben a intrusiones y robo de credenciales, entonces, la ejecución del ransomware normalmente es el último paso de toda una cadena de intrusión. Las organizaciones, de alguna manera, deben poder ver/detectar si alguien ha entrado antes de que ejecute ese malware, porque si ha robado todos los datos, entonces ya se tiene el problema. De ahí que sea crítico contar con herramientas que ayuden a dar visibilidad y descubrir estos eventos de seguridad. Asimismo, para combatir el robo de credenciales contar con una solución de MFA es indispensable. 

Por último, todas esas herramientas encaminadas a reducir esa superficie de ataque y que contribuyan a esa ciberhigiene, se complementa con soluciones de parcheado, el EDR, etc. En mi opinión, si tuviera que elegir un orden, sería éste: MFA, EDR, la correcta configuración de todo ese entorno y contar con plataformas como XDR, y por último, habría que añadir las herramientas de threat hunting.