En la experiencia de un integrador de soluciones de seguridad, el mensaje más inmediato que se puede transmitir a alguien interesado por el avance de la seguridad es que estamos viviendo un momento extraño, una batalla armamentística no solo contra las amenazas y el malware, sino contra la propia industria. Hace tiempo que los fabricantes se dirigen hacia la convergencia total, donde un firewall se puede convertir en un antimalware, un terminador de túneles, un proxyde navegación y un servidor de correo.
Superada la fase inicial de esta hiperconvergencia en pos de la seguridad total (hay que verlo todo, analizarlo todo, controlarlo todo), se decidió que no bastaba con tener toda la visibilidad de la red y controlar cada puerto y cada acceso. Así, los proveedores de seguridad de red se han lanzado a por el endpoint, el coto de los antivirus, como nueva frontera de la asimilación, mientras éstos contraatacan con políticas de adquisición de soluciones que abandonan el terminal de usuario y llevan la seguridad al terreno de los primeros. No pretendemos aquí recopilar las noticias de adquisiciones y líneas de producto del sector, pero sí rascar la superficie de esa frontera de fricción entre ambos mundos, que hasta ahora parecían más estancos, y analizar los huecos donde han aparecido nuevos agentes con ideas innovadoras y que, sin duda, tratarán de formar parte de la oferta habitual de los grandes en su carrera de asimilación.
Pero, ¿qué pretendemos proteger en el terminal de usuario? ¿Para qué queremos que sirva un producto de endpoint? En nuestro día a día como integradores nos encontramos a clientes cuya preocupación no es que un empleado pueda divulgar documentos corporativos a través de sus cuentas de correo personales, sino que a través de estas cuentas se ejecuten secuestros digitales masivos. Por un lado, debemos proteger al usuario de la red; y, por otro, a nuestra organización del usuario. ¿Cómo controlar este escenario? Es necesario tomar conciencia de lo que se ejecuta en el puesto de trabajo, y tratando de aplicar modelos de seguridad conocidos se adapta la filosofía del cortafuegos al endpoint: controlar las salidas y entradas, cifrar los discos, impedir que se lean periféricos, bloquear las unidades USB externas y hacer listas blancas de aplicaciones a ejecutar. El mismo enfoque de lógica positiva y negativa llevado hasta el dispositivo del usuario. Y no funciona. No funciona en nuestros PC corporativos, donde la seguridad y dichas listas blancas van varios pasos por detrás de Internet, sobre todo si se pretende que los usuarios sean móviles. Además, conllevan otros problemas de compatibilidad que hacen aún más compleja la gestión del inventario hardware y software, aunque facilite el control de políticas corporativas. No funcionan tampoco en los dispositivos propios de los usuarios, en los que se deben aplicar multitud de excepciones y, si acaso, conformarnos con la instalación de un antivirus y el uso de un proxy cloud para proteger la navegación.
El dilema de la ‘cloud’
Precisamente es la nube la que ha supuesto un motivo de discusión en este tipo de soluciones. La cloud, entendida como entidad centralizada que se beneficia de la recolección de información de sus múltiples usuarios y que libera de carga de proceso a los agentes que utilizan sus servicios, fue adoptada sin reparos en una gran mayoría de proveedores de antivirus. ¿Para qué analizar ficheros en local, con la carga que eso conlleva, si se puede enviar a la nube en tiempo real a la vez que se descargan firmas al momento? Ese enfoque produce soluciones software mucho más ligeras desde el punto de vista de carga del usuario, que siempre está dispuesto a entender la seguridad como un obstáculo a su operación diaria. ¿Cuál es el problema, entonces? Tal y como los recientes ataques masivos han demostrado, los sistemas basados en firmas y su colaboración en herramientas globales como VirusTotal no siempre llegan a tiempo.
La completitud de visión de los fabricantes de seguridad sigue fallando allí donde los nuevos proveedores prometen protección frente a amenazas aún no conocidas
Por suerte para la salud del sector, ya existen otras opciones. El análisis de comportamiento permite detectar desviaciones y anomalías de uso sin necesidad de descargar firmas de virus ni ficheros, eliminando las ventanas de vulnerabilidad que se producen en máquinas no actualizadas o parcheadas. Algunos proveedores de antivirus han defendido siempre este modelo de trabajo frente a la adopción de la cloud. Hay mucho camino por recorrer antes de que llegue la proverbial inteligencia artificial aplicada a la seguridad, y así han aparecido nuevos agentes en el sector con propuestas tecnológicas que avanzan en esta dirección, pero cuyo alcance está aún por determinar. Los nuevos competidores prometen un análisis continuo de qué y cuándo se ejecuta, de protección de la actividad del usuario a nivel de kernel, incluso de la contención de dispositivos afectados y la remediación por recuperación de ficheros protegidos antes de una brecha.
Cuadrante de la discordia
Se trata, entonces, de ser el hacker del sistema antes que el propio hacker. Son todas ideas excelentes, que se alejan del modelo de capas tan tradicional en un enfoque de seguridad de red, y que se asemejan más al escenario que se produce en un dispositivo donde cientos de agentes software compiten por privilegios de memoria y ciclos. Esto incluye a los múltiples agentes que de momento se necesitan para cubrir el amplio espectro de soluciones y enfoques disponibles, algo que no se percibe tan fácilmente, ya que el cuadrante mágico de Gartner y otros análisis del sector agrupan los antivirus tradicionales basados en firmas junto con las soluciones de nueva generación, las que utilizan heurísticos y aprendizaje de máquina. Este enfoque reutiliza la analogía de la última revolución del modelo de cortafuegos, donde los firewalls de nueva generación con reglas basadas en aplicaciones y usuarios hicieron obsoletos los esquemas de los más tradicionales, pero puede llevar a la conclusión de que las soluciones allí expuestas son intercambiables.
Hay mucho camino por recorrer antes de que llegue la proverbial inteligencia artificial aplicada a la seguridad
La completitud de visión de los fabricantes de seguridad sigue fallando allí donde los nuevos proveedores prometen la protección frente a amenazas aún no conocidas, y a su vez no se puede pretender apostar por estos últimos y abandonar los modelos basados en firmas y hash de ficheros, aunque eso es precisamente lo que tratan de certificar por parte de las agencias de estudios independientes. Al menos, mientras esos mismos dinosaurios no los adquieran como parte de sus soluciones completas.
La solución, por el momento, está en un punto intermedio donde es necesario evaluar en profundidad el plan de seguridad corporativo y decidir quién va a hacer qué. ¿Existe un proxy que controle la navegación y aplique antivirus basados en firmas? ¿Existe un punto de control SSL en la organización que permita tener total visibilidad? ¿Dónde se aplica el sandboxing? Por último, y repitiendo la pregunta del principio, ¿qué queremos proteger en el endpoint?