10 Tecnologías de Seguridad de la

Información para 2016

9 de septiembre de 2016 by Javier José Corrales
Siempre he tenido una excelente opinión de los informes de Gartner.
Principalmente porque han dado en el clavo cuando han evaluado
productos o servicios que yo conocía bien.

Este pasado junio han presentado en su evento de Maryland las “Top 10

Technologies for Information Security” de 2016. Voy a comentarlas en este
post:
1. – Cloud access security brokers (CASB)
El uso de servicios IT en la nube es imparable; tanto por su rapidez de
despliegue, como por la reducción de costes. Esto, en general, supone un
dolor de cabeza para los responsables de seguridad que pierden
visibilidad y control. Para ello se implantan sistemas que permitan forzar
políticas, monitorizar comportamientos y gestionar riesgos, de acuerdo a
las necesidades del CISO.

Los CASB están situados entre los proveedores y los consumidores de

servicios en la nube. Estos sistemas pueden estar instalados en las
oficinas de los clientes o también en la nube. Los CASB incluyen sistemas
de autenticación, single sign-on, cifrado, mapeo de credenciales, logging,
anti-malware, etc.

2. – Endpoint Detection and Response Solutions (EDR)

Al menos desde el 2014 Gartner ha diferenciado la línea “clásica” de
antivirus que denomina Endpoint Protection Platform (EPP) de los EDR.
Los EPP ofrecen principalmente: Anti-malware, Firewall personal, Host-
based intrusion prevention y control de puertos.
Sin embargo las soluciones EDR adicionalmente realizan la recolección y
almacenamiento de eventos desde todos los endpoints a un sistema
central para detectar ataques basándose en indicadores de compromiso,
análisis de comportamiento y técnicas de machine-learning.

3. – Protección de puesto final con aproximaciones no basadas en

firmas.
Brian Dye, Vicepresidente de Symantec, decía en el 2014 que el antivirus
“está muerto”. La creación de malware es de tal volumen que las
aproximaciones basadas en firmas son cada vez menos útiles. Debido a
esto las compañías están buscando soluciones que aumenten la
efectividad incluyendo protección de memoria, protección contra exploits y
sistemas matemáticos basados en machine-learning para bloquear e
identificar el malware.

4. – User and Entity Behavioral Analytics (UEBA)

Debido a diversos factores (quizá el incidente de Snowden) las compañías
han puesto el foco en las amenazas de los insiders. Han aparecido
soluciones que permiten analizar el comportamiento de los usuarios y a la
vez de otros elementos: Endpoints, redes, aplicaciones… para detectar
amenazas. Las tecnologías incluyen correlación y diferentes tipos de
análisis.
Algunas de estas compañías ya han sido adquiridas (Caspida fue
adquirida por Splunk) y se prevén más fusiones y adquisiciones en este
segmento de la industria.

5. – Microsegmentación y Visibilidad de Flujos

Para evitar que los atacantes progresen una vez que atraviesan las
defensas perimetrales hay fabricantes que posibilitan realizar una
microsegmentación de la red para permitir sólo conexiones lícitas. Estas
soluciones están disponibles para entornos virtualizados principalmente.
Por otro lado existen herramientas para monitorizar las comunicaciones
internas, que permiten a un analista visualizar los flujos de información
entre diferentes sistemas.
Por último han aparecido soluciones de cifrado de comunicaciones
internas (normalmente con IPsec punto a punto) para evitar capturas de
información por equipos terceros.

6. – Herramientas para desarrollo seguro (DevSecOps)

Otra de las tendencias para este 2016 es la utilización de sistemas que
ayuden al desarrollo seguro. Aquí se incluyen herramientas que a través
de scripts, plantillas, modelos, etc. permiten crear aplicaciones seguras.
Se pueden realizar pruebas durante el desarrollo sobre el código estático
o comprobaciones en run-time. Adicionalmente varias soluciones realizan
escaneos de vulnerabilidades automáticos antes de las puestas en
producción.

7. – Intelligence-Driven Security Operations Center

Gartner prevee que para 2020 el 40% de los SOC se conviertan en
intelligence-driven security operations center (ISOC).
El ISOC de Gartner cubre cuatro dominios: prevención, detección,
respuesta y predicción. Según su modelo debe recibir información tanto de
los sistemas internos (vía monitorización y correlación de eventos), como
de los fabricantes, de fuentes abiertas, CERT y otras fuentes de
información externa.

Los ISOC generan Inteligencia siguiendo un ciclo de vida definido. Por

ejemplo, una vez conocido un IOC se debe chequear si estamos
infectados, verificar accesos y movimientos laterales, informar y guiar a
operaciones para evitar futuras infecciones y evaluar qué actores y
organizaciones están asociados al ataque para predecir sus futuros
movimientos.

El ISOC tiene cinco características principales para Gartner: utiliza

inteligencia multifuente para estrategia y táctica, realiza analítica avanzada
(estadística, machine-learning, data mining, simulación y optimización),
automatiza en lo posible sus tareas, tiene una arquitectura adaptable a las
amenazas cambiantes e investiga de forma proactiva.
8. – Browsers Remotos
Gran cantidad de ataques utilizan vulnerabilidades en el browser para
infectar los endpoints. Una nueva aproximación para resolver este
problema es presentar el browser desde un “servidor de browsers”, que
típicamente será un servidor Linux que correrá en el CPD del cliente o en
la nube. Así reducimos la superficie de ataque y contenemos el malware.
En el pasado los browsers simplemente presentaban el texto de un web
server, ahora son una puerta para descargar y ejecutar código dentro de
cualquier organización. Con este sistema sólo se presenta la información,
no se ejecuta código fuera del “servidor de browsers”.

9. – Engaño
Gartner define las “Deception technologies” como el uso de engaños o
trucos diseñados para entorpecer el proceso de aprendizaje de un
atacante, para desactivar sus herramientas automáticas, para retrasar su
proceso de intrusión o interrumpir su progresión en el ataque.
Gartner predice que para 2018 el 10% de las organizaciones utilizarán
estas técnicas y herramientas y realizarán operaciones de engaño contra
los atacantes.

Estas tecnologías crean vulnerabilidades, cookies, websites y en general

todo tipo de recursos y sistemas falsos. Las herramientas comerciales
anuncian que incluyen honeypots aunque van más allá de ellos,
principalmente apoyándose en tecnologías de virtualización, que permiten
un despliegue y un control más granular de diferentes tipos de engaños
dentro de los sistemas de la organización.

10. – Servicios de seguridad y confianza a gran escala

Según los departamentos de seguridad vayan adquiriendo responsabilidad
sobre los sistemas de campo (“Operational Technology”, “Internet of
Things”, etc.) aparecerán nuevos modelos de seguridad para gestionar la
confianza y la seguridad a gran escala.
El problema será asegurar la integridad, confidencialidad y disponibilidad
en miles de millones de dispositivos, muchos de ellos con limitadas
capacidades de procesamiento (piénsese por ejemplo en los contadores
domésticos inteligentes).

Aparecerán nuevos modelos de confianza distribuidos para gestionar

estos sistemas a gran escala. Uno de ellos podría ser la arquitectura
Blockchain o similares.

Blockchain es el sistema que se utiliza con los bitcoints para evitar fraudes.
Utiliza múltiples repositorios distribuidos a gran escala que replican la
misma información. Blockchain establece un mecanismo de voto de forma
que en caso de discrepancias entre valores almacenados en diferentes
repositorios el valor que aparece en la mayoría de los mismos es tomado
como el correcto. De esta forma hackear uno de los repositorios y cambiar
un dato no tiene ningún efecto ya que en el mecanismo de voto recuperará
el valor inicial.

Aunque Gartner presenta esta tecnología en su lista de tendencias para

2016, hay interés por parte de grandes bancos (ver el whitepaper de
Santander InnoVentures por ejemplo) y el NASDAQ anunció el año
pasado planes para implantarla para las transacciones internacionales;
para mí no deja de ser una tecnología nueva, que hay que seguir con
atención, pero que está lejos de ser una opción sólida para una
implantación que arranque en 2016.