En este último par de años, Cisco se ha destacado por convocarnos más veces para mostrarnos resultados de estudios que para hablarnos de sus productos o servicios. Sabemos que encargar estudios a consultoras no es una acción altruista, para aumentar el conocimiento de la población o para estimar el estado de una situación por mera curiosidad. Ninguna empresa (y menos una multinacional de la envergadura de Cisco) va a hacerlo por amor al arte; sólo van a invertir dinero (que no debe ser poco) en estudios que le sirvan para mejorar su negocio o, lo que es lo mismo pero dicho de una manera más clara, para ganar más dinero.
Y también sabemos (y ellos también saben que lo sabemos) que los resultados que las consultoras entregan a sus clientes no son los que esos clientes nos muestran al público o, por lo menos, hay mucha más información de la que nos dan a nosotros. En este contexto de un contrato tácito que establecemos con (en este caso) Cisco, hasta ahora no hubo mucho motivo para cuestionar o sospechar algo erróneo en la información liberada. Sin embargo, en esta ocasión, sí lo hay. Pero volveremos a esto luego.
Comencemos la reseña de esta convocatoria diciendo que desde que Cisco adquirió SourceFire, también está preocupado por la seguridad informática. Y la manera de Cisco de demostrar involucramiento, es generar algún tipo de estudio que pudiese compartir con nosotros. Así, llegó el turno del Cisco 2015 Midyear Security Report, que nos transmitieron desde México por telepresencia.
El interlocutor remoto fue Rafael Chávez, gerente de Ventas de Seguridad de la compañía en México. De este lado, el anfitrión fue Juan Marino, Gerente de Desarrollo de Negocios de Seguridad para Cisco Cono Sur.
Chávez empezó mencionando la noticia del hackeo a un automóvil, para dar un ejemplo de que todos los días está pasando algo nuevo.
La exposición en general no presentó ninguna información novedosa que no hayas leído ya en Tecnozona acerca de las tendencias de los ataques de estos últimos años, como es el avance del cibercrimen como industria, la atención cada vez más puntual a objetivos específicos, el aumento del ransomware, la creciente sofisticación de los exploit kits y, sobre todo, la urgente necesidad de disminuir los tiempos de detección y, sobre todo, de deployment de la solución.
Pero, por lo menos, vale la pena rescatar algunos conceptos.
“IoT sin seguridad puede convertirse en una pesadilla” aseguró el ejecutivo desde la pantalla.
Velocidad, agilidad, adaptabilidad y destrucción son los cuatro vectores sobre lo que actúan los atacantes. Muchos sistemas de seguridad no atacan todos los vectores. Incluso algunos son muy buenos en alguno y no tanto en otros y hay plataformas que actúan en todos pero no tan bien.
El centro Talos Security Intelligence and Research Group en Cisco es el responsable de las investigaciones en seguridad. Según Chávez, ven más de 19.000 millones de ataques por día (¿no será un poco mucho? Si las grandes redes de la competencia o de laboratorios especializados no detectan más que algunos cientos de miles y raramente llegan al millón de detecciones por día ¿de dónde sale este número? En el reporte de Cisco, por lo menos, no lo encontré) y 2 millones y medio de bloqueos de spam por segundo (ya empiezo a dudar…).
El ejecutivo siguió con sus ejemplos. Los ataques se vuelven cada vez más innovadores y veloces. Por ejemplo, el éxito de los ataques con Angler (exploit kit que ataca flash) ha aumentado del 20 al 40%. Rombertik, que originalmente buscaba información bancaria, ahora es capaz de destruir todo el sistema.
Dridex es otro ejemplo: utiliza macros de Microsoft con tanta velocidad que cuando los antivirus lo detectaron, ya se fue.
Y ahí fue cuando descerrajó lo más extraño: “El promedio de detección de un ataque en Talos es de 46 horas, frente a los 200 días de la industria” ¿Cómo? Prometo volver después sobre esto.
Para completar la exposición, Chávez explicó que las recomendaciones de Cisco son ver el panorama completo, no enfocarse sólo en un ataque, compartir información y un control más estricto de las políticas de seguridad. Los consumidores tienen que tener un ojo más crítico respecto de los productos que las empresas le ofrecen, y los servicios son otra de las herramientas que tienen las empresas para completar lo que les falte.
Por eso la solución de seguridad tiene que ser integral, porque es la única manera de mantener el paso: control, visibilidad, contexto e inteligencia son las claves de un buen sistema de seguridad.
Finalmente, Darío Flores, consultor de seguridad para Cisco México, mostró pantallas de la solución de Cisco, los tableros de control, la visibilidad de las aplicaciones y de los usuarios, de las IP, los dispositivos, análisis de comportamiento, etc. Y afirmó que uno de los diferenciadores más importantes es, justamente, la visibilidad.
Según el informe de seguridad de Cisco, TTD, o sea, Time to Detection es el lapso que va entre que se detecta un archivo hasta que se lo considera malicioso, algo que no fue exactamente lo que explicó Chávez. Sobre todo me hacía ruido esa diferencia entre los 46 minutos que claman obtener de TTD contra los “100 a 200 días” (según el informe) de la industria. Cuando le pregunté a Chávez de dónde se obtenía esa cifra, cuál era la fuente, cómo se calculaba, sólo insistió en que era “el estándar de la industria”.
Consulté entonces a tres referentes de tres laboratorios pertenecientes a importantes vendors de la “industria” a la que se refiere Chávez y a un consultor en seguridad y esto fue lo que me dijeron.
En principio, que el tiempo desde que se detecta hasta que se libera un parche de seguridad puede ir desde minutos a varias horas, pero nunca más de 10 o 12. Por supuesto, el tiempo es muy variable y depende de si el malware detectado es nuevo o es una variante de alguno conocido, si es un archivo PDF o JPG o un script VBS o algún producto de un exploit kit; si es genérico (por ejemplo, que puede atacar a cualquier plataforma) o es específico para una en especial, como el Stuxnet que era muy específico para sistemas SCADA. Y si a quien hay que enviarle la actualización es un cliente directo del vendor o un consumer.
En relación al TTD, también hay mucha variación, no sólo por el tipo de amenaza detectada sino también por la cantidad de métodos de medición que hay. De todas maneras, el consultor de seguridad, cuya opinión ofició de síntesis de lo que fui averiguando, fue tajante: “cualquier compañía que tarde entre 100 y 200 días en detectar el malware, hace rato que estaría fuera del mercado. Si me dijeras entre 100 y 200 horas, lo dudaría un poco más. Pero aun así, 46 horas es mucho tiempo.”
Me parece que Cisco debería revisar algo de sus informes, por lo menos de seguridad. Si se cometió un error de medición, de publicación o de mensaje de marketing, habría que aclararlo.
A ver, muchachos. Hasta ahora les creía todo ¿y justo en esto me vienen a patinar? Vamos…
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291