En los últimos tiempos, una nueva esperanza ha venido a completar el puzzle de soluciones avanzadas de ciberseguridad. Nos referimos al NDR (Network Detection and Response). Según Gartner, el NDR va a tener un papel relevante, siendo el tercer vértice del triángulo de la virtud junto con los EDR y los SIEM.
ClickCiber entrevista al responsable para Iberia de ExtraHop, uno de los fabricantes que está teniendo más éxito, a tenor de las referencias mundiales que está atesorando.
Entrevista a Christian Buhrow, Sales Director DACH, Iberia, Italy
PREGUNTA.- Realmente, ¿es tan importante ese triángulo de la virtud que forman NDR, EDR y SIEM?
Sí, ya que si quieres cubrir tu entorno al 100%, no hay otra alternativa. Nuestros clientes confirman continuamente que el análisis de log-files y los agentes tipo EDR solo cubren un 60% de las necesidades. El gran agujero negro que falta se puede cubrir completamente utilizando el análisis del tráfico. La red casi siempre es la entrada y el medio de transporte de las amenazas. Si no tienes esta visibilidad, puedes ser muy vulnerable.
PREGUNTA.- ¿Cómo complementa ExtraHop a un EDR o SIEM?
Es lo que he comentado antes. Cubrir la parte que falta a nivel de detección y luego integrarse con el SIEM y con los EDR. Este triángulo del SOC, que Gartner describe, tiene que cerrarse a través de la integración bidireccional de las soluciones. El NDR y el SIEM son mecanismos de detección que normalmente no responden. La respuesta debe recaer en los EDR, NAC o un Firewall, los cuales sí pueden responder a amenazas. Es por esto, por lo que hay que integrar la pieza de detección con los elementos de respuesta automatizada.
PREGUNTA.- ¿No puede hacer un NGFW esa función?
Un NGFW no está diseñado para esta función, ni tiene la visibilidad, ni la capacidad de hacer un análisis continuo de la capa 2 a la 7. Por ejemplo, hay FWs que pueden hacer un TCPdump, pero esto es muy diferente en un NDR, que vigila continuamente los movimientos en la red, apoyado por machine learning. Además, los FWs trabajan normalmente solo con el tráfico norte a sur.
ExtraHop analiza cada transacción y cada comunicación en el corredor East-West y entiende los protocolos de capa 2 a 7. De esta forma, sabemos cuando hay una irregularidad o una anomalía en las comunicaciones.
PREGUNTA.- ¿Cuál es la propuesta de ExtraHop para el mercado español?
España es la cuarta economía más grande en Europa. Hay empresas muy sofisticadas con una madurez impresionante. Otras empresas menos maduras, al igual que otros países de la UE, empiezan a comprender el problema de la detección poco a poco.
La época del NDR realmente ha empezado en 2020: la diversidad de los ataques del año pasado como el tsunami de los ransomwares, el Ripple20, Zerologon, Solarwinds, Sunburst, etc. dejan muy claro que las tecnologías existentes no eran suficientes. Se necesita algo más, y ahora entendemos que NDR es exactamente lo que nos da esta visibilidad para entender mejor estos ataques y poder investigar y reaccionar al mismo tiempo. Todas las empresas que fueron atacadas este año tenían un SIEM en marcha y no fueron capaces de detectar a tiempo los ataques recibidos.
PREGUNTA.- ¿Por qué no funcionaron los SIEM?
La respuesta es simple: porque los detalles relevantes no viajan en los logs. El detalle está en paquetes de red pero no en los logs.
PREGUNTA.- Entre tus responsabilidades, cubres países con gran diversidad: Alemania, Suiza, España, Grecia, Italia… ¿Hay algún diferencial entre ellos que quieras destacar?
Sinceramente, estoy encantado con los clientes españoles. Tienen interés y curiosidad y están abiertos a nuevas ideas y tecnologías: te escuchan y piensan. Desgraciadamente, no siempre tienen los presupuestos disponibles para nuevas ideas y tecnologías, pero lo entienden y planean sus estrategias.
Los alemanes, por ejemplo, son mucho más lentos: son buenos ingenieros, pero malos informáticos. Aunque parezca lo contrario, no es broma. En Alemania, las empresas tienen demasiada jerarquía, lo que dificulta la rapidez y la flexibilidad. El modo de trabajar alemán incluye planificar 2023 basándose en tecnologías del 2019. Además, disfruto del trato personal, abierto y la curiosidad de los españoles.
Dentro de mi responsabilidad, Grecia es otro país muy abierto y flexible pero con menos poder adquisitivo. Tiene gran dependencia del mercado turístico, por desgracia en estos momentos de Covid. ¡Parece que el buen aceite de oliva abre la mente de las personas!
PREGUNTA.- En el estado actual, en el que debido al Covid-19 la actividad empresarial se deslocaliza con muchos empleados en sus hogares, ¿cómo influirá la adopción de soluciones NDR?
El nuevo entorno tan cambiante obliga a las organizaciones a improvisar, implantando soluciones de forma muy flexible y rápida, se impulsa la migración a cloud pública, conexiones remotas, Tokens y VPNs etc. Todo esto requiere de tecnologías que apoyan la seguridad, la flexibilidad y la monitorización del rendimiento con datos fiables que, por casualidad, se pueden sacar a través del análisis del tráfico.
PREGUNTA.- ¿Algo más que quieras añadir?
Pues sí, para terminar quiero decir una última palabra: ¡visibilidad! Estoy convencido de que la visibilidad es clave para poder:
-
Detectar amenazas, anomalías y comportamiento sospechoso
-
Analizar para poder responder
-
Entender para quitar debilidades en la infraestructura
-
Tener datos fiables para limpiar la superficie de ataques
Ninguna tecnología da tanta visibilidad como el análisis de tráfico a nivel de paquetes, siendo ExtraHop el líder mundial en obtener visibilidad profunda en tiempo real.
Puedes acceder a la entrevista original en la web de ClickCiber.