Voy a empezar con una paréntesis, breve pero importante: yo soy uno de los chicos que ha vivido de este mundo de la seguridad los últimos casi 15 años (les voy a cumplir en agosto) y mientras tanto he visto muchas instalaciones y he vendido muchas tecnologías, por nombrar algunas: Check Point, Juniper, McAfee, Trend Micro, Arcsight, RSA Security, Imperva, BlueCoat, F5 Networks etc. Hace tiempo consideraba que el antimalware es un genero menor (algo como la opereta frente a la opera, o las series frente a películas premiadas con Oscar), porque de lo que entendía yo, la lucha al nivel del perímetro era algo decisivo, y las tecnologías tenían un nivel de complexidad bastante alto: hablaba de filtrado a layer 7, de packet decomposition & inspection, de detección de anomalías de trafico, de virtual patching, de event correlation etc. Mientras que el antimalware "de toda la vida" funcionaba por firmas y el valor era en ser el primero en pillar "el bicho".
La vida me ha permitido ver que la mayoría de las demás tecnologías eran más de 50% buzzword de marketing y que el perímetro con toda su pila de appliances dedicadas, de servidores y software, era bastante permeable. Luego una serie de ataques con éxito y toda la serie de APT - Advanced Persistent Threats lo han probado con creces. El perímetro ha desaparecido, debido a todo el BYOD, cloud y virtual computing, así que la atención ha vuelto al humilde end-point que ha llegado ser el punto desde donde nos conectamos a las aplicaciones de negocio del datacenter, alojadas en la nube, o a nuestros escritorios virtuales. Entonces toda la inteligencia que ha servido para poner barreras inteligentes al perímetro, todo lo que hemos denominado security by architecture, layered defense etc, se tienen que reconsiderar y bajar al nivel del endpoint, o asegurarse en el trayecto. Y no últimamente, la mayoría de los ataques y de los daños han llegado de nuevo a usar el malware, así que la cenicienta de las tecnologías ha llegado a ponerse en la cabeza de la mesa.
Quien no lo entiende así, probablemente partidario del antiguo paradigma, se expone a riesgos serios y le recomiendo dar dos pasos atrás, desenchufarse del día a día de su infraestructura e intentar pensar a como generan, almacenan y usan los datos sus usuarios, o de donde vienen y adonde van sus conexiones y paquetes TCP/IP. (cierre de paréntesis)
En este cambio de situación, la mayoría de los fabricantes antimalware han respondido según su capacidad, creatividad y sus equipos de marketing - porque la reacción de algunos lideres ha sido puramente marketing. Unos han anunciado que el antivirus ha muerto, otros que se tiene que renunciar a la protección proactiva en favor de la detección y respuesta temprana etc., otros han salido a vender servicios y tecnologias de threat intelligence etc.
El fundamento de esta decisión es sencillo: hoy en día hablamos de mas de 390 000 new malware samples por día (según AV-Test, aquí), si tendríamos solo protección por firmas con una frecuencia de actualización de 1h aún nos podríamos exponer a 16 250 amenazas. Podemos tener tecnologías adicionales, como heuristica, o sandboxing, pero cada una gasta recursos y no queremos tener sistemas más y más potentes para dedicar un 50-60% de su poder de procesamiento al anti-malware.
Así ha aparecido la nube de Distributed Threat Intelligence de Bitdefender, una estructura en Amazon WS que ha llegado a tener 7 000 millones de interrogaciones por día (por comparación, Facebook llega a 4 000 millones), que garantiza un tiempo de respuesta a nuevas amenazas en menos de 3 sec y permite la transferencia de la inteligencia de seguridad desde el nivel local a la nube. Pero lo que es por destacar es que esta nube contiene unas casi 100 tecnologías distintas de threat intelligence - desde los clásicos blacklisting/whitelisting, DNS validation, IP reputation, hasta las mas avanzadas stateful inspection, anomaly detection, event correlation, pattern identification, application/process reputation etc.; todas conectadas, todas basadas en algoritmos avanzados de machine learning y en un sistema de caching distribuido para mejorar los tiempos de acceso. Y todo esto permite que las componentes locales de seguridad, al nivel de endpoint, sean suples y gastar poco, mientras que hacen su trabajo. Lo atestan los tests, lo atestan los clientes.
Y, por supuesto, una pregunta legitima sería - ¿y que hacemos si no tenemos conexión a esta maravillosa nube, quedamos desprotegidos? En esto reside el arte y la creatividad de los chicos de Bitdefender, porque han hecho un tunning muy fino de la protección que se necesita a nivel local, buscando soluciones creativas a nivel local y de la red.
Espero haber podido darles una idea de lo que ha salido ya de los laboratorios de Bitdefender y esta potenciando sus soluciones de endpoint security, sean ellos maquinas físicas o virtuales, servidores o dispositivos móviles. Si el tiempo y la salud nos permitirán, puede que en el próximo futuro iniciamos una serie sobre las tecnologías de seguridad, una por una, para entender si aplican o no en el nuevo paradigma de la computación moderna.
¡Hasta entonces, un abrazo a todos!
No hay comentarios:
Publicar un comentario