A principios de marzo de este año, RSA reunió a sus socios de negocios y clientes en el Moscone Center de San Francisco, CA, para escuchar, compartir y conocer el estado del arte en seguridad. En esta versión del clásico RSA 2016 Security Conference los temas que marcaron la pauta fueron el internet de las cosas, la analítica de comportamiento, el cifrado de mensajes y soluciones renovadas.
Amit Yoran, presidente de RSA, dio inicio a las sesiones y resaltó los resultados de una encuesta realizada por la compañía sobre la eficacia de la detección de amenazas, la cual reunió información de más de 160 organizaciones en todo el mundo y se diseñó para permitir a los participantes evaluar por sí mismos la eficacia de sus organizaciones en la detección y la investigación de las amenazas cibernéticas.
La investigación proporcionó una perspectiva global sobre qué tecnologías utilizan las organizaciones, qué datos recopilan para apoyar este esfuerzo y su conformidad con los conjuntos de herramientas actuales. Asimismo, se preguntó a las organizaciones en qué nuevas tecnologías planean invertir y cómo planifican que sus estrategias evolucionen en el futuro. El hallazgo principal de la encuesta es que las organizaciones aún confían en una base fragmentada de datos y tecnología para la detección, y la investigación no logra los resultados esperados del programa de monitoreo de seguridad.
Yoran aseguró que esta encuesta refuerza el mayor temor de que, actualmente, las organizaciones no están adoptando y, en muchos casos, no planean adoptar, los pasos necesarios para protegerse contra las amenazas avanzadas. “No recopilan los datos adecuados, no integran los datos que recopilan y se enfocan en tecnologías de prevención antiguas”.
También añadió que la realidad actual indica que deben eliminar las brechas en la visibilidad, adoptar un enfoque más coherente en la implementación de las tecnologías más importantes y acelerar el alejamiento de las estrategias preventivas. “El futuro de la seguridad recaerá en la visibilidad analítica, obteniendo y viendo una imagen completa. Esta es la base para obtener una verdadera visión analítica y evaluar los complejos incidentes de manera correcta. Es necesario pasar de la seguridad preventiva a la seguridad analítica”, finalizó Yoran.
Disconformidad con sus capacidades actuales
Se hizo énfasis que el 80 % de las organizaciones encuestadas manifestaron no estar conformes con su capacidad de detección e investigación de amenazas. La velocidad en esta área se reconoce ampliamente como un factor crítico para minimizar los daños y las pérdidas provocados por los ataques cibernéticos. El 90 % manifestó que no puede detectar las amenazas rápidamente, y el 88 % reconoció que no puede investigar las amenazas rápidamente.
La incapacidad de detectar las amenazas rápidamente es un factor clave respecto de porqué las organizaciones experimentan violaciones de datos en las que los atacantes pueden permanecer en las redes durante periodos largos antes de ser descubiertos.
Los encuestados no consideraron a ninguna de sus tecnologías actuales de investigación y detección particularmente efectivas, sino que las calificaron, en promedio, como “algo efectivas”. Las organizaciones continúan demostrando una confianza excesiva en SIEM, que, si bien es utilizado por más de dos tercios de los participantes, no aumenta de manera uniforme con tecnologías como herramientas avanzadas de captura de paquetes de red, terminales y antimalware, las cuales podrían mejorar considerablemente las capacidades de detección e investigación de amenazas.
Por último, un hallazgo alentador fue el aumento en la importancia de los datos de identidad para ayudar en la detección y la investigación. Si bien apenas más de la mitad de las organizaciones recopilan datos de los sistemas de acceso e identidad actualmente, las que lo hacen asignaron un 77 % más de valor a dichos datos para la detección que aquellas que no los recopilan.
Analítica de comportamiento
Por otro lado, se anunció mejoras en su solución Security Analytics, que ahora ofrece un motor de analítica del comportamiento en tiempo real diseñado para acelerar la detección de las actividades de ataques avanzados.
El motor, que incluye técnicas de aprendizaje automático, está diseñado para poder detectar rápidamente aspectos clave de las amenazas avanzadas sin conocimientos previos específicos del ataque y sin depender de firmas, reglas ni listas de seguimiento inteligentes. Además, RSA Security Analytics, se diseñó con la mejora de unir la visibilidad de la red, la terminal y el registro con conocimientos en tiempo real sobre procesos sospechosos y hallazgos de analistas, lo que ayuda a permitir el descubrimiento del alcance integral de la actividad del ejecutor de una amenaza dentro de la empresa.
Según Grant Geyer, vicepresidente senior, Productos RSA, el cambiante paradigma informático crea una cantidad ilimitada de maneras en que los ataques avanzados pueden infiltrar una empresa sin encender las alarmas. “Si bien la analítica basada en reglas es un punto de partida importante, no es suficiente para detectar los ataques furtivos. RSA Security Analytics y su nuevo motor de analítica del comportamiento están diseñados para permitir a los equipos de seguridad detectar las amenazas sofisticadas más rápidamente y, luego, unir los puntos entre los datos de red, los datos de terminal y los datos del registro para comprender el alcance integral del riesgo”, agrega el ejecutivo.
Asimismo, Geyer añadió que Security Analytics está diseñado para identificar actividad anormal específica mediante el comportamiento del tráfico, y crea incidentes para la investigación sin necesidad de científicos de datos. Al aprovechar técnicas de informática de datos y la visibilidad profunda en el nivel de paquete para detectar comportamientos como el uso de comunicaciones de canal encubiertas, los equipos de seguridad pueden detectar las amenazas sofisticadas más rápidamente y disminuir la probabilidad de que un ataque dañe a la organización.
RSA Via, renovada
Otra de las novedades presentadas por la compañía son las nuevas capacidades de verificación de identidad y control de identidad de su solución RSA Via. Estas nuevas capacidades están diseñadas para ayudar a las organizaciones a equilibrar más efectivamente la seguridad y la comodidad del usuario, a la vez que verifican las identidades y controlan y administran el acceso privilegiado con mayor efectividad.
Las nuevas opciones de autenticación de Via Access están diseñadas para igualar los niveles adecuados de verificación del servicio al que accede un usuario. Por su parte, Las nuevas capacidades de Via Lifecycle and Governance están diseñadas para proporcionar mayor visibilidad del acceso a los sistemas privilegiados a fin de administrar mejor el riesgo y ayudar en la defensa contra los ataques dirigidos. Esta sólida combinación ofrece a los clientes opciones más efectivas para la verificación de identidad y la capacidad de administrar los riesgos con mayor efectividad.
Para Jim Ducharme, vicepresidente de ingeniería y administración de productos, RSA, no todos los accesos requieren el mismo nivel de verificación ya que las organizaciones deben enfocarse en equilibrar la necesidad de verificar la identidad y, al mismo tiempo, no sacrificar la comodidad del usuario al adoptar un enfoque de una solución estándar que se adapte a todo para la autenticación.
Las nuevas capacidades de la tecnología de RSA Via coordinan los diferentes niveles de riesgos relacionados con el servicio al que el usuario intenta acceder con el nivel de verificación adecuado. Esto permite a las organizaciones ofrecer opciones de autenticación aún más innovadoras, a fin de ayudar a garantizar que no haya desventajas entre la seguridad y la comodidad del usuario”, manifestó Ducharme.
Balanceo entre seguridad y comodidad
Con estos aportes, Via Access permitirá a las empresas coordinar automáticamente los métodos de autenticación con los riesgos de la solicitud de acceso. Por su diseño, permite al administrador ordenar un “nivel de seguridad” para los recursos mediante políticas flexibles de autenticación en pasos coordinadas con diferentes requisitos de seguridad. Por ejemplo, el acceso a los activos más importantes de una organización requiere un alto nivel de verificación de seguridad, como métodos biométricos o autenticadores compatibles con RSA SecurID, mientras que otros activos pueden requerir un menor nivel de verificación.
RSA Via Access permite a los administradores de seguridad elegir qué nivel de seguridad se necesita para diferentes escenarios de acceso según numerosos atributos de contexto, como la ubicación y el dispositivo utilizado, a fin de ayudar a garantizar que la seguridad no esté en riesgo. Dado que ofrece una variedad de mecanismos de autenticación, los usuarios pueden probar su identidad de la manera que les resulte más cómoda, y no están sujetos a la estrategia de una solución estándar que se adapte a todo, la cual no satisface sus necesidades.
