Sophos Day 2023: la confirmación de la Ciberseguridad como Servicio

Sophos ha convocado a clientes, partners y medios de comunicación para participar en su evento Sophos Day dentro del Experience Tour que recorre diferentes geografías para compartir sus novedades en cuanto a soluciones de ciberseguridad para las organizaciones. La parada fue en Madrid, en la zona reservada a eventos y convenciones del Museo Nacional de Arte Reina Sofía”.
Se trata de la 9ª Edición de este evento, que ha reunido a más de 400 profesionales del sector de la ciberseguridad para conocer el panorama de las ciberamenazas y las tendencias de seguridad de las empresas.

La puesta al día sobre tendencias en ciberataques y las tecnologías correspondientes para su mitigación es parte de los contenidos compartidos por Sophos durante este Sophos Day, en el que también presentó su informe Sophos Active Adversary Report. Además, Sophos compartió con la audiencia varias “píldoras de información” sacadas de su serie documental “Think You Know Ransomware?”,

Entre estas tendencias, está la adopción generalizada de la nube como plataforma para desplegar las aplicaciones y servicios de las organizaciones, lo cual hace que haya que migrar de un modelo on-premise a un modelo basado en la nube, en el que las reglas del juego cambian de forma significativa.

Una muestra de cómo están cambiando las reglas del juego, la tenemos en las cifras sobre ciberataques. En el último año, las vulnerabilidades basadas en la identidad han aumentado de forma significativa. Como razones para este aumento, podría estar el papel de la identidad como el punto de acceso principal para las aplicaciones y servicios desplegados en la nube.

En los despliegues on-prem, los firewalls y equipamiento de red eran los eslabones más débiles de la cadena, mientras que, en el cloud, de momento, parece que la identidad es el eslabón más débil y el que ofrece una superficie de ataque más atractiva para los ciberdelincuentes.

Será interesante ver cómo evolucionan los ciberataques y cómo de robustas son las infraestructuras cloud, una vez que se adopten políticas de protección de la identidad más fuertes.

De la ciberseguridad como servicio al CSO como servicio

Otra de las tendencias que han protagonizado este Sophos Day es la Ciberseguridad como Servicio. En un momento en el que prácticamente todo se entrega como servicio (XaaS), la ciberseguridad está encontrando el camino para hacerlo, como un pilar fundamental de su propuesta de valor para los clientes.

Tal y como enunciaba Ricardo Maté, vicepresidente para el Sur de Europa de Sophos, en su ponencia, las plataformas como servicio emergen cuando las necesidades universales convergen con una restricción de recursos. Y eso, precisamente, es lo que está sucediendo con la ciberseguridad. Es una necesidad universal, al tiempo que las empresas sufren las consecuencias de la restricción en recursos tales como el tiempo o incluso la disponibilidad de profesionales formados en ciberseguridad, por no hablar de los recursos económicos necesarios para desplegar y gestionar un SOC propio, funcionando 24 / 7.

Estamos en un momento en el que convergen también varias circunstancias que contribuyen a que la Cybersecurity as a Service esté más cerca de ser una necesidad que hay que implementar, que una mera tendencia para explorar. Estas circunstancias hicieron acto de presencia en el evento de Sophos en diferentes momentos, componiendo un rompecabezas de la seguridad que empieza a ser difícil de gestionar internamente en las empresas. O exclusivamente desde los departamentos de seguridad de las empresas, al menos.

En el informe “Sophos Active Adversary Report for Security Practitioners”, cuyos resultados se dieron a conocer en el Sophos Day de la mano del Field CTO de Sophos, John Shier, fue posible conocer cómo los tiempos en los que los ataques se completan, tienden a reducirse, especialmente en tipos de ataques como los Ransomware. La diferenciación entre ataques lentos y rápidos parte de periodos de tiempo que se comprimen, siendo los ataques considerados como rápidos, los que se completan en menos de cinco días.

Menores tiempos para la completitud de un ataque, significa menores tiempos para responder a ellos o mitigarlos. Además, técnicas como la usurpación de credenciales, que implican tiempos de éxito extremadamente cortos para los ciberdelincuentes, han visto cómo su prevalencia se incrementaba de forma dramática en los primeros meses de 2023, superando incluso al aprovechamiento de exploits.

Además, según este informe, los atacantes tienden a borrar sus huellas, así como la telemetría de las herramientas de seguridad y los logs de actividad, lo cual complica las tareas de seguimiento de la actividad de los ciberdelincuentes, así como definir un curso de acción para retomar la actividad de la empresa y definir políticas de prevención.

Al mismo tiempo, las empresas tienden a llevar sus servicios y aplicaciones desde los tradicionales despliegues on-prem, hasta los despliegues cloud. Esto hace que los paradigmas de la seguridad cambien de forma rápida y drástica. De hecho, en no pocas ocasiones, son las credenciales el único punto de contacto entre los trabajadores y las aplicaciones y servicios empresariales. Y los equipos que se usan para acceder, no siempre están bajo el control de los departamentos TI de las organizaciones.

Otro dato importante es el que apunta a que los ataques suelen tener lugar en horarios que no son los laborables. De este modo, un ataque que tiene lugar un viernes, puede que no sea detectado hasta el lunes siguiente, dejando un tiempo muy prolongado en manos de los atacantes para conseguir que su ataque tenga éxito: se usurpe información y propiedad intelectual, o se encripten “assets” imprescindibles para que la empresa pueda mantener su operación (ransomware).
Por no hablar de los inconvenientes relacionados con la LOPD, y las potenciales sanciones derivadas de la exposición de datos personales.

En la mesa redonda que tuvo lugar como parte del evento, también salieron a relucir las circunstancias que apuntan a que la ciberseguridad como servicio ya no es una tendencia sino una necesidad. Un servicio de ciberseguridad opera 24 x 7, al tiempo que queda en manos de profesionales que están permanentemente atentos a los aspectos de telemetría para detectar y responder de forma temprana a los posibles ataques.

Y reducir el tiempo de reacción es crítico, si tenemos en cuenta que los atacantes han reducido los tiempos necesarios para completar sus objetivos. Es aquí donde entra en juego la ciberseguridad como servicio, al ofrecer a los clientes la rapidez de detección y respuesta necesaria para reducir y mitigar el impacto de los ataques.

En el futuro de estos servicios gestionados de seguridad, está ser capaces de hacerse cargo incluso, de las atribuciones de un CSO. La evolución de las propuestas gestionadas de seguridad apunta en esta dirección, abriendo las puertas a empresas de todos los tamaños a beneficiarse de propuestas de seguridad que antes estaban solo a disposición de grandes organizaciones.

Servicios gestionados, la apuesta de Sophos

Las propuestas de ciberseguridad gestionada de Sophos (MDR o Managed Detection and Response, por sus siglas en inglés), han alcanzado un grado de madurez suficiente como para convertirse en una solución sólida y robusta. Maté aportó datos durante su presentación que corroboran la creciente necesidad de los servicios de seguridad gestionados.

Las causas de las brechas de seguridad están asociadas a factores como el uso de dispositivos no gestionados, dispositivos no completamente protegidos o a falta de recursos para monitorizar el estado de la seguridad.

Hay un déficit de 3,4 millones de expertos en Ciberseguridad en el mundo. Y hay tal cantidad de amenazas que es complicado priorizar. El tiempo medio de respuesta ante una brecha de seguridad, es de más de 16 horas. Y los atacantes consiguen éxito en sus ataques en un periodo de tiempo mucho menor, por lo general.

Los ataques, por otro lado, están orquestados de una forma sistemática y organizada en muchos casos. La seguridad tradicional basada en productos específicos ya no es suficiente. Además, los ataques provienen cada vez más de herramientas lícitas o del uso de credenciales válidas.
Todos los indicadores apuntan a que la Ciberseguridad como Servicio sea la tendencia que hay que adoptar para proteger correctamente a las organizaciones. Durante la jornada, además, los participantes también pudieron conocer las novedades y tecnologías en MDR, XDR, Firewall y ZTNA que Sophos está desarrollando para impulsar su portfolio y dar respuesta real a las nuevas amenazas

Sophos ya ofrece la Ciberseguridad como Servicio

Ricardo Maté confirmaba la disponibilidad de la Ciberseguridad como Servicio en Sophos. Los servicios gestionados basados en el MDR (Managed Detection and Response) de Sophos, gestionados por expertos 24/7 son una de las fórmulas que emplea Sophos para ofrecer la Ciberseguridad como Servicio. También ofrece el ecosistema adaptativo de ciberseguridad basado en la consola de gestión de Sophos, que también está mejorando la compatibilidad con soluciones de terceros para mejorar la telemetría tanto en la parte de MDR como de XDR. Los productos específicos de protección para cada componente dentro de la organización son otro de los elementos de la Ciberseguridad como Servicio de Sophos.

Es una solución que es compatible con las propuestas de ciberseguridad de los partners, que cuentan con una gran flexibilidad para adaptar sus servicios de ciberseguridad a las necesidades de sus clientes.

Sophos proporciona la mejor ciberseguridad a sus clientes, tanto en protección como en lo relacionado con threat detection. Sophos ofrece servicios gestionados a través de la solución MDR. O bien los partners ofrecen servicios a sus clientes con la solución XDR de Sophos, que ya incorpora telemetría de todos los fabricantes del mercado.

Ricardo Maté, por último, compartió algunas cifras sobre la prevalencia de Sophos en la seguridad mundial y en la región de Iberia. Así, las soluciones de Sophos cuentan con 550.000 clientes a nivel mundial. Con más de 40.000 clientes usando el XDR de Sophos y más de 18.000 clientes usando los servicios MDR. Esta telemetría es un valor diferencial a la hora de ofrecer servicios de seguridad gestionados.

En Iberia, Sophos tiene más de 18.000 clientes con más de 100.000 usuarios protegidos por las soluciones XDR. En cuanto a los servicios gestionados, ya hay más de 300 clientes en España.
Preguntando a Ricardo Maté sobre los cambios que ha tenido que afrontar la compañía para adoptar la modalidad de Ciberseguridad como Servicio en su propuesta de valor, conocimos que Sophos lleva ya tiempo evolucionando sus propuestas de seguridad. Sophos, hace cuatro años, compró empresas con soluciones de seguridad gestionada (MDR). Lo que ha hecho Sophos es ir mejorando las soluciones MDR para hacerlas escalables y compatibles con la monitorización de cualquier solución de seguridad del mercado.

Sophos ha introducido la modalidad de pago por uso, de modo que se facilita la adopción de las soluciones de seguridad y se potencia el modelo de Ciberseguridad como Servicio frente al modelo de licencias tradicional. Otro pilar de esta propuesta “as a Service”, es la robustez de la solución Sophos Central desplegada en la nube. Sus 550.00 clientes a nivel mundial son una prueba de la robustez de esta solución.

El robo de identidad, por otro lado, se ha convertido en una de las modalidades preferidas para los ciberdelincuentes a la hora de atacar a las organizaciones. Los ataques por robo de identidad son especialmente comprometidos para las compañías y otra razón de peso para adoptar soluciones de seguridad gestionadas.

El dato y su protección y otras ponencias

Ignacio de Pedro, Country Manager de Veritas Tecnologies en Iberia, habló de la importancia de los datos y su protección durante su ponencia en esta edición de Sophos Day 2023. A continuación, John Sier, Field CTO Threat Intelligence en Sophos, hizo un recorrido por los resultados del informe Active Adversary Report concluyendo su presentación con un plan de acción basado en tres pilares: asegurar, controlar y responder.

Stephen McKay, Senior Dr. Product Management en Sophos, se encargó de dar detalles técnicos sobre la solución MDR de Sophos en su ponencia, describiendo el proceso evolutivo de la solución, que ahora también contempla, además del componente NDR (Netword Detection and Response), el componente CDR (Cloud Detection and Response) en un tiempo en el que las empresas están migrando sus aplicaciones y servicios desde on-prem a la nube.

La mesa redonda que siguió a la ponencia de John Sier puso en valor la importancia de contar con un modelo de seguridad gestionada. No es un problema de tecnología, sino un problema de gestión de lo que la tecnología permite hacer en cuanto a ciberseguridad. La palabra clave que se escuchó durante esta rueda de prensa es “tranquilidad”. Tranquilidad para los responsables de la ciberseguridad y para las propias empresas.

Las empresas ya no tienen capacidad para monitorizar la seguridad 24/7, por lo que se hace necesario disponer de propuestas de seguridad gestionada como la que propone Sophos. Justificar ante figuras como la del CEO una inversión en seguridad no siempre es fácil, aunque el mejor ROI es el haber parado un ataque como puede ser un ransomware, antes de que prospere, causando daños de reputación, operativos y económicos a la compañía.

La ponencia “Hacker Boy” se centró en mostrar cuán sencillo es orquestar ataques a partir de repositorios de herramientas de hackeo disponibles en diferentes foros, especialmente en la llamada “Dark Web”. La conclusión más evidente que se extrajo de la ponencia es que la facilidad con la que es posible hoy en día lanzar ataques contra una empresa ha aumentado, al tiempo que aumenta la superficie de fricción de las aplicaciones y servicios en las organizaciones con las amenazas de seguridad.

Sin olvidar las técnicas de ingeniería social que proliferan en otras modalidades de ataque, como las de usurpación de identidades.