El discurso inaugural del presidente de RSA, Rohit Ghai, fue contundente en la crítica al modo en que la industria de la ciberseguridad ha centrado sus mejores fuerzas de combate en el frente de las grandes amenazas – que, por lo general, requieren soluciones sofisticadas y más caras – descuidando la retaguardia, que reclama medidas más básicas de detección y respuesta. La edición 2020 de la RSA Conference, en San Francisco, dejó un leve regusto autocrítico. Esperanzador si es síntoma de que el sector empieza a abandonar su complacencia ante su mal endémico, la atomización sin que nadie muestre una verdadera voluntad de consolidación, aun corriendo el riesgo de caer en el descrédito.
Rohit Ghai
Ghai puso el dedo en la llaga al advertir que la industria, a su modo de ver, ha equivocado el foco, un problema que inevitablemente traslada a sus clientes, las empresas, forzándolas a destinar recursos para dotarse de herramientas múltiples que a menudo son redundantes o no resuelven lo prioritario. En comparación, pregonó, quienes nunca pierden el foco son los ciberdelincuentes.
El exceso de soluciones en el mercado de la ciberseguridad aqueja a la industria desde hace mucho, pero no ha mejorado, como cabría esperar, con sucesivas adquisiciones y fusiones. La última estimación, de hace dos años, indicaba que el sector se componía de más de 1.200 compañías, con hasta 200 compitiendo en una misma capa del mercado. Con lo que, a la postre, la seguridad de las empresas acaba repartida entre docenas de soluciones que raramente han sido concebidas para comunicarse unas con otras. El resultado lógico es una extrema dificultad para radiografiar lo que realmente está sucediendo dentro de la empresa, además de generar una sobrecarga consecuencia de tener que analizar muchos miles de vulnerabilidades.
Que en la parte ferial de la conferencia se apiñaran casi 700 expositoress no es tanto una muestra de vitalidad como de dispersión frente a un problema gravísimo. No es menos cierto que ha habido numerosas adquisiciones (Veritas comprada por Symantec, RSA por EMC, ISS por IBM, McAfee por Intel) que han salido por la culata. Ahora mismo, se vive otra ola, en la que destaca la absorción de Carbon Black por VMware o las más discretas de Bromium por HP o de Cylance por Blackberry. Asimismo, Palo Alto reforzó su arsenal de seguridad cloud comprando no una sino tres pequeñas compañías (Aporeto, PureSe y Twistlock) mientras que el movedizo fondo Thoma Bravo se hacía con la propiedad de Sophos, tras haber digerido Barracuda, Veracode, Imperva y McAfee).
Una notable intensidad de movimientos, quizá menos de lo que se debería esperar de la advertencia de Ghai. Quien, por cierto, conoce el asunto de primerísima mano. Dell Technologies se ha deshecho de la propiedad de RSA Security (compañía que, al margen de vender sus productos, patrocina esta reputada conferencia anual). Tras heredarla como uno más entre los variopintos activos de EMC cuando adquirió esta en 2015, Michael Dell no le ha encontrado mejor destino que revenderla a un consorcio que lidera el fondo Symphony Group.
Pues bien, a pesar de los pesares, el ´ecosistema` es un magma difícil de abrazar. Cuando Gartner elabora su cuadrante ´mágico` de proveedores de seguridad, sitúa 20 compañías, pero con igual soltura podría incluir otra decena no menos competitivas. Con el paso de los años hablando de lo mismo, cualquiera puede pensar que la consolidación deseable es una utopía. Pero, atención: si la industria no la hacemos – vino a decir Rohit Ghai – serán nuestros clientes quienes consoliden su base instalada.
Un informe difundido durante la conferencia de San Francisco revela que el 66% de las organizaciones están reduciendo drásticamente el número de sus proveedores de seguridad. Sacrifican así el viejo mantra de comprar lo mejor de cada capa de seguridad, en favor de la simplificación de sus entornos. No es para menos, a juzgar por el documento – firmado por ESG, Enterprise Strategy Group – cuyo diagnóstico es que un 31% de las organizaciones se apoya en más de 50 productos diferentes para cumplir con sus requisitos de monitorización y protección.
En este contexto adquiere especial importancia que Cisco – como cada año muy activa en esta conferencia – haya presentado su producto SecureX, también apodado Thanos. Se trata de una plataforma con disponibilidad anunciada para finales de mayo sin coste adicional para sus clientes de seguridad. Pretende unificar la gestión del mosaico de soluciones existentes on-premise o cloud. Para esto, Cisco no sólo ha interconectado su propio catálogo sino que incorpora las API públicas de cerca de 60 referencias de terceros.
El primer responsable del Security Business Group (SBG) de Cisco, Gee Rittenhouse, presentó de Secure X como un paliativo de las brechas que la heterogeneidad de soluciones deja expuestas las costuras del dispositivo de seguridad corporativa. La situación actual, dice Rittenhouse en su blog, termina traduciéndose en una dificultad agravada para detectar y responder ante incidencias de seguridad y, como consecuencia, en un incremento de los costes.
Cisco no es la única que va en esa dirección: las presentaciones de Palo Alto Netwotks y McAfee abundaron en argumentos inhabituales sobre la integración de sus plataformas. Pero no hay duda de que la apuesta de Cisco presenta un perfil muy sólido: su división SBG facturó el año pasado 2.700 millones de dólares y se propone estar en 2022 entre los proveedores que superen los 5.000 millones. No será sencillo, habida cuenta del cardumen que nada en el estanque.
No deja de ser curioso que dos compañías cuyo negocio “natural” no es la seguridad se estén convirtiendo en referencias de una industria que no ha mucho era tangencial para ellas. Pasa con Cisco, que viene de la conectividad, y pasa también con VMware, cuyo mayor orgullo son los 70 millones de máquinas virtuales en funcionamiento.
Aunque – precisó el vicepresidente de FireEye, Chris Carter – esta industria no ha encontrado todavía un consenso sobre lo que debería entenderse como proteger la nube: las cargas de trabajo ocupan todavía la mayor parte de su atención. Justamente, en los pasillos del Moscone Center, lugar de la conferencia, no cesaban los rumores acerca de conversaciones en torno a una compra de FireEye por Cisco, que tal vez no fueran más que otro globo sonda flotando sobre Wall Street.
Con la nube como campo de la próxima batalla, VMware predica la necesidad de un nuevo enfoque para la cibersguridad. En su opinión, debería reunir los siguientes atributos: integrado, proactivo, inteligente, unificado y contextual. Fue así que Sanjay Poonen, actual COO de VMware y ´viejo rockero` de la seguridad [nota: además de buen pianista de jazz] presentó VMware Advanced Security for Cloud Foundation, que aúna la tecnología de Carbon Black con la de NSX para integrarlas en vSphere. De nuevo, la máxima es reducir la complejidad: gracias a la última adquisición, se protegen las cargas de trabajo sin necesidad de herramientas como un antivirus. Por su lado, VMware Secure State facilita la detección y corrección en tiempo real de los riesgos en la nube.
La magnitud alcanzada por la conferencia, pese a un par de deserciones a última hora explicables por el coronavirus, fue junto con el espíritu crítico la otra nota de esta edición. Se han explorado otras tendencias, no del todo nuevas, como Inteligencia Artificial y Zero Trust aportaciones al glosario de marketing del sector. El planteamiento de Zero Trust, por ejemplo, vino a cuestionar la utilidad de los firewalls en la medida en que estos dan por hecha la calidad de lo que está dentro del perímetro mientras que la máxima del enfoque propuesto afirma que “nada ni nadie en la red es de fiar”. A este cuestionamiento de los cortafuegos se sumaron defensores del concepto EDR (Endpoint Detection and Response) entre ellos Jason Eberhardt, vicepresidente de Bitdefender.
En cuanto a IA, el entusiasmo imperante fue bastante relativizado. Richard Bell, de Ping Identity, advirtió que “no se podrá aprovechar cabalmente la inteligencia artificial mientras las empresas no aborden la deconstrucción de sus procesos”; en la misma mesa redonda, el experto criptógrafo Adi Shamir admitió serios problemas para explicar cómo las redes neuronales aprenden a descubrir patrones a partir cantidades ingentes de datos que en ocasiones son erróneos; lo que puede tener consecuencias fatales cuando se trata de seguridad.
Buena parte de los ponentes centraron sus discursos en el cloud, como Juniper Networks con su ATP (Advanced Threat Prevention) o Fortinet, cuyo CEO Ken Xie dejó sentado que confía más en SD-WAN para combatir la complejidad de las redes ante el crecimiento de su superficie y de las demandas de computación. Citando un informe de Gartner, Xie aseguró que el 98% de los datos se generan en edge o nube próxima, no en la nube propiamente dicha, y que el 80% de los datos nunca llegan a auparse al núcleo de esta.
Con más de 42.000 asistentes, 704 oradores y 658 expositores, la RSAC de este año ha confirmado que la industria de la ciberseguridad está muy viva, al menos si se entiende como síntomas la variedad de enfoques expuestos y la cantidad de ´ojeadores` de decenas de fondos de inversión apenas camuflados entre la audiencia. En todo caso, la búsqueda de la simplicidad va a marcar el futuro próximo y la demanda generada por el modelo cloud. Con estos mimbres, se espera que el mercado crezca a un ritmo anual del 12,6%, lo que permitiría saltar de los 112.000 millones de dólares del año pasado a los 282.000 millones en 2027.
[informe de Mario Kotler, desde San Francisco]