¿Por qué los productos de ciberseguridad siempre desafían las opiniones tradicionales de los usuarios?

Leí con interés el último lote de datos de evaluación de MITRE sobre varias soluciones de punto final, esta vez centrándose en la detección, respuesta y contención de estas diversas soluciones contra el malware creado por los grupos de amenazas FIN7 y CARBANAK. Si bien es interesante desde el punto de vista académico, ilustra la dificultad de dar reseñas de productos de ciberseguridad en la categoría de protección de endpoints y tratar de atribuir una etiqueta de “mejor” a un producto específico en una categoría específica (ya sea endpoint o cualquier otra cosa).

revisa los productos de ciberseguridad

En primer lugar, centrémonos en el informe. Las muestras que obtuvo fueron de dos grupos de amenazas, Carbanak y Fin7.

Carbanak es una elección extraña, ya que el líder del grupo fue arrestado en España en 2018 por Europol y ya no está activo, sin mencionar que todas sus muestras de malware ahora son de acceso público, por lo que incluso si estuviera probando muestras utilizando un legado. antivirus basado en firmas, los detectaría y detendría sin problemas.

Fin7 es un grupo que también se retiró efectivamente después de que las fuerzas del orden de EE. UU . Identificaran que se estaba quedando sin una empresa fachada en 2018 . El grupo fue responsable de apuntar a los sectores minorista, de restauración y hotelería de EE. UU. Desde mediados de 2015 y, a menudo, utiliza malware en el punto de venta. Entonces, ¿cómo es todo esto relevante para las empresas hoy en día?

Bueno, en pocas palabras, no lo es. Si fuera una empresa de comercio electrónico que vende widgets en línea en Europa, ninguno de estos resultados sería relevante para usted. En absoluto. Ignorando el hecho de que se llevaron a cabo hace años y que los actores de amenazas se han disuelto, destaca la creciente desconexión entre las etiquetas atribuidas a un producto y los requisitos que las empresas suelen esperar de una solución de punto final . Tomando estos informes al pie de la letra, sería fácil encontrar el producto con el “mejor” rendimiento e incluirlo en su arsenal de ciberseguridad, pero simplemente estaría cayendo en la trampa de los requisitos que les sucede a muchas empresas cuando adquieren tecnología: usted No está basando ninguna de estas adquisiciones en sus requisitos, sino en los de otra persona.

Si tomáramos un producto diferente, digamos el humilde firewall de aplicaciones web ( WAF ), su lista de requisitos se vería bastante larga, dividida aproximadamente en dos secciones (requisitos funcionales y no funcionales) y comprendería una lista de verificación gigante de actividades que debe ser capaz de desempeñarse y en un nivel específico requerido por su negocio. ¿Puede procesar una cierta cantidad de tráfico? ¿Qué tipo de ataques puede ver realmente? ¿Puede verlos en las solicitudes GET y POST (se sorprendería de cuántos WAF no pueden ver cosas como XXE en las solicitudes POST)?

Estas son listas que debe elaborar usted mismo según sus necesidades, y no el conjunto de características del proveedor. Una vez que tenga esto, puede comenzar el largo y laborioso proceso de prueba del producto, prueba de valor y encontrar algo que realmente pueda pagar, lo que me lleva a una de las advertencias importantes que faltan en todas las revisiones de productos: el presupuesto.

Todas las herramientas tienen un costo monetario. Incluso cuando utiliza tecnología de código abierto, tiene una mayor inversión en mano de obra y soporte (aunque el producto en sí es efectivamente gratuito). El precio y el costo están notoriamente ausentes en todas las reseñas de productos.

Si bien es comprensible que los proveedores se muestren reacios a divulgar los precios de los productos, los que sí lo hacen suelen referirse al “precio de lista”, que suele estar muy por encima de lo que cualquier empresa pagará por el producto.

El presupuesto es un requisito fundamental para cualquier adquisición, ya sea de una solución de punto final o cualquier otra cosa.

Supongamos que era un minorista con sede en EE. UU. (Un objetivo popular para el grupo FIN7 en su día) y usaba la lista MITRE como una forma de elegir una solución de punto final.

Elegiría la solución de punto final de mejor rendimiento, pero luego descubriría rápidamente que no puede pagarla. Las herramientas que se etiquetan a sí mismas como XDR o EDR, naturalmente, serán más caras que las alternativas “heredadas”, que pueden rondar el precio de $ 5 por cabeza.

La lista también ignora el hecho de que los productos de punto final deben cubrir aspectos como control USB, DLP, control de aplicaciones, cifrado y otras funciones similares que las empresas esperan de una solución de punto final en estos días. Endpoint ya no se trata solo de proteger los dispositivos del malware.

Al evaluar reseñas, su última vía suele ser obtener consejos de sus contactos dentro de la industria de la seguridad de la información, pero de nuevo: tenga cuidado con las comparaciones imprecisas. Un WAF “bueno” recomendado por su colega en la empresa A puede no coincidir con sus requisitos, ya que su empresa tendrá alguno de los siguientes: un presupuesto de seguridad de información diferente, una pila de tecnología diferente, una cultura de la empresa diferente, conjuntos de habilidades diferentes, un modelo de negocio diferente y operará en una vertical diferente. Si por algún milagro todos estos requisitos coinciden, puede darle algo de peso a esa recomendación, pero de lo contrario, debe volver a lo básico.

Aprovechar las revisiones tomadas en línea es una apuesta perdida cuando se trata de herramientas de ciberseguridad. Como con todo lo demás, la advertencia emptor se mantiene: primero elabore sus requisitos, haga su propia investigación, realice sus propias pruebas y terminará con algo que realmente necesita, en lugar de algo que un proveedor quiere que tenga.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *