|
THOMAS E. NOONAN, Presidente y CEO de Internet Security Systems |
“Es hora de hacer una aproximación multifuncional de la seguridad”
|
En 1994 dos antiguos estudiantes del Georgia Institute of Technology fundaron desde la casa familiar de uno de ellos una compañía de seguridad, Internet Security Systems, pionera en las tecnologías de detección y prevención de intrusiones, y que hoy factura 300 millones de dólares. Esta iniciativa empresarial, que por sus orígenes bien podría recordar a otras, ha guardado una marcada línea independiente en su evolución dentro de la industria de la seguridad, con la I+D+i y la permanente relación con el cliente como bazas fundamentales, siempre bajo la visión estratégica de Thomas E. Noonan, su Presidente y CEO, y de Christopher W. Klaus, hasta 2004 máximo responsable tecnológico (CTO) y actualmente Consejero de Seguridad de la compañía. Noonan, que el pasado mes de julio visitó España con motivo del Internet Security Systems Business Forum Iberia analizó con SIC el presente de ISS en relación con el momento que vive la industria y los próximos pasos de la compañía, con la pasión de un profesional que disfruta con lo que hace.
|
|
– Ustedes han hecho del término “protección preventiva” la idea central de su negocio como así reza su lema “Por delante de la amenaza” (Ahead of the Threat)...
– “Protección preventiva” es una filosofía que bajo nuestro punto de vista se convertirá en el futuro de la seguridad: la capacidad para utilizar sistemas inteligentes y adaptables que detecten y prevengan de una amenaza antes de que pueda comprometer a la red. Nuestro lema “Ahead of the Threat” habla sobre la inversión que está haciendo la compañía en investigación sobre vulnerabilidades y sistemas capaces de aislar o frenar una amenaza antes de que ponga en riesgo los sistemas críticos.
– Algunos piensan que esto es sólo un sueño...
– Quizá hace diez años no fue sólo un sueño sino una visión de futuro, pero desde entonces nuestra compañía ha invertido cerca de 100 millones de dólares en investigación y desarrollo para recoger diferentes atributos de una amenaza como alternativa al simple uso de firmas. El análisis de comportamientos es un área clave en nuestra investigación y entender cómo se explota una vulnerabilidad, con el fin de protegerla antes de que se produzca una amenaza, también es un área crítica que nosotros abordamos. En este punto, creo que a día de hoy estamos en disposición de probar a cualquiera que podemos ser preventivos. La pregunta es: ¿podemos ser 100% preventivos? Y la respuesta que tengo que darle es que todavía no hemos alcanzado esta meta. Las actuales tecnologías utilizan diferentes instrumentos y métodos para determinar qué es bueno o malo, y este factor de prevención creo que va a ser un tema central de nuestra próxima generación de sistemas.
– Con frecuencia los usuarios de tecnologías IDS/IPS se quejan de la excesiva dificultad de configuración e instalación de estos sistemas, y la necesidad de personal experto que asegure la efectividad de la solución...
– Bueno, creo que este es uno de los puntos más críticos en todas las tecnologías de seguridad de red, no sólo en los sistemas IDS/IPS. En cualquier caso, la razón por la que los IDS/IPS han sido tan difíciles de implementar es que estamos hablando realmente del primer sistema inteligente de control de seguridad de la red adaptable y a tiempo real. Así que mientras un cortafuegos es un sistema que se instala, se establecen sus políticas y uno se olvida, ya que opera solo, creo que nuestra falta de habilidad para simplificar los primeros IDS causó un retraso de al menos cinco años en la implementación de estas tecnologías dentro del mercado; asimismo, su mala imagen debida a los falsos positivos, las dificultades para entender su funcionamiento, para interactuar con ellos... produjo una dicotomía en el desarrollo del producto.
En aquel momento, la gente a la que nos dirigimos para que nos ayudaran a formular nuestras ideas fueron los grandes bancos, la administración pública y las compañías de telecomunicaciones que contaban, todos ellos, con personal altamente formado y capacitado que quería un control muy sofisticado y granular del tráfico de sus redes. Por eso construimos nuestra primera generación de IDS para “expertos”, y lo que aprendimos muy rápidamente es que sólo cerca del 5% del mercado está formado por ese perfil de clientes. Así que cuando desarrollamos la gama Proventia, el atributo número uno que encargamos a nuestro equipo de ingenieros fue la simplicidad en la implementación, en la gestión, el reporting y en la forma de operar en todo un entorno corporativo.
¿Con esto es suficiente? Probablemente no, pero hemos hecho un tremendo progreso en este aspecto. Además, hemos mejorado sustancialmente en la estabilidad. En 1995 la primera generación de RealSecure era de 1Mb a 10 Mb y hoy operamos a 100 Gigabits o en el caso de todos los appliances IPS que presentamos a lo largo de este año a 5, 10, 50 y 100 gigabits.
|
“Los clientes demandan integración de plataformas con estándares abiertos y Cisco, Juniper y, en general, las compañías de infraestructura de red simplemente no quieren estándares abiertos, porque utilizan las características de seguridad para competir entre ellas.” |
|
– ¿Hacia dónde caminan las soluciones IDS/IPS?
– Creo que en el futuro ocurrirán dos cosas. Por un lado, los IPSs se convertirán en una commodity. Con esto quiero decir que actualmente hay solamente unas 100 empresas que pueden seguir el proceso de un IPS: abrir un paquete y analizarlo, darle paso o impedir su entrada. El elemento diferenciador es la inteligencia. Por ejemplo, si usted fuese al aeropuerto y hubiera diez escáneres de seguridad por los que tuviese que pasar, el primero de los cuales se encargara de buscar armas, el segundo cuchillos, el tercero aerosoles, el cuarto explosivos, y así sucesivamente... sería muy ineficaz y muy caro. Esta es la forma en la que construimos la seguridad entonces, y, en cambio, hoy vas a un aeropuerto y un solo escáner detecta pistolas, navajas, aerosoles, drogas, etc.; este es el camino que sigue el IPS.
Fundamentalmente no creo que mejoremos el proceso de aplicar inteligencia a las brechas de seguridad; de hecho este es el problema fundamental de la seguridad, pero la cuestión es ¿cuentas con la inteligencia correcta? ¿y puede esa inteligencia estar basada no sólo en firmas sino también en comportamientos?
Por otro lado, las políticas de cumplimiento van a ser críticas en los próximos años y a esto se une el hecho de que una amplia mayoría de empresas desconoce lo que ocurre en el interior de sus redes; incluso en el caso de las redes de las grandes Agencias de Inteligencia, que dedican muchísimos recursos económicos, han sido construidas con la filosofía de que el interior está seguro y que hay que proteger el perímetro. Este concepto va a protagonizar un cambio fundamental en la próxima década.
– ISS ha seguido un modelo de negocio completamente diferente al de su competencia. Para empezar, se ha mantenido prácticamente aparte de los frenéticos movimientos de adquisiciones y fusiones que vive actualmente el sector...
– No hay duda de que nuestra industria es extremadamente competitiva, de que se está moviendo muy rápido y creo que actualmente guarda un fuerte elemento diferenciador con respecto al resto de las tecnologías: es el único segmento de la industria que ha permanecido en un continuo estado de consolidación y expansión al mismo tiempo. Se trata de un interesante concepto, ya que normalmente sólo los mercados emergentes se consolidan, pero la total consolidación de la industria de seguridad a lo largo de estos últimos diez años no se ha producido. Esta es una industria muy pragmática.
Por lo que respecta a nuestro modelo de negocio, creo que los clientes todavía valoran la innovación, y trabajan y pagan a compañías innovadoras, y por otra parte, en mi opinión los “grandes” se han equivocado. No creo que adquirir un puñado de compañías e ir al mercado con una propuesta de valor del tipo “ahora puede comprarme todo a mi” sea lo que quieren los clientes. El cliente demanda fundamentalmente integración de plataformas con estándares abiertos y Cisco, Juniper y, en general, las compañías de infraestructura de red simplemente no quieren estándares abiertos, porque utilizan las características de seguridad para competir entre ellas.
– Entonces, ¿qué opinión le merecen las iniciativas de seguridad de Cisco o Juniper?
– Creo que son grandes programas de marketing. Pregúntele al cliente cuántas personas se están beneficiando de ellas hoy en día. Por el contrario, nuestra estrategia en el modelo de negocio ha estado guiada por el convencimiento de que una aplicación para la clase empresarial debe ser diseñada y construida desde cero. No se pueden reunir diez piezas diferentes y “pegarlas” en una consola de gestión. ISS lleva invirtiendo en esto diez años y el elemento diferenciador es la inteligencia.
La compañía ha llevado a cabo una fuerte inversión en investigación, de forma que podemos mantener a nuestros clientes por delante de las amenazas y desarrollar servicios globales gestionados que nos permiten vigilar lo que pasa en Internet; además, cada uno de nuestros Centros de Operaciones de Seguridad (SOC) de Servicios de Seguridad Gestionados (MSS) cuenta con un equipo de I+D que hace investigación fundamental 24x7. Nuestro modelo de negocio se alimenta por sí mismo y es bastante único dentro de la industria. Sólo el tiempo dirá quién está haciendo lo correcto, pero estoy muy seguro de lo que hacemos, y así me lo corrobora un crecimiento anual de la compañía del 50% –más rápido que nuestra competencia y que el resto del mercado–, además del apoyo de nuestros clientes, que nos dicen que estamos en el camino correcto.
– ¿Cómo valora el, por el momento, último gran movimiento de la industria, la fusión de Symantec y Veritas?
– Creo que es un movimiento muy inteligente de John Thompson, Presidente de Symantec, y de su equipo teniendo en cuenta las perspectivas de la compañía: Microsoft entrando fuerte en el negocio de los antivirus de consumo, cuando el 80% del negocio de Symantec procede de ese mismo segmento; tenían que hacer algo. No creo que pudiera justificarlo como un movimiento defensivo, aunque todo el mundo sabe que se trata precisamente de esto, pero su deber era darle la vuelta y presentarlo como un movimiento estratégico. Como hombre de negocios entiendo la reacción de Symantec si fuera yo quien tuviera que ponerse en el papel de Thompson y decir “he comprado 20 empresas de seguridad y no ha funcionado. Soy una compañía de antivirus para el mercado de consumo y francamente soy bastante bueno en esto, pero Microsoft está entrando con fuerza en este mismo segmento”.
– Otro gran competidor, McAfee, ha comprado recientemente un empresa de seguridad para entornos inalámbricos. ¿Cuál es su opinión sobre los nuevos escenarios que se presentan con el wireless o la VoIP?
– Nosotros empezamos hace dos años a investigar sobre VoIP, de hecho tenemos un appliance VoIP dentro de la familia Proventia. Creo que la tecnología de Voz sobre IP es un “tsunami”, una gran oportunidad de mercado en el horizonte, todavía mayor que el wireless. En los próximos años veremos la mayor parte de infraestructura de telecomunicaciones convertirse en productos “paquetizados”, y de esa forma todos los mismos virus y amenazas presentes en los datos tradicionales o en la infraestructura IP se manifestarán de alguna forma en la infraestructura de VoIP. Ciertamente ya han aparecido algunas como el spit, (spam sobre telefonía IP). En este sentido, una investigación que ISS ha realizado a lo largo de estos últimos dos años demuestra todo el camino que queda por recorrer en materia de seguridad VoIP: hemos podido atacar cualquier aplicación VoIP en modo backdoor, introducir troyanos para escuchar o controlar la comunicación, llenar el buzón de correo de spam, introducir phishing y pharming; así que estamos hablando de una gran revolución.
En el caso de McAfee, con su anterior denominación, Network Associates, ha estado comprando y vendiendo compañías de seguridad durante mucho tiempo; ellos compraron tres empresas de IDS y salieron del negocio en 2003, luego volvieron a comprar dos firmas de detección de vulnerabilidades y posteriormente decidieron dar marcha atrás en el negocio. Así que es difícil decir cuál es la estrategia de McAfee más allá de la mera compra de pequeñas “piezas”, la misma que ha seguido Symantec, pero el tiempo dirá. Está haciendo un buen trabajo en su segmento de antivirus de consumo, que crece bastante rápido (con acuerdos con Dell, AOL, SP, y Yahoo, entre otros), aunque en el segmento corporativo está más estancado.
– ¿Qué piensa sobre otra emergente tendencia: la protección multifuncional?
– Creo que es el futuro, y deberemos llegar a un punto en el que se demande protección multifuncional. Pero, ¿la hemos hecho evolucionar a día de hoy hasta el punto de que podemos desplegarla hasta el núcleo del negocio, con el rendimiento y la escalabilidad, la confianza y la capacidad de evitar fallos que tiene, por ejemplo, el típico cortafuegos? La respuesta aún es no. ¿Llegaremos a ese punto? Sin duda. De hecho, pienso que en los próximos años las economías tendrán una fuerte influencia en las decisiones de compras de tecnología dentro del mercado de la seguridad, y la multifuncionalidad invariablemente reduce los costes y proporciona una arquitectura completamente integrada que opera como un sistema y no como una herramienta.
– En este sentido, ¿cuáles son los planes de ISS?
- Por una parte está toda nuestra arquitectura de próxima generación Proventia, diseñada como una arquitectura multicapa. Actualmente, en appliances de componentes de red multicapa disponemos de Proventia M, Proventia Mail Security, y el IPS Proventia G. En el cuarto trimestre de este año lanzaremos Proventia VoIP, Proventia WebApp Security, que ofrece seguridad multicapa para aplicaciones http, Proventia Compliance Applications, compatible con las implementaciones de Sarbanes-Oxley –también en esta área estamos trabajando en un módulo de cumplimento que permite establecer las políticas y estándares acordes a las normativas locales de la industria, la administración pública o a razones geográficas–; Proventia Data Security, un sistema inteligente de monitorización de la actividad en las redes; y Proventia Forensic Applications, para ayudar a los clientes, a partir de toda esta telemetría a aislar de forma automática y facilitar la resolución de problemas en la red. Tenemos casi quince nuevos productos Proventia actualmente en desarrollo en nuestros laboratorios y que se irán presentando a lo largo de los próximos doce meses, entre ellos toda nuestra línea de appliances con procesadores ASIC basados en red de gran rapidez.
|
|
“Estamos convencidos de que una aplicación para la clase empresarial debe ser diseñada y construida desde cero; no se pueden reunir diez piezas diferentes y “pegarlas” en una consola de gestión.”
|
– Pero, ¿qué pasa con los clientes que ya utilizan diferentes tecnologías?
– Estoy convencido de que el 100% de nuestros clientes utilizan también otras tecnologías. No conozco ningún cliente que pueda decir que sólo trabaja con un fabricante. Creo, entonces, que esto va a ser una aproximación en varias etapas, porque de hecho así es cada implementación de negocio. Mi visión en este sentido va por la línea de empaquetar y construir todas estas tecnologías como una aproximación extensible por etapas. Por ello empezamos con los IPS como appliances de una sola capa, porque pensamos que los clientes los añadirían primero a sus arquitecturas existentes. La suposición fue: ya tienen IDSs, cortafuegos, antivirus, comprarán el IPS como una capa de seguridad y eso es exactamente lo que está pasando. Tenemos grandes novedades, como he mencionado, en la familia Proventia a punto de llegar al mercado. A finales de 2006 esta gama estará formada por unos 20 productos de seguridad que se pueden desplegar por toda la red y que actuarán y operarán como un solo sistema.
– ¿Dónde reside la diferencia estratégica de los servicios de seguridad gestionados (MSS) de ISS?
– ISS cuenta con algo que es único actualmente en la industria y es la Garantía de Protección. Somos la única empresa de MSS que ofrece este tipo de garantía: si fallamos proporcionando protección frente a una serie de amenazas de alta prioridad recogidas en una lista que ha definido previamente el cliente, tenemos el compromiso de compensarle con una indemnización de hasta 50.000 dólares. Así que nuestros MSS son diferentes desde la perspectiva de que la mayoría de los MSS guardan Acuerdos de Nivel de Servicio (SLA) con especificaciones del tipo “en un margen de dos horas se cambiará la política del firewall”, “en doce horas tras la publicación de nuevos parches me aseguraré de que los parches están actualizados”... Esto no dice nada que tenga que ver con protección o seguridad. Nosotros llevamos nuestros MSS hasta el final y decimos: “sr. cliente, nosotros no nos quedamos solamente en el compromiso de gestionar esta caja, nosotros le garantizamos que le vamos a proteger”. Así que los MSS de ISS, desde el principio, se presentan como servicios de valor añadido.
La compañía invierte cerca de 120 millones de dólares en la apertura de centros de operaciones y seguridad en todo el mundo, y lo que en estos últimos cinco años hemos logrado es la capacidad de cerrar el círculo para nuestros clientes. Lo que me gusta de los MSS es que, primero, se trata de un área en crecimiento –un 47% cada año (en la actualidad, desde una perspectiva de ventas, esta área representa un 30% de las mismas mientras que el 70% restante corresponde a los productos)–, segundo, es muy rentable, y tercero, que implica una relación estratégica con los clientes porque requiere una constante interactuación con ellos; además, los clientes más satisfechos de la compañía son los de MSS.
– La interoperabilidad es una de las cuestiones más críticas en los procesos de implementación y gestión de diferentes tecnologías en el mundo corporativo. ¿Cuál es la postura de ISS al respecto?
– Se trata de un concepto que va a implicar una gran atención en la próxima década dentro de la industria de la seguridad, y de hecho así tiene que ser. Lo que nosotros hemos hecho con Proventia, en este sentido, es integrar un estándar abierto crítico para enlazar el negocio con los sistemas de directorio en la infraestructura de seguridad en tiempo real. Uno de los puntos que está definiendo el mapa de nuestra industria hoy en día es la falta de estándares, que serían muy buenos para los fabricantes de seguridad pero representan una amenaza para las compañías de infraestructura de redes y sistemas, porque no quieren añadir valor a los productos de su competencia. En cualquier caso, aunque se empiezan a ver nuevos estándares, específicos, genéricos y con apoyos estatales –como los Criterios Comunes– queda un largo camino por recorrer.
– Siguiendo con este tema, ¿qué opina de las diferentes iniciativas que han surgido en el seno de la industria, encaminadas a la creación de nuevos estándares de seguridad?
– Las apoyo, de hecho soy el responsable del Comité
de Políticas en cuestión de estándares dentro de la Asociación de la Industria de Seguridad Informática (CSIA), así que trabajo muy activamente con Washington en las diferentes áreas de regulación y ayudando a que los juristas adopten decisiones rápidas; y también co-presido el Consejo de Asesores de Infraestructura Nacional del Presidente Bush, para la protección y defensa de infraestructura crítica. ISS ha tenido una reputación en la industria como líder en estas áreas concretas, y a pesar de nuestro pequeño tamaño, somos la compañía más grande dentro de lo que es puramente seguridad corporativa en la industria.
En la compañía pensamos que nuestro negocio es la empresa, así que estas políticas y estándares que apoyamos nos ayudarán también a nosotros como empresa; pero fundamentalmente servirán al cliente que está tratando con los retos de una arquitectura de seguridad de red desconectada y disgregada que en su momento fue construida de este modo.
|
“ISS empezó hace dos años a investigar sobre VoIP, de hecho dispone de un appliance VoIP dentro de la familia Proventia. Creo que la tecnología de Voz sobre IP es un “tsunami”, una gran oportunidad de mercado en el horizonte, todavía mayor que el wireless.” |
|
– Como analista y parte activa de estos primeros diez años de construcción de la industria de la seguridad, ¿cómo aventura la próxima década?
– Creo que esta segunda década va a traer algunas innovaciones muy importantes, amenazas e incidentes también muy problemáticos, y que haremos de cuatro a cinco veces más progresos que en la primera década. Esto se debe a que se han estabilizado los procesos de prevención de intrusiones, y serán precisamente estas tecnologías las que ocuparán el núcleo de los sistemas de la próxima generación. Además, veremos auténticas arquitecturas de información multicapa empezando a hacerse sitio en los entornos de nuestros clientes; la automatización como un concepto predominante, frente a los procesos manuales que caracterizaron la primera década; muchos avances en diferentes tipos de algoritmos capaces de detectar y prevenir las amenazas, lo que implicará un nuevo nivel en los patrones de comportamiento; seremos capaces de analizar cantidades masivas de información; el proceso de firmas se automatizará igualmente; alcanzaremos escalas masivas, de forma que si mi mayor cliente hoy tiene 500.000 agentes ISS distribuidos en su infraestructura, ésta no será una excepción sino que lo veremos en más casos conforme se vayan extendiendo las redes wireless.
Desafortunadamente, continuaremos observando ataques devastadores contra la infraestructura lógica que irrumpirán en sociedades e industrias, siendo en este punto extremadamente problemática la extensión de los robos de identidades. Asimismo, la propagación de gusanos altamente eficaces tendrá un efecto desastroso en la confianza pública en el uso de Internet; asistiremos a nuevos ataques coordinados a la industria; y, tal y como venimos observando, se producirá un gran cambio en la orientación de los hackers: con una mayor implicación de las mafias y un juego económico en el que los jugadores defraudan, alteran o destruyen infraestructuras de red.
– Finalmente, ¿se considera usted un buen ejecutivo del mercado de la seguridad TIC?
– Me considero quizás mejor que bueno. Y la razón por la que digo esto no tiene nada que ver con la arrogancia, de hecho me da vergüenza decirlo así, pero hace algunos años me di cuenta de que me encanta este negocio. No es trabajo para mi, no me canso de esto nunca: leo, estudio, tengo citas con clientes,... es una pasión, y creo que cuando la gente se mueve por pasión el resultado de lo que hace es mucho mejor. La mayoría de los competidores ven la seguridad como un negocio, proceden de otros campos y pasan una serie de años en esta industria intentando hacer rentable su negocio. En nuestra compañía y en mi equipo de trabajo, todos compartimos esta intensidad, se trata de un elemento fundamental en la cultura de empresa. Paso además muchísimas horas a la semana con nuestro juez número uno, el cliente, viajo mucho, escucho y aprendo algo nuevo cada día y luego intentamos responder. No creo que se pueda construir una empresa desde cero a los 300 millones de dólares cuando tu competencia es Cisco, Juniper, Symantec, McAfee, Microsoft,... si no juegas con pasión y te encanta lo que haces.
|
Texto: Virginia Moreno Bango
Fotografía: Jesús A. de Lucas
|
|