Hasta para alguien con la experiencia de Marc Sarrias, country manager de Palo Alto Networks, con varios clientes en España dentro del IBEX, el momento actual en el ámbito de la ciberseguridad no se parece a nada de lo que se haya vivido antes. Los mecanismos clásicos de protección ya no sirven, pese a que se hayan logrado tiempos de detección y respuesta cada vez más cercanos al tiempo real. Dice Marc Sarrias que del resultado de la batalla de la seguridad dependerá el modo de vida digital que nos hemos dado.
Pregunta: Después de 12 años en Palo Alto Networks, a la hora de describir la situación actual, quizás estés tentado a utilizar la expresión: “mira que os habíamos avisado”.
Respuesta: A posteriori siempre es fácil decirlo, lo difícil es anticiparse y prever lo que va a ocurrir. El momento que vivimos es único, precisamente por la celeridad con la que se están produciendo los cambios. El COVID nos dio un golpe grande, hizo cambiar ciertas cosas respecto al puesto de trabajo. Ahora estamos intentando realmente entender hasta dónde va a llegar la inteligencia artificial (IA).
Es difícil de cuantificar, pero estamos viendo ya sus efectos en las organizaciones, la necesidad de controlar el uso y sectorizar el desarrollo de las aplicaciones de IA. En el lado de los malos, la IA está permitiendo conseguir una escala, una velocidad y una sofisticación en la calidad de los ataques que no se había visto antes, absolutamente brutal. La industria de ciberseguridad intenta incorporar la IA en los procesos de defensa, protección y respuesta para combatir esa fuerza de fuego.
"Es necesario conectar todas las tecnologías cloud"
Pregunta: El propio desarrollo de la IA generativa, con esos inalcanzables LLM, deja prácticamente todo el margen de movimiento de las organizaciones en el lado de las aplicaciones. ¿Qué riesgos se están abriendo a causa de ello?
Respuesta: La utilización de la nube en los últimos años ha hecho que emerjan bastantes tecnologías de ciberseguridad orientadas a proporcionar visibilidad. Eso significa sobrecargar a los equipos de operaciones de ciberseguridad. Es necesario conectar todas las tecnologías cloud que permiten proporcionar controles y llevarlas de forma efectiva al mundo de las operaciones del SoC (centro de operaciones de seguridad).
Esa es quizá la asignatura pendiente ahora mismo. La otra forma de responder a esa pregunta tiene que ver con el propio uso y el desarrollo de aplicaciones de IA. Cualquier organización con la que hablamos desde Palo Alto Networks está inmersa en la creación de sus propios aplicativos, desde bots simples para atender a clientes a aplicaciones mucho más sofisticadas. Evidentemente, el contexto es ahora realmente complejo. Se debe disponer de una visibilidad completa del modelo para implementar los controles de seguridad necesarios, proteger esas aplicaciones y evitar que se vean comprometidas.
Pregunta: El hype del momento es la IA agéntica. Esto de que, de repente, haya cada vez más agentes autónomos funcionando por las venas de las organizaciones con IA, añade todavía más complejidad.
Respuesta: Absolutamente. La forma en la que se entrenan esos modelos y los datos que se usan para hacerlo pueden en un momento dado provocar que acabe saliendo información no controlada de la organización. Esos modelos son susceptibles de nuevos ataques que tienen poco que ver con los convencionales. Cualquier LLM está diseñado de una determinada forma y tiene unos guardarraíles para evitar contestar información sensible o cosas no adecuadas.
Estamos viendo nuevas formas de atacar que muchas veces requieren menos de expertise tecnológico y más de habilidades para interrogar a los sistemas, de modo que acaben saltándose las protecciones que tienen embebidas y contestando lo que no queremos que contesten, o que operen con datos envenenados y den respuestas descontroladas. Hay mucho que hacer y el tiempo juega en contra.
"Los mecanismos clásicos no responden a las amenazas actuales"
Se ha logrado reducir el tiempo de detección y expulsión de la amenaza de más de un mes a apenas horas, pero eso ya no parece suficiente.
En 2021, cuando el mundo que pretendíamos defender era bastante más simple, hablábamos de alrededor de 40 días, en 2022 bajó a 30, en 2023 a cinco, en 2024 por debajo de un día, y ahora estamos hablando de unas pocas horas en un contexto en el que el nivel de exposición, debido a toda la convergencia de las nuevas tecnologías y la IA en concreto, es infinitamente más complejo. Los mecanismos clásicos que veníamos utilizando no van a dar respuesta a estas nuevas necesidades.
Tenemos que evolucionar y pensar en la utilización de plataformas diseñadas y cosidas por detrás, operar como un sistema integrado, con un nivel de automatización y de IA embebido. Vamos a vivir la era de la batalla continua del robot contra el robot, en el lado de quien defiende y desde luego, en el de que quien ataque. Y para poder hacer eso tenemos que evolucionar a plataformas.
Palo Alto Networks es un gran defensor de la fórmula de las plataformas. ¿Cómo está penetrando esta visión en España?
Va llegando y, de hecho, llevamos un par de años en los que hemos empezado a ganar proyectos cada vez más grandes y más ambiciosos. La plataforma ya no es una pequeña pieza en el ecosistema de ciberseguridad. El ámbito de los proyecto es cada vez más grande, más complejo, e involucra a gente y niveles de la organización cada vez más estratégicos, incluso por encima claramente de los equipos de operaciones de seguridad, por encima del CISO. Muchas veces las decisiones se toman en el nivel del CIO, del CTO del CFO, porque las implicaciones desde el punto de vista financiero son importantes, y en algunos casos incluso se involucra el CEO. Estamos viendo una evolución en ese sentido, claramente.
La importancia del factor tiempo: "Solo vamos a poder responder rápidamente con modelos muy bien entrenados"
La fragmentación en el lado de la oferta de soluciones y servicios de ciberseguridad es un factor clave hoy en día. Quizás juega a favor de los atacantes o quizás ayuda a personalizar la defensa. La consolidación parece inevitable.
Se va a tender a la consolidación y a la plataformización. Todos los expertos hablan de la necesidad de reducir el número de proveedores en el ámbito ciber. Uno de los informes más recientes de Gartner dice que, en 2028, el 45% de las organizaciones es probable que se planteen tener menos de 15 proveedores de ciberseguridad, cuando a fecha de hoy podemos estar hablando de entre 20 y 50, dependiendo del tamaño de la organización y del nivel de madurez.
La consolidación en plataformas va a ser absolutamente necesaria. Hay algo que lo va a empujar y es el factor tiempo: solo vamos a poder responder muy rápidamente con modelos muy bien entrenados, con data sets más o menos conocidos. No podemos hervir el océano, si queremos que la IA nos ayude debemos tener un data set unificado con el que entrenarla. El único camino viable y sostenible en el futuro inmediato es la consolidación en plataformas.
¿Y cuál es la estrategia de Palo Alto Networks para ser uno de esos ganadores en ese proceso de consolidación hacia el que vamos?
Palo Alto lleva unos cuantos años hablando de la plataformización y de la necesidad de esa consolidación, pero la llegada de la IA a ambos lados de la ecuación realmente va a acelerar eso de forma significativa. Tanto Europa como España está avanzando en esa línea.
"No podemos parar el 100% de los ataques, pero podemos acercarnos"
Cuando entrevisté a la directiva global de Kyndryl, empresa con la que habéis suscrito una alianza, Kris Lovejoy, y le hablé de la visión de Palo Alto de una IA de precisión capaz de parar ataques en tiempo real, se mostró escéptica al respecto.
El objetivo es realmente avanzar en esa detección en tiempo real. Palo Alto Networks lleva más de 10 años metiendo la IA dentro en nuestra tecnología y en la parte de red con el objetivo de ser capaces de detectar amenazas desconocidas en tiempo real usando machine learning. Con la IA, hoy por hoy, prácticamente cualquier ataque que quieras lanzar puede ser un día cero, porque puedes retocarlo en tiempo real. Implementar controles y seguridad vía machine learning nos permite detectar una cantidad muy importante de ataques zero day y pararlos.
La otra parte de la ecuación tiene más que ver con toda la parte de deep learning y nuestras suscripciones de seguridad entregadas desde la nube. Estamos teniendo la capacidad de subir datos de forma muy eficiente, de procesarlos en la nube y de responder con tiempo suficiente para parar el ataque que se está produciendo en ese momento. Eso nos acerca al tiempo real. Evidentemente, parar el 100% de los ataques en tiempo real es imposible, pero con las tecnologías, la inversión adecuada y una estrategia dirigida a ello, nos podemos acercar mucho.
"Necesitamos confianza y seguridad para que el modelo evolucione"
¿Cuál es la capacidad de actuación ahora?
El objetivo que buscamos, el gran reto de la ciberseguridad es conseguir que el tiempo de detección y el de respuesta estén por debajo del tiempo de un ataque exitoso. Hemos conseguido bajar el tiempo de detección por debajo de los 10 segundos y los tiempos de respuesta por debajo del minuto en prácticamente todos los ataques. Quizás cada día hay un ataque adicional que necesita ser investigado. Y en la implementación de este tipo de tecnologías en clientes estamos consiguiendo bajar los tiempos de respuesta por debajo de las dos horas, incluso en algunos casos de los 15-20 minutos.
En el clima geopolítico actual, ¿se incrementan los ataques que no tienen motivación económica?
Desde Palo Alto Networks vemos crecimiento en todos los ámbitos. En el geopolítico, por lo que está ocurriendo globalmente. En el ámbito económico, porque es una industria que mueve volúmenes ingentes de dinero y está reclutando actores a título individual y a empresas que participan en los ataques incluso sin saberlo. El nivel de los ataques está creciendo y la sofisticación. La IA no solo permite mayor escala, ataques más sofisticados, sino que incluso estamos empezando a ver y a percibir sistemas capaces de ir adaptándose y reaccionar a medida que las defensas van actuando.
La lucha en la que estamos es una lucha como no ha habido nunca antes, claramente. Está en juego nuestro modo de vida, que es digital. Si no existe la confianza y la seguridad necesaria para que este modelo continúe evolucionando, y a la velocidad a la que lo va a hacer en los próximos años, el sistema no será sostenible. La ciberseguridad no es una decisión tecnológica, sino estratégica y es una decisión de supervivencia del modelo de sociedad que tenemos.
