Más de 130 tiendas, 17.000 empleados, almacenes, oficinas, y todo ello con una gran variedad de dispositivos conectados a la red, desde equipos de empleado hasta pistolas de lectura de códigos de barras, máquinas de aire acondicionado, cámaras IP o los servidores del centro de datos. Y la propia red que lo conecta a todos, que por fuerza ha de ser heterogénea en sí misma. Así es el negocio de Leroy Merlín, la multinacional francesa especializada en bricolaje, construcción, decoración y jardinería. Una organización tan extensa como compleja y heterogénea. Y quien lo cuenta no es otro que Gabriel Moliné, el CISO de un negocio que “nos exige ser capaces de proteger la integridad de las operaciones y de los datos frente a ataques de una variedad, sofisticación y frecuencia crecientes” que no solo obliga a mejorar permanentemente la postura de seguridad “sino que además nos exige hacerlo con una eficiencia cada vez mayor”.
Destaca como evidente que los recursos con los que cuentan las organizaciones para defenderse no pueden crecer al mismo ritmo que las amenazas, “y por tanto lo que debemos hacer es buscar multiplicadores de fuerza que nos permitan ser más eficaces en nuestro cometido”. Ese multiplicador no es otro que Forescout, un socio que cumple esta función “al proporcionarnos tanto un conocimiento exhaustivo de lo que tenemos en nuestra red como las capacidades de automatización y orquestación necesarias para convertir ese conocimiento en acciones que nos permiten mitigar riesgos e incrementar nuestra postura de seguridad”.
Ventajas
La relación con Forescout se inició con una la compra de una solución de visibilidad y control para, más adelante, adquirir diversos módulos “para incrementar el grado de integración con el resto de soluciones de nuestro ecosistema, desde Firewalls hasta CMDBs, así como para abordar el proyecto de microsegmentación de nuestras redes y activos”, cuenta Moliné.
La visibilidad, motor de políticas y capacidad de integrar y orquestar es lo que decidió al responsable de ciberseguridad de Leroy Merlín a optar por la propuesta de Forescout. Destaca el directivo la capacidad de la solución para poder clasificar de forma automática diferentes tipos y familias de dispositivos “tanto IT como IoT, con el mínimo número de falsos positivos”. También resultó relevante, en opinión de Gabriel Moliné, la posibilidad de definir políticas basadas en distintos casos de uso y riesgos, en los cuales se pueda llevar a cabo elementos como el control de acceso, la segmentación, controles sobre el software que ejecutamos (tanto versiones como aplicaciones prohibidas), niveles de parcheado. “Finalmente, nos parece muy diferencial la potencia de las integraciones y orquestación que ofrece con el resto de soluciones de nuestro ecosistema de ciberseguridad, que permite la ejecución de acciones automáticas en el resto de elementos de ciberseguridad”, asegura el directivo.
Mejoras conseguidas
Menciona el CISO de Leroy Merlin, la “tranquilidad de mitigar los riesgos de visibilidad en nuestra red de tiendas y almacenes” como uno de los problemas que ha solucionado la implementación de la herramienta, que también permite descubrir cualquier dispositivo conectado a la red.
“Gracias a la implantación de esta herramienta hemos incrementado nuestro conocimiento de los elementos que componen nuestra red, así como mitigar los riesgos del Shadow IT”, dice el directivo, añadiendo que ahora se tiene la capacidad de clasificar los activos en función de parámetros como el estado de parcheado del sistema operativo o el firmware, si tienen o no instalado determinado software que sea requerido (o prohibido), “y podemos actuar en consonancia de múltiples formas, desde restringiendo el acceso a la red de ciertos activos o grupos de activos con características similares, hasta estableciendo políticas de microsegmentación para determinados grupos de activos”.
La relación entre Forescout y Leroy Merlín se inició a finales de 2019, cuando la multinacional adquirió el primer producto. Como explica Gabriel Moliné, se comenzó con un despliegue pequeño “para dar respuesta a una necesidad táctica que nos requería un conocimiento exhaustivo de un subconjunto de nuestra red de tiendas, y más adelante fuimos creciendo incrementalmente hasta abarcar la totalidad de la red de Leroy Merlín, y en estos momentos estamos trabajando para incorporar la red de ObraMat España, que también cae bajo nuestra responsabilidad”.
Destaca el directivo que el proceso de crecimiento en sí ha sido menos complejo de lo esperado dentro de la complejidad que conlleva un despliegue en una organización del tamaño de Leroy Merlín, y que la variedad de métodos que se pueden emplear a la hora de recoger la información de la red, desde métodos pasivos como la extracción de metadatos del tráfico mediante puertos SPAN, integración con el directorio activo, con DHCPs, hasta métodos activos tipo escaneo de puerto, ha facilitado bastante la tarea.
“Desde el punto de vista funcional, empezamos desplegando las capacidades de descubrimiento y perfilado de dispositivos, para incluir más adelante políticas de control que aseguren que únicamente los dispositivos que reúnan nuestros requisitos de cumplimiento sean capaces de conectarse a la red, posteriormente abordamos el caso de uso de la integración con el resto de plataformas de nuestro ecosistema de ciberseguridad y ahora estamos afrontando el reto de la microsegmentación”, explica Gabriel Moliné.
Apostando por la automatización
Actualmente, las empresas tienden a apostar por la automatización, ¿es ese su caso? “Por supuesto, y además es que no puede ser de otro modo”, responde el CISO de Leroy Merlín, añadiendo que los departamentos de ciberseguridad son responsables de la ciberseguridad de infraestructuras cada vez más complejas y heterogéneas. “La complejidad del entorno de amenazas en el que estamos inmersos no deja de crecer, por tanto automatizar la mayor cantidad posible de operaciones de forma que se limite la necesidad de intervención humana es sin duda una de los grandes retos de los equipos de ciberseguridad ya que nos permite reaccionar mucho más rápido en el caso de alguna incidencia donde el tiempo es un factor crítico”, comenta.
En opinión de Gabriel Moliné, la capacidad de orquestación que aporta Forescout es uno de esos elementos que les han permitido ser más eficientes en la defensa de la organización, “ya que nos permite cruzar información de Forescout con otras herramientas como Firewalls y herramientas de análisis de vulnerabilidades, entre otros, para automatizar muchos procesos de forma que sean más eficientes y nos permitan abarcar más superficie de análisis y reaccionando además a las amenazas más rápidamente”.
Productos desplegados
Forescout eyeSight: Descubrimiento, clasificación y evaluación continuas de los dispositivos en el momento de la conexión, sin necesidad de usar agentes ni interrumpir sus operaciones empresariales críticas
Forescout eyeControl: Implementación y automatización de controles basados en directivas para reducir de forma proactiva su superficie de ataque y responder rápidamente a los incidentes.
Forescout eyeSegment: Acelere con confianza el diseño, la planificación y el despliegue de la segmentación de la red Zero Trust en toda la empresa ampliada.
Forescout XDR: Forescout XDR (eXtended Detection and Response) es una solución integral de seguridad que tiene como objetivo mejorar las capacidades de detección y respuesta a amenazas. Utiliza datos de telemetría y registros de diversas fuentes para identificar posibles amenazas con un alto nivel de precisión. Al convertir esta información en conocimientos accionables, permite que los equipos de operaciones de seguridad investiguen y respondan de manera efectiva a las amenazas avanzadas.
