2023 fue un año intenso para Infoblox. En enero se nombraba un nuevo CEO, Scott Harrel, un ex de Cisco, y en mayo se producía un cambio de imagen de marca que reflejara que, además de empresa de redes de misión crítica, tiene mucho que decir en el mercado de ciberseguridad.
Hace mas de cuatro años que la compañía lanzaba al mercado BloxOne Threat Defense, considerada como la primera solución de seguridad híbrida que aprovecha los servidores DNS para establecer una primera línea de defensa y optimizar la orquestación global de la seguridad corporativa. A finales del año pasado Infoblox anuncia la disponibilidad, como parte de su plataforma BloxOne Threat Defense, de DNS Detection and Response, una solución que permite visualizar la infraestructura de potenciales atacantes a medida que se crean para detener de forma temprana amenazas conocidas y probables sin comprometer el rendimiento de la red, bloquear los ataques que otras herramientas de seguridad pasan por alto y reducir drásticamente los tiempos de respuesta (Mean Time To Respond, MTTR) ante incidencias de seguridad.
Ahora la compañía anuncia SOC Insights, una nueva funcionalidad basada en IA que reduce drásticamente el número de alertas que llegan al SOC. De este lanzamiento y otras cosas hemos hablado con Joaquín Gómez, CyberSecurity Lead Southern Europe de Infoblox, y Juan de la Vara, Senior Manager Solution Architects para el Sur de Europa de la compañía.
Empezamos por el principio, por entender la empresa. Infoblox es una compañía que sigue creciendo centrada en tres grandes áreas. La primera tiene el objetivo de ayudar a los clientes en su transición hacia la nube, lo que implica que las soluciones de la compañía ya pueden desplegarse tanto on-premise como en cloud. Explica Juan de la Vara que la adopción de entornos multinube genera retos importantes en las empresas y que “la visión de Infoblox es que podemos simplificar todo el crecimiento de las empresas hacia el cloud o multicloud gracias a nuestra tecnología, de forma que la gente puede tener un punto de control único, un punto de visión único para cualquier tipo de soluciones de DNS principalmente”.
«Si no funciona el DNS, tu empresa no funciona”
El segundo foco de crecimiento de la empresa tiene que ver con la visibilidad, “ser capaces de proporcionar toda la información de todos los dispositivos – cualquiera que tenga una IP, de forma que las empresas sean capaces de discernir todo lo que tienen”. Es algo que la compañía ha realizado en entornos on-premise y que ahora se mueve a la nube, “de forma que seamos capaces de proporcionar toda esa visibilidad de cualquier tipo de dispositivo que esté en la red”, incluido el IoT, lo que lleva a Infoblox a “poner más foco en el mundo IoT”.
En esta parte de la visibilidad, la propia raíz de Infoblox es un valor diferencial. Como nos cuenta Juan de la Vara, las capacidades de la compañía en gestión DDI (DNS, DHCP e IPAM) “nos coloca en una posición ideal para ser capaces de proporcionar esta visibilidad en cualquier tipo de entorno, incluidos aquellos en los que no se pueden desplegar agentes”.
La tercera área de foco es aumentar las capacidades de seguridad de la compañía. Se apuesta por aumentar las capacidades de defensa de BloxOne Threat Defense añadiendo una capa de inteligencia artificial “para eliminar ruido a los equipos de SOC (Security Operation Center) y enviar menos eventos, pero más relevantes”. La última novedad en este apartado es SOC Insights, una solución de gestión y orquestación de operaciones de seguridad (Security Operations Center, SOC) basada en Inteligencia Artificial que optimiza las operaciones SOC y reduce drásticamente los tiempos de detección y respuesta ante amenazas de DNS.
En los orígenes
Desde sus inicios, el foco de la compañía ha sido gestionar e identificar dispositivos conectados a redes. Es decir, el foco de Infoblox ha sido ofrecer productos que pueden ayudar a los ingenieros de redes a ver la red completa y automatizar las tareas más básicas. Las tres funciones básicas que Infoblox ayuda a administrar se denominan DDI (DNS, DHCP e IPAM).
Para aquellos que no estén familiarizados con la terminología de redes, DNS es el sistema que convierte una dirección web en su dirección IP subyacente. DNS es un aspecto fundamental de Internet que debe configurarse y funcionar correctamente, y es un posible punto débil de seguridad. DHCP significa Protocolo de configuración dinámica de host y es el sistema responsable de asignar direcciones IP automáticamente. La última parte del acrónimo significa protocolo de Internet y engloba otros aspectos básicos de la red. Infoblox puede ayudar a reducir el personal de TI simplificando la configuración y el mantenimiento de las redes.
El foco hacia el mercado DDI ha hecho que los clientes tipo de Infoblox hayan sido siempre empresas grandes, de miles de empleados. Pero la madurez y evolución del mercado, además de una ampliación de la oferta de la compañía, donde los servicios de ciberseguridad son cada vez más importantes, están ampliando las oportunidades en empresas más pequeñas, incluso de 500 empleados. En opinión de Juan de la Vara, el mensaje de seguridad funciona bien “porque es un producto diferencial en el mercado”.
Dice también el directivo que en las empresas menos maduras funciona el ‘good enough’ y que “no llegan a entender que el DDI es la base de todo. Si no funciona el DNS, tu empresa no funciona”. Este es el mensaje que se está llevando con equipos dedicados a ese segmento de mediana empresa, “un mercado nuevo para nosotros, pero donde la empresa está creciendo”. En todo caso, en opinión de Joaquín Gómez, director de Ciberseguridad de Infoblox para Sur de Europa, “las empresas se plantean la inversión en la seguridad del DNS muy tarde”.
Proteger desde el DNS es adelantarse. Frente a una amenaza lo habitual es que las empresas de seguridad endpoint se centren en analizar la propia amenaza, el malware: analizan qué hace, cómo se comporta. La pregunta que nosotros nos hacemos es preguntarnos ¿por qué te ha llegado? ¿quién te lo ha enviado?, explica Joaquín Gómez, añadiendo que los criminales suelen contratar infraestructuras de distribución de contenido y que “si conseguimos parar esas redes especiales de distribución de contenido, el malware ya no te llega. Eso es lo que nosotros hacemos”.
El mensaje que lanza el CyberSecurity Lead Southern Europe de Infoblox es que los ciberdelincuentes pueden utilizar el sistema de dominios en diferentes ámbitos. Uno es utilizando de forma maliciosa para engañar, instalar un malware o comunicarse con el malware, “pero también para suplantar un dominio”. Lo que necesita un cliente es que el sistema de dominios proporcione información de una amenaza o de una IP… “Lo que estamos haciendo es consolidar en un único fabricante todas y cada una de las acciones que yo le puedo pedir al sistema de dominios para ayudar a la seguridad en tres diferentes ámbitos: en la detección de amenazas; en la parte de inteligencia, investigación de amenazas y respuesta; y en la parte de reputación de marca para que nadie me suplante”. Normalmente las empresas tienen hasta tres productos para hacerlo todo, “y normalmente no llegan a nuestro nivel de profundidad. El mensaje es: consolida todo el sistema de seguridad que use el sistema de DNS en un único fabricante”.
“nuestro mensaje de seguridad es sencillo de explicar, de entender y de replicar”
Infoblox SOC Insights
Decíamos al comienzo que el último anuncio de Infoblox es SOC Insights, una nueva capacidad para su plataforma BloxOne Threat Defense lanzada en 2019. Esta nueva funcionalidad representa un salto adelante en la detección y prevención de amenazas aprovechando el poder del DNS como una primera línea de defensa proactiva.
Explica Joaquín Gómez que hace un año la compañía añadió Inteligencia Artificial para detectar de una forma anticipada si un domino es malicioso nada más nacer. Lo que ahora se ha hecho, explica Joaquín Gómez, es aplicar la inteligencia artificial a la parte de SOC, a la parte de detección y respuesta. “El problema de los responsables de operación es que reciben millones de alertas”, dice Joaquín Gómez, señalando que la cantidad de logs que genera el DNS puede ser inmanejable. Lo que propone la compañía con SOC Insights es: en lugar de enviar los logs al SIEM/SOAR, “aplicamos inteligencia artificial a la información que tenemos, y agrupamos en todo un incidente completo con toda la información desde nuestro sistema”.
Es decir, SOC Insights permite reducir el tiempo de respuesta ante incidencias al eliminar el tiempo empleado en consolidar alertas individuales en un repositorio de información utilizable. El informe generado por esta herramienta proporciona, de forma rápida y fácil, todos los detalles sobre la infraestructura del atacante, eventos relacionados y dispositivos comprometidos, así como datos de inteligencia de DNS exclusivos, proporcionados por Infoblox. Esto elimina la necesidad de rastrear cada alerta individual o de esperar a que los administradores de red proporcionen la información sobre usuarios y dispositivos para conocer el contexto en el que se está produciendo la amenaza.
El concepto, explica el responsable de Infoblox para la región de Iberia, es: “en vez de centralizar la inteligencia en un punto único, lo que estamos haciendo es adelantar esa inteligencia al edge del DNS, en el punto origen de DNS. Esa es la evolución que hemos hecho como expertos en saber qué hay a nivel de DNS”.
Añade también Joaquín Gómez que, para aquellos que trabajen con un MDR, la ventaja de las evoluciones que Infoblox está realizando en su plataforma BloxOne Threat Defense, es reducir el tráfico que llega a ese MDR, “un tráfico que, además, está contextualizado”.
Impacto en el SIEM
El mercado de la detección y respuesta, aplicada tanto al endpoint (EDR), como a la identidad (ITDR) o a la suma de puntos finales, redes y demás (XDR), está teniendo un fuerte impacto en el SIEM. Como ya explicábamos en un reportaje publicado en Ciberseguridad TIC, a medida que los ciberdelincuentes se vuelven más sofisticados, los volúmenes de datos aumentan y los costes SIEM se disparan. Ahora gran parte del análisis de lo que ocurre en las empresas se realizan en los EDR, XDR…, reduciendo la dependencia del SIEM. A esta tendencia se suma Infoblox con SOC Insights, que se encargará de analizar toda la información que se genere a nivel de DNS, que no es poca.
La situación está llevando a muchos fabricantes a establecer alianzas porque, por más que todos aseguran poder hablarse entre ellos a través de las indispensables API, una integración cuidada siempre es mejor.
Sin poder dar demasiados detalles, Infoblox trabaja en un ecosistema de alianzas, BloxOne Threat Defense Ecosystem, que permite a sus productos integrarse con otras soluciones del mercado. Es uno de los aspectos que, nos cuenta Joaquín Gómez, viene impulsado por el nuevo CEO de la compañía, Scott Harrell. Se plantea también que el producto no solo se venda a cliente final, sino que sea operable a través de MSP, “que se pueda operar como servicio”.
Canal
“Estamos intentando abrir canal”, dice claramente Joaquín Gómez. Se busca un canal “que quiera diferenciarse del resto y que nos lleve a empresas más medianas y pequeñas”, asegura el directivo.
En opinión de Juan de la Vara, hay oportunidades en partners especializados en seguridad porque “nuestro mensaje de seguridad es sencillo de explicar, de entender y de replicar”.
