El martes 27 de junio de 2023, Forrester publicó el primer Forrester Wave sobre análisis y visibilidad de redes (NAV). Este es el segundo intento de Forrester de evaluar el panorama de proveedores de NAV, ya que la primera edición de NAV Wave se canceló debido a la rotación de analistas y la consiguiente falta de experiencia. Según nuestra evaluación de la investigación, sigue faltando experiencia en la detección de amenazas modernas.
Forrester sigue estancado en una mentalidad impulsada por el proveedor y definida por requisitos técnicos rígidos basados en una fascinante mezcla de idealismo de torre de marfil de Zero Trust y comprensión de la tecnología heredada, que está completamente desconectada de los clientes y del mercado en general. En ninguna parte de la evaluación, Forrester tiene en cuenta la definición de los clientes de la detección y respuesta a amenazas modernas, que abarca la red, la identidad y la cloud.
El fallo más flagrante es el hecho de que la metodología de Forrester da más importancia al descifrado integrado que a cualquier otro criterio, al tiempo que ignora por completo cualquier aspecto relevante del uso de ML/AI o la cobertura real de amenazas. El resultado es que un IDS basado puramente en firmas con descifrado superaría con creces al sistema de IA más avanzado sin descifrado integrado. (¿Tal vez NAV signifique en realidad Network Anti-Virus?)
NAV es un pensamiento erróneo y la metodología errónea de Forrester Wave a la hora de definir la detección moderna de amenazas y evaluar las ofertas tecnológicas, tiene el potencial de llevar a los clientes por mal camino. Por ejemplo, al plantear inexactitudes en su evaluación, Forrester limitó a los proveedores a 5 objeciones, y cualquier tergiversación del proveedor más allá de las 5 no sería discutida ni corregida por el analista. Recomendamos encarecidamente a cualquier comprador potencial que ponga a prueba a los proveedores con un equipo rojo -cuanto más avanzado, mejor- para ver por sí mismo lo que realmente importa.
Podríamos enumerar numerosos fallos en su metodología, pero nos centraremos en los tres más flagrantes en lo que respecta a la detección moderna de amenazas:
- Fallo nº 1: Forrester cree que todo el tráfico dentro de las empresas está cifrado
- Fallo nº 2: Forrester afirma que NAV necesita descifrar para detectar amenazas
- Fallo nº 3: Forrester cree que el tiempo hasta la línea de base es más importante que la cobertura de amenazas para ML/AI
Juntos, estos defectos suponen una pesada carga operativa para los clientes a cambio de poco o ningún valor, al tiempo que sesgan gravemente la caracterización del panorama de NAV hacia la tecnología heredada.
Fallo nº 1: Forrester cree que todo el tráfico dentro de las empresas está cifrado
La gran atención que Forrester presta al descifrado se basa en su opinión de que todas las empresas cifran o cifrarán pronto todo el tráfico para alinearse con Zero Trust .
Eso no es cierto. Vectra AI ha supervisado durante años los índices de cifrado de nuestra base instalada, que incluye algunas de las empresas más preocupadas por la seguridad del mundo. Sólo el 1% de los protocolos en los que se requiere visibilidad de la carga útil para detectar técnicas de amenaza modernas (DCERPC, Kerberos, SMB y DNS) están cifrados, y esta cifra no está aumentando. Sí, ¡el 1%! Ni siquiera la adopción de SMBv3 ha cambiado significativamente esta situación.
¿Por qué? Los clientes sopesan las ventajas frente a los inconvenientes de utilizar la encriptación en el tráfico interno y optan por no encriptar. Son decisiones razonadas. Gestionar el descifrado es difícil, incluso con funciones integradas. Significa cargar todas las claves de todos los servidores internos hacia los que se desea descifrar el tráfico y actualizarlas cada vez que se renueva una clave.
Como dijo uno de nuestros clientes empresariales entrevistado por Forrester: "La realidad es que intentar descifrar todos los protocolos y comunicaciones en una empresa moderna es, en el mejor de los casos, una ingenuidad." U otro, también entrevistado por Forrester, dijo que incluso con capacidades integradas - el descifrado "no vale la pena el tiempo, el esfuerzo y la sobrecarga adicional".
Parece que el dogma de Zero Trust es más importante para Forrester que la perspectiva del cliente.
Fallo nº 2: Forrester afirma que NAV necesita descifrar para detectar amenazas
Por tanto, los protocolos de alto valor no están cifrados. Lo que sí está cifrado es el tráfico web, tanto interno (alrededor del 60%) como externo (más del 90%). Forrester sostiene que es fundamental descifrarlo para detectar amenazas. De nuevo, totalmente equivocado.
La tecnología moderna de detección de amenazas funciona mediante la comprensión de los métodos de ataque y el movimiento de datos utilizando una mezcla de ML/AI y heurística aumentada por la información sobre amenazas. El descifrado no es necesario, ni siquiera útil. Incluso si se descifra el tráfico, la carga útil del atacante permanece cifrada de forma que la empresa no puede descifrarla.
Lo único que se obtiene por el descifrado es la capacidad de ejecutar firmas IDS. Esto conlleva un elevado coste operativo. Debido a TLS 1.3 con PFS, el descifrado pasivo requiere que cada sistema ejecute un agente para reenviar las claves de sesión. Otro agente más, y los quebraderos de cabeza que conlleva, ¡sólo para ejecutar algunas firmas IDS!
Esta es la razón por la que los clientes descifran el tráfico saliente en el SASE/proxy para la inspección de contenidos y la aplicación de políticas, y el tráfico entrante DMZ en un NGFW en línea para la cobertura IDPS de exploits conocidos. NAV complementa todo esto proporcionando detección de comportamientos e información sobre amenazas para detectar amenazas modernas y desconocidas.
Vectra AI detecta con precisión los ataques en el tráfico cifrado -incluyendo C2, exfil, puesta en escena de datos, fuerza bruta, escaneos/barridos, uso sospechoso de protocolos de administración, etc.- o nuestros clientes no tendrían los resultados de valor que tienen, ni los resultados empresariales de los que disfrutamos como consecuencia. Como dice uno de nuestros clientes: "No hace falta mirar dentro para saber que el coche conduce de forma errática".
Fallo nº 3: Forrester cree que el tiempo hasta la línea de base es más importante que la cobertura de amenazas para ML/AI
La obsesión de Forrester con el descifrado al servicio de Zero Trust distrae completamente de la realidad de lo que es más importante en este mercado: obtener una señal de amenaza clara que el SOC pueda entender con una rápida rentabilidad y una baja sobrecarga operativa. Aunque hay mucha palabrería de marketing en torno al ML y la IA que puede hacer girar cabezas, ninguna persona en su sano juicio cree que un sistema moderno de detección de amenazas pueda construirse sólo con firmas. Un buen ML/AI es imprescindible para seguir el ritmo de los métodos de ataque emergentes y en evolución.
En la medida en que se tiene en cuenta el ML/AI, Forrester lo puntúa totalmente en función del tiempo que se tarda en alcanzar la línea de base. Una línea de base más corta equivale a una puntuación más alta. De nuevo, esta es una forma completamente errónea y equivocada de evaluar ML/AI. Consideremos el uso de cuentas de administrador y de servicio, que son fundamentales para la mayoría de los ataques modernos. Éstas necesitan ser aprendidas durante al menos un horizonte temporal de 30 días para obtener líneas de base precisas, debido a la naturaleza del trabajo de administración. Si sólo puede recordar un par de días, normalmente debido a las limitaciones de su sistema, el resultado será ruido y molestias para los usuarios.
Mientras tanto, la metodología de Forrester no tiene en cuenta en absoluto hasta qué punto los modelos de IA/ML cubren los diversos métodos de ataque que constituyen el núcleo de los ataques modernos. Literalmente, no hay ni una sola pregunta o criterio de puntuación en su metodología relacionado con la detección de ataques AI/ML. Alucinante. Hable con un comprador o usuario y esto es lo que más le importa. Vectra AI tiene 35 patentes en esta área, el mayor número de patentes referenciadas en las contramedidas MITRE D3FEND , más que Crowdstrike, Microsoft y todos los demás proveedores de esta Wave juntos.
Nuestro consejo: Equipo Rojo Vectra AI.
No se fíe sólo de nuestra palabra y, por favor, no se fíe de la de Forrester. La verdadera prueba de la eficacia de la detección moderna de amenazas es el Red Team de proveedores, y este "gran ejecutor" de Forrester NAV se enfrentará a cualquiera de los "líderes" para demostrar nuestro punto de vista.
Para saber por qué 4 de cada 5 clientes eligen Vectra AI frente a sus competidores (incluidos los nombrados en The Forrester Wave), visite vectra.ai/products/ndr.