Liderazgo continuo de seguridad abierta y transparente

blog-open-and-transparent-security-720x420-A.png

Elastic Security es abierto desde hace mucho: raíces open source, desarrollo abierto y lanzamiento de nuestro SIEM en 2019. En 2020, adoptamos además la apertura de Elastic y lanzamos nuestro repositorio detection-rules abierto para colaborar con nuestros usuarios y ser transparentes respecto a cómo protegemos a los clientes. Ese repositorio se enfoca en nuestros casos de uso de SIEM y Analítica de Seguridad, y aún no incluía los artefactos de Elastic Endpoint Security. Seguimos desarrollando actualmente a partir de esa base abriendo un nuevo repositorio público, protection-artifacts.

En el repositorio protections-artifacts, encontrarás la lógica de protección que usa Elastic Endpoint Security para detener amenazas en los sistemas operativos Windows, macOS y Linux. Esto incluye reglas de protección contra el comportamiento del malware escritas en EQL y firmas YARA que se aplican tanto a los archivos como a la memoria. Esto no es un subconjunto ni una muestra, es el conjunto completo de reglas y firmas que bloquea activamente las amenazas. A medida que actualicemos estas características en nuestro producto, verás los cambios, que brindan transparencia respecto a cómo exactamente esas características identifican las amenazas y los comportamientos que deben bloquearse.

Un enfoque transparente

Si bien compartir la lógica de detección se está convirtiendo en el statu quo de los proveedores de SIEM, esto no es así para los productos de endpoint. Creemos que eso debería cambiar. La detección y respuesta de endpoint (EDR) y las plataformas de protección de endpoint (EPP) por lo general son una caja negra; muchos proveedores esperan que los usuarios soporten una falta de datos e información. Esta forma de hacer negocios no hace mucho por educar y empoderar a los usuarios. 

Vemos las relaciones con nuestros usuarios como sociedades. En estas relaciones, la transparencia es un requisito previo para el éxito mutuo. La necesidad de comportarse así debería ser evidente, y la práctica, universal. Después de todo, las soluciones de seguridad están creadas para mitigar el riesgo, y la única forma en que un usuario puede asegurarse de que un proveedor está ayudando a mitigar el riesgo es que el proveedor sea transparente en cuanto a cómo están protegiendo un entorno. Con transparencia, nuestros usuarios pueden comprender las fortalezas de nuestro producto y maximizar sus propios esfuerzos para cerrar cualquier brecha restante que pueda generarles un gran riesgo.

[Artículo relacionado: Forrester nombra a Elastic como una de las empresas con Mejor desempeño en el Wave de detección y respuesta de endpoint]

Abordar preocupaciones

Creemos que ser abiertos y transparentes es mejor para los usuarios y mejorará la seguridad para todos a largo plazo. Consideramos nuestra decisión con detenimiento. En aras de la transparencia, compartiremos nuestra perspectiva sobre algunas negativas percibidas que prevemos que algunos podrían plantear:

Es posible que recibamos más críticas y escrutinio públicos debido a nuestra transparencia. Este no es motivo para enmascarar cómo funciona un producto si lo que realmente nos interesa es empoderar y proteger a los usuarios. Elastic ya está disponible de forma abierta con miles de personas que descargan nuestro producto y lo prueban a diario; incluidos algunos investigadores fantásticos que sondean nuestro producto. Les damos la bienvenida. Tenemos la esperanza de que la mayoría de los investigadores participen de forma colaborativa con nosotros a medida que se descubren brechas de detección. 

No esperamos que todos adopten este enfoque, puede que incluso algunos intenten sumar puntos en Internet resaltando una brecha e intentando ponernos en una situación difícil. Recibimos las críticas y los comentarios con los brazos abiertos. Seguiremos mejorando y te mostraremos cómo lo hacemos. 

Algunos pueden pensar que podría ser más fácil para los atacantes evitar nuestro producto. Algunos pueden creer que si un producto es cerrado, los atacantes motivados tendrán problemas para comprender cómo detecta y bloquea amenazas. Eso no es cierto. Los atacantes descubrirán la lógica de detección de todas formas, ya sea mediante volcado desde el disco o la memoria en el endpoint o mediante prueba y error en el producto. La seguridad en la oscuridad no es seguridad. Creemos en crear protecciones que sean fundamentalmente resilientes al conocimiento que tienen los atacantes de la lógica detrás de cualquier regla o protección en particular. Nuestro objetivo son las técnicas que los atacantes tienen dificultades para no utilizar y brindamos muchas capas de protección; si se evita una pieza, hay más protecciones detrás.

La competencia puede robar nuestra lógica de detección. Nuestro objetivo con el enfoque abierto es empoderar a nuestros usuarios y lograr una mejora significativa en seguridad a través de mayor transparencia. Esto significa "hacer que todos los botes floten", incluso si puede beneficiar a otros proveedores de seguridad, algunos de los cuales quizá tomen todo lo que puedan independientemente de las licencias y demás restricciones, sin dar nada a cambio. Estamos seguros de que nuestra ventaja competitiva solo se fortalece a medida que hacemos cosas para ayudar a nuestros usuarios. No se trata solo de las reglas de detección. Elastic Security brinda a los usuarios la mejor arquitectura para ejecutar la lógica de detección y bloquear amenazas.

Conversación abierta

Fieles a nuestra naturaleza abierta, nos encantaría recibir tus comentarios: habla con nosotros a través GitHub Issues, chatea con nosotros en nuestro Slack de la comunidad, haz preguntas en nuestros foros de debate. Cuéntanos qué necesitas. Pregúntanos por qué tomamos una decisión determinada. O incluso mejor, comparte la lógica de detección con el mundo y ayúdanos a elevar la vara. 

Nuestra invitación a compartir la lógica de detección va más allá de solo nuestra base de usuarios global. El statu quo entre los proveedores de EPP/EDR debería evolucionar hacia la transparencia. Sabemos que somos pioneros en esto y esperamos que otros se unan. 

En resumen, creemos que agregar transparencia a la protección de endpoint es lo correcto para nuestros usuarios, por eso lo hicimos. Tenemos la esperanza de que otros proveedores se unan y aporten mayor transparencia a la seguridad de endpoint. Puedes esperar ver firmas YARA y reglas conductuales actualizadas a medida que actualizamos Elastic Endpoint Security.

Mantente atento a una futura mayor transparencia en la seguridad de endpoint de Elastic Security, no pierdas de vista protections-artifacts. Planeamos lanzar artefactos para características de protección de endpoint adicionales en el futuro. Además, no olvides mirar los Elastic Security Labs para más información sobre la investigación de seguridad que realizamos aquí en Elastic.  

Lee esto a continuación: Ingresar más datos en tu SIEM y aumentar la eficiencia operativa.