Cómo mitiga CMC Markets los ataques de día cero

Cuando su negocio contiene elementos de servicios financieros, retail y videojuegos, necesita un enfoque ágil para la seguridad que combine recursos internos y soluciones de terceros. La compraventa online de CMC Markets no es una excepción.

En una conversación reciente con Akamai, Philip Yeo, director del equipo de seguridad de CMC Markets, explicó cómo la empresa combina una vigilancia ininterrumpida con reacciones muy rápidas cuando se produce un incidente de día cero. 

También habla sobre el papel que Akamai desempeña en la protección de la empresa y cómo los reguladores y las aseguradoras están respondiendo a la amenaza continua de los ataques de día cero.  

Para leer la conversación completa, consulte la transcripción que aparece a continuación.

Natalie Billingham: Estoy encantada de que me acompañe Phil Yeo, responsable del equipo de seguridad en CMC Markets. Phil, ¿puede presentarse y contarnos un poco más sobre lo que hace?

Philip Yeo: Claro, gracias. Soy el director del equipo de seguridad en CMC Markets. Somos una empresa internacional de retail online. Desde el punto de vista de la seguridad, tenemos características de las empresas de retail, porque tenemos muchos usuarios finales que acceden a nuestros servicios desde muchos tipos diferentes de dispositivos. También tenemos características de FinTech porque estamos regulados como las empresas de servicios financieros, además de varias características de empresas de videojuegos en el sentido de que gran parte de la interacción de nuestros usuarios depende mucho del tiempo. Una interrupción de la conexión o desconexión daría lugar a una experiencia insatisfactoria. 

NB: ¿Cómo empezó su viaje con Akamai?

PY: CMC Markets ha existido durante un tiempo y ha desarrollado su tecnología, plataforma y productos en el Reino Unido. Ahora tenemos clientes de muchos países de Asia y Europa, así como de Australia y Canadá. Estos clientes quieren flujos de precios y gráficos en tiempo real, así como la capacidad de realizar actividades comerciales intradía. La calidad de la conexión y el rendimiento general son muy importantes para nosotros.

Llevamos a cabo una implementación inicial de una red de distribución de contenido (CDN) de otro proveedor que no fue demasiado bien. Pero sí aprendimos que no queríamos gestionar las redes en el borde de Internet nosotros mismos. Akamai también se sentó a la mesa de negociaciones en un momento en el que estábamos creando nuestras tecnologías de firewall de aplicaciones web (WAF). Las vulnerabilidades de DDoS y DNS también estaban en mi agenda. Cuando estudiamos las propuestas de Akamai, vimos que podíamos obtener la plataforma de distribución de contenido, el centro de datos, la protección contra DDoS, Site Shield y el WAF como un servicio gestionado. Realmente no me lo pensé ni un solo segundo.

Para empezar, nos centramos en proteger un par de productos destinados a los mercados del Reino Unido y Australia. Sin embargo, por la forma en que funcionaba el contrato, una vez implementadas las partes más delicadas, la capa de seguridad de Akamai podría protegerlo todo. Establecimos como nuestra política predeterminada que todo aquello relacionado con Internet y el público se basara en Akamai. 

Los chicos de la web, los servicios de marketing y SEO no tuvieron ningún problema porque nuestro rendimiento era más coherente y hubo una reducción de las quejas de nuestros clientes internos. Eso es lo mejor desde el punto de vista de la seguridad interna. Cuando el personal de marketing y el de productos no se quejan de la seguridad, eso es una clara victoria.  

Los servicios gestionados de Akamai también nos ayudaron a conseguirlo. Durante los ajustes mensuales, mostraron una comprensión clara de nuestro perfil de riesgo. Especialmente cuando nos ayuda a evitar falsos positivos, que pueden ser un problema importante si acabas bloqueando a un cliente legítimo de gran valor. 

NB: Cuando piensa en otros desafíos de ciberseguridad a los que se enfrenta el sector financiero, ¿cuáles le vienen a la mente?

PY: Hay muchas cosas que pueden salir mal. La amenaza del ransomware es real. Estamos tratando de evitar que las personas reciban ataques de phishing y que el malware entre en nuestro entorno. Por otra parte, la presión normativa siempre está presente, y sentimos que el régimen de auditoría es prácticamente imparable. 

NB: En el mundo de los servicios financieros hay que enfrentarse a algunas presiones especialmente rigurosas. Sin revelar información confidencial, ¿cómo las superan? 

PY: Creo que la ideología Zero Trust tiene mucho sentido. Pensamos en implementar algún tipo de gestión de acceso privilegiado, pero eso es mucho trabajo y se necesita más de una solución para lograrlo. No hay soluciones mágicas para nosotros, pero si alguien conoce alguna, me encantaría que me dijera cuál es.

Lo más positivo es cuando existen centros de datos locales y de desarrollo interno heredados que necesitan gestionarse. Sin embargo, cuando pasamos por una transformación en la que adoptamos tecnologías de nube y una situación en la que diferentes unidades de negocio están lanzando los productos lo antes posible, esto presenta otro desafío de seguridad.  

¿Cómo mejoramos nuestra ventaja competitiva si queremos una seguridad excelente? ¿Y cómo lo hacemos sin ralentizar el ciclo de vida de desarrollo? Hay muchas cosas que se pueden integrar en la conformidad automática para aplicar políticas de control y seguridad en todo el proceso de entrega. A continuación, podemos implementar la plataforma en el borde de Internet de WAF de Akamai para que lo proteja todo. 

NB: Suceden constantemente muchas cosas, sobre todo cuando se abarca tantos mercados y negocios diferentes. Aunque opera en el sector de los servicios financieros, como ha mencionado, también abarca el sector de los videojuegos. ¿Cómo se enfrenta a los eventos de alta demanda y a los picos de actividad de los consumidores?  

PY: Hemos tenido que priorizar la capacidad, porque si no estamos online, nuestros clientes pueden acceder a otro sitio. Tenemos algunas personas estupendas que supervisan la capacidad y observan los momentos más concurridos del día, la latencia de las operaciones y la capacidad que necesitamos. Hemos realizado un gran modelado de la capacidad y, a continuación, nos hemos asegurado de obtener ayuda externa con la CDN y la protección contra DDoS.

NB: También ha mencionado anteriormente la labor de las personas. Una de las cosas que todos hemos descubierto en el sector de la seguridad es el desafío de encontrar personas capacitadas en el campo de la seguridad. ¿Cómo le ha ayudado Akamai a liberar recursos internos para que pueda centrarse más en sus proyectos de alta prioridad?

PY: Con nuestro proveedor anterior, la pregunta era quién sería el responsable de gestionar la política de todas las aplicaciones. Pensé que nosotros podríamos hacerlo, pero llegamos a la etapa en la que estábamos barajando la posibilidad de dejar que los equipos de desarrollo gestionaran algunas de esas políticas, y nos dimos cuenta de que no era factible. Ese fue el punto de inflexión que nos llevó a Kona Site Defender como un servicio gestionado para que no tuviéramos que centrarnos en hacer los ajustes necesarios. 

A lo largo de los años, he analizado mucho la externalización y los proveedores de servicios gestionados con mi jefe. Tienes que encontrar algo que sea adecuado para ti porque estás confiando tu seguridad a otras personas. 

Queríamos encontrar áreas en las que pudiéramos externalizar servicios o asociarnos con un proveedor de servicios que añadiera valor, pero en las que no perdiéramos el control que necesitamos para mantener la capacidad de respuesta. Si hay un problema, queremos a alguien que nos atienda al teléfono inmediatamente.

NB: Sí, es algo de lo que a menudo hablamos con los clientes. Quieren control y servicios, y mantener la intimidad de los clientes. Pero también quieren mantener su propia agilidad y capacidad de ejecución. A medida que la pila de seguridad se vuelve más compleja y especializada, esa asociación de confianza se vuelve más importante.

PY: Coincido plenamente. Estamos encontrando esto con algunas de las otras áreas que estamos pensando en destinar a la externalización. Queremos ser capaces de anular, implementar o revertir cuando queramos. Si no podemos hacerlo, no va a ser muy cómodo. Por otro lado, no disponemos de las habilidades necesarias para todos los productos. 

NB: Es un buen consejo. Si hubiera otros clientes de Akamai en la sala, ¿qué creen que nos pedirían a nosotros o a cualquier otro proveedor para generar esa confianza? 

PY: Akamai tiene credibilidad a nivel mundial. Tuvieron un incidente el año pasado y, aunque nos afectó un poco, la forma en que lo solucionaron, el informe posterior al incidente y la transparencia general indican que hay muchas cosas en marcha que nos demuestran que se lo toman en serio. Ustedes también sufrieron con nosotros en ese momento.

NB: Y cuando piensa en el panorama general de proveedores de seguridad, ¿hay áreas específicas en las que se centra?

PY: He trabajado en el sector de seguridad de la información durante 15 años, y la retórica de ventas a veces es descaradamente falsa. Ningún proveedor va a ofrecer una protección al 100 % con cero falsos positivos, eso simplemente no es realista. No es útil. Necesitamos que los proveedores respalden sus declaraciones o que nos den lo que necesitamos probar y evaluar.

NB: Creo que se trata de encontrar lo que es adecuado para su propio negocio, ¿verdad? Desde que estamos entrando en esta área de asesoramiento, los últimos dos años han sido un poco inusuales en muchos aspectos. ¿Qué ha aprendido? ¿Qué consejo les daría a sus compañeros?

PY: Estoy seguro de que no hay nada que no hayan oído ya. El ritmo de respuesta va en aumento. Hablamos con uno de nuestros corredores de seguros sobre la situación actual, y fue interesante porque a veces parece que los reguladores dicen una cosa y los estándares dicen otra. Es como si las aseguradoras estuvieran pagando por los ataques de ransomware y supieras que, efectivamente, están pagando. Hacen preguntas muy concretas sobre nuestras medidas de seguridad. 

Una de las cosas que dijeron que habían observado es una reducción masiva del tiempo que transcurre entre el momento en que una red es vulnerada y el momento en que ocurre lo malo. Hay que responder de forma más rápida. 

Debe detectar una intrusión lo antes posible cuando se produzca y, si no se puede responder dentro de un periodo razonable de tiempo, las consecuencias no son buenas. El tiempo disponible para limitar los daños es cada vez más menor.

Ayuda si usted puede aprovechar la sabiduría de la comunidad más amplia de las personas inteligentes que se dedican a la seguridad de la información. Twitter es útil aquí a veces. ¿Quién recibió el golpe primero? ¿Lo ha averiguado? ¿Tiene una regla para el ataque? ¿Puedo implementarla? Log4J sería un buen ejemplo de lo dolorosas que resultan las consecuencias, pero teníamos implementado nuestro WAF de Akamai y os llamamos por teléfono, lo que nos dio un poco de espacio para maniobrar.

NB: Son muchos los factores que hay que gestionar, ¿verdad? Intentar tener capacidad de respuesta, sobre todo en lo que respecta al ransomware, y especialmente con la reducción del tiempo de respuesta y las aseguradoras acechando.

PY: Y durante la pandemia, todos invertimos horas y horas. Te levantas antes y trabajas todo el día, y luego la gente empezó a darse cuenta de que había un elemento humano en juego. Estamos estructurando nuestros equipos de manera que puedan responder rápidamente y estar pendientes todo el tiempo. Pero ¿cómo podemos también tomar medidas para que no se desgasten?

NB: ¿Y cómo lo está haciendo?

PY: Sigo manteniendo esas conversaciones con el equipo de dirección. Les comento que cuántas veces se puede evitar un accidente por los pelos con solo unas cuantas personas actuando como superhéroes. Queremos capacitar a más personas, desarrollarlas y orientarlas, y aprender de otras personas. 

NB: Es lógico. Si miramos hacia el futuro, ¿qué ve en el horizonte?

PY: Los errores básicos siguen produciéndose. No hay ningún obstáculo para ser un desarrollador web. Los errores cometidos hace 30 años siguen produciéndose. El extremo superior es cada vez más difícil y complejo. 

Está hablando de seguros cibernéticos y ciberseguridad, lo cual es extraño, porque en el mundo físico, pensaría si debería preocuparse porque le roben y que no pueda hacer nada al respecto. Pero ¿qué gobiernos se están uniendo para cambiar ese panorama? En realidad, hay muchas empresas de tecnología que están liderando el camino, lo cual es interesante. Pero ¿realmente desea que las empresas de tecnología establezcan sus normativas? No lo sé. 

NB: Sí, se está trabajando mucho en el diseño de políticas públicas. Por otra parte, las normativas de la UE, el Reino Unido y Estados Unidos son diferentes. Es un área fascinante en este momento, dada la situación que estamos viviendo con la guerra en Ucrania. ¿Hay tecnologías concretas que esté pensando en utilizar cuando mira hacia el futuro?

PY: Depende de lo que estemos considerando. Si tuviera un proyecto nuevo, empezaría de nuevo de forma muy diferente. Pienso mucho en Zero Trust, especialmente en la microsegmentación. Me interesa hablar sobre lo que se puede hacer también con cargas de trabajo sin servidor.

NB: ¿Alguien de la audiencia tiene alguna pregunta para Phil? 

Audiencia: En cuanto a la automatización y la inteligencia artificial, ¿en qué medida se siente cómodo siguiendo la ruta de la automatización? ¿Hasta qué punto puede profundizar esta ruta en su entorno de seguridad?

PY: No nos da miedo en absoluto. Estamos hablando de modelos heurísticos de aprendizaje automático que son aproximaciones matemáticas. Si sabe lo que está utilizando y dónde lo está utilizando, entonces puede ser sensato, o no. Depende de la situación. Puede tener una regla rígida o una más complicada. Las coincidencias de patrones son buenas para algunas situaciones y una mala idea en otras. 

Lo que estamos haciendo internamente como empresa será propiedad de la empresa, pero estamos buscando proveedores que puedan profundizar y formarse. Pasamos horas tratando de detectar las anomalías, y eso ayuda realmente con la prevención de fallos y la capacidad. 

Uno de mis compañeros ha creado muchas herramientas de supervisión que buscan anomalías. No necesitábamos modelos clásicos de aprendizaje automático para llegar lejos con eso. Así que creo que todavía hay un elemento de propaganda en torno a la tecnología. Pero, en general, no me asustaría un servicio que utiliza el aprendizaje automático.  

Audiencia: Ha mencionado cómo se comunica con otros en situaciones de crisis a través de Twitter. ¿En qué medida cree que esta comunidad será importante en el futuro y qué papel cree que desempeñará un proveedor como Akamai?

PY: Twitter es genial. No soy un usuario especialmente destacado, pero hablo con gente que conozco a través de esos canales. Me encanta cuando alguien encuentra algo, como una cadena maliciosa, que puede compartir con el resto de la comunidad. Allí hay proveedores que recopilan toda la información y hacen lo que pueden. Muchos analistas de seguridad son excelentes. Se mantienen al día. Quiero aprender de cualquiera que ya haya resuelto un problema. Por nuestra parte, cuando hay algo que beneficie a la comunidad, queremos compartirlo.

NB: Phil, gracias por dedicar parte de su tiempo a hablar con nosotros, lo agradecemos mucho. 

PY: Atentamente,