firma invitada panda security

Conocí a Simon Edwards en enero de 2007 en la primera reunión de AMTSO en Bilbao. Durante muchos años, Simon se dedicó a testar productos de seguridad para Dennis Publishing y, en aquella época, también era director técnico de Dennis Technology Labs. Con los años, el prestigio de su trabajo ha hecho que sea uno de las nuevas referencias en este campo.  Hace menos de un año, emprendió un nuevo camino en su carrera profesional cuando fundó su propio negocio, SE Labs .

1- Desde tu época como editor de la revista Computer Shopper, tu vida ha estado vinculada al mundo de la seguridad informática. ¿Cómo ha sido tu experiencia en un sector tan cambiante e innovador?

simon-edwards-mediumres
Simon Edwards, fundador SE Labs

Siempre he tenido una visión muy ética del mundo de la seguridad informática ya que nuestra intención siempre ha sido la de hacer un mundo mejor. Nuestro trabajo consiste en mucho más que testar productos anti-malware. Ofrecemos inteligencia sobre amenazas a empresas de gran tamaño y, en el Reino Unido, la industria aseguradora utiliza nuestra información para tomar decisiones importantes. Aunque nos desvía un poco del testeo, aún seguimos testando productos de seguridad, y la información que obtenemos repercute en la  inteligencia sobre amenazas que ofrecemos.

La primera vez que me pidieron desarrollar un test para un grupo de antivirus me puse a pensar en cómo hacerlo, pero sin ningún tipo de información de otros testers ni de las empresas que hacen programas antivirus. Así que, totalmente aislado de los expertos, se me ocurrió un método de testeo y descubrí que algunas de las amenazas más conocidas eran capaces de esquivar los antivirus, especialmente aquellas más parecidas a los troyanos y los ataques de hacking que a los virus estándar diseñados para replicarse automáticamente. Eso me resultó muy interesante.

La respuesta de los lectores fue fantástica, y cada vez que publicábamos un test de este tipo vendíamos más revistas que un mes normal. Sin embargo, a la industria antivirus no le hizo tanta gracia, e incluso recibí alguna llamada telefónica bastante agresiva de gente a la que hoy día considero grandes amigos. Creo que simplemente nos faltaba conocernos y tener confianza mutua.

La actitud que suele tener la industria de la seguridad cuando se enfrenta a críticas de alguien que no conoce es la de atacar.”¿Quién es este tío que dice que nuestro producto no vale para nada? ¡O es un idiota o está comprado!” La verdad es que las cosas no han cambiado demasiado a este respecto. Al menos ahora la gente sabe que SE Labs desarrolla tests útiles y trabaja de forma ética.

La actitud que suele tener la industria de la seguridad cuando se enfrenta a críticas de alguien que no conoce es la de atacar.

Un cambio grande que sí se ha producido es que los fabricantes están empezando a ver la utilidad de que los testers ataquen realmente los sistemas en vez de utilizar el malware normal que se encuentra en Internet. Nosotros nos dedicábamos a realizar ataques de hacking en nuestros tests ya en la época de Back Orifice 2000 y utilizábamos otras herramientas a las que tenían acceso los hackers. En aquella época se trataba de algo muy polémico, ya que la industria en general veía el crear amenazas como un tabú. Muchos todavía piensan igual, a pesar de que nosotros hemos estado desarrollando ataques dirigidos desde entonces, algo que nos parece adecuado teniendo en cuenta la gran cantidad de productos que afirman ser capaz de neutralizarlos.

2- ¿Cómo es ser un empresario? ¿Todavía sigues realizando los tests tú mismo o se han convertido las tareas de gestión en la parte principal de tu día a día?

Sigo revisando personalmente los conjuntos de datos que utilizamos en los tests que publicamos, y también desarrollo las metodologías de las pruebas que nuestros fantásticos testers utilizan con los productos que evaluamos. Los tests y las tareas generales de la oficina las realizan el equipo de SE Labs en Londres. Una vez que un test está en marcha y funcionando, confío en el equipo y dedico la mayor parte de mi tiempo a otros miles de cosas. Lo más interesante de crear un negocio desde cero es que hay un montón de tareas creativas que realizar.

Cuando llevas una empresa tú solo tienes que tomar decisiones sobre prácticamente todo. Un día estaba negociando acuerdos financieros de 6 cifras y al siguiente estaba respondiendo preguntas sobre cucharillas. Me pasé literalmente medio día en Ikea discutiendo con mis colegas sobre qué cubertería comprar.

Hay mucha emoción y falta de madurez en las nuevas empresas de “última generación”.

Volviendo a los tests, he dedicado mucho tiempo a intentar trabajar con las empresas más nuevas del sector. Algunas son algo reacias y entiendo el porqué. Las startups son vulnerables y un mal resultado puede acabar con un negocio casi antes de empezar. Sin embargo, algunas de las campañas de marketing que hemos visto son tan agresivas que casi te invitan a ver si es verdad todo lo que dicen. Hay mucha emoción y cierta falta de madurez en esta nuevas empresas de ‘última generación’. Es algo que tiene que parar, ya que no beneficia a los clientes.

3- Como Director de SE Labs, ¿todavía hay cosas de tu trabajo que te sorprendan en el día a día?  ¿Os veis obligados a adaptar frecuentemente vuestros tests a los nuevos ataques que van apareciendo? 

Una parte fundamental de lo que hacemos es buscar y utilizar las amenazas más activas. En teoría, todos los productos deberían obtener una puntuación de 100% en nuestros tests, ya que no utilizamos amenazas de los confines de Internet ni de día cero. Así que siempre me ha sorprendido bastante que la mayor parte de fabricantes no obtengan resultados del 100%. En el sector de la seguridad se suele opinar que un test en el que todo el mundo obtiene el 100% no vale para nada. Pero yo no estoy de acuerdo con eso, siempre que el test venga acompañado de una buena explicación de lo que pretende conseguir.

Pero independientemente de eso, si expongo a los productos anti-malware más importantes del mercado a 100 de las amenazas más conocidas sé que algunas no se van a detectar. Y eso es algo que me sigue sorprendiendo. Trabajamos con muchos fabricantes para ayudarles a resolver esos problemas.

4- Además de las soluciones tradicionales de seguridad, en los últimos años han aparecido en el mercado muchas soluciones con nombres del  tipo ‘AV de última generación’ que utilizan un enfoque distinto a la hora de proteger a las empresas. ¿Has tenido ocasión de probar alguna de ellos? ¿Cuál ha sido tu experiencia?

Hemos tenido ocasión de acceder a algunos de esos llamados ‘productos de última generación’ y ya me imagino lo que crees que voy a decir. Evidentemente, no se tratan de la solución mágica que las campañas de marketing parecen sugerir. Pero aun así están demostrando ser soluciones competentes. Seguramente no me arriesgaría a ejecutar muchas de ellas en mis sistemas sin algún otro tipo de anti-malware, pero tampoco son el engaño que mucha gente cree que son. No son perfectas, pero tampoco son una basura.

Siempre me ha sorprendido bastante que la mayor parte de los fabricantes no obtengan resultados del 100%.

5- También hay soluciones de fabricantes ‘tradicionales’ que se incluyen en la categoría EDR (Endpoint Detection and Response). ¿Habéis tenido la oportunidad de probar alguna de ellas? 

Sí, lo hemos hecho, e incluso ejecutamos uno de esos productos junto con uno de los ‘antivirus tradicionales’ en nuestros propios sistemas. Poder ser capaz de monitorizar un ataque cuando se produce puede ser muy útil. Aunque somos una empresa relativamente pequeña, seríamos muy inocentes si pensásemos que nadie va a querer meterse con nosotros. Nuestra influencia va más allá del simple mundo de los test de antivirus y como tal, debemos ser muy cuidadosos.

6- Has sido parte de AMTSO desde el comienzo, y de hecho eres un miembro actual de la Junta Directiva. En tu opinión, ¿cuáles son los mayores logros que ha alcanzado AMTSO desde su creación?

La relación que existe actualmente entre los testers de productos anti-malware y los desarrolladores de dichos productos es un millón de veces mejor de lo que era en el pasado. Esto es muy importante, ya que una buena relación se traduce en un ciclo de desarrollo productivo del software que todos empleamos para proteger nuestros equipos. En el pasado, los fabricantes odiaban a los testers y veían sus resultados como algo que evitar en vez de algo que emplear para mejorar sus productos. Creo que AMTSO ha resuelto ese problema en gran medida.

7- ¿Cuáles son los desafíos a los que tendrá que enfrentarse AMTSO en el campo del testeo en un futuro cercano?

Las empresas de última generación son contrarias al testeo. Pueden que digan lo contrario, pero en mi opinión no quieren que se las ponga a prueba. Su objetivo son las inversiones y el crecimiento. AMTSO tiene que atraer a estas empresas y ayudarlas a entender que hay cosas más importantes que atraer fondos para inversión. Los clientes también cuentan y deben ser protegidos. Y el testeo juega un papel muy importante en eso. No pueden pretender tener éxito si operan aisladas del mundo.

8- En tu opinión, ¿cuál es el mayor reto al que se enfrentan actualmente las instituciones y empresas en el campo de la seguridad informática? ¿Existe realmente un desfase entre la adopción de nuevas tecnologías por parte de las empresas y la aplicación de las medidas de seguridad adecuadas?

Creo que el mayor reto consiste en entender que proteger un negocio consiste en mucho más que simplemente conectar varios elementos tecnológicos. Los usuarios son potencialmente el eslabón más fuerte de la cadena, cuando a menudo se les acusa de ser el más débil. La formación puede ayudar mucho a este respecto. Volver a los conceptos básicos y entender realmente en qué consiste la seguridad ayudaría muchísimo. Parece que resulta más sencillo gastarse unos cuantos millones en un nuevo tipo de firewall, pero eso no resuelve el problema. Esto es algo que los CISOs deben entender.