“Hay un problema de eficiencia con las herramientas de seguridad”, Laurent Oudot, CTO, Tehtris

Según un reciente estudio de Gartner, el 75% de las empresas a nivel mundial aspira a consolidar sus proveedores de seguridad, frente al 29% de 2020; las razones se encuentran en las ineficiencias y en la falta de integración de una pila de soluciones de seguridad heterogéneas. La consultora recomienda a los responsables de IT considerar planteamientos como SASE o XDR para unificar sus herramientas de seguridad. Sus datos apuntan que para finales de 2022, un 41,5% de los participante de su estudio habrían adoptado SASE en sus organizaciones, mientras que un 54,5% lo habría hecho con XDR (eXtended Detection Response).

Laurent Oudot, CTO y co-fundador, Tehtris

Entre las empresas que proporcionan este tipo de plataformas para la detección y respuesta ante amenazas gracias la visibilidad que aporta de las redes, la nube, el endpoint y otros componentes, se encuentra la firma europea Tehtris, cuyo CTO y co-fundador, Laurent Oudot, ve así la situación: “Hay un problema de eficiencia con las herramientas de seguridad. Durante años, las empresas vendían herramientas de seguridad ineficientes, con demasiado marketing y la afirmación de que estaban protegiendo contra ataques desconocidos, pero era mentira. Cualquier antivirus del mercado puede recibir un archivo y decir si es o no un virus, pero esto lo hace en base a un catálogo de firmas. Durante años y años, nos centramos en la seguridad basada en firmas, y lo dábamos por suficiente. Pero se ha producido un cambio en estos años y ahora, cada día tenemos más de 3.000 armas nuevas de malware; a veces, medio millón por día, ¡por día! Lo que significa que es imposible que los humanos escriban todas las firmas. Las empresas de antivirus intentaron automatizar la forma de escribir sus firmas, pero no es suficiente".

"En una gran empresa, para protegerse de todas las amenazas, por lo general, no tienen una única marca de herramientas de seguridad; a veces tiene un promedio de alrededor de 45 soluciones de seguridad, lo que significa que necesita implementar 45 soluciones diferentes, mantener las herramientas y echar un vistazo a los generadores de alertas en cada herramienta, pero no tienes 45 personas y es posible que las que tengas, en algún momento estén de vacaciones… Pero es lo que se hizo durante más de 20 años. Hoy ya es incompatible con la situación actual, un desastre. Los clientes están realmente hartos de la situación y no quieren tener demasiadas soluciones, quieren simplificar la seguridad y tener algo eficiente por lo que quieren pagar, pero no demasiado. Porque esto es una crisis incluso desde el punto de vista económico. Quieren alta calidad y eficiencia”, añade el CTO de Tethris. 

Las plataformas de XDR, evolución de los EDR que se limitaban al punto final, ofrecen una visión holística de lo que sucede en las redes, los sistemas, la nube, o el puesto de trabajo. Según MarketsandMarkets, el mercado de soluciones de detección y respuesta extendidas (XDR) moverán en 2027 en torno a los 2.358 millones de dólares, frente a los 985 millones de 2022. “Tienes diferentes formas de tener XDR: puedes crear tu propio entorno XDR, como un XDR abierto. Pero al final estás tratando de tomar diferentes bloques de soluciones y poner APIs para generar información entre los módulos. Y a veces es complejo. O puedes comprar algo que proponga todo. Pero ¿cómo obtiene? La consolidación se crea a través de fusiones y adquisiciones, especialmente en los EE. UU y en Israel, porque están comprando todo el vertical técnico y poniendo algún tipo de pegamento entre las herramientas para que puedan trabajar juntas. En Europa -somos la única compañía de XDR europea en la guía del mercado XDR de Gartner-, hicimos algo totalmente diferente con muchos desarrolladores de muchos países trabajando en Burdeos (Francia), pero tenemos gente de España, de Polonia, etc. Decidimos crear todas las verticales nosotros mismos. Así que esto es lo que llamamos una plataforma XDR nativa. No es una consolidación mediante una fusión de soluciones adquiridas, es la forma de proponer a un cliente que elija tener una única marca, como Apple para su teléfono. Con Tehtris el cliente puede hacer una integración fluida y simplemente pasar de un módulo, a dos módulos, tres módulos y así sucesivamente. Y podemos ayudar a las personas a deshacerse de las herramientas viejas cuando estén listas”.

La compañía, especialista en neutralización automática de ciberataques sin intervención humana, cuenta con clientes en 120 países y recibió el año pasado una ronda de financiación que le ha permitido abrir oficina en Canadá y Tokio para dar soporte 24x7. Su nombre nada tiene que ver con el juego que encaja las piezas y sí con los conceptos de hacking ético, tecnología, confianza y robustez. Su equipo está formado por 260 personas, un 66% de los cuales se dedica al I+D. 

"Partir de cero con nuestra IA nos permite trabajar correctamente y con una alta velocidad"

Respecto al diferencial de su producto, Oudot explica que “creamos una inteligencia artificial nativa, de nombre CYBERIA, que actúa como puente vinculando todas las herramientas. Si hubiéramos hecho una adquisición fusionada, sería un desastre, porque tendríamos que aprender de las redes neuronales de diferentes piezas de código, de compañías extranjeras, etc. Sería realmente complejo. Partir de cero con nuestra IA nos permite trabajar correctamente y con una alta velocidad. Queremos proponer al cliente una solución que le permita tener una integración fluida; que pueda tener un antivirus, adquirir nuestro EDR y no deshacerse del antivirus hasta el año siguiente para implantar el nuestro, y luego implementar una herramienta de defensa de amenazas móviles, y así progresivamente. Por lo general, estamos haciendo venta cruzada con los diferentes tipos de módulos. La infraestructura de una empresa es como un país digital, con fronteras. Tener fronteras es complejo porque este es un mundo casi sin fronteras: las empresas están en la nube, dónde están los datos, etc… Normalmente, lo que hacemos es poner sensores que se implementan dentro de la infraestructura, que recopilarán información y devolverán esta información a una capa de inteligencia y de ahí al XDR, donde tenemos herramientas de hunting para dar caza a los hackers, herramientas forenses para estudiar el ataque, inteligencia artificial, tickets para colaborar con humanos. Así pues, serían tres capas: la primera es la tierra, la infraestructura del cliente con sensores; luego la capa de inteligencia con los módulos y finalmente, un lago de datos que está en el XDR. Algo importante es que los sensores no son solo sensores, son sensores inteligentes, como robots que aplican la remediación automática cuando hay un ataque para que se produzca la neutralización automática sin interacción humana”.

Sobre el modelo de implementación, el CTO de Tehtris explica que “cuando tenemos un nuevo cliente, creamos su propio XDR, lo que significa que los datos de este XDR no se compartirán en otra infraestructura. Esta es una infraestructura dedicada para este cliente y luego solo alquilan la solución bajo un modelo SaaS. Usamos la cloud de OVH porque está en Europa y no hay problemas con la residencia y la privacidad de los datos. Pero también hay bancos o aseguradoras que quieren servidores locales. Entonces les planteamos un modo híbrido donde el XDR está en la nube y la infraestructura media, la capa con los servidores, no los sensores, dentro de la infraestructura de los clientes; aunque estarán vinculados a nuestro cloud para devolver la alerta en caso de incidente. Así pues, gestionamos el servidor, la nube y así sucesivamente. Por encima de nosotros pueden estar socios MSSP como Capgemini o nosotros mismos con clientes históricos”.

Preguntado por un valor significativo que demuestre la valía de su solución, Oudot pone el ejemplo de la brecha del software de SolarWinds, que afectó numerosas empresas del Fortune 500 y a organismos gubernamentales de todo el mundo, especialmente en Estados Unidos. “Durante nueve meses, nadie vio nada en el país. ¿Quién los protegía? Nuestros oponentes, los líderes del mercado. Una vez que se publicó el ataque, tomamos el malware y lo probamos con nuestras herramientas para ver si hubiéramos sufrido los mismos problemas que nuestra competencia. Se detectó en menos de 1 minuto. Ya en 2017, cuando la Guerra de Crimea, los hackers rusos destruyeron la electricidad durante unas horas en Kiev con código malicioso. Tomamos el malware y se lo metimos a nuestra inteligencia artificial que detectó en unos segundos que era un malware. Nuestro mantra es “enfrentar lo impredecible”. Significa que tienes a gente jugando con firmas de listas negras y listas blancas, pero ¿cómo tratas lo desconocido? Por nuestra parte, creamos una tecnología que puede funcionar con los binarios desconocidos y el comportamiento desconocido para comprender si es algo malo o no. Por ejemplo, tenemos una sandbox donde llevamos un archivo nuevo y lo analizamos automáticamente con nuestros robots. También podemos analizar todo lo que hay dentro del archivo con análisis estático, análisis dinámico, inteligencia artificial, etc. Y hemos puesto los límites más allá de lo que hay en el mercado para saber si algo desconocido es bueno o no. También hacemos análisis de comportamiento. ¿Es Word bueno o malo? En principio no, pero ¿y si se usa para abrir un phishing con algo malo? Entonces Word se volverá malo debido a la macro activada, y tal vez intente destruir el disco duro y así sucesivamente. La conclusión puede ser que Word sea bueno para un antivirus, pero ¿qué pasa con el comportamiento? Lo que hemos creado no es solo para echar un vistazo a los programas, sino también para ver cómo interactúan dentro del sistema. Y ahí es donde estamos realmente bien. Este es el mantra de la empresa “enfrenta lo impredecible”.  

En 2023, los expertos de Tehtris advierten que los ataques impulsados por IA serán mucho más sofisticados, más personalizados, más rápidos y cada vez más difíciles de detectar. Ante esta situación, y la impredecibilidad que apunta Laurent Oudot, la compañía se ha rodeado de socios para crear interconexiones que potencien las estrategias de ciberseguridad de las empresas. Por ejemplo, con Zscaler para una interacción más fluida con los mecanismos de Zero Trust. “No podemos hacer todas las herramientas de seguridad en la Tierra, como Zero Trust o anti-phishing o autenticación. Así que hemos creado un ecosistema Tehtris que es una forma de abrir nuestra plataforma a socios para que puedan enviar información desde sus herramientas. Tenemos unos 15 socios, como la mencionada Zscaler, Proofpoint u Octa. Pero también tenemos empresas menos conocidas, startups francesas, porque queremos ayudar a la comunidad emprendedora a tener la posibilidad de salir al mercado pues a veces tienen módulos interesantes, pero son demasiado pequeños y las grandes empresas no quieren jugársela con ellas. Entonces podemos proponer a las empresas que prueben la herramienta dentro de nuestro equipo y no hay riesgo. Y esa es una forma para que se den a conocer”.

Mercado objetivo

Este principio de llegar a todos rige también el patrón de cliente objetivo de Tehtris. Aunque sus principales clientes son grandes empresas, con más de 50.000 empleados, también tienen grandes pymes. “Y en Francia nos pidieron que creáramos una opción para pequeñas empresas con menos de 100 dispositivos. Así que creamos tehtris.store, donde puedes usar tu tarjeta de crédito y comprar la herramienta para proteger tus Windows. En cinco minutos tienes la herramienta en tu disco duro, la inteligencia artificial y no tienes nada más que hacer. Acabamos de lanzar gratis Tehtris Mobile Free Defence para iPhone porque teníamos muchas solicitudes.

En cuanto a nuestro país, la compañía llegó a España en 2022 como parte de su primera ola de despliegue comercial por Europa, junto con Alemania. Aquí se ha fijado en las oportunidades de los segmentos de educación y sanidad, donde el gobierno ha realizado grandes inyecciones. “Y también los bancos, porque están siendo objetivo de numerosos ataques, y las aseguradoras, pues tienen bases de datos con toneladas de datos de españoles, no solo de salud, también direcciones, números de teléfono, etc. Permanecemos humildes y comenzaremos de esa manera. Queremos hacerlo con nuestro fuerte equipo español, con partners para que puedan venderlo en España y proponer sus propios servicios”. Pedro Morcillo fue nombrado country manager y entre sus partners cuenta con Ingecom o Sopra Steria.