El 19 de julio de 2024, hubo una importante interrupción en algunas PC con Windows debido a un aparente problema con una actualización de CrowdStrike. Según informes, el problema se originó en un controlador de nivel de kernel utilizado para conectar CrowdStrike a PC y servidores con Windows.
Según CrowdStrike, la actualización defectuosa “no es un incidente de seguridad ni un ciberataque” y desde entonces ha sido identificada, con una solución que ya ha sido implementada.
Se informa que la actualización causó la Pantalla Azul de la Muerte, la famosa alerta de error de Windows, en varios sistemas informáticos en todo el mundo. La interrupción hasta ahora ha afectado a los sistemas informáticos de las principales aerolíneas, servicios de emergencia y empresas, entre otros.
Para obtener más detalles, lea el artículo de noticias de TechRepublic sobre la interrupción de CrowdStrike.
A medida que las organizaciones crecen, necesitarán adquirir herramientas de detección y respuesta de endpoints para monitorear la actividad y asegurar los dispositivos de los endpoints. Los productos Carbon Black EDR de VMware y Falcon de CrowdStrike son dos de las principales soluciones de EDR con características que pueden ayudar a mejorar la postura de seguridad de una organización.
VER: Comparación de software EDR entre Microsoft Defender y Carbon Black (TechRepublic)
En este artículo, analizamos cuál solución de EDR es la mejor para usted y su organización.
1
ESET PROTECT Advanced
Empleados por tamaño de empresa
Micro (0-49), Pequeña (50-249), Mediana (250-999), Grande (1,000-4,999), Empresa (5,000+)
Cualquier tamaño de empresa
Características
Defensa Avanzada contra Amenazas, Encriptación Completa de Disco, Protección Moderna de Endpoints, y más
2
Heimdal Security
Empleados por tamaño de empresa
Micro (0-49), Pequeña (50-249), Mediana (250-999), Grande (1,000-4,999), Empresa (5,000+)
Mediana (250-999 Empleados), Empresa (5,000+ Empleados), Grande (1,000-4,999 Empleados), Pequeña (50-249 Empleados)
Características
Antivirus, Monitoreo, Gestión de Parches
3
ManageEngine Desktop Central
Empleados por tamaño de empresa
Micro (0-49), Pequeña (50-249), Mediana (250-999), Grande (1,000-4,999), Empresa (5,000+)
Cualquier tamaño de empresa
Características
Monitoreo de Actividad, Antivirus, Panel de Control, y más
Comparación de características entre Carbon Black y CrowdStrike
Característica Carbon Black CrowdStrike
Caza de amenazas Sí Sí
Diseño de agente único No Sí
Aprendizaje conductual No Sí
Característica en varios SO No Sí
Basado en la nube Sí Sí
Control de firewall No Sí
Integración de API Sí Sí
Prueba gratuita disponible No Sí
Precio de inicio Contacte a VMware para obtener un presupuesto. $184.99 por dispositivo (Falcon Enterprise)
Precios de Carbon Black y CrowdStrike
En cuanto a los precios, VMWare no proporciona explícitamente los precios de sus productos Carbon Black EDR. Actualmente, ofrece tres paquetes de software para EDR: Endpoint Standard, Endpoint Advanced y Endpoint Enterprise.
VER: Comparación de software EDR entre CrowdStrike y FireEye (TechRepublic)
Esto es un resumen de cada uno:
Endpoint Standard: Antivirus de próxima generación y EDR conductual; gestión de alertas y triaje de monitoreo (opcional).
Endpoint Advanced: Todas las características estándar; evaluación y remediación de vulnerabilidades priorizadas por riesgo; evaluación y remediación de dispositivos en tiempo real; detección gestionada (opcional).
Endpoint Enterprise: Todas las características avanzadas; EDR empresarial que incluye caza de amenazas y respuesta a incidentes; opción de detección gestionada.
Me hubiera gustado que VMware ofreciera algún tipo de prueba gratuita o acceso limitado al producto para que los posibles compradores puedan probar su software de forma gratuita. Espero que esto sea algo que puedan proporcionar en el futuro, especialmente porque CrowdStrike ofrece una prueba gratuita.
VER: 10 Mitos sobre Ciberseguridad en los que no Deberías Creer (TechRepublic Premium)
Hablando de CrowdStrike, su solución de EDR se puede adquirir a través de sus suscripciones Falcon Enterprise o Falcon Elite. A continuación, se muestra un resumen de precios e inclusiones de características para cada plan de CrowdStrike Falcon.
Falcon Enterprise: $184.99 por dispositivo; incluye antivirus, EDR, XDR y caza de amenazas gestionada.
Falcon Elite: Contacte a ventas para obtener una cotización; incluye EDR, XDR, protección integrada de endpoints e identidades y caza de amenazas.
Como se mencionó, Falcon Enterprise tiene una prueba gratuita para empresas o individuos que deseen una forma conveniente de probar su solución sin una suscripción inicial.
Comparación directa: Carbon Black vs. CrowdStrike
Caza de amenazas y remediación
Tanto Carbon Black como CrowdStrike ofrecen potentes funciones de caza de amenazas y remediación. Sin embargo, CrowdStrike es una solución más sólida según las pruebas de MITRE Engenuity. Su alineación con el Marco de MITRE lo nombró Líder en el Cuadrante Mágico de 2023 de Gartner para Plataforma de Protección de Endpoints. El producto también ocupó la posición principal en la Completitud de Visión.
En contraste, Broadcom o VMware (Carbon Black) omitió algunas detecciones de amenazas al ser probado contra el Marco de MITRE de 2022 a 2018 y se encuentra en una posición más baja en los mismos hallazgos del Cuadrante Mágico de 2023.
Detecciones a través de CrowdStrike. Imagen: CrowdStrike
Por otro lado, el diseño de agente único
Usar un solo agente para gestionar de forma centralizada múltiples dispositivos finales asegura que los equipos puedan implementarse rápidamente y comenzar a manejar amenazas.
CrowdStrike utiliza un diseño de agente universal único. La plataforma Falcon utiliza un solo agente ligero desplegado en dispositivos finales que recopila datos y los envía a la nube para su análisis.
VER: Comparación de software EDR entre CrowdStrike y Sophos (TechRepublic)
Por otro lado, Carbon Black es una herramienta de seguridad compleja con una curva de aprendizaje pronunciada. Requiere una sintonización y configuración significativas. Además, sus consultas de detección de amenazas son demasiado complicadas y hay varios procesos manuales para gestionar alertas y remediaciones.
Aprendizaje conductual
El software EDR puede ser basado en firmas o sin firmas. Los programas EDR basados en firmas dependen de una base de datos de amenazas conocidas, mientras que los programas EDR sin firmas utilizan aprendizaje automático y análisis conductual para identificar actividad sospechosa.
Tanto CrowdStrike como Carbon Black ofrecen capacidades de análisis conductual y aprendizaje automático para rastrear anomalías y detectar comportamientos sospechosos en endpoints y sistemas.
Una diferencia, sin embargo, es que CrowdStrike proporciona una protección avanzada sin firmas a través de inteligencia de amenazas integrada, aprendizaje automático y análisis conductual, mientras que Carbon Black incluye un motor de antivirus basado en firmas. Como resultado, CrowdStrike puede proteger mejor los dispositivos de nuevas amenazas desconocidas.
Implementación
CrowdStrike viene como una plataforma única para todas las cargas de trabajo. Proporciona una cobertura de protección integral que se puede implementar en servidores y endpoints con Windows, Linux y macOS. Además, no se requiere equipos locales que requieran mantenimiento, gestión, escaneos, reinicios e integraciones complejas.
Por otro lado, Carbon Black viene como una solución local o en la nube. Puede ser necesario reiniciar dispositivos, incluidos servidores críticos, como parte del proceso de actualización del sensor. Además, hay una disparidad de características entre las versiones locales y en la nube.
Interfaz de Carbon Black Cloud EDR. Imagen: Canal de YouTube de Carbon Black
Control de dispositivos y firewall
El software EDR de Carbon Black permite el control de dispositivos (sin gestión de firewall), pero está restringido a Windows OS y unidades flash USB. También le permite crear sus propias políticas de seguridad para endpoints, lo que es beneficioso para empresas con estándares regulatorios o de rendimiento específicos que cumplir.
En comparación, la Gestión de Firewall de Falcon de CrowdStrike permite a los clientes pasar de plataformas de endpoints heredadas al software EDR de próxima generación de la empresa, que incluye una protección robusta, mejor rendimiento y una gestión y aplicación eficientes de políticas de firewall de host. Además, la Gestión de Firewall de Falcon ofrece una gestión sencilla y multiplataforma de los firewalls de host/SO desde la consola de Falcon, lo que permite a los equipos de seguridad limitar eficazmente cualquier exposición al riesgo.
Además, el Control de Dispositivos Falcon permite a los usuarios utilizar dispositivos USB de forma segura ofreciendo una protección completa de extremo a extremo y capacidades de detección y respuesta (EDR). Su integración perfecta con el agente y la plataforma de Falcon viene con características de control de dispositivos complementadas con una seguridad completa de los endpoints. Esto proporciona a los equipos de seguridad y operaciones de TI información sobre cómo se utilizan los dispositivos y los medios para regular y gestionar ese uso.
Integración de API
La integración de API garantiza que obtenga el máximo provecho de su software EDR. La solución EDR de Carbon Black ofrece más de 120 integraciones listas para usar.
Por otro lado, la plataforma Falcon de CrowdStrike está desarrollada como una plataforma API-first. A medida que se lanzan nuevas funciones, se añade funcionalidad API correspondiente para ayudar a automatizar y controlar cualquier operación recién añadida.
Pros y contras de Carbon Black
Pros
Fácil de usar e intuitiva experiencia de usuario.
Ligero y no es intensivo en recursos.
Buena cantidad de integraciones.
Contras
Debe ponerse en contacto con ventas para obtener precios.
Puede requerir un mayor nivel de experiencia para maximizar.
Pros y contras de CrowdStrike
Pros
Protección sin firmas.
Implementación de endpoints sin problemas.
Reputación de seguridad intachable.
Contras
La interfaz podría ser más amigable para el usuario.
¿Debería su organización usar Carbon Black o CrowdStrike?
CrowdStrike es la mejor opción si necesita una cobertura y protección integral contra amenazas nuevas y desconocidas que se pueden implementar en servidores y endpoints con Windows, Linux y macOS. Sin embargo, si busca una solución local que le proporcione protección contra amenazas conocidas, entonces Carbon Black puede ser mejor.
En última instancia, la decisión se reduce a su perfil de riesgo y a sus necesidades y requisitos específicos.
Metodología
Mi comparación directa entre el EDR de Carbon Black de VMware y la solución de EDR de CrowdStrike involucró hacer un análisis uno a uno de sus características de seguridad, precios y valor general.
En particular, consideré funcionalidades críticas de EDR como caza de amenazas y remediación, facilidad de implementación, aprendizaje conductual, control de firewall e integración de API.
Mi evaluación de ambas soluciones involucró una investigación profunda de la documentación oficial del producto, las características incluidas y posibles casos de uso para diferentes tipos de empresas. También consideramos testimonios reales de usuarios y reseñas de terceros de sitios de reseñas de reputación para complementar nuestro análisis final.
Enlace de origen
La publicación VMware Carbon Black vs CrowdStrike Falcon (2024): ¿Cuál es la mejor herramienta? apareció primero en World Online.