Falcon es la plataforma de CrowdStrike diseñada específicamente para hacer frente a las ciberamenazas a través de un conjunto unificado de tecnologías entregadas en la nube. Los ciberdelincuentes van más allá del malware para atacar organizaciones, confiando cada vez más en exploits, días cero u otros métodos difíciles de detectar, como el robo de credenciales. CrowdStrike Falcon unifica en una misma plataforma una solución antivirus de próxima generación (NGAV), detección y respuesta de endpoints (EDR), inteligencia de amenazas, capacidades administradas de búsqueda de amenazas e higiene de seguridad, todo contenido en un único sensor que se administra y entrega en la nube.
La compañía ha aprovechado la celebración de su conferencia anual, Fal.Con 2023, para anunciar algunas mejoras en su plataforma que fueron presentadas en un evento online a la prensa internacional en la que participaron Adam Meyers, vicepresidente senior de operaciones contra adversarios, y Raj Rajamani, jefe de producto.
Crowdstrike quiere llevar la experiencia de desarrollo sin código a otro nivel
Raptor, analítica
“Raptor es nuestro esfuerzo por llevar el XDR a todos nuestros clientes”, decía Rajamani, recordando que Crowdstrike fue uno de los pioneros en desarrollar el concepto de EDR (Endpoint Detection and Response); una detección y respuesta basada en el análisis de datos y uso de telemetría. “Con frecuencia, los datos generados por Falcon representan entre el 60 % y el 70 % de los datos en el lago de datos de seguridad de cualquier cliente”, decía Rajamani, explicando que cuando los datos procedentes no solo del endpoint, sino de otras fuentes, incluso productos de terceros, entran en Raptor, se utiliza Charlotte IA -la inteligencia artificial generativa desarrollada por Crowdstrike, para “unir estos eventos y señales relacionadas en forma de un incidente en el que varios analistas pueden colaborar” a través de un Command Center.
Detrás de Raptor está presente la tecnología de Humio, una empresa que Crowdstrike compró en febrero de 2021 por 400 millones de dólares para mejorar su capacidad de ingestar y correlacionar datos de cualquier registro, aplicación o fuente en una apuesta decidida por el XDR. Con Raptor no solo se incorporan datos de CrowdStrike, puede incorporar datos de terceros y unir estos incidentes, siendo mucho más efectivo con la cantidad de tiempo que tienen los analistas.
Foundry, desarrollo sin código
Crowdstrike quiere llevar la experiencia de desarrollo sin código a otro nivel. En palabras de Raj Rajamani cualquiera, “no solo un desarrollador muy capacitado, sino también un analista que no sea programador, o un CISO que tenga un desafío, pueda venir y, de una manera muy fácil de usar e intuitiva, construir o imaginar su flujo de trabajo”.
Dejaba claro que la principal diferencia de Foundry, especialmente en relación con otras plataformas que admiten el desarrollo de aplicaciones personalizadas, “es que se trata de una experiencia completa sin código, impulsada en gran medida por nuestra interfaz Charlotte AI”.
Falcon Data Protection
Asegurando responder a las demandas de un mercado “decepcionado con la forma en que se debe poner en funcionamiento un DLP (Data Loss Prevention)” anunciaba Raj Rajamani la integración de capacidades de prevención de pérdida de datos en el agente Falcon.
“Nos han pedido que consolidemos y reduzcamos la cantidad de agentes que tienen que implementar”, decía, añadiendo que “esta capacidad de protección de datos se diferencia de muchas de las soluciones DLP heredadas en que utiliza varias formas diferentes de inferir el contenido y clasificarlo”. No solo hace uso de etiquetas o inspeccionando el contenido, sino que es capaz de monitorizar el movimiento de datos o la copia de un subconjunto de datos de un archivo a otro.
Falcon Exposure Management
En un mundo cada vez más basado en código ya no es suficiente con poder detectar una vulnerabilidad, sino saber su nivel de riesgo con el fin de tomar una decisión informada que permita priorizar una correcta gestión de la exposición al riesgo. Durante la presentación aseguraba Raj Rajamani que Falcon Exposure Management “ha tenido tanto éxito que los clientes nos han pedido que importemos datos de vulnerabilidad de otras fuentes, como Tenable o Qualis”.
Explica el directivo que no solo se apoyarán las importaciones sostenibles, sino que pronto se agregará soporte de calidad, y que “debido a la gran cantidad de información que tiene nuestras plataforma sobre cada activo, podemos proporcionar una puntuación de riesgo mucho mejor”.
Falcon for IT
Crowdstrike sale de su zona de confort para atender “a un público totalmente diferente, no relacionado con la seguridad”, y lo hace con Falcon for IT, dirigido a equipos de TI “que necesitan obtener una visibilidad integral”, explicaba el jefe de producto de la compañía.
Falcon for IT se lanzará a principios del próximo año, pero se conocerán todas sus capacidades en los próximos días.
“No habríamos llegado a ser una empresa de éxito si no fuera por el uso de la IA y el ML”
Por qué Falcon y Charlotte
Planteado en la ronda de preguntas qué diferencia a la plataforma Falcon de otras que hay en un mercado, apuntaba Rajamani que “la palabra plataforma es un término confuso”. Y lo planteaba porque lo que ahora se vive en el mercado es la fiebre por las plataformas; es la gran tendencia y todos quieren explotarla. La mayor fortaleza de Falcon es, en opinión del directivo, no sólo que tiene un único agente que se puede desplegar tanto on-premise como en la nube, y una única consola para gestionar todas las configuraciones y ajustes así como las detecciones de alertas y un único lago de datos, “lo que significa que si tenemos información de algunos módulos, productos propios o incluso de terceros, podemos ver una imagen holística de la superficie de ataque, así como de lo que están haciendo sus adversarios. Ninguna otra plataforma lo ofrece”.
“No habríamos llegado a ser una empresa de éxito si no fuera por el uso de la IA y el ML”, aseguró también el director de producto de Crowdstrike, identificando al mismo tiempo otro elemento diferenciador de la propuesta de la compañía: Charlotte. Explicaba Rajamani que hasta ahora, la IA y el aprendizaje automático se utilizaban para detectar amenazas de manera muy eficaz, pero no para ayudar a los analistas “de la manera que imaginamos y visualizamos en el futuro”. Ahora, los analistas podrán hablar con Charlotte, hacerle preguntas, pedirle que les ayude a crear aplicaciones y flujos de trabajo personalizados para unir incidentes, trabajar en colaboración con otros analistas. “Creemos que nuevamente somos pioneros en mejorar la productividad de nuestros clientes con IA”.
