Tiempo de lectura estimado: 7 minutos
Desde la compra de Carbon Black por parte de VMware en agosto de 2019, se ha estado trabajando para lograr una integración nativa con las soluciones de VMware.
VMware busca que los administradores de sistemas tradicionales de entornos virtuales, puedan liderar ahora también la parte de seguridad con un producto muy avanzado y conviviendo con el ecosistema ya existente.
Tabla de Contenidos
Características de VMware Carbon Black
La principal fortaleza de seguridad de Carbon Black es la protección contra malware. Su producto VMware Carbon Black Cloud Endpoint Standard emplea una clase de antivirus conocido como NGAV (antivirus de próxima generación).
El NGAV de Carbon Black utiliza tecnología como la inteligencia artificial (IA) para mejorar su capacidad de detectar malware. Esto lo diferencia del software antivirus tradicional, que se basa principalmente en firmas de malware basadas en archivos.
VMware Carbon Black combina antivirus de próxima generación con detección y respuesta de endpoints (EDR) para crear una solución integral de protección de endpoints contra ciberataques. La plataforma permite a las empresas administrar cualquier número de puntos finales a través de una única interfaz y agente de software, proporcionando seguridad de punto final a escala.
Los ciberdelincuentes de hoy en día han evolucionado sus ataques para abarcar todo tipo de técnicas de malware, no solo ataques basados en archivos. NGAV responde a este desafío combinando IA con análisis de comportamiento, inteligencia de amenazas y análisis predictivo para identificar amenazas conocidas y desconocidas.
Carbon Black analiza flujos de eventos a través de archivos, procesos y aplicaciones informáticas, y conexiones de red. Unir estas piezas dispares permite a Carbon Black identificar un ataque a medida que se desarrolla, por lo que se detiene tan pronto como comienza.
Características Panda Adaptive Defense 360
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
Adaptive Defense 360 permite hacer seguimiento visual de lo que está desencadenando un malware dentro de la empresa. No sólo localiza dónde está alojado en la red de la compañía sino que también informa de las acciones que está llevando a cabo como la creación de ficheros y el destino de las comunicaciones.
De igual forma aporta información continuada del estado de la red. Envía alertas inmediatas en el momento en que se identifica un malware en la red y las acciones que se están llevando a cabo para hacerle frente. Adaptive Defense 360 consigue una gran autonomía que evita a las empresas invertir recursos en personal técnico para gestionar cuarentenas, ficheros sospechosos o desinfecciones y reinstalaciones de los equipos infectados.
La falta de actualizaciones en los sistemas es una puerta de entrada de malware en las empresas. Adaptive Defense 360 incluye un módulo contra vulnerabilidades que emplea reglas contextuales y de comportamiento para que las empresas trabajen en un entorno seguro, aunque no tengan los sistemas al día.
Diferencias entre VMware Carbon Black Cloud y Panda Adaptive Defense 360
Los sensores de Carbon Black Cloud no requieren reincido. Es algo crítico, no solo en fase clave de despliegue del sensor sino cuando se aplica una actualización.
En caso de PANDA o Cytomic si es necesario el reinicio de manera frecuente por instalación y/o actualizaciones. En este caso no quiere decir que se queden los dispositivos desprotegidos hasta que se reinciden, pero sí que las nuevas características o alguna de sus funcionalidades no estarán operativas hasta que se reincide el dispositivo .
Mientras que PANDA requiere de varias plataformas para hacer uso de sus capacidades (tres plataformas: EPDR o AD360, Orion (TH) y a Devo (Advance Vistualization Tool o Advanced Reporting Tool)), en Carbon Black solo se requiere una única consola para todo, aportando capacidades de antivirus de nueva generación, capacidades completes de EDR. También Carbon Black cuenta con la Plataforma con Threat Hunting (que sería el homónimo de ORION) y por otro lado también el análisis de toda la telemetría.
Panda tiene una característica que es la clasificación de los procesos desconocidos, esto por un lado está bien porque de una manera manual, cuando se da un proceso desconocido, el equipo de analistas clasificará ese proceso, ocasionando que el comportamiento del sensor de Panda/cytomic lo que hará será bloquear la ejecución de ese proceso hasta que en Panda lo hayan analizado y lo añadan como bueno.
Pero esto causa un problema, y es que genera ruido porque el usuario no va a poder ejecutar esos procesos; en caso de que se trate de malware será una medida de prevención, pero en caso de un falso positivo muy común en nuevas versiones de programas desarrollados localmente o que no tengan reputación va a generar ese ruido; requiriendo que el administrador esté constantemente pendiente de qué se ejecuta.
Con Carbon Black, el acercamiento a procesos desconocidos es mucho más acertado porque dentro de Carbon Black Cloud, además de obtener reputación de los procesos cuando se ejecutan, también se aportan capacidades de prevención para definir el comportamiento de procesos desconocidos dentro de nuestro entorno, de manera que si ese comportamiento es bueno lo vamos a permitir, y si fuera comportamiento similar a un ransomware o intenta acceder a los recursos de memoria de otro proceso o intenta inyectar código en memoria o cosas así, lo bloquearemos.
Así conseguimos tener una capa de prevención, eliminar ruido y no impedir que se ejecuten procesos a no ser que sean maliciosos. Esas capacidades avanzadas de prevención por parte de Panda no existen ha día de publicar este post.
De cara a las capacidades de EDR, encontramos estas capacidades algo limitadas en Panda/Cytomic, mientras que en Carbon Black nos apoyamos en el framework de MITRE para poder identificar técnicas, tácticas y procedimientos que están relacionados con ataques. En Panda/cytomic están más enfocados a las alertas que se han detectado. Sus sensores no llegan a la misma capacidad de detención que los de Carbon Black cloud, en el sentido de que en Carbon Black siguen todo aquello que se ejecuta desde la capa de usuario y lo que se ejecuta desde la capa subyacente al sistema operativo, obteniendo por tanto su sensor muchísima más telemetría.
Por tanto, podemos obtener una capa de protección de cara a amenazas avanzadas, emergentes de día cero algo mejor que con Panda.
Bajo nuestro punto de vista, en Panda se enfocan mucho en la retención de la información durante un año. Esta retención está asociada única y exclusivamente a los eventos que están asociados a las alertas. Si un usuario de Panda mañana sufre un ataque de día cero donde no se ha levantado la alerta, no va a aparecer ninguna info.
En el caso de Carbon Black se monitoriza la info de manera continua pues se recoge toda esa telemetría y envía a la base de datos de VMware que tiene en la nube, mas concretamente en los servidores que VMware tiene en Europa ( Frankfurt, Alemania). El tráfico se manda por el puerto 443 con lo cual es totalmente cifrado y en el caso de no estar disponible el puerto 443 , se usa el 54443.
VMware almacenamos toda la información durante un periodo de 30 días y luego hay opción de ampliar el almacenamiento durante más tiempo. Todos los eventos asociados a alertas se almacenan durante 180 días, ofreciendo así más valor de cara a investigar sobre una amenaza.
VMware cuenta con una Plataforma de threat hunting dentro de la plataforma de Carbon Black, lo cual para VMware es una funcionalidad nativa y embebida en el propio producto. De cara a integraciones, a día de hoy, la única que ofrece Panda, es la integración mediante un SIE, de manera que hay que pagar por este complemento adicional.
En VMware desde Carbon Black se proporciona a los clientes una extensa librería de APIs mediante la cual poder integrarse libremente con otras soluciones de seguridad de terceros. Hay que tener en cuenta que, en entornos Enterprise especialmente, el hecho de que la solución de seguridad no disponga de APIs es un punto muy en contra de la solución.
Respecto a las plataformas que se cubren tanto en Carbon Black como en Panda, se cubren estaciones de trabajo, servidores tradicionales, dispositivos Android pero en Panda a día de hoy no existe protección para entornos de contenedores (en nubes privadas o públicas), cosa que Carbon Black cubre completamente.
Leer más: “Oferta servicios profesionales autorizados de virtualización VMware vSphere y nube” »