[21/06/2013] El día de ayer la
startup CrowdStrike puso a disposición su primer producto, llamado Falcon, diseñado para detectar y bloquear infiltraciones sigilosas en máquinas de punto final y servidores con Windows o Apple Macintosh.Falcon incluye un “sensor ligero” que reside escondido en la computadora que la empresa desea proteger. Estos “sensores” están buscando eventos y tráfico que se pueden considerar un intento de toma de control de computadoras por parte de adversarios que buscan infiltrarse en la red corporativa, ataques que usualmente se denominan amenazas avanzadas y persistentes (advanced persistent threat – APT), de acuerdo a George Kurtz, presidente, CEO y fundador de CrowdStrike; y Dmitri Alperovitch, CTO y fundador de la misma empresa.
A través del soporte al monitoreo en nube de CrowdStrike, la continua actividad es analizada en tiempo real. Lo que se hace después depende del cliente de Falcon. “Existe una gama de opciones de respuestas flexibles”, señala Alperovitch.
Si Falcon detecta infiltración en las computadoras de la empresa, puede estar configurado para responder mediante un conjunto de alternativas. Puede bloquear el ataque, o permitirle proceder mientras graba cada movimiento para ver a dónde va el atacante; o incluso intentar engañar al atacante proporcionándole señuelos e información falsa.
Falcon es una forma de tener “atribución en tiempo real del adversario”, sostuvo Kurtz, especialmente ataques que generalmente se atribuyen a estados-nación como China que buscan robar información importante. Kurtz afirma que parte del servicio de CrowdStrike consiste en identificar y rastrear de manera activa a los atacantes utilizando varias fuentes de manera confidencial pero sin revelar quién es el cliente.
Los sensores de CrowdStrike no recopilan datos de los clientes, sino que se concentran en información técnica de red acerca de los patrones de actividad del atacante.
CrowdStrike, como mínimo, es una forma de hacer evaluación de daños, señala Kurtz. “La idea es proporcionar visibilidad de lo que está ocurriendo”, sostiene Kurtz. El peligro con los ataques de infiltración es que mientras más tiempo se encuentren los atacantes dentro de la corporación buscando exactamente lo que quieren robar, peor es la situación.
Todos los productos de detección de seguridad traen con ellos la posibilidad de falsos positivos, y los clientes de Falcon inevitablemente preguntarán si este es un problema. “No hay tecnología en ningún lugar que sea 100% exacta”, sostiene Kurtz.
Se espera que las versiones futuras del producto también incluyan soporte para Linux y plataformas móviles. Falcon, ya disponible, se encuentra desde los 50 mil dólares.
Ellen Messmer, Network World (EE.UU.)