Revisión de Carbon Black

admin

La suite de productos fundamentales de Carbon Black para la seguridad de los puntos finales se conoce oficialmente como VMware Carbon Black Cloud Endpoint Standard. El largo nombre es indicativo de la serpenteante historia de Carbon Black a través de los anales de la ciberseguridad.

Carbon Black comenzó en 2002 como Bit9, una plataforma de seguridad que protegía puntos finales como ordenadores de sobremesa y servidores. Bit9 adquirió Carbon Black en 2014 y adoptó el nombre de Carbon Black dos años después. VMware adquirió la empresa en 2019.

Los productos de seguridad Carbon Black de VMware protegen a más de 16.000 empresas. Su tecnología de protección basada en la nube analiza la actividad de los endpoints, identifica las amenazas y automatiza su respuesta para bloquear los ciberataques en tiempo real.

Esta tecnología sustenta VMware Carbon Black Cloud Endpoint Standard, que sirve como punto de partida para que las empresas obtengan una ciberseguridad integral. La plataforma es rica en conocimientos de seguridad, pero no es perfecta. Examinemos sus pros y sus contras para ayudarle a decidir si es la solución adecuada para su empresa.

Audiencia

¿Para quién es Carbon Black?

El software de seguridad para puntos finales de Carbon Black es lo suficientemente flexible y potente como para satisfacer las necesidades de empresas de cualquier tamaño. Esto incluye el cumplimiento de los requisitos normativos y de conformidad de su sector. De hecho, VMware Carbon Black Cloud Endpoint Standard constituye el componente subyacente de todos los paquetes de seguridad de Carbon Black, incluso para las empresas.

La plataforma es rica en funciones y datos de seguridad, lo que requiere un departamento de TI dedicado a desplegar y gestionar la solución. La mejor manera de aprovechar su profundidad es con un equipo de TI considerable, como los que se encuentran en las organizaciones medianas y grandes.

Sus características de investigación la hacen ideal para las empresas con un centro de operaciones de seguridad (SOC). Las empresas más pequeñas con personal de TI limitado carecerán del ancho de banda necesario para utilizar plenamente las capacidades del software.

Carbon Black es compatible con estaciones de trabajo y servidores Windows, así como con máquinas Mac y Linux. También puede proteger las oficinas remotas y los dispositivos móviles a través de VMware Carbon Black Cloud Endpoint Standard.

El panel de control de Carbon Black muestra información y gráficos que resumen las principales perspectivas de seguridad.

El panel de control de Carbon Black sirve como centro de seguridad. Fuente: Software VMware Carbon Black.

Características

Características de Carbon Black

Uno de los puntos fuertes de Carbon Black es que la plataforma va más allá de la prevención de ciberataques y se adentra en el área más avanzada de la ciberseguridad denominada detección y respuesta de puntos finales (EDR). La combinación de EDR con sus capacidades antivirus proporciona a las empresas una solución de seguridad integral.

Esta combinación rara vez está disponible como opción estándar. Es una de las muchas razones por las que VMware Carbon Black Cloud Endpoint Standard ofrece capacidades convincentes. Examinemos más a fondo estas características.

Antivirus de próxima generación

El punto fuerte de la seguridad de Carbon Black es la protección contra el malware. Su producto VMware Carbon Black Cloud Endpoint Standard emplea una clase de antivirus conocida como NGAV (antivirus de próxima generación).

El NGAV de Carbon Black utiliza tecnología como la inteligencia artificial (IA) para mejorar su capacidad de atrapar el malware. Esto lo diferencia del software antivirus tradicional, que se basa principalmente en firmas de malware basadas en archivos.

Los ciberdelincuentes de hoy en día han evolucionado sus ataques para abarcar todo tipo de técnicas de malware, no sólo los ataques basados en archivos. NGAV responde a este desafío combinando la IA con el análisis de comportamiento, la inteligencia de amenazas y el análisis predictivo para identificar amenazas tanto conocidas como desconocidas.

NGAV es un enfoque poderoso porque detecta ataques de malware avanzados, como las amenazas sin archivos y polimórficas. Esta estrategia permite que la tecnología de detección antivirus de Carbon Black analice los flujos de eventos a través de archivos, procesos informáticos y aplicaciones, y conexiones de red. La unión de estas piezas dispares permite a Carbon Black identificar un ataque a medida que se desarrolla, de modo que se detiene tan pronto como comienza.

¿Cómo funciona esto en el mundo real? En las pruebas realizadas por la empresa independiente AV-Test Institute, la plataforma de protección de puntos finales Carbon Black bloqueó el 100% de las más de 13.000 muestras de malware que se le presentaron.

El software no funcionó tan bien contra las amenazas de día cero. Estos ataques son difíciles de defender, ya que aprovechan las vulnerabilidades del software para burlar la seguridad. Contra 370 ataques de día cero, el producto de Carbon Black detuvo el 97,4%. La media del sector fue del 98,9%.

El software de Carbon Black tampoco salió bien parado cuando se evaluó su impacto en el rendimiento del ordenador.

El Instituto AV-Test descubrió que Carbon Black ralentizaba la configuración de un ordenador estándar más que la media del sector en varias áreas, como la descarga y el inicio de aplicaciones. Por ejemplo, Carbon Black ralentizó la copia de archivos localmente en el ordenador y a través de una conexión de red en un 38% en más de 9.500 muestras de archivos, en comparación con la media del sector, que es de sólo un 5%.

El producto de Carbon Black obtuvo mejores resultados en cuanto a las detecciones de falsos positivos. Mientras que las soluciones de la competencia detectaron una media de 27 programas legítimos como malware al evaluar más de un millón de muestras, Carbon Black sólo marcó seis. Esta cifra sigue siendo superior a la de algunos de los mejores software de seguridad para puntos finales disponibles, pero es significativamente mejor que la media general.

La página Investigar desglosa los detalles de cada evento sospechoso.

Revise los detalles de cada evento sospechoso para investigarlo más a fondo. Fuente: Software de VMware Carbon Black.

EdR integrado

La integración de Carbon Black de EDR en su solución VMware Carbon Black Cloud Endpoint Standard es una ventaja para los usuarios. Normalmente se trata de un complemento con servicios de la competencia, pero EDR combinado con NGAV crea un enfoque holístico de la seguridad de los puntos finales.

Cuando las técnicas de prevención de malware fallan, EDR le ayuda a encontrar un ataque escondido en su red de TI. Carbon Black desglosa la cadena de ataques de malware en una representación gráfica. Este diagrama interactivo le permite hacer clic en cualquier parte de la cadena para ver detalles como qué acciones está realizando y en qué dirección IP (protocolo de Internet) de la red.

Carbon Black no sólo proporciona información. También proporciona herramientas para remediar el problema, como poner en cuarentena un dispositivo infectado o añadir el nuevo script de software de su equipo a la lista blanca de la plataforma para que no se marque repetidamente.

Carbon Black muestra un desglose visual de cada cadena de ataque.

Vea un diagrama visual y detalles de cada ataque y actividad sospechosa. Fuente: Software VMware Carbon Black.

Características de seguridad adicionales

La seguridad de los puntos finales de Carbon Black se diferencia de la competencia por su enfoque a la hora de ofrecer información sobre seguridad. Carbon Black utiliza una única consola de gestión basada en la web para sus productos. Esta consola ofrece una gran cantidad de información de seguridad que supera a la de muchos competidores.

El panel de control de la consola revela información de seguridad clave en un formato sucinto y fácilmente digerible de gráficos y números. Entre ellos se incluye una lista de actividades sospechosas que hay que investigar, el número y los tipos de ataques detenidos y el estado general de la seguridad de su empresa, representado por una puntuación de Endpoint Health. Haga clic en cualquiera de estas áreas para profundizar en los detalles.

Cabe destacar un par de características interesantes dentro de la consola de Carbon Black.

  • Etapas del ciclo de vida de los ataques: Una sección desglosa los ataques en función de las etapas del ciclo de vida de los ataques de ciberseguridad. El software de Carbon Black agrupa las amenazas detectadas en la etapa correspondiente, como el paso de reconocimiento inicial de un ataque.
  • Inteligencia sobre amenazas: Un recurso valioso es la lista de informes de amenazas de la consola. Los expertos en seguridad de Carbon Black proporcionan estos informes y le mantienen actualizado sobre las últimas amenazas.

La aplicación apoya sus esfuerzos de seguridad de maneras adicionales. Una sección de Alertas le muestra los elementos potencialmente peligrosos en los que debe centrarse. Una sección Investigar desglosa la actividad sospechosa para indagar y verificar si se trata de una amenaza para la seguridad.

Cada evento sospechoso incluye detalles como la aplicación involucrada, lo que estaba tratando de hacer que lo marcó como sospechoso, y los puntos finales afectados. Estos detalles hacen que la investigación sea rápida y directa.

La sección de informes sobre amenazas muestra una ventana emergente con información sobre nuevas amenazas.

La inteligencia sobre amenazas integrada en el panel facilita la visualización de información sobre las últimas amenazas. Fuente: Software VMware Carbon Black.

Facilidad de uso

La facilidad de uso de Carbon Black

VMware Carbon Black Cloud Endpoint Standard ofrece una plataforma nativa en la nube y un único agente de software universal para instalar en los puntos finales. Esto hace que la configuración y el mantenimiento continuo sean sencillos.

Su consola de gestión es una herramienta intuitiva para los profesionales de TI, en particular los que tienen experiencia en seguridad. La interfaz es limpia y fácil de navegar. Presenta la inteligencia de seguridad de una manera que le permite digerirla sin esfuerzo y rápidamente. Si necesita más información, sólo tiene que hacer clic en un punto de datos para profundizar en los detalles.

La facilidad de uso de Carbon Black es una mezcla si está limitado por su nivel de recursos de TI y sofisticación de seguridad. Para los generalistas de TI, el producto Carbon Black Cloud Endpoint Standard de VMware contiene una profundidad de datos e información de seguridad que puede resultar abrumadora. Pero un SOC encontrará la caza de amenazas mucho más fácil con la información de respuesta a incidentes de Carbon Black.

La pantalla de alertas muestra una lista de actividades sospechosas.

Busque entre las alertas para identificar tendencias y concentrarse en las amenazas. Fuente: Software VMware Carbon Black.

Precios

Precios de Carbon Black

Los productos de Carbon Black sólo están disponibles a través de terceros a los que la empresa se refiere como “socios”. Tendrá que solicitar presupuestos a estos socios para determinar el precio de Carbon Black que pagará.

Los precios dependen de factores como el número de puntos finales para los que compra protección y el plazo de suscripción medido en años. Las suscripciones de varios años ofrecen mayores descuentos.

Por ejemplo, un socio cobra 52,99 dólares por punto final por una suscripción de un año a VMware Carbon Black Cloud Endpoint Standard. El precio baja a 38,40 dólares por punto final para una suscripción de cinco años.

Este nivel de precios es más alto que el de la mayoría de los competidores, pero VMware Carbon Black Cloud Endpoint Standard incluye funciones de EDR, que muchos no tienen. Sin embargo, algunos competidores son claros en cuanto a sus costes, por lo que la falta de transparencia en los precios de VMware parece no estar a la altura de las empresas modernas de SaaS (software como servicio) de seguridad.

Soporte

El soporte de Carbon Black

El soporte de Carbon Black consiste en teléfono, correo electrónico y un portal de autoservicio en línea. El portal contiene una base de conocimientos de artículos y documentos que detallan cómo utilizar el producto. Su soporte en línea incluye opciones de formación sobre Carbon Black, desde vídeos a la carta hasta clases dirigidas por un instructor.

Un sólido foro de la comunidad Carbon Black proporciona soporte de otros usuarios. A diferencia de la mayoría de los foros de la comunidad, éste requiere un inicio de sesión para ver el contenido.

El soporte telefónico está disponible doce horas al día durante la semana laboral. Debes actualizar a un plan Premium para recibir soporte telefónico las 24 horas del día.

Las opciones de soporte se dividen en tres niveles diferentes de servicio.

El soporte estándar limita las horas de cobertura telefónica pero puedes actualizar a un plan Premium. Fuente: carbonblack.com.

Beneficios

Beneficios de Carbon Black

La gran cantidad de información a su alcance es uno de los mayores beneficios de Carbon Black. Puede profundizar en los detalles de cualquier ataque o actividad sospechosa. Es una aplicación muy potente desde el punto de vista de la inteligencia de seguridad.

También le ofrece herramientas para abordar los problemas y reforzar (o “endurecer”, como les gusta decir a los expertos en seguridad) la defensa de su red informática. Puede evaluar fácilmente de dónde provienen las amenazas más frecuentes -por ejemplo, el correo electrónico o los sitios web- y realizar acciones para abordar estas áreas, como añadir nuevas políticas de seguridad.

Las funciones de Carbon Black no sólo apoyan sus esfuerzos de seguridad, sino que también aceleran el tiempo medio de resolución (MTTR) de su equipo de TI, que mide el tiempo que se tarda en tener una amenaza bajo control. Cuanto más rápido pueda su equipo encontrar y solucionar un problema, menor será el daño y el coste para su organización.

Carbon Black también proporciona soluciones de seguridad adicionales, como un equipo de expertos en supervisión y triaje de alertas que puede ayudar a su grupo de TI a analizar, confirmar y priorizar las alertas para que su personal pueda centrarse en las amenazas reales. Estos servicios añadidos le permiten hacer evolucionar su seguridad a medida que las necesidades de su empresa cambian con el tiempo.

Una sólida combinación de NGAV, EDR y conocimientos de seguridad

Como plataforma de seguridad, Carbon Black proporciona muchas funciones valiosas. Su potente inteligencia de seguridad y su conjunto de herramientas son impresionantes.

Una combinación de capacidades antivirus de próxima generación y EDR no se encuentra a menudo en un solo paquete. Este último suele requerir la compra de una actualización por separado. Desde esa perspectiva, Carbon Black ofrece una solución completa.

Sus capacidades de protección son excelentes contra el malware general. Los desafíos radican en su capacidad para detener eficazmente los ataques de día cero y su impacto en el rendimiento del ordenador. A pesar de estas deficiencias, en general, sigue siendo una solución de seguridad sólida.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.