A medida que las organizaciones crezcan, necesitarán adquirir herramientas de respuesta y detección de terminales para monitorear la actividad y proteger los dispositivos terminales. Los productos Carbon Black EDR de VMware y Falcon de CrowdStrike son dos de las principales soluciones EDR con características que pueden ayudar a mejorar la postura de seguridad de una organización.
VER: Microsoft Defender vs Carbon Black: Comparación de software EDR (República Tecnológica)
En este artículo, analizamos qué solución EDR es mejor para usted y su organización.
ESET PROTECT Avanzado
Empleados por tamaño de empresa
Micro (0-49), Pequeño (50-249), Mediano (250-999), Grande (1000-4999), Empresarial (5000+)
Cualquier tamaño de empresa
Cualquier tamaño de empresa
Características
Defensa avanzada contra amenazas, cifrado completo de disco, protección moderna para terminales y más
Seguridad en Heimdal
Empleados por tamaño de empresa
Micro (0-49), Pequeño (50-249), Mediano (250-999), Grande (1000-4999), Empresarial (5000+)
Pequeña (50-249 empleados), Mediana (250-999 empleados), Grande (1000-4999 empleados), Empresa (5000+ empleados)
Pequeña, mediana, grande, empresa
Características
Antivirus, Monitoreo, Gestión de Parches
Central de escritorio ManageEngine
Empleados por tamaño de empresa
Micro (0-49), Pequeño (50-249), Mediano (250-999), Grande (1000-4999), Empresarial (5000+)
Cualquier tamaño de empresa
Cualquier tamaño de empresa
Características
Monitoreo de actividad, antivirus, panel y más
Carbon Black frente a CrowdStrike: comparación de funciones
Precios de negro de humo y CrowdStrike
En cuanto a los precios, VMWare no proporciona explícitamente los precios de sus productos Carbon Black EDR. Por el momento, ofrece tres paquetes de software para EDR: Endpoint Standard, Endpoint Advanced y Endpoint Enterprise.
VER: CrowdStrike vs FireEye: Comparar el software EDR (República Tecnológica)
Aquí hay una descripción general de cada uno:
- Estándar de punto final: Antivirus de próxima generación y EDR conductual; alerta gestionada y triaje de seguimiento (opcional).
- Punto final avanzado: Todas las características estándar; evaluación y remediación de vulnerabilidades priorizadas por riesgos; evaluación y reparación de dispositivos en tiempo real; detección gestionada (opcional).
- Empresa de punto final: Todas las funciones avanzadas; EDR empresarial que incluye búsqueda de amenazas y respuesta a incidentes; opción para la detección gestionada.
Desearía que VMware ofreciera algún tipo de prueba gratuita o acceso limitado al producto para que los posibles compradores probaran su software de forma gratuita. Es de esperar que esto sea algo que pueda ofrecer en el futuro, especialmente porque CrowdStrike ofrece una prueba gratuita.
VER: 10 mitos sobre la ciberseguridad que no debes creer (Premium de TechRepublic)
Hablando de CrowdStrike, su solución EDR se puede comprar a través de sus suscripciones Falcon Enterprise o Falcon Elite. A continuación se muestra una descripción general de los precios y las funciones incluidas para cada plan CrowdStrike Falcon.
- Empresa Halcón: $184,99 por dispositivo; incluye antivirus, EDR, XDR y búsqueda de amenazas gestionada.
- Halcón Élite: Póngase en contacto con ventas para obtener una cotización; incluye EDR, XDR, protección integrada de identidad y puntos finales y búsqueda de amenazas.
Como se mencionó, Falcon Enterprise tiene una prueba gratuita para empresas o individuos que desean una forma conveniente de probar su solución sin una suscripción inicial.
Comparación cara a cara: Carbon Black frente a CrowdStrike
Búsqueda de amenazas y remediación
Tanto Carbon Black como CrowdStrike ofrecen potentes funciones de búsqueda y remediación de amenazas. Sin embargo, CrowdStrike es una solución más sólida basada en las pruebas de MITRE Engenuity. Su alineación con MITRE Framework le permitió ser nombrado líder en el Cuadrante Mágico 2023 de Gartner para plataformas de protección de endpoints. El producto también ocupó la primera posición en cuanto a integridad de la visión.
Por el contrario, Broadcom o VMware (Carbon Black) no detectaron algunas amenazas cuando se probaron con el marco MITRE de 2022 a 2018 y se ubican en una posición inferior en los mismos hallazgos del Cuadrante Mágico de 2023.
Diseño de agente único
El uso de un único agente para administrar de forma centralizada múltiples dispositivos terminales garantiza que los equipos puedan implementar rápidamente y comenzar a manejar las amenazas.
CrowdStrike utiliza un diseño de agente universal único. La plataforma Falcon utiliza un único agente liviano implementado en dispositivos terminales que recopila datos y los envía a la nube para su análisis.
VER: CrowdStrike vs Sophos: Comparación de software EDR (República Tecnológica)
Por otro lado, Carbon Black es una herramienta de seguridad compleja con una curva de aprendizaje pronunciada. Requiere ajustes y configuraciones importantes. Además, sus consultas de detección de amenazas son demasiado complicadas y existen varios procesos manuales para gestionar las alertas y la remediación.
Aprendizaje conductual
El software EDR puede estar basado en firmas o sin firmas. Los programas EDR basados en firmas se basan en una base de datos de amenazas conocidas, mientras que los programas EDR sin firmas utilizan el aprendizaje automático y el análisis del comportamiento para identificar actividades sospechosas.
Tanto CrowdStrike como Carbon Black ofrecen análisis de comportamiento y capacidades de aprendizaje automático para rastrear anomalías y detectar comportamientos sospechosos en puntos finales y sistemas.
Sin embargo, una diferencia es que CrowdStrike brinda protección avanzada y sin firmas a través de inteligencia de amenazas integrada, aprendizaje automático y análisis de comportamiento, mientras que Carbon Black incluye un motor AV basado en firmas. Como resultado, CrowdStrike puede proteger mejor los dispositivos contra amenazas nuevas y desconocidas.
Despliegue
CrowdStrike se presenta como una plataforma para todas las cargas de trabajo. Proporciona una cobertura de protección integral que puede implementar en servidores y terminales Windows, Linux y macOS. Además, no hay equipos locales que requieran mantenimiento, administración, escaneos, reinicios e integraciones complejas.
Por el contrario, Carbon Black se presenta como una solución local o en la nube. Es posible que sea necesario reiniciar el dispositivo, incluidos los servidores críticos, como parte del proceso de actualización del sensor. Además, existe una disparidad de funciones entre las versiones locales y en la nube.
Control de dispositivos y firewall
El software EDR de Carbon Black permite el control de dispositivos (sin administración de firewall), pero está restringido al sistema operativo Windows y a unidades flash USB. También le permite crear sus políticas de seguridad de endpoints, lo que resulta beneficioso para las empresas que deben cumplir con estándares normativos o de rendimiento específicos.
En comparación, Falcon Firewall Management de CrowdStrike permite a los clientes pasar de plataformas de puntos finales heredadas al software EDR de próxima generación de la empresa, que incluye protección sólida, mejor rendimiento y gestión y aplicación eficientes de las políticas de firewall del host. Además, Falcon Firewall Management ofrece una gestión sencilla y multiplataforma de los firewalls del host/OS desde la consola Falcon, lo que permite a los equipos de seguridad limitar cualquier exposición a riesgos de forma eficaz.
Además, Falcon Device Control permite a los usuarios utilizar dispositivos USB de forma segura al ofrecer capacidades completas de protección y detección y respuesta (EDR) de extremo a extremo. Su perfecta integración con el agente y la plataforma Falcon viene con funciones de control de dispositivos complementadas con una seguridad completa para los terminales. Esto proporciona a los equipos de seguridad y operaciones de TI información sobre cómo se utilizan los dispositivos y los medios para regular y gestionar ese uso.
Integración API
La integración API garantiza que aproveche al máximo su software EDR. La solución EDR de Carbon Black ofrece más de 120 integraciones listas para usar.
Por otro lado, la plataforma Falcon de CrowdStrike se desarrolla como una plataforma API-first. A medida que se lanzan nuevas funciones, se agrega la funcionalidad API correspondiente para ayudar a automatizar y controlar cualquier operación recién agregada.
Pros y contras del negro de carbón
Ventajas
- Experiencia de usuario intuitiva y fácil de usar.
- Ligero y no requiere muchos recursos.
- Buena cantidad de integraciones.
Contras
- Debe comunicarse con ventas para conocer los precios.
- Puede requerir un mayor nivel de experiencia para maximizar.
Pros y contras de CrowdStrike
Ventajas
- Protección sin firma.
- Implementación perfecta de terminales.
- Excelente reputación en materia de seguridad.
Contras
- La interfaz podría ser más fácil de usar.
¿Su organización debería utilizar Carbon Black o CrowdStrike?
CrowdStrike es la mejor opción si necesita cobertura y protección integrales contra amenazas nuevas y desconocidas que puede implementar en servidores y terminales Windows, Linux y macOS. Sin embargo, si está buscando una solución local que le brinde protección contra amenazas conocidas, entonces Carbon Black puede ser mejor.
En última instancia, la decisión se reduce a su perfil de riesgo y a sus necesidades y requisitos específicos.
Metodología
Mi comparación directa entre la solución Carbon Black EDR de VMware y la solución EDR de CrowdStrike implicó realizar un análisis individualizado de sus características de seguridad, precios y valor general.
En particular, consideré la funcionalidad crítica de EDR, como la búsqueda y remediación de amenazas, la facilidad de implementación, el aprendizaje del comportamiento, el control de firewall y la integración de API.
Mi evaluación de ambas soluciones implicó una investigación en profundidad de la documentación oficial del producto, las características incluidas y los posibles casos de uso para diferentes tipos de negocios. También consideramos testimonios de usuarios reales y reseñas de terceros de sitios de reseñas acreditados para complementar nuestro análisis final.
