Administrador De Red

Kaspersky Endpoint Security frente a CrowdStrike Falcon

Kaspersky Endpoint Security frente a CrowdStrike Falcon



Kaspersky Lab es de origen ruso y todavía es propiedad mayoritaria de su fundador ruso. Sin embargo, ahora la empresa debería considerarse una empresa multinacional y no una empresa rusa. La empresa matriz del grupo tiene su residencia oficial en el Reino Unido y gran parte del equipo de investigación originalmente basado en Rusia se ha trasladado ahora a Suiza.

El éxito comercial de la empresa se vio gravemente dañado en 2017 cuando el Departamento de Seguridad Nacional de EE. UU. la acusó de ayudar a los esfuerzos de espionaje del servicio secreto ruso, el FSB. Estas acusaciones nunca fueron llevadas ante los tribunales.



A pesar de desempeñar un papel importante durante la última década en el descubrimiento de incidentes de ciberataques patrocinados por el Estado, los productos de la empresa ahora son vistos con desprecio en Occidente. Su software ha sido prohibido en los departamentos gubernamentales de Estados Unidos.

CrowdStrike se fundó como una consultoría de ciberseguridad en 2011. Ingresó al mercado de software en 2013 con el lanzamiento de Falcon. La empresa ha alcanzado la fama al descubrir ciberataques patrocinados por el estado. Como empresa con sede en Estados Unidos, CrowdStrike ha prosperado y su rama de consultoría todavía atrae la atención positiva de los medios, lo que le da a su marca un impulso publicitario.



Ambas empresas son bien conocidas por sus divisiones de investigación y consultoría, pero Kaspersky está bajo presión mientras CrowdStrike prospera. Echemos un vistazo al software de protección de endpoints de cada empresa.

Seguridad de puntos finales de Kaspersky

Logotipo de Kaspersky

Kaspersky Lab inició sus operaciones en 1997. Como uno de los primeros actores en el mercado de antivirus, Kaspersky siguió el modelo de negocios de exitosas empresas antivirus estadounidenses al combinar una fuerte inversión en investigación de identificación de virus con la venta de software antivirus. Symantec y McAfee tienen el mismo modelo de negocio que Kaspersky: utilizan laboratorios de investigación para proporcionar bases de datos de virus para sus productos antivirus y también para atraer la atención de los medios, reforzando sus marcas.

La historia del software antivirus de Kaspersky es anterior a la creación de la empresa. Eugenio Kaspersky Creó su propio sistema antivirus en 1989 mientras trabajaba para otra empresa. Ese sistema evolucionó hacia Kit de herramientas antivirus Pro (AVP) , que fue lanzado en 1992. Cuando Kaspersky incorporó el software a su propia empresa, cambió el nombre de AVP a Antivirus Kaspersky .

Una vez que Kaspersky se independizó con su propia empresa, su nombre, que ahora lleva la empresa y su producto clave, comenzó a atraer la atención de los medios fuera de su Rusia natal. Kaspersky creció hasta convertirse en el mayor proveedor de software de ciberseguridad de Europa. Eugene Kaspersky todavía dirige la empresa.

La versión empresarial de Kaspersky Anti-Virus se llama Seguridad de puntos finales de Kaspersky . La empresa produce software antivirus para pequeñas empresas, llamado Kaspersky Small Office Security. Kaspersky Endpoint Security está dirigido a medianas empresas. El software de protección de terminales debe cargarse en cada computadora que se esté defendiendo. Sin embargo, el administrador de sistemas puede monitorear el rendimiento de cada instancia a través de una consola de administración central, llamada Kaspersky Security Center.

Panel de control de Kaspersky EP

Al igual que otros productores de AV tradicionales, Kaspersky revisó su software para incorporar medidas de protección adicionales. Esto ha dado como resultado que Kaspersky Endpoint Security sea un conjunto de software de seguridad que funciona simultáneamente. Los procesos de la suite se especializan en controles de aplicaciones, dispositivos y web y también protegen datos y archivos de registro contra robo o manipulación.

Los principales elementos de la suite son:

  • Lista blanca dinámica – una base de datos creada por el laboratorio de investigación central de la empresa que enumera las aplicaciones aprobadas en lugar de buscar programas sospechosos para bloquear. La base de datos incluye 2.500 millones de programas confiables. Reduce la incidencia de ataques de día cero al bloquear el lanzamiento de software desconocido.
  • Sistema de prevención de intrusiones basado en host – el HIPS observa los archivos de registro y los datos de eventos almacenados en el dispositivo protegido en busca de signos de intrusión. Estas búsquedas pueden detectar y bloquear ataques manuales de piratas informáticos que utilizan software válido que ya reside en el dispositivo con fines maliciosos.
  • Detección de comportamiento – utiliza técnicas de aprendizaje automático de IA para reducir el riesgo de que se produzcan 'falsos positivos' al interrumpir las actividades normales de los usuarios del punto final.
  • Control adaptativo de anomalías – esta es una variación de la Detección de Comportamiento y se enfoca en aprender el comportamiento típico de los usuarios. Esto permite que el sistema de seguridad detecte cuándo un pirata informático secuestra una cuenta de usuario.
  • Prevención de exploits – monitorea los puntos de entrada conocidos de virus, como descargas de archivos, páginas web infectadas y dispositivos USB. El sistema de prevención también presta atención a las aplicaciones conocidas como convenientes disfraces de malware, incluidos archivos de Adobe Acrobat, scripts Flash y utilidades de Microsoft Office, como las macros.
  • Alerta y remediación – el sistema Kaspersky crea puntos de reversión y copias de seguridad de datos que le permiten restaurar el punto final a su estado intacto una vez que se ha detectado un ataque. El motor de remediación puede suspender cuentas de usuario y finalizar procesos para finalizar el ataque.
  • Protección contra amenazas de red – protege contra la llegada de infecciones al punto final a través de la red. Se trata de un conjunto de procesos de protección que incluye protecciones contra la suplantación de direcciones de red y otras técnicas de secuestro del sistema que los piratas informáticos utilizan para disfrazar su intrusión.
  • Endurecimiento de permisos – el sistema Kaspersky protege los nombres de usuario y las contraseñas en tránsito y elimina las cuentas abandonadas que pueden ayudar a los piratas informáticos.
  • Detección y respuesta de terminales (EDR) – intercambio de inteligencia sobre amenazas reportado por el software de seguridad del endpoint a una base de datos central. Estos datos se analizan a través de procesos automatizados y también de analistas humanos de ciberseguridad, luego se resumen y distribuyen como 'indicadores de compromiso' (IoC).
  • Persistencia de seguridad – el software es capaz de protegerse de ser manipulado o cerrado por procesos maliciosos.
  • Cifrado de disco completo (FDE) – la opción de proteger un disco con cifrado es una característica única en el mercado de protección de terminales. Kaspersky utiliza cifrado AES de 256 bits. Esta es una característica particularmente útil cuando las empresas utilizan dispositivos móviles que podrían perderse o ser robados fácilmente.
  • Cifrado a nivel de archivos de Kaspersky – una estrategia de seguridad de datos alternativa a FDE. Los administradores de sistemas pueden imponer el cifrado automático de archivos según el tipo de archivo y su ubicación. Los usuarios también pueden cifrar archivos a pedido para transferirlos por correo electrónico o a memorias USB.
  • Control de acceso a terminales – esta es una utilidad en la consola de Security Center y se integra con Active Directory para proteger el acceso a los puntos finales.

Kaspersky Endpoint Security es un paquete de protección muy completo. Incluso se extiende a la protección de datos, que es una tarea que la mayoría de las plataformas de protección de endpoints no incluyen.

Ventajas:

  • Ofrece cifrado a nivel de archivos para proteger los datos almacenados localmente en los puntos finales
  • Se integra con AD para control de acceso y configuración basada en políticas
  • Ofrece plantillas de alerta avanzadas y reversiones almacenadas localmente.
  • Aprovecha el análisis de comportamiento para identificar amenazas previamente desconocidas

Contras:

  • Las empresas con sede en EE. UU. podrían tener restringido el uso de soluciones de seguridad extranjeras

Halcón CrowdStrike

Logotipo del Halcón Crowdstrike

CrowdStrike inició sus operaciones en 2011 como consultoría de ciberseguridad. En los primeros años de su existencia, la empresa alcanzó gran renombre al descubrir algunas de las mayores violaciones de seguridad de la historia y ayudar a las víctimas a proteger sus sistemas. Por ejemplo, la compañía descubrió el importante evento de robo de datos que ocurrió en la base de datos de SONY Pictures en 2014 y ha trabajado para el Partido Demócrata de EE. UU. desde el hackeo de correo electrónico de 2016 para ayudarlos a reforzar sus defensas digitales. El jefe de la división de consultoría de la empresa es el exlíder de la división cibernética del FBI, Shawn Henry.

Halcón CrowdStrikeFue el gran paso de la empresa hacia el mercado del software. El sistema es una “plataforma de protección de terminales” (EPP), lo que significa que es un conjunto de aplicaciones.

CrowdStrike anuncia que Falcon está 'entregado desde la nube'. En realidad, muchas de las tareas que protegen los terminales las realizan aplicaciones residentes en el propio dispositivo. Un aspecto inusual del sistema CrowdStrike Falcon es que incluye planes que incluyen los servicios de analistas humanos de ciberseguridad.

Otra característica distintiva de Falcon es que se vende en ediciones. Esto permite al cliente seleccionar qué módulos incluir con la plataforma. Esos módulos son:

  • Halcón prevenir – Software antivirus y firewall de última generación.
  • Inteligencia Halcón – Un motor de inteligencia de amenazas.
  • Perspicacia del halcón – Detección y respuesta de endpoints (EDR) para combatir amenazas persistentes avanzadas.
  • Vigilancia del halcón – Caza de amenazas por parte de expertos humanos.
  • Halcón Descubrir – Un escáner de vulnerabilidades.
  • Control de dispositivos Falcon – Un sistema de monitorización de memorias USB.

Los paquetes ofrecidos por CrowdStrike permiten al cliente comprar solo algunos o la mayoría de estos módulos. Las ediciones de CrowdStrike Falcon son:

  • Halcón Pro – incluye Falcon Prevent y Falcon Intelligence.
  • Empresa Halcón – incluye Falcon Prevent, Falcon Intelligence, Falcon Insight y Falcon Overwatch.
  • Halcón Premium – incluye Falcon Prevent, Falcon Intelligence, Falcon Insight, Falcon Overwatch y Falcon Discover.
  • Halcón completo – Un servicio de seguridad de endpoints gestionado que incluye los recursos de todos los módulos.

Ninguno de los paquetes incluye Control de dispositivos Falcon . Este es un complemento de las ediciones y controla el acceso otorgado a las memorias USB. La aplicación bloquea los puertos USB del dispositivo protegido y evita que cualquier dispositivo USB se conecte al sistema operativo de la computadora. A través de una consola de gestión, un administrador puede autorizar determinados dispositivos. Esas tarjetas de memoria borradas podrán interactuar con la computadora mientras todos los demás dispositivos USB permanecen bloqueados.

Falcon previene el tablero

Halcón completo es un servicio gestionado. Eso significa que no necesita capacitar a ningún miembro de su personal de soporte de TI en el uso del sistema CrowdStrike. Un equipo de técnicos en CrowdStrike HQ monitorea la seguridad de sus puntos finales y toma medidas cuando sea necesario. Entonces aún es necesario instalar el software agente en cada computadora protegida. El paquete Falcon Complete incluye el uso de todos los módulos Falcon y también de analistas humanos.

El Halcón Premium La edición es el plan más alto que puedes administrar tú mismo. Incluye todos los módulos excepto Falcon Device Control. El módulo Falcon Discover sólo está disponible en el paquete Premium, lo cual es una pena. Falcon Discover es un escáner de vulnerabilidades, que se está convirtiendo en una herramienta cada vez más necesaria en ciberseguridad. Es posible que algunos clientes solo quieran el paquete básico de protección de terminales de Falcon Pro más Falcon Discover sin tener que pagar también por Falcon Insight y Falcon Overwatch.

La edición base, Halcón Pro es una muy buena oferta y proporciona todas las funciones de protección que representan el EPP completo en algunos sistemas de protección de terminales rivales. El acuerdo Pro incluye un AV de generación de red, que busca patrones de comportamiento en lugar de escanear la presencia de archivos escritos en una lista negra. ElInteligencia HalcónEl módulo es un sistema de aprendizaje automático basado en inteligencia artificial que también busca comportamientos sospechosos. Mientras Falcon Prevent examina cada proceso en busca de comportamiento anómalo, Falcon Intelligence rastrea secuencias de eventos que indicarían una intrusión de piratas informáticos. Falcon Intelligence es un sistema de prevención de intrusiones. Todas las instancias instaladas de la aplicación en todo el mundo contribuyen a un sistema de inteligencia de amenazas cargando informes de las incidencias que han combatido.

Empresa Halcón Publicidad Perspicacia del halcón y Vigilancia del halcón a los módulos disponibles en la edición Falcon Pro. Falcon Insight busca evidencia de amenazas persistentes avanzadas (APT). Estas intrusiones son invasiones no autorizadas a largo plazo del sistema en las que el pirata informático configura una cuenta para acceso regular. Falcon Overwatch es un módulo de firma. Presta los servicios del reconocido análisis de ciberseguridad de la empresa. Estos expertos revisan los datos de registro cargados por Falcon X para buscar señales de intrusión que los cazadores de amenazas automatizados podrían haber pasado por alto. Puede consultar CrowdStrike Falcon en una prueba gratuita de 15 días.

Ventajas:

  • No depende únicamente de los archivos de registro para la detección de amenazas, utiliza el escaneo de procesos para encontrar amenazas de inmediato
  • Actúa como una herramienta HIDS y de protección de endpoints, todo en uno
  • Puede rastrear y alertar sobre comportamientos anómalos a lo largo del tiempo; mejora cuanto más tiempo monitorea la red
  • Puede instalarse de forma local o directamente en una arquitectura basada en la nube.
  • Los agentes livianos no ralentizarán los servidores ni los dispositivos de los usuarios finales

Contras:

  • Se beneficiaría de un período de prueba más largo de 30 días

Kaspersky Endpoint Security y CrowdStrike Falcon

Kaspersky Endpoint Security y CrowdStrike Falcon tienen muchos factores en común. Ambos sistemas incluyen elementos antivirus y de firewall tradicionales, pero implementan las tareas de bloquear el malware de formas innovadoras. Ambos requieren que se instale software en el terminal y, al mismo tiempo, se pone a disposición de los administradores del sistema una consola de administración central.

Mirando las listas de módulos que incluye cada plataforma, es imposible no concluir que el sistema Kaspersky es más completo . A pesar de esto, las acusaciones de “espionaje ruso” formuladas por el Departamento de Seguridad Nacional de Estados Unidos significan que es probable que muchas empresas en Estados Unidos tachen esta opción de su lista.

El proceso que desencadenó la alerta de seguridad de Estados Unidos fue el módulo EDR del software. Esto cargó los detalles del ataque en la base de datos global de amenazas de Kaspersky, a la que también pueden acceder los analistas de ciberseguridad de Kaspersky en Moscú. Desafortunadamente, el usuario de ese punto final específico era un agente de la Agencia de Seguridad Nacional (NSA). Esto, junto con las acusaciones infundadas de que Kaspersky mantiene contactos secretos con el FSB de Rusia, puede hacerle optar por el software de CrowdStrike a pesar de que la empresa colabora abiertamente con las agencias de seguridad nacional estadounidenses. Aprovecha una prueba gratuita de 15 días de Falcon Pro para ponerlo a prueba.

Kaspersky vende su software Endpoint Security como parte de Kaspersky Total Security, que está disponible en una prueba gratuita de 30 días . También está disponible como Kaspersky Endpoint Security for Business Advanced en una prueba gratuita de 30 días , Kaspersky Endpoint Security for Business Select en una prueba gratuita de 30 días , y Kaspersky Endpoint Security Cloud en una prueba gratuita de 30 días .

Una vez que haya probado estos dos sistemas, deje un mensaje en el Comentarios sección a continuación para compartir sus opiniones con la comunidad.

^