Las empresas que utilizan inteligencia artificial para generar código están experimentando tiempos de inactividad y problemas de seguridad. El equipo de Sonar, un proveedor de productos de seguridad y calidad de código, ha escuchado historias de primera mano de interrupciones constantes incluso en importantes instituciones financieras donde los desarrolladores responsables del código culpan a la IA. Entre muchas otras imperfecciones, las herramientas de IA no son perfectas para generar código. Los investigadores de la Universidad Bilkent descubrieron que las últimas versiones de ChatGPT, GitHub Copilot y Amazon CodeWhisperer generaron código correcto solo el 65,2 %, el 46,3 % y el 31,1 % del tiempo, respectivamente. Parte del problema es que la IA es notoriamente mala en matemáticas porque le cuesta entender la lógica. Además, los programadores no son conocidos por ser buenos escribiendo indicaciones porque «la IA no hace las cosas de manera consistente ni funciona como código», según el profesor de IA de Wharton Ethan Mollick. VEA: OpenAI presenta el modelo «Strawberry», optimizado para codificación y matemáticas complejas ¿Podrían ser las «revisiones insuficientes» un factor? A finales de 2023, más de la mitad de las organizaciones afirmaron que se habían encontrado con problemas de seguridad con un código mal generado por IA «a veces» o «con frecuencia», según una encuesta de Snyk. Pero el problema podría empeorar, ya que el 90% de los ingenieros de software empresarial utilizarán asistentes de código de IA en 2028, según Gartner. Tariq Shaukat, director ejecutivo de Sonar y expresidente de Bumble y Google Cloud, ya está «escuchando cada vez más sobre esto». En una entrevista con TechRepublic, dijo: «Las empresas están implementando herramientas de generación de código de IA con mayor frecuencia, y el código generado se está poniendo en producción, lo que provoca interrupciones y/o problemas de seguridad. «En general, esto se debe a revisiones insuficientes, ya sea porque la empresa no ha implementado prácticas sólidas de calidad y revisión de código, o porque los desarrolladores están examinando el código escrito por IA menos de lo que examinarían su propio código. “Cuando se les pregunta sobre la IA con errores, un estribillo común es ‘no es mi código’, lo que significa que se sienten menos responsables porque no lo escribieron”. VEA: El 31% de las organizaciones que utilizan IA generativa le piden que escriba código (2023) Destacó que esto no se debe a una falta de cuidado por parte del desarrollador, sino más bien a una falta de interés en «editar el código» además de que los procesos de control de calidad no están preparados para la velocidad de adopción de la IA. Más cobertura de IA de lectura obligada El efecto «laissez-faire» Además, un estudio de 2023 de la Universidad de Stanford que analizó cómo los usuarios interactúan con los asistentes de código de IA descubrió que quienes los usan «escribieron un código significativamente menos seguro», pero eran «más propensos a creer que escribieron código seguro». Esto sugiere que simplemente por usar herramientas de IA, los programadores adoptarán automáticamente una actitud más laissez-faire para revisar su trabajo. Es parte de la naturaleza humana sentirse tentado por un atajo más fácil, en particular cuando se está bajo presión por parte de un gerente o de un cronograma de lanzamiento, pero depositar la confianza plena en la IA puede tener un impacto en la calidad de las revisiones de código y en la comprensión de cómo el código interactúa con una aplicación. La interrupción del servicio de CrowdStrike en julio puso de relieve lo generalizada que puede ser la interrupción si falla un sistema crítico. Si bien ese incidente no estaba relacionado específicamente con el código generado por IA, la causa de la interrupción fue un error en el proceso de validación, que permitió que se implementaran «datos de contenido problemáticos». Esto demuestra la importancia de un elemento humano al examinar contenido crítico. Los desarrolladores tampoco desconocen los posibles peligros del uso de la IA en su trabajo. Según un informe de Stack Overflow, solo el 43% de los desarrolladores confía en la precisión de las herramientas de IA, solo un 1% más que en 2023. La calificación de favorabilidad de la IA entre los desarrolladores también cayó del 77% el año pasado al 72% este año. Pero, a pesar del riesgo, los departamentos de ingeniería no se han visto disuadidos de usar herramientas de codificación de IA, en gran parte debido a los beneficios de eficiencia. Una encuesta de Outsystems descubrió que más del 75% de los ejecutivos de software redujeron su tiempo de desarrollo hasta la mitad gracias a la automatización impulsada por IA. También está haciendo más felices a los desarrolladores, dijo Shaukat a TechRepublic, porque dedican menos tiempo a tareas rutinarias. ¿Qué es la «rotación de código»? El ahorro de tiempo por las ganancias de productividad podría compensarse con el esfuerzo necesario para solucionar los problemas causados por el código generado por IA. Los investigadores de GitClear inspeccionaron 153 millones de líneas de código escritas originalmente entre enero de 2020 y diciembre de 2023, cuando se disparó el uso de asistentes de codificación de IA, que habían sido alteradas de alguna manera. Observaron un aumento en la cantidad de código que tuvo que ser corregido o revertido menos de dos semanas después de su creación, lo que se denomina «rotación de código», que indica inestabilidad. Los investigadores proyectan que los casos de rotación de código se duplicarán en 2024 con respecto a la línea de base anterior a la IA de 2021 y que más del 7% de todos los cambios de código se revertirán en dos semanas. Además, durante el período de estudio, el porcentaje de código copiado y pegado también aumentó notablemente. Esto va en contra del popular mantra «DRY» o «Don’t Repeat Yourself» entre los programadores, ya que el código repetido puede llevar a un mayor mantenimiento, errores e inconsistencia en una base de código. Pero, sobre si los ahorros de tiempo de productividad asociados con los asistentes de código de IA se están anulando por las operaciones de limpieza, Shaukat dijo que es demasiado pronto para decirlo. VER: Las mejores herramientas de seguridad para desarrolladores «Nuestra experiencia es que los desarrolladores típicos aceptan sugerencias de los generadores de código aproximadamente el 30% del tiempo. Eso es significativo», dijo. «Cuando el sistema está diseñado correctamente, con las herramientas y los procesos adecuados, cualquier trabajo de limpieza es manejable». Sin embargo, los desarrolladores aún deben rendir cuentas por el código que envían, especialmente cuando se utilizan herramientas de IA. Si no lo son, es cuando el código que causa el tiempo de inactividad se escapará. Shaukat dijo a TechRepublic: “Los directores ejecutivos, los directores de sistemas y otros líderes corporativos deben analizar sus procesos a la luz del mayor uso de la IA en la generación de código y priorizar la adopción de las medidas de seguridad necesarias. “Donde no puedan hacerlo, verán interrupciones frecuentes, más errores, una pérdida de productividad de los desarrolladores y mayores riesgos de seguridad. Las herramientas de IA están diseñadas para ser confiables y verificadas”.
Etiqueta: huelga de multitudes
En lo que podría describirse como un escenario real de «Y2K», innumerables máquinas que ejecutaban Windows y otros productos de software relacionados de Microsoft se detuvieron bruscamente después de ser víctimas del temido error de «pantalla azul de la muerte» (BSOD). El problema afectó a empresas, así como a bancos, transporte e incluso redes de televisión. Si bien muchos atribuyeron inicialmente la interrupción a Microsoft, se descubrió más tarde que el software de CrowdStrike, un desarrollador externo, era la causa real del mensaje de error. Los dispositivos y redes afectados quedaron básicamente atrapados en un bucle de arranque de recuperación inevitable, lo que impidió que los usuarios los iniciaran. El software de CrowdStrike se utiliza para los servicios de seguridad de Windows. El CEO de Microsoft, Satya Nadella, estaba al tanto del problema y emitió una declaración formal (a través de sus redes sociales) abordando el error BSOD. Comenta: Ayer, CrowdStrike lanzó una actualización que comenzó a afectar a los sistemas de TI a nivel mundial. Somos conscientes de este problema y estamos trabajando en estrecha colaboración con CrowdStrike y con toda la industria para brindar a los clientes orientación técnica y soporte para que vuelvan a poner en línea sus sistemas de manera segura. El problema de la pantalla azul de la muerte afectó a importantes entidades, entre ellas varias aerolíneas y aeropuertos de Estados Unidos, la cadena de medios británica Sky News e incluso centros de atención al cliente 911 en Alaska. Dada la volatilidad de las redes sociales en la actualidad, muchos se apresuraron a asumir que se trataba de un ciberataque a gran escala, aunque no fue así. El director ejecutivo de CrowdStrike, George Kurtz, afirma a través de las redes sociales: CrowdStrike está trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para los hosts de Windows… Los hosts de Mac y Linux no se ven afectados. No se trata de un incidente de seguridad ni de un ciberataque. CrowdStrike afirma que ya se ha identificado el problema: la causa se debe a una actualización del controlador a nivel de kernel que CrowdStrike utiliza para los sistemas con Windows. Fuente: The Verge
Una importante interrupción en las PC con Windows en Estados Unidos, Reino Unido, Australia, Sudáfrica y otros países fue causada por un error en una actualización de CrowdStrike, anunció la compañía de seguridad en la nube el viernes. Los servicios de emergencia, aeropuertos y fuerzas del orden informaron de un tiempo de inactividad, que continúa. «Esto no es un incidente de seguridad ni un ciberataque», dijo CrowdStrike en un comunicado. Pantalla azul de la muerte generalizada debido a la interrupción del servicio de CrowdStrike Las organizaciones afectadas vieron la infame Pantalla azul de la muerte, la alerta de bloqueo del sistema de Windows. Según The Verge, el problema se originó con una actualización de un controlador de nivel de kernel utilizado para conectar CrowdStrike a PC y servidores con Windows. Los vuelos de American Airlines, United y Delta se retrasaron el viernes por la mañana debido al problema que afectó a los sistemas de TI de las aerolíneas. El medio de comunicación británico Sky News informó sobre su propio corte de televisión la madrugada del viernes. El departamento de servicios de emergencia de New Hampshire informó que volvió a estar en línea después de la interrupción de los servicios del 911 la madrugada del viernes. Más cobertura de seguridad en la nube «El problema ha sido identificado, aislado y se ha implementado una solución», dijo CrowdStrike el viernes. Sin embargo, todavía se están reportando cortes en algunas máquinas que se vieron afectadas inicialmente. Microsoft 365 informó una advertencia de degradación del servicio el viernes por la mañana, pero esto parece ser un incidente separado. CrowdStrike generó el 14,74% de los ingresos totales de software para segmentos y regiones de software de seguridad en 2023, según los datos que Gartner envió a TechRepublic por correo electrónico. Microsoft generó el 40,16%. VER: El tiempo de inactividad le cuesta a las empresas más grandes del mundo $ 400 mil millones al año, según Splunk. ¿Qué medidas pueden tomar las empresas si se ven afectadas por la interrupción de CrowdStrike? Microsoft recomienda reiniciar las máquinas virtuales de Azure que ejecutan el agente Falcon de CrowdStrike. Esto puede requerir muchos reinicios, y algunos usuarios informan que tuvieron éxito después de hasta 15. Otras opciones son restaurar desde una copia de seguridad anterior al 18 de julio a las 04:09 UTC o intentar reparar el disco del sistema operativo mediante una máquina virtual de reparación. “Debido a la forma en que se ha implementado la actualización, las opciones de recuperación para las máquinas afectadas son manuales y, por lo tanto, limitadas”, dijo el vicepresidente y analista principal de Forrester, Andras Cser, en una declaración preparada enviada por correo electrónico a TechRepublic. “Los administradores deben conectar un teclado físico a cada sistema afectado, iniciar en modo seguro, eliminar la actualización comprometida de CrowdStrike y luego reiniciar. Algunos administradores también han declarado que no han podido obtener acceso a las claves de cifrado del disco duro BitLocker para realizar los pasos de reparación”. CrowdStrike recomienda que sus clientes se mantengan en contacto con los representantes de CrowdStrike. Las organizaciones, incluso las que no se vieron directamente afectadas, deben consultar con sus socios de SaaS para ver si pueden estar experimentando problemas. Debido a que este incidente afecta a una gama tan amplia de organizaciones importantes, la posibilidad de desinformación es alta. “Habrá mucha desinformación sobre cómo reconfigurar sus computadoras o qué archivos críticos del sistema eliminar”, dijo el ex experto en ciberseguridad de la NSA Evan Dornbush en un correo electrónico a TechRepublic. “No sea víctima de la descarga de soluciones falsas”. “De manera similar, este es un buen momento para reflexionar sobre la gestión de contraseñas, ya que la solución puede eventualmente requerir acceso administrativo a sistemas que no se han reiniciado en bastante tiempo”, dijo. Evalúe la dependencia de su organización de un proveedor o servicio y asegúrese de que su organización tenga un sólido proceso de recuperación implementado. También es un buen momento para que los líderes del equipo de TI se aseguren de que su personal tenga el apoyo que necesita. “Esta interrupción se produjo el viernes por la noche en algunas geografías, justo cuando la gente se dirigía a casa para pasar el fin de semana”, señaló la analista principal de Forrester, Allie Mellen, en una declaración preparada enviada por correo electrónico a TechRepublic. “Los incidentes tecnológicos como este requieren un enfoque de manos a la obra, y sus equipos trabajarán las 24 horas del día, los 7 días de la semana durante el fin de semana para recuperarse. Apoye a sus equipos asegurándose de que tengan el apoyo adecuado y descansos para evitar el agotamiento y los errores. Comunique claramente los roles, las responsabilidades y las expectativas”. Cuando se contactó con CrowdStrike para obtener comentarios, TechRepublic dirigió a TechRepublic a la declaración oficial. Este artículo se actualizará a medida que haya más información disponible. TechRepublic se comunicó con Microsoft para obtener comentarios.
Esta es una historia en desarrollo. Varias empresas y organizaciones en todo el mundo se han visto afectadas por la interrupción global de TI esta tarde (viernes 19 de julio). Según varios informes de noticias, la interrupción estuvo relacionada con Windows de Microsoft y aparentemente se debió a un problema en la empresa de software de ciberseguridad CrowdStrike. Esto es lo que sucedió hasta ahora: Las colas serpenteantes llenaron el aeropuerto de Changi Al llegar al aeropuerto de Changi alrededor de las 3.45 pm, CNA informó que había largas filas de viajeros esperando para registrarse en sus vuelos en la Terminal 1. Las máquinas de autofacturación de varias aerolíneas, incluidas Scoot y AirAsia, no funcionaron, y los pasajeros fueron dirigidos a los mostradores de facturación en persona para registrarse para sus vuelos. Se informó que algunos vuelos en la Terminal 4 fueron reprogramados, lo que afectó a un par de vuelos de AirAsia y VietJet Air. Según un informe de CNA, las tensiones aumentaron entre los pasajeros en la Terminal 1 en las filas aparentemente interminables. Se informó que un pasajero gritó: «¡He estado esperando dos horas!» antes de que los miembros del personal del aeropuerto le aseguraran que su vuelo Scoot no saldría sin ellos. Desafortunadamente, esa pasajera fue abandonada por el avión. El personal le dijo que el primer vuelo era mañana a Kuala Lumpur, donde tendría que conducir para llegar a su destino inicial, Ipoh. (El miembro del personal del mostrador de gestión de vuelos de Scoot) seguía diciendo: «esto no es culpa nuestra, esto no es culpa nuestra. Nadie quiere esto». Dijo «eso es todo lo que podemos hacer. Ya es suficiente. Estamos tratando de ayudar. No molesten. Eso es tan malo. Es tan frustrante. Ha sido una pesadilla». La Sra. Tan hablando con CNA Por otro lado, Singapore Airlines compartió que, si bien actualmente los vuelos no se ven afectados, algunos servicios en su centro de servicio ION y líneas directas de reservas están experimentando problemas técnicos. Se recomienda a los clientes que quieran hacer nuevas reservas de vuelos o modificar las existentes que lo hagan a través del sitio web o la aplicación móvil de SIA. Se recomienda encarecidamente a quienes tengan solicitudes de servicio no urgentes que se comuniquen con la aerolínea más tarde. Medios de comunicación, SingPost y algunas entidades afectadas Según un blog en vivo de The Straits Times, el sitio web de informes de usuarios Downdetector.com mostró un aumento en las interrupciones en Microsoft 365, que tenía más de 150 informes de usuarios de Singapur a las 2 p.m. Muchos usuarios de Windows se quejaron de que se encontraron con «la pantalla azul de la muerte», que indicaba que su computadora había tenido un problema y tuvo que reiniciarse. A las 4:38 p.m., los clientes que usaban CDG Zig, la aplicación de transporte de ComfortDelGro, fueron informados a través de una notificación emergente al abrir la aplicación de que los métodos de pago como PayLah, Nets y Cabcharge no están disponibles actualmente. También se les notificó que usaran otros métodos de pago en su lugar. A las 5:19 p.m., los servicios de CDG Zig volvieron a estar en línea, ofreciendo un código de promoción de S$ 2 para los usuarios. Lamentablemente, Singapore Post aún no se ha recuperado de la interrupción. La organización publicó una historia de Instagram a las 4:12 pm, indicando que estaban experimentando «dificultades técnicas» debido a la interrupción, y agregó que el equipo está trabajando para resolver el problema lo más rápido posible. A las 6 pm, un portavoz de Singpost le dijo a The Straits Times que varios servicios, incluido su sistema de seguimiento y plataformas de envío internacionales y nacionales, se habían visto afectados. Los pagos de facturas, los quioscos de autoservicio y la impresión de etiquetas en POPStations también están temporalmente no disponibles. Sin embargo, las entregas, la aplicación POPStop, la recolección de POPStation, la plataforma en línea shop.singpost y los servicios relacionados con ICA y HPB siguen sin verse afectados. A principios de esta tarde, los medios de comunicación locales Lianhe Zaobao y The Straits Times informaron que se habían visto afectados por la interrupción. Operaciones globales interrumpidas Más allá de Singapur, estos son algunos de los grandes golpes que la interrupción de TI tuvo en las operaciones en todo el mundo: Sector de la salud: Dos hospitales en Tailandia informaron que algunos servicios podrían retrasarse debido a la interrupción. El sistema de citas del Servicio Nacional de Salud en Inglaterra ha estado experimentando problemas. El operador ferroviario de Malasia, KTMB, confirmó que su sistema de emisión de billetes KITS y los canales de atención al cliente informaron de que habían experimentado dificultades técnicas. Las plataformas del London Stock Exchange Group y los operadores de transporte estaban fuera de servicio. Varios bancos y empresas de telecomunicaciones dejaron de funcionar en Australia. 6 aerolíneas indias se vieron afectadas por la interrupción. Centros de llamadas de emergencia y de 911 afectados en Estados Unidos El director ejecutivo de CrowdStrike ha publicado desde entonces un comunicado a las 6:10 p. m. del X, en el que afirma que la interrupción se debió a un defecto en una única actualización de contenido. CrowdStrike está trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para los hosts de Windows. Los hosts de Mac y Linux no se ven afectados. No se trata de un incidente de seguridad ni de un ciberataque. El problema se ha identificado, aislado y se ha implementado una solución. Nosotros…— George Kurtz (@George_Kurtz) 19 de julio de 2024 Crédito de la imagen destacada: Reuters/CNN
Como líderes dentro de la industria de respuesta y detección de endpoints, CrowdStrike y Sophos ofrecen EDR de alta calidad para organizaciones de todos los tamaños. Elegir entre las dos herramientas EDR puede resultar difícil debido a sus características y reputación similares dentro de la industria. VER: Diez mitos sobre la ciberseguridad que no deberías creer (TechRepublic Premium) CrowdStrike Falcon XDR y Sophos Intercept X se basan en sus soluciones EDR con detección y respuesta mejoradas, conocidas como XDR. En esta comparación, explicamos qué solución EDR es mejor para usted y su organización. ESET PROTECT Empleados avanzados por tamaño de empresa Micro (0-49), pequeña (50-249), mediana (250-999), grande (1000-4999), empresarial (5000+) Cualquier tamaño de empresa Cualquier tamaño de empresa Características Defensa avanzada contra amenazas , cifrado de disco completo, protección moderna de terminales y más Empleados de Heimdal Security por tamaño de empresa Micro (0-49), Pequeña (50-249), Mediana (250-999), Grande (1000-4999), Empresa (5000+) Pequeña (50-249 empleados), Mediana (250-999 empleados), Grande (1000-4999 empleados), Empresa (más de 5000 empleados) Pequeña, Mediana, Grande, Funciones empresariales Antivirus, monitoreo, administración de parches ManageEngine Desktop Central Empleados por empresa Tamaño Micro (0-49), Pequeño (50-249), Mediano (250-999), Grande (1000-4999), Enterprise (5000+) Cualquier tamaño de empresa Cualquier tamaño de empresa Funciones Monitoreo de actividad, antivirus, panel de control y más Comparación de funciones: CrowdStrike frente a Sophos FunciónCrowdStrikeSophos Aprendizaje profundoSíSí Identificación de malwareSíSí Análisis de comportamientoSíSí Prevención de pérdida de datosSíSí Corrección automatizadaSíSí Aislamiento de terminalesSíSíPlataformas compatiblesWindows, macOS, LinuxWindows, macOS, Linux, iOS, Android Prueba gratuitaSíSí Precio inicial$184,99 por dispositivo (Falcon Enterprise)Precios mediante formulario en línea Precios de CrowdStrike frente a Sophos En términos de precios, se puede acceder a EDR y XDR de Crowdstrike a través de su suscripción Falcon Enterprise o Falcon Elite. Si bien ambos niveles tienen la solución EDR de CrowdStrike, se diferencian en las funciones de seguridad adicionales incluidas en la licencia. A continuación se muestra un resumen de las inclusiones y precios de ambos: Falcon Enterprise: $184,99 por dispositivo; incluye antivirus, EDR, XDR y búsqueda de amenazas gestionada. Falcon Elite: comuníquese con ventas para obtener una cotización; incluye EDR, XDR, protección integrada de identidad y puntos finales y búsqueda de amenazas. Por otro lado, los precios de los productos EDR y XDR de Sophos se pueden conocer después de responder un breve formulario en línea. Hubiera preferido que Sophos proporcionara tanto estos precios basados en formularios como los precios de referencia para dar a las empresas una idea de los precios que podían esperar. VER: CrowdStrike vs McAfee: Comparación de software EDR (TechRepublic) Afortunadamente, tanto CrowdStrike como Sophos ofrecen pruebas gratuitas para sus productos de protección de endpoints. Esto permite a las organizaciones probar sus soluciones de software sin gastar en una suscripción o licencia inicial. Comparación directa: API y extensiones de CrowdStrike frente a Sophos CrowdStrike mantiene un extenso inventario de extensiones, junto con una API sólida, para integrar aún más su solución EDR/XDR con la pila de tecnología existente de una organización. Estas integraciones facilitan que una organización cree un panorama de seguridad integral y sólido al mismo tiempo que incluyen importantes soluciones basadas en la nube como AWS Security Hub y Amazon Workspaces. Panel de control de CrowdStrike EDR. Imagen: CrowdStrike Sophos también ofrece integraciones con socios, aunque no tantas. Las integraciones personalizadas de Sophos están destinadas a ampliar la funcionalidad de los sistemas existentes, mejorando la automatización y aliviando la carga administrativa. Precisión CrowdStrike fue nombrado «líder» en el informe más reciente de Forrester Wave Endpoint Security, cuarto trimestre de 2023. Forrester destacó a CrowdStrike como una solución de «punto final dominante», mencionando su «visión superior» y su impacto mínimo en el rendimiento del punto final. Detecciones en Sophos Threat Analysis Center. Imagen: Comunidad de Sophos En ese mismo informe de Forrester, el software Endpoint de Sophos tuvo un buen desempeño, pero no obtuvo tanta calificación como CrowdStrike. En particular, Sophos obtuvo una puntuación intermedia en términos de estrategia, presencia en el mercado y la solidez de sus ofertas de seguridad actuales. Esto indica que, al menos según las evaluaciones de Forrester, CrowdStrike tuvo un desempeño notablemente mejor. Cobertura del sistema CrowdStrike proporciona una amplia cobertura de sistemas para todos los sistemas operativos comunes en una amplia gama de puntos finales potenciales, incluidos Windows, Mac y Linux. Esto es cierto en todos los ámbitos de la gama actual de productos de seguridad de CrowdStrike. VER: Microsoft Defender vs CrowdStrike: Comparación del software EDR (TechRepublic) Forrester señala que Sophos tiene una cobertura de sistema operativo inferior al promedio. Sophos ofrece cobertura completa para Windows y MacOS. Si bien Linux es compatible, no todas las funciones de Sophos se traducen al entorno Linux. Sin embargo, Sophos es compatible con plataformas móviles Android e iOS. Rendimiento CrowdStrike está diseñado para ser liviano y fácil de implementar. No sólo se puede implementar para uso inmediato, sino que tiene poco impacto en el sistema. Comparativamente, algunos usuarios han encontrado que Sophos consume muchos recursos, lo que podría tener un impacto en la eficiencia y el rendimiento de una organización. Visibilidad Tanto CrowdStrike como Sophos están diseñados para proporcionar una visibilidad del 100 % de la red y los puntos finales de su organización. Estas opciones brindan visibilidad histórica y en tiempo real en toda la arquitectura de la nube, además de datos de eventos de alta fidelidad. Los usuarios notan que CrowdStrike proporciona un registro extenso y rico. Conjunto de productos Muchos productos de seguridad no se utilizan de forma aislada, sino que se incluyen dentro de un conjunto de productos más amplio. CrowdStrike ofrece una amplia gama de ofertas de productos, que van desde opciones de seguridad de terminales hasta servicios gestionados. Algunos productos Falcon son paquetes de otros conjuntos granulares, mientras que otros son independientes. Sin embargo, la amplia gama de productos de CrowdStrike puede resultar abrumadora para algunos usuarios. Los productos de Sophos incluyen Sophos Firewall, Sophos Managed Threat Response y Sophos Central Management Console, que se integra aún más con Sophos Server, Sophos Switch, Sophos Mobile, Sophos Encryption y más. Estos productos pueden crear un ecosistema de seguridad completo de Sophos y la línea de productos se extiende incluso a la seguridad personal del hogar. Más cobertura de seguridad en la nube Pros y contras de CrowdStrike Pros Fácil de implementar y administrar. Detección y respuesta precisas a amenazas. Ligero en comparación con otros clientes. Contras Precio más alto. El servicio al cliente se puede mejorar. Pros y contras de Sophos Pros Integraciones personalizables. Cómoda consola de administración centralizada. Protección de calidad contra amenazas de día cero. Desventajas Es necesario ponerse en contacto con Sophos para conocer los precios. Algunos usuarios consideran que consume muchos recursos. ¿Su organización debería utilizar CrowdStrike o Sophos? En términos de experiencia del cliente y capacidades del producto, según lo medido por las reseñas y calificaciones de los usuarios de Gartner, CrowdStrike Falcon XDR supera por poco a Sophos Intercept X. Dicho esto, ambas soluciones EDR/XDR son increíblemente sólidas y ofrecen conjuntos de características similares. Para la mayoría de las empresas, todo se reducirá al costo. Los evaluadores de MITRE observaron que CrowdStrike Falcon XDR en 2023 tiene 100 % de protección, visibilidad y detección analítica en sus evaluaciones de MITRE Engenuity ATT&CK. Por otro lado, Sophos Intercept X con XDR logró una tasa de detección del 99 % de comportamientos adversarios en la misma prueba. Si bien las calificaciones de rendimiento de ambos sistemas son excepcionales, CrowdStrike obtiene una puntuación general más alta. Sin embargo, tenga en cuenta que CrowdStrike también tiene un precio relativamente más alto. Debido a esa compensación, CrowdStrike Falcon XDR es probablemente la mejor opción para las organizaciones empresariales que pueden permitírselo, mientras que Sophos Intercept X es una excelente solución para las empresas más preocupadas por su presupuesto. Metodología Mi comparación entre CrowdStrike y las soluciones EDR y XDR de Sophos implicó una mirada exhaustiva a sus respectivas características de seguridad, precios y valor general para las empresas. Específicamente, analicé las características esenciales de EDR, como la precisión de la detección de amenazas, el rendimiento, las extensiones y la integración de API, el proceso de implementación y la visibilidad en tiempo real, entre otras. El análisis de ambas soluciones se realizó a través de una investigación exhaustiva de la documentación oficial de cada producto, las inclusiones de funciones y los posibles casos de uso para varios tipos de organizaciones. También tomamos en cuenta los comentarios de los usuarios reales y las reseñas de terceros de sitios de reseñas reconocidos para completar nuestro análisis y recomendaciones finales.
A medida que las organizaciones crezcan, necesitarán adquirir herramientas de respuesta y detección de terminales para monitorear la actividad y proteger los dispositivos terminales. Los productos Carbon Black EDR de VMware y Falcon de CrowdStrike son dos de las principales soluciones EDR con características que pueden ayudar a mejorar la postura de seguridad de una organización. VER: Microsoft Defender vs Carbon Black: Comparación de software EDR (TechRepublic) En este artículo, analizamos qué solución EDR es mejor para usted y su organización. ESET PROTECT Empleados avanzados por tamaño de empresa Micro (0-49), pequeña (50-249), mediana (250-999), grande (1000-4999), empresarial (5000+) Cualquier tamaño de empresa Cualquier tamaño de empresa Características Defensa avanzada contra amenazas , cifrado de disco completo, protección moderna de terminales y más Empleados de Heimdal Security por tamaño de empresa Micro (0-49), Pequeña (50-249), Mediana (250-999), Grande (1000-4999), Empresa (5000+) Pequeña (50-249 empleados), Mediana (250-999 empleados), Grande (1000-4999 empleados), Empresa (más de 5000 empleados) Pequeña, Mediana, Grande, Funciones empresariales Antivirus, monitoreo, administración de parches ManageEngine Desktop Central Empleados por empresa Tamaño Micro (0-49), Pequeño (50-249), Mediano (250-999), Grande (1000-4999), Enterprise (5000+) Cualquier tamaño de empresa Cualquier tamaño de empresa Funciones Monitoreo de actividad, antivirus, panel de control y más Carbon Black vs. CrowdStrike: Comparación de funciones CaracterísticaCarbon BlackCrowdStrike Búsqueda de amenazasSíSí Diseño de agente únicoNoSí Aprendizaje conductualNoSí Fiesta de funciones en todo el sistema operativoNoSí Basado en la nubeSíSí Administración de firewallNoSí Integración de APISíSí Prueba gratuita disponibleNoSí Precio inicialComuníquese con VMware para obtener una cotización.$184,99 por dispositivo (Falcon Enterprise) Carbon Black y Precios de CrowdStrike En cuanto a los precios, VMWare no proporciona explícitamente los precios de sus productos Carbon Black EDR. Por el momento, ofrece tres paquetes de software para EDR: Endpoint Standard, Endpoint Advanced y Endpoint Enterprise. VER: CrowdStrike vs FireEye: Comparar software EDR (TechRepublic) Aquí hay una descripción general de cada uno: Endpoint Standard: antivirus de próxima generación y EDR conductual; alerta gestionada y triaje de seguimiento (opcional). Endpoint Advanced: todas las funciones estándar; evaluación y remediación de vulnerabilidades priorizadas por riesgos; evaluación y reparación de dispositivos en tiempo real; detección gestionada (opcional). Endpoint Enterprise: todas las funciones avanzadas; EDR empresarial que incluye búsqueda de amenazas y respuesta a incidentes; opción para la detección gestionada. Desearía que VMware ofreciera algún tipo de prueba gratuita o acceso limitado al producto para que los posibles compradores probaran su software de forma gratuita. Es de esperar que esto sea algo que pueda ofrecer en el futuro, especialmente porque CrowdStrike ofrece una prueba gratuita. VER: 10 mitos sobre la ciberseguridad que no deberías creer (TechRepublic Premium) Hablando de CrowdStrike, su solución EDR se puede comprar a través de sus suscripciones Falcon Enterprise o Falcon Elite. A continuación se muestra una descripción general de los precios y las funciones incluidas para cada plan CrowdStrike Falcon. Falcon Enterprise: $184,99 por dispositivo; incluye antivirus, EDR, XDR y búsqueda de amenazas gestionada. Falcon Elite: Comuníquese con ventas para solicitar una cotización; incluye EDR, XDR, protección integrada de identidad y puntos finales y búsqueda de amenazas. Como se mencionó, Falcon Enterprise tiene una prueba gratuita para empresas o individuos que desean una forma conveniente de probar su solución sin una suscripción inicial. Comparación directa: Carbon Black frente a CrowdStrike Búsqueda y remediación de amenazas Tanto Carbon Black como CrowdStrike ofrecen potentes funciones de búsqueda y remediación de amenazas. Sin embargo, CrowdStrike es una solución más sólida basada en las pruebas de MITRE Engenuity. Su alineación con MITRE Framework le permitió ser nombrado líder en el Cuadrante Mágico 2023 de Gartner para plataformas de protección de endpoints. El producto también ocupó la primera posición en cuanto a integridad de la visión. Detecciones vía CrowdStrike. Imagen: CrowdStrike Por el contrario, Broadcom o VMware (Carbon Black) no detectaron algunas amenazas cuando se probaron con el marco MITRE de 2022 a 2018 y se ubican en una posición inferior en los mismos hallazgos del Cuadrante Mágico de 2023. Diseño de agente único El uso de un único agente para administrar de forma centralizada múltiples dispositivos terminales garantiza que los equipos puedan implementar rápidamente y comenzar a manejar las amenazas. CrowdStrike utiliza un diseño de agente universal único. La plataforma Falcon utiliza un único agente liviano implementado en dispositivos terminales que recopila datos y los envía a la nube para su análisis. VER: CrowdStrike vs Sophos: Comparación de software EDR (TechRepublic) Por otro lado, Carbon Black es una herramienta de seguridad compleja con una curva de aprendizaje pronunciada. Requiere ajustes y configuraciones importantes. Además, sus consultas de detección de amenazas son demasiado complicadas y existen varios procesos manuales para gestionar las alertas y la remediación. El software EDR de aprendizaje del comportamiento puede estar basado en firmas o sin firmas. Los programas EDR basados en firmas se basan en una base de datos de amenazas conocidas, mientras que los programas EDR sin firmas utilizan el aprendizaje automático y el análisis del comportamiento para identificar actividades sospechosas. Tanto CrowdStrike como Carbon Black ofrecen análisis de comportamiento y capacidades de aprendizaje automático para rastrear anomalías y detectar comportamientos sospechosos en terminales y sistemas. Sin embargo, una diferencia es que CrowdStrike brinda protección avanzada y sin firmas a través de inteligencia de amenazas integrada, aprendizaje automático y análisis de comportamiento, mientras que Carbon Black incluye un motor AV basado en firmas. Como resultado, CrowdStrike puede proteger mejor los dispositivos contra amenazas nuevas y desconocidas. Implementación CrowdStrike se presenta como una plataforma para todas las cargas de trabajo. Proporciona una cobertura de protección integral que puede implementar en servidores y terminales Windows, Linux y macOS. Además, no hay equipos locales que requieran mantenimiento, administración, escaneos, reinicios e integraciones complejas. Por el contrario, Carbon Black se presenta como una solución local o en la nube. Es posible que sea necesario reiniciar el dispositivo, incluidos los servidores críticos, como parte del proceso de actualización del sensor. Además, existe una disparidad de funciones entre las versiones locales y en la nube. Interfaz Carbon Black Cloud EDR. Imagen: canal de YouTube de Carbon Black Control de dispositivos y firewall El software EDR de Carbon Black permite el control de dispositivos (sin administración de firewall), pero está restringido al sistema operativo Windows y unidades flash USB. También le permite crear sus políticas de seguridad de endpoints, lo que resulta beneficioso para las empresas que deben cumplir con estándares normativos o de rendimiento específicos. En comparación, Falcon Firewall Management de CrowdStrike permite a los clientes pasar de plataformas de puntos finales heredadas al software EDR de próxima generación de la empresa, que incluye protección sólida, mejor rendimiento y gestión y aplicación eficientes de las políticas de firewall del host. Además, Falcon Firewall Management ofrece una gestión sencilla y multiplataforma de los firewalls del host/OS desde la consola Falcon, lo que permite a los equipos de seguridad limitar cualquier exposición a riesgos de forma eficaz. Además, Falcon Device Control permite a los usuarios utilizar dispositivos USB de forma segura al ofrecer capacidades completas de protección y detección y respuesta (EDR) de extremo a extremo. Su perfecta integración con el agente y la plataforma Falcon viene con funciones de control de dispositivos complementadas con una seguridad completa para los terminales. Esto proporciona a los equipos de seguridad y operaciones de TI información sobre cómo se utilizan los dispositivos y los medios para regular y gestionar ese uso. Integración de API La integración de API garantiza que aproveche al máximo su software EDR. La solución EDR de Carbon Black ofrece más de 120 integraciones listas para usar. Por otro lado, la plataforma Falcon de CrowdStrike se desarrolla como una plataforma API-first. A medida que se lanzan nuevas funciones, se agrega la funcionalidad API correspondiente para ayudar a automatizar y controlar cualquier operación recién agregada. Pros y contras de Carbon Black Imagen: Pros de Carbon Black Experiencia de usuario intuitiva y fácil de usar. Ligero y no requiere muchos recursos. Buena cantidad de integraciones. Contras Debe comunicarse con ventas para conocer los precios. Puede requerir un mayor nivel de experiencia para maximizar. Pros y contras de CrowdStrike Imagen: Pros de CrowdStrike Protección sin firma. Implementación perfecta de terminales. Excelente reputación en materia de seguridad. Desventajas La interfaz podría ser más fácil de usar. ¿Su organización debería utilizar Carbon Black o CrowdStrike? CrowdStrike es la mejor opción si necesita cobertura y protección integrales contra amenazas nuevas y desconocidas que puede implementar en servidores y terminales Windows, Linux y macOS. Sin embargo, si está buscando una solución local que le brinde protección contra amenazas conocidas, entonces Carbon Black puede ser mejor. En última instancia, la decisión se reduce a su perfil de riesgo y a sus necesidades y requisitos específicos. Metodología Mi comparación directa entre la solución Carbon Black EDR de VMware y la solución EDR de CrowdStrike implicó realizar un análisis uno a uno de sus características de seguridad, precios y valor general. En particular, consideré la funcionalidad crítica de EDR, como la búsqueda y remediación de amenazas, la facilidad de implementación, el aprendizaje del comportamiento, el control de firewall y la integración de API. Mi evaluación de ambas soluciones implicó una investigación en profundidad de la documentación oficial del producto, las características incluidas y los posibles casos de uso para diferentes tipos de negocios. También consideramos testimonios de usuarios reales y reseñas de terceros de sitios de reseñas acreditados para complementar nuestro análisis final.
Un nuevo informe de Mandiant, parte de Google Cloud, revela que un actor de amenazas con motivación financiera llamado UNC5537 recopiló y exfiltró datos de alrededor de 165 instancias de clientes de Snowflake de organizaciones. Snowflake es una plataforma de datos en la nube que se utiliza para almacenar y analizar grandes volúmenes de datos. El actor de amenazas logró acceder a estos datos activando credenciales que previamente fueron robadas por malware de robo de información o compradas a otros ciberdelincuentes. Según Mandiant, el actor de amenazas UNC5537 anuncia la venta de datos de las víctimas en foros de ciberdelincuencia e intenta extorsionar a muchas de las víctimas. Cuando se venden los datos, cualquier ciberdelincuente podría comprar esta información con diferentes fines como ciberespionaje, inteligencia competitiva o fraude más orientado a las finanzas. ¿Cómo fueron atacados algunos usuarios de Snowflake por este robo de datos y extorsión? Una declaración conjunta proporcionada por Snowflake, Mandiant y la empresa de ciberseguridad CrowdStrike indica que no hay evidencia que sugiera que la actividad fraudulenta pueda ser causada por una vulnerabilidad, una mala configuración o una violación de la plataforma de Snowflake. Tampoco hay evidencia de que la actividad haya sido causada por credenciales comprometidas de empleados actuales o anteriores de Snowflake. En cambio, la evidencia muestra que los atacantes obtuvieron credenciales de múltiples campañas de malware de robo de información que infectaron sistemas que no eran propiedad de Snowflake. Luego, el actor de amenazas obtuvo acceso a las cuentas afectadas, lo que permitió la filtración de un volumen significativo de datos de clientes de las respectivas instancias de clientes de Snowflake. Diagrama de ruta de ataque. Imagen: Mandiant Los investigadores de Mandiant afirmaron que la mayoría de las credenciales utilizadas por UNC5537 estaban disponibles en malware de robo de información histórico; Algunas de esas credenciales se remontan a noviembre de 2020, pero aún eran utilizables. Diferentes familias de malware de robo de información fueron responsables del robo de credenciales; las más utilizadas fueron Vidar, Risepro, Redline, Racoon Stealer, Lumma y Metastealer. Según Mandiant y Snowflake, al menos el 79,7% de las cuentas aprovechadas por el actor de amenazas tenían exposición previa de credenciales. Mandiant también informó que el ataque inicial del malware de robo de información se produjo en sistemas de contratistas que también se utilizaban para actividades personales, incluidos juegos y descargas de software pirateado, que es un fuerte vector para la propagación de robos de información. ¿Cómo obtuvo UNC5537 las credenciales robadas? Como se informó, el actor de amenazas obtuvo credenciales de una variedad de malware de robo de información, pero UNC5537 también aprovechó las credenciales que se compraron previamente. Si bien Mandiant no proporciona información adicional, es razonable pensar que esas credenciales fueron compradas en uno o varios mercados clandestinos cibercriminales directamente a los llamados corredores de acceso inicial, que son una categoría de cibercriminales que venden acceso corporativo robado a otros estafadores. Como escribe Mandiant en su informe, “la economía clandestina del robo de información también es extremadamente sólida, y existen grandes listas de credenciales robadas tanto de forma gratuita como para comprar dentro y fuera de la web oscura”. Mandiant también informó que, en 2023, el 10% de las intrusiones totales comenzaron con credenciales robadas, lo que representa el cuarto vector de intrusión inicial más notable. Cobertura de seguridad de lectura obligada ¿Cuáles fueron los métodos iniciales de acceso y filtración de datos en este ataque de Snowflake? En esta campaña de ataque, el acceso inicial a las instancias de los clientes de Snowflake a menudo se produjo a través de la interfaz de usuario nativa accesible desde la web (Snowflake SnowSight) o desde la herramienta de interfaz de línea de comandos proporcionada por Snowflake (SnowSQL). Se ha utilizado una herramienta adicional denominada “rapeflake” y rastreada en FROSTBITE por Mandiant para realizar reconocimiento contra instancias de Snowflake. FROSTBITE existe en al menos dos versiones: una que usa .NET para interactuar con el controlador Snowflake .NET y una versión que usa Java para interactuar con el controlador Snowflake JDBC. La herramienta permite a los atacantes realizar actividades SQL, como enumerar usuarios, roles actuales, direcciones IP actuales, ID de sesión y nombres de organizaciones. El actor de amenazas también ha utilizado una herramienta pública para administrar bases de datos, DBeaver Ultimate, para ejecutar consultas en las instancias de Snowflake. Utilizando consultas SQL, el actor de amenazas pudo extraer información de las bases de datos. Una vez que se encontraron datos interesantes, se comprimieron como GZIP usando el comando «COPIAR EN» para reducir el tamaño de los datos a extraer. El atacante utilizó principalmente los servicios VPN Mullvad y Private Internet Access para acceder a las instancias Snowflake de las víctimas. También se utilizó un proveedor moldavo de VPS, ALEXHOST SRL, para la filtración de datos. El atacante almacenó los datos de las víctimas en varios proveedores VPS internacionales, así como en el proveedor de almacenamiento en la nube MEGA. ¿Qué organizaciones están en riesgo? La campaña de ataque parece ser una campaña dirigida a usuarios de Snowflake con autenticación de un solo factor. Todos los usuarios con autenticación multifactor están a salvo de esta campaña de ataque y no fueron el objetivo. Además, las instancias de clientes de Snowflake afectadas no tenían listas permitidas para permitir solo conexiones desde ubicaciones confiables. Consejos de Snowflake sobre cómo proteger su empresa de esta amenaza de ciberseguridad Snowflake publicó información sobre cómo detectar y prevenir el acceso de usuarios no autorizados. La compañía proporcionó una lista de casi 300 direcciones IP sospechosas utilizadas por el actor de amenazas y compartió una consulta para identificar el acceso desde las direcciones IP sospechosas. La empresa también proporcionó una consulta para identificar el uso de las herramientas “rapeflake” y “DBeaver Ultimate”. Cualquier cuenta de usuario que devuelva resultados de esas consultas debe desactivarse inmediatamente. Snowflake recomienda encarecidamente reforzar la seguridad: aplicar MFA a los usuarios. Configure políticas de red a nivel de cuenta y de usuario para cuentas de servicios/usuarios con altas credenciales. Revise los parámetros de la cuenta para restringir la exportación de datos desde las cuentas Snowflake. Supervise las cuentas de Snowflake para detectar cambios de configuración o escalada de privilegios no autorizados e investigue cualquiera de esos eventos. Además, se recomienda encarecidamente tener todo el software y los sistemas operativos actualizados y parcheados para evitar verse comprometidos por una vulnerabilidad común, que podría provocar una fuga de credenciales. Es necesario implementar soluciones de seguridad en todos los terminales para evitar la infección por robo de información. También se recomienda crear conciencia sobre la seguridad informática y capacitar al personal para detectar y reportar eventos sospechosos de ciberseguridad. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.