Beruflich Dokumente
Kultur Dokumente
Estamos creciendo muy rápidamente, y con AWS podemos escalar rápidamente sin tener que
hacer una gran cantidad de planificación de capacidad.
El científico en jefe
Acerca de CrowdStrike
El reto
Para detener proactivamente los ataques cibernéticos, CrowdStrike depende en gran medida del
aprendizaje automático para analizar los datos de Falcon Host, una solución de protección de
punto final de software como servicio (SaaS) diseñada para integrarse sin problemas en los
entornos de los clientes. Con Apache Spark, el motor de procesamiento de big data de código
abierto, CrowdStrike realiza la extracción de características de cargas de trabajo de aprendizaje
automático para clasificar los datos de evento enviados desde Falcon Host. "Utilizamos el
aprendizaje automático y las técnicas de análisis del comportamiento para obtener el contexto
completo de lo que un atacante intenta hacer y brindar a los clientes una comprensión más
profunda de lo que está sucediendo", dice el Dr. Sven Krasser, científico jefe de CrowdStrike.
Como startup, sin embargo, la compañía necesitaba más agilidad para realizar análisis de forma
efectiva con Spark. Él dice: "Nuestro equipo debe mantenerse enfocado en resolver problemas de
seguridad difíciles, por lo que usamos AWS para reducir los gastos operativos generales".
La compañía también necesitaba una forma más ágil para respaldar su sistema de base de datos
distribuida Apache Cassandra, que es la base del gráfico de amenazas CrowdStrike. "Usamos
Cassandra para ayudarnos a tener una idea del estado actual del entorno de un cliente", dice Jim
Plush, director senior de ingeniería de CrowdStrike. "Sin embargo, necesitábamos la capacidad de
iniciar y detener las instancias de Cassandra cuando queríamos, por lo que podíamos tener la
flexibilidad para reconstruir el entorno si, por ejemplo, una máquina virtual no funcionaba".
CrowdStrike también necesitaba encontrar una nueva solución para almacenando.
Además, CrowdStrike necesitaba más escalabilidad para su entorno Falcon Host. "Hacer la
cantidad de procesamiento que necesitamos hacer en un centro de datos tradicional sería muy
difícil porque el conjunto de datos crece muy rápido", dice Krasser. "Necesitábamos poder escalar
rápidamente para cumplir con las demandas de los datos que ingresaban". La alta disponibilidad
también fue una gran preocupación para CrowdStrike. Plush dice: "Siempre necesitamos
maximizar el tiempo de actividad y la disponibilidad".
CrowdStrike inicialmente comenzó a usar las instancias de Amazon Elastic Compute Cloud
(Amazon EC2) para su entorno Falcon Host. La compañía también eligió ejecutar su
implementación de Spark en Amazon Elastic MapReduce (Amazon EMR), un servicio web que
simplifica el procesamiento de big data al proporcionar un marco de big data administrado.
CrowdStrike envía datos de sus sensores al Amazon Simple Storage Service (Amazon S3) y luego
utiliza Amazon EMR con Spark para procesar cientos de terabytes de datos de eventos y
distribuirlos en descripciones de comportamiento de nivel superior en los hosts. A partir de esos
datos, CrowdStrike puede reunir datos de eventos y determinar si hay actividad maliciosa
presente. "Podemos transmitir los datos a Amazon S3 y volver a analizarlos", dice Krasser.
"Ejecutamos tres clusters operados por diferentes grupos internos, y todos aprovechan el mismo
grupo de datos".
Más recientemente, CrowdStrike comenzó a trasladar su base de datos Cassandra de las tiendas
de instancias locales a Amazon Elastic Block Store (Amazon EBS), que proporciona volúmenes de
almacenamiento persistentes a nivel de bloque para su uso con las instancias de Amazon EC2.
"Analizamos otras opciones, pero todo se redujo al costo", dice Plush. "Amazon EBS ofreció el
rendimiento que necesitábamos, a un tercio del costo del almacenamiento de instancias
respaldado por SSD". Aun así, CrowdStrike tuvo que superar algunas preocupaciones. "La
disponibilidad es nuestra preocupación número uno y Amazon EBS históricamente tuvo algunos
desafíos", dice Plush. "Pero después de hablar con el equipo de EBS y aprender más sobre las
nuevas capacidades en EBS, incluida la protección de conmutación por error independiente para
las zonas de disponibilidad, nos sentimos muy confiados con la cantidad de trabajo necesario para
garantizar un producto estable. En nuestra experiencia durante el año pasado, nunca nos hemos
encontrado con la falta de disponibilidad de EBS ".
CrowdStrike también emparejó Amazon EBS con las instancias C4 optimizadas por computador de
EC2. "Las instancias C4 nos brindan el mejor equilibrio de rendimiento y memoria para Cassandra",
dice Plush. "Necesitábamos que las CPU manejaran cargas de escritura de un millón por segundo".
Los beneficios
Al usar AWS para admitir Falcon Host, CrowdStrike ahora tiene la agilidad de hacer girar
rápidamente un nuevo clúster de Amazon EMR cuando sea necesario. "Es muy conveniente para
nosotros agregar algunos nodos de tareas a nuestro clúster de Amazon EMR si, por ejemplo, un
trabajo de procesamiento se ejecuta detrás", dice Krasser. "Esa agilidad es fundamental para
nosotros cuando queremos probar algo nuevo utilizando un análisis a gran escala que no
habíamos previsto. Con EMR, es tan simple como ejecutar un script, y el clúster está configurado
para ejecutar los nuevos tipos de trabajos que queremos ejecutar. Eso significa que podemos
movernos mucho más rápido al validar una nueva hipótesis o modelo de entrenamiento ".
Del mismo modo, CrowdStrike tiene más agilidad en la gestión de su entorno Cassandra. "Al
ejecutar Cassandra en Amazon EBS, podemos elegir nuestros tipos de instancia cuando queremos
experimentar, sin tener que volver a cargar todos los datos", dice Plush. "Recientemente tuvimos
una situación en la que no pudimos expandir nuestro clúster debido a un error en Cassandra. Con
Amazon EBS, pudimos mostrar rápidamente un clúster de nodos de más de 100. Luego, después
de unas semanas, nos deshacemos del clúster anterior. Todo esto fue hecho sin afectar el
rendimiento. Nunca podríamos haberlo hecho en un entorno físico tradicional, ya que requeriría
una gran ventana de mantenimiento y mucho tiempo de inactividad. Y, en última instancia, eso
nos habría costado mucho tiempo a nuestros desarrolladores en términos de desarrollar nuevas
funciones ".
A medida que la empresa continúa creciendo, CrowdStrike anticipa agregar otros servicios de
AWS. "Cuando comenzamos como una empresa de seguridad en la nube, las personas se
mostraron escépticas", dice Plush. "Pero ahora más compañías se están dando cuenta de que la
nube es en realidad más segura que muchos centros de datos, y también proporciona agilidad y
escalabilidad. Estamos viendo un cambio en la nube, lo que demuestra que estábamos por delante
de la curva cuando fuimos a la nube. Esperamos continuar agregando más servicios de AWS en el
futuro "
a. Objetivos
una visibilidad de 5 segundos en todos los puntos finales las 24 horas durante
servicio en la nube Software como Servicio (SaaS), donde los clientes estan
solo tiene control sobre su acceso y mas no sobre los servicios de seguridad
donde las leyes de protección de datos estan sujetos a leyes que garantizan
servicios.
c. Definición
control que permite aliviar la carga operativa del cliente, ya que el mismo
AWS opera, administra y controla todos los componentes del sistema
operativo del punto final, así como la capa de virtualización de los equipos
las acciones que está tomando un posible atacante; de esta manera los
clientes pueden tener una comprensión bastante profunda sobre los eventos
primer instante las personas se mostraron escepticas, pero hoy por hoy cada
vez son mas compañias quienes se dan cuenta que una nube es mas segura
que muchos centros de datos y que además ofrece otras ventajas muy
una empresa independiente del tamaño debe evitar el manejo por sí misma
escencial
a. Definición
por lo que es que un equipo este a cargo del control y respuesta en tres
b. Nivel bajo o nivel uno: Son los eventos donde se reciben preguntas e
o Ambiente de control
Valores
Conocimiento
Flexibilidad
Competitividad
Rigor
- Las ventajas que ofrece la nube de AWS son muy amplias y cumplen totalmente los
tradicional.
- El Entorno de Control.
- La Comunicación.
- La Información.
- La Supervisión