GESTION DE TICS

Nombre : Alexander Cajas

Estudio de caso CrowdStrike

Estamos creciendo muy rápidamente, y con AWS podemos escalar rápidamente sin tener que
hacer una gran cantidad de planificación de capacidad.

Dr. Sven Krasser

El científico en jefe

Acerca de CrowdStrike

CrowdStrike es un líder en servicios de última generación entregados en la nube para protección

de puntos finales, inteligencia de amenazas y respuesta. La plataforma CrowdStrike Falcon detiene
las infracciones al prevenir y responder a todo tipo de ataques, tanto libres de malware como de
malware. La compañía ha revolucionado la protección de endpoints combinando tecnología
antivirus de última generación con detección y respuesta de punto final, junto con un servicio de
búsqueda gestionada las 24 horas del día, los 7 días de la semana, todo entregado a través de la
nube en una única solución integrada. Falcon usa el patentado CrowdStrike Threat Graph ™ para
analizar y correlacionar miles de millones de eventos en tiempo real, proporcionando una
protección completa y una visibilidad de cinco segundos en todos los puntos finales. CrowdStrike
Falcon se encuentra actualmente implementado en más de 170 países.

El reto

Para detener proactivamente los ataques cibernéticos, CrowdStrike depende en gran medida del
aprendizaje automático para analizar los datos de Falcon Host, una solución de protección de
punto final de software como servicio (SaaS) diseñada para integrarse sin problemas en los
entornos de los clientes. Con Apache Spark, el motor de procesamiento de big data de código
abierto, CrowdStrike realiza la extracción de características de cargas de trabajo de aprendizaje
automático para clasificar los datos de evento enviados desde Falcon Host. "Utilizamos el
aprendizaje automático y las técnicas de análisis del comportamiento para obtener el contexto
completo de lo que un atacante intenta hacer y brindar a los clientes una comprensión más
profunda de lo que está sucediendo", dice el Dr. Sven Krasser, científico jefe de CrowdStrike.
Como startup, sin embargo, la compañía necesitaba más agilidad para realizar análisis de forma
efectiva con Spark. Él dice: "Nuestro equipo debe mantenerse enfocado en resolver problemas de
seguridad difíciles, por lo que usamos AWS para reducir los gastos operativos generales".

La compañía también necesitaba una forma más ágil para respaldar su sistema de base de datos
distribuida Apache Cassandra, que es la base del gráfico de amenazas CrowdStrike. "Usamos
Cassandra para ayudarnos a tener una idea del estado actual del entorno de un cliente", dice Jim
Plush, director senior de ingeniería de CrowdStrike. "Sin embargo, necesitábamos la capacidad de
iniciar y detener las instancias de Cassandra cuando queríamos, por lo que podíamos tener la
flexibilidad para reconstruir el entorno si, por ejemplo, una máquina virtual no funcionaba".
CrowdStrike también necesitaba encontrar una nueva solución para almacenando.

Además, CrowdStrike necesitaba más escalabilidad para su entorno Falcon Host. "Hacer la
cantidad de procesamiento que necesitamos hacer en un centro de datos tradicional sería muy
difícil porque el conjunto de datos crece muy rápido", dice Krasser. "Necesitábamos poder escalar
rápidamente para cumplir con las demandas de los datos que ingresaban". La alta disponibilidad
también fue una gran preocupación para CrowdStrike. Plush dice: "Siempre necesitamos
maximizar el tiempo de actividad y la disponibilidad".

Soluciones con Amazon Web Services

Desde su fundación, CrowdStrike estaba decidido a aprovechar la nube para revolucionar la

industria de la seguridad al poder agregar rápidamente la información de amenazas y ofrecer una
nueva protección innovadora para los clientes, sin los desafíos de escalabilidad y rendimiento de
las soluciones locales. "Si eres una startup y no estás en la nube, ya estás detrás de la
competencia", dice Plush. "Sabíamos que la nube podía ayudarnos a aumentar los recursos
cuando los necesitábamos, pivotar donde teníamos que hacerlo y no utilizar los gastos de capital
para construir nuestros propios centros de datos". La compañía decidió que Amazon Web Services
(AWS) ofrecía la mejor solución en la nube para sus propósitos. "AWS es el estándar de oro para la
computación en la nube", dice Krasser. "Y como startup, estábamos interesados en AWS porque se
ofrecen tantos servicios. Eso hizo que fuera muy fácil para nosotros levantarnos rápidamente "

CrowdStrike inicialmente comenzó a usar las instancias de Amazon Elastic Compute Cloud
(Amazon EC2) para su entorno Falcon Host. La compañía también eligió ejecutar su
implementación de Spark en Amazon Elastic MapReduce (Amazon EMR), un servicio web que
simplifica el procesamiento de big data al proporcionar un marco de big data administrado.
CrowdStrike envía datos de sus sensores al Amazon Simple Storage Service (Amazon S3) y luego
utiliza Amazon EMR con Spark para procesar cientos de terabytes de datos de eventos y
distribuirlos en descripciones de comportamiento de nivel superior en los hosts. A partir de esos
datos, CrowdStrike puede reunir datos de eventos y determinar si hay actividad maliciosa
presente. "Podemos transmitir los datos a Amazon S3 y volver a analizarlos", dice Krasser.
"Ejecutamos tres clusters operados por diferentes grupos internos, y todos aprovechan el mismo
grupo de datos".

Más recientemente, CrowdStrike comenzó a trasladar su base de datos Cassandra de las tiendas
de instancias locales a Amazon Elastic Block Store (Amazon EBS), que proporciona volúmenes de
almacenamiento persistentes a nivel de bloque para su uso con las instancias de Amazon EC2.
"Analizamos otras opciones, pero todo se redujo al costo", dice Plush. "Amazon EBS ofreció el
rendimiento que necesitábamos, a un tercio del costo del almacenamiento de instancias
respaldado por SSD". Aun así, CrowdStrike tuvo que superar algunas preocupaciones. "La
disponibilidad es nuestra preocupación número uno y Amazon EBS históricamente tuvo algunos
desafíos", dice Plush. "Pero después de hablar con el equipo de EBS y aprender más sobre las
nuevas capacidades en EBS, incluida la protección de conmutación por error independiente para
las zonas de disponibilidad, nos sentimos muy confiados con la cantidad de trabajo necesario para
garantizar un producto estable. En nuestra experiencia durante el año pasado, nunca nos hemos
encontrado con la falta de disponibilidad de EBS ".

CrowdStrike también emparejó Amazon EBS con las instancias C4 optimizadas por computador de
EC2. "Las instancias C4 nos brindan el mejor equilibrio de rendimiento y memoria para Cassandra",
dice Plush. "Necesitábamos que las CPU manejaran cargas de escritura de un millón por segundo".

Los beneficios

Al usar AWS para admitir Falcon Host, CrowdStrike ahora tiene la agilidad de hacer girar
rápidamente un nuevo clúster de Amazon EMR cuando sea necesario. "Es muy conveniente para
nosotros agregar algunos nodos de tareas a nuestro clúster de Amazon EMR si, por ejemplo, un
trabajo de procesamiento se ejecuta detrás", dice Krasser. "Esa agilidad es fundamental para
nosotros cuando queremos probar algo nuevo utilizando un análisis a gran escala que no
habíamos previsto. Con EMR, es tan simple como ejecutar un script, y el clúster está configurado
para ejecutar los nuevos tipos de trabajos que queremos ejecutar. Eso significa que podemos
movernos mucho más rápido al validar una nueva hipótesis o modelo de entrenamiento ".

Del mismo modo, CrowdStrike tiene más agilidad en la gestión de su entorno Cassandra. "Al
ejecutar Cassandra en Amazon EBS, podemos elegir nuestros tipos de instancia cuando queremos
experimentar, sin tener que volver a cargar todos los datos", dice Plush. "Recientemente tuvimos
una situación en la que no pudimos expandir nuestro clúster debido a un error en Cassandra. Con
Amazon EBS, pudimos mostrar rápidamente un clúster de nodos de más de 100. Luego, después
de unas semanas, nos deshacemos del clúster anterior. Todo esto fue hecho sin afectar el
rendimiento. Nunca podríamos haberlo hecho en un entorno físico tradicional, ya que requeriría
una gran ventana de mantenimiento y mucho tiempo de inactividad. Y, en última instancia, eso
nos habría costado mucho tiempo a nuestros desarrolladores en términos de desarrollar nuevas
funciones ".

La empresa también aprovecha la escalabilidad de AWS para satisfacer sus demandas de

crecimiento de datos. "Estamos creciendo muy rápidamente, y con AWS podemos escalar
rápidamente sin tener que planificar mucho la capacidad", dice Krasser. "En un entorno de centro
de datos tradicional, siempre se necesita una sobreprovisión para planificar el peor de los casos.
Pero con AWS, si ocurre ese escenario, aún puede aprovisionar más instancias sin la necesidad de
instalar hardware nuevo ". Esa escalabilidad también ayuda a la compañía a soportar su creciente
base de datos de Cassandra. "Con Amazon EBS, comenzamos con un clúster más pequeño que
podía manejar el rendimiento que necesitábamos inicialmente, y al escalar nuestros datos de
Cassandra, pudimos agregar fácilmente nuevos nodos e incrementar la capacidad y el
rendimiento", dice Plush.
Además, la organización se está beneficiando de tener una mayor disponibilidad para sus entornos
de aprendizaje automático y Cassandra. "Estamos obteniendo la alta disponibilidad y seguridad
que necesitamos al estar en AWS", dice Krasser. "Podemos replicar geográficamente dentro de
una región a través de múltiples zonas de disponibilidad. En un entorno de centro de datos
tradicional, nos hubiera llevado años obtener ese tipo de disponibilidad y redundancia ".

A medida que la empresa continúa creciendo, CrowdStrike anticipa agregar otros servicios de
AWS. "Cuando comenzamos como una empresa de seguridad en la nube, las personas se
mostraron escépticas", dice Plush. "Pero ahora más compañías se están dando cuenta de que la
nube es en realidad más segura que muchos centros de datos, y también proporciona agilidad y
escalabilidad. Estamos viendo un cambio en la nube, lo que demuestra que estábamos por delante
de la curva cuando fuimos a la nube. Esperamos continuar agregando más servicios de AWS en el
futuro "

1. APLICAR COSO AL CASO DE ESTUDIO

a. Objetivos

La efectividad y eficiencia en las operaciones de CrowdStrike es muy notoria

ya al estar sostenidos por el Amazon Web Service aprovechan todas las

ventajas asi como tambien de la infraestructura necesaria para realizar sus

operaciones en la nube, tal como lo menciona Falcon usa el patentado

CrowdStrike Threat Graph para manejar alrededor de 10 millones de eventos

en tiempo real proporcionando de esta manera una proteccion completa y

una visibilidad de 5 segundos en todos los puntos finales las 24 horas durante

los 7 dias de la semana.

Confiabilidad de la informacion, ya que gracias al AWS obtienen alta

seguridad en la nube y disponiblidad tanto para su entorno de aprendizaje

como para la base de datos Cassandra

Para salvaguardar sus recursos se ha trasladado su base de datos de Cassandra

de las tiendas de instanacias locales a Amazon Elastic Block Store,

beneficiandose del bajo costo por implementación, lo que les ha beneficiado

de gran manera ya que nunca han sufrido de falta de disponibilidad.

b. Fundamentación

Se sugieren buenas practicas para mejorar las prácticas en la materia:

Una buena práctica es el conocimiento profundo sobre la nube a utilizarse, al

tratarse de servicios en la nube, en este caso se esta utilizando un modelo de

servicio en la nube Software como Servicio (SaaS), donde los clientes estan

accediendo al producto de CrowdStrike en línea, en otras palabras el cliente

solo tiene control sobre su acceso y mas no sobre los servicios de seguridad

que gestiona la nube.

Por otra parte se deberá evaluar las actividades de TI, en el caso de

CrowdStrike se ha migrado a la nube para que sus servcios puedan aprovechar

todas las ventajas que tiene el alojamiento de la nube, tal como

disponiblidad, seguridad, agilidad, escalabilidad, etc.

Se encuentra bajo un cumplimiento legal bastante estricto, ya que los

servidores de AWS en mayor parte se encuentran físicamente en los EEUU,

donde las leyes de protección de datos estan sujetos a leyes que garantizan

totalmente la protección, privacidad y uso de los mismos, brindando asi gran

confiabilidad a los clientes de CrowStrike.

La redundancia también ha sido considerada ya que el AWS permite replicar

geográficamente dentro de una región a través de múltiples zonas de

disponibilidad, los cuales tardan mucho tiempo en ser implementados en un

entorno de centro de datos tradicional.

La seguridad que ofrece el AWS para CrowStrike, tendrá satisfechos a los

clientes quienes a su vez recomendarán a mas la utilización de estos

servicios.

c. Definición

Las características de AWS permiten a CrowStrike especificar un modelo de

control que permite aliviar la carga operativa del cliente, ya que el mismo
AWS opera, administra y controla todos los componentes del sistema

operativo del punto final, así como la capa de virtualización de los equipos

que van a trabajar con Falcon Host, garantizando asi el aprendizaje

automático y la ejecución de las técnicas de análisis que permiten identificar

las acciones que está tomando un posible atacante; de esta manera los

clientes pueden tener una comprensión bastante profunda sobre los eventos

que se estan efectuando sobre su red local o su equipo. Es necesario

mencionar que AWS es responsable de proteger la infraestructura donde se

van a ejecutar todos los servicios de CrowStrike, esta infraestructura esta

conformada por hardware, software, redes e instalaciones que ejecutan los

servicios de la nubre de AWS.

La eficiencia de CrowStrike es muy notoria ya que como se menciona en un

primer instante las personas se mostraron escepticas, pero hoy por hoy cada

vez son mas compañias quienes se dan cuenta que una nube es mas segura

que muchos centros de datos y que además ofrece otras ventajas muy

importantes como la alta agilidad y escalabilidad. Tomando en cuenta que

una empresa independiente del tamaño debe evitar el manejo por sí misma

de toda su cyberseguridad, aunque en muchas empresas no es una prioridad

escencial

a. Definición

o Evaluación de los riesgos

se debe considerar que un ataque a las TI pueden llegar a ser catastróficas

por lo que es que un equipo este a cargo del control y respuesta en tres

niveles de soporte remoto a sus clientes, estos son:

b. Nivel bajo o nivel uno: Son los eventos donde se reciben preguntas e

inquitudes sobre las funcionalidades que posee CrowStrike.

 c. Nivel medio o nivel dos: Son los eventos que causan problemas leves en la

seguridad de los clientes, estos se atenderan con una tardanza de acuerdo

a la disponibilidad del personal en un tiempo maximo de 8 horas.

Nivel alto o crítico: Son los eventos que se están ejecutando al

instante y que el FalconHost ha reportado automáticamente, estos

eventos se responderán de inmediato con una prioridad alta en el equipo

y se tardarán hasta 1 hora como límite de tiempo

o Ambiente de control

Se ha planteado los siguientes objetivos y valores eticos

Ser una empresa de referencia en el campo de la Ciberseguridad, especializada en la

Protección de Infraestructuras Críticas y equipos terminales, cuya experiencia permitan

a sus clientes la gestion de forma eficiente y constante los riesgos y ciberamenazas

Valores

 Conocimiento

 Flexibilidad

 Competitividad

 Rigor

2. ANALIZAR CADA DIMENSION

3. OBTENER LAS CONCLUSIONES DEL CASO

- Las ventajas que ofrece la nube de AWS son muy amplias y cumplen totalmente los

requerimientos de CrowdStrike, ya que tomaría una cantidad de tiempo muy alta de

 inactividad el tratar de implementar estos servicios en un entorno de centro de datos

tradicional.

- La ciberseguridad es una parte escencial de las empresas, aunque e algunas de ellas no se

a considere como tal, ya que pueden provocar perdidas críticas en la organización.

- El Entorno de Control.

- La Evaluación de los Riesgos.

- Las Actividades de Control.

- La Comunicación.

- La Información.

- La Supervisión