‘La colaboración con terceros es fundamental en el mundo de la ciberseguridad’ (Juan Luis Garijo, Crowstrike)

  • Entrevistas

Juan Luis Garijo, Crowstrike

Desde su fundación en 2011 como uno de los primeros visionarios en un mercado de seguridad endpoint que fue bautizado como EDR (Endpoint Detection and Response), Crowdstrike acumuló 481 millones de dólares en cuatro rondas de inversión, ha realizado cuatro adquisiciones, salido a Bolsa y pasado a proteger no sólo los puntos finales de las empresas, sino los datos, las identidades y el cloud.

Tras casi seis años en Palo Alto, Juan Luis Garijo es, desde hace año y medio, el responsable de Crowdstrike en la región de Iberia, que es donde la compañía ha decidido establecer el heaquarter europeo, concretamente en Barcelona. De forma que, si al ocupar su puesto, la compañía estaba compuesta por tres personas en España, “ahora dirijo un equipo de 20” y además en la región se pagan más de 85 nóminas.

Este contenido se publicó en el número de Abril de 2022 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

Nos cuenta Juan Luis Garijo que cuando George Kurtz, ex CTO de McAfee, fundó Crowdstrike en 2011 es porque ya previó un aumento exponencial de ataques, y estableció dos casuísticas: la respuesta ante incidentes y la ciberinteligencia. Explica que para hacer una buena respuesta ante incidentes hace falta entender cómo trabajan los ciberdelincuentes, lo que llevó a la compañía, ya en 2011, a hacer un trabajo exhaustivo de cualificar quiénes son los cieberdelincuentes, qué tipos de crimen organizado hay, con qué objetivo realizan un ciberataque, qué tipo de técnicas utilizan, qué tipo de extorsión, o si son ataques estando nación, o de cadena de suministro o si lo que quieren es  recaudar dinero, exfiltrar información, etc., “porque una vez consigues entender el problema de facto, eres capaz de resolver esa respuesta”.

Entre 2011 y 2015 “utilizábamos herramientas de terceros para hacer ese ejercicio de respuesta de incidencias”, pero sabiendo qué herramientas y técnicas harían falta para hacer esa respuesta de manera más eficientes, decidieron desarrollar las suyas propias, “y así nace la plataforma Falcon”, que actualmente tiene 23 módulos y se espera que tenga hasta 30 en los próximos seis meses.

En julio de 2019 y ya con 5.000 empleados, la compañía sale a Bolsa con una capitalización de mercado de 43.000 millones de dólares, el doble que Telefónica. Se ha convertido, además, en la segunda compañía que más rápido ha pasado de facturar un dólar a superar el billón de dólares de facturación, por detrás de Salesforce, “

A nivel Iberia, en los dos años y medio que la compañía lleva en este territorio, se han conseguido como clientes a 16 empresas del Ibex 35, “que han apostado por nuestra tecnología para proteger tanto sus entornos de endpoint como de estaciones de trabajo, máquinas virtuales, o servidores de toda índole”, asegura Juan Luis Garijo añadiendo que Crowstrike ha conseguido demostrar que “resolvemos problemas reales” y que, “poniendo mucho foco en la prevención, es fundamental, cuando uno recibe un ataque, ser capaz de detectar y remediar en muy poco tiempo”. Teniendo en cuenta que cuando se produce un cibertaque el tiempo es oro, el objetivo de la compañía es: detectar un ataque en menos de un minutos, analizarlo en menos de diez y remediarlo en menos de 60 minutos”.

Diferencial de Crowstrike

Pata el responsable de la compañía para la región de iberia, entre los diferenciales de la compañía destacan tanto la visibilidad como la inteligencia; “nadie en este mercado tiene concatenado y cualificados a los cibercriminales como lo tenemos nosotros”. Asegura el directivo que la compañía tiene detectados más de 150 grupos de cibercrimen organizado y que son capaces de identificar en muy poco tiempo quién está atacando y qué objetivo tiene.

La información de ciberinteligencia, que es algo que está cada vez más de moda y donde triunfan empresas como ZeroFox o KELA, es un servicio propio de Crowdstrike. El sistema de ciberinteligencia de la compañía se llama Falcon X donde hay un módulo concreto que se llama Recon que permite adentrarse en la Deep y Dark Web, donde se categoriza en tiempo real cualquier exfiltración de tarjetas de crédito, robo de propiedad intelectual en un laboratorio farmacéutico, robo de contraseñas en una compañía de seguros… “y podemos avisar en cuestión de segundos a las empresas afectadas”.

Volviendo a Falcon, la plataforma de la compañía en la que no dejan añadirse nuevos módulos, nos cuenta Juan Luis Garijo que lo que habitualmente demanda el cliente como parte de un acuerdo “es tener acceso a la parte de telemetría, a la parte de servicio de Threat Hunting, que es OverWatch. Otro módulo que se usa mucho es el de Discover”, que permite detectar a tiempo real qué ordenadores están bien plataformados, bien actualizados, etcétera; “imagínate tener ese conocimiento con una base instalada en 200 países distintos, con husos horarios distintos”.

La plataforma Falcon permite satisfacer cualquier caso de uso, “pero principalmente destacaría la visibilidad, la ciberinteligencia y la parte de Threat Hunting”, que es Falcon Overwatch un servicio gestionado de Threat Hunting que permite, en tiempo real, ser capaces, a cualquier hora del día, “detectar una alarma en un cliente, llamarle y decirle: te están intentando atacar, pongámonos manos a la obra”.

Acuerdos con terceros

La volumetría masiva de datos que ya vaticinó George Kurtz está en pleno auge. Es el tiempo de la ingesta de información de toda índole para poder hacer frente a una situación que se hace cada vez más complicada. La estrategia de Crowstrike es entenderse e integrarse con otras muchas empresas, desde Netskope o Zscaler, a Okta o Proofpoint… “Tenemos obsesión por entendernos con terceros e ingestar información de terceros en toda su índole”, que ha llevado a la compañía más allá del endpoint, ingestando no sólo los datos generan los puntos finales, sino los que se generar en la nube o en las redes.

Con esta estrategia abierta la compañía y un mensaje de integración con terceros, “porque no queremos ser un mercado propietario”, la compañía no sólo participa en el mercado ERD sino en las sucesivas tecnologías que se han acoplado a la detección y respuesta, como es el NDR (Networks Detection and Response) o XDT (eXtended Detection and Response). “La compartición, la colaboración con terceros es fundamental en el mundo de la ciberseguridad”, asegura Juan Luis Garijo.

Es espíritu de alianzas es la que permite a Crowdstrike proteger cualquier punto final. Si hablamos de manera específica de IoT, resalta Garijo la integración con empresas como Clarity o Armis.

Dentro de este espíritu de colaboración, la compañía ha trabajado con el CCN para homologar su tecnología y estar incluido en la Guía de Seguridad de las TIC CCN-STIC 105.

Adquisiciones

Crowdstrike está creciendo de manera orgánica entre un 65% y un 70% años tras año, “pero se están viendo nuevas necesidades de seguridad en los ciberataques”, por lo que en los últimos 16 meses se han realizado tres adquisiciones estratégicas, nos cuenta Garijo.

En septiembre de 2020 se compró, por 96 millones de dólares, Preempt Security, una compañía con una tecnología de protección de identidades que permite, entre otros, proteger el directorio activo, algo que para el directivo de Crowstrike es “fundamental”. En junio de 2021 se pagaron 400 millones de dólares por Humio, que ayuda a correlar toda la volumetría masiva de datos que se genera y saber, en cuestión de milisegundos, si son ciberataques o no. Se trata de una tecnología que según Garijo “es diez veces más rápida que muchos SIEMs y con un coste muy eficiente”; además, la compañía acaba de anunciar que se amplía el periodo de retención de logs de siete o 90 días a 365, algo que “es una petición del mercado ya no solo por casuística y operación real, sino por temas legislativos”.

Asegurando que unos de los mayores problemas de las empresas es la exfiltración de datos interna, habla juan Luis Garijo de la última compra de la compañía: Secure Circle, sobre la que asegura que es un Next Generation DLP que ya se ha añadido a la plataforma Falcon de la compañía. Una plataforma que destaca por tener un único agente, “el agente más ligero de todo el mercado”.

Cliente

Dice Juan Luis Garijo que, aunque históricamente se ha pensado en la solución de Crowdstrike sólo para grandísimas corporaciones, “el agente es tan ligero, tan fácil de utilizar y de instalar -que no hay ni que reiniciar el equipo, que hemos lanzado servicios gestionados, de MSSP, con ciertos partners para que cualquier usuario de cualquier parte del mundo pueda utilizar Crowdstrike en su dispositivo personal”.

De hecho, la compañía trabaja también en un proyecto de Kit Digital asociado a los fondos europeos por el que muchos integradores van a incluir a tecnología de la compañía “para dar servicio a pymes desde 1 a 10 empleados, desde 10 a 49, que es como empezado ahora la fase uno del proyecto que digital de la Unión Europea. Y vamos a dar servicio gestionado a compañías de cualquier índole y de cualquier entorno”, tanto del sector privado como del sector público, incluidos el educativo o el sanitario.

“No podemos dejar de dotar de seguridad a cualquier tipo de perfil de cliente”, asegura Juan Luis Garijo.

Canal

Hace tiempo que el canal es de valor. Hace tiempo que dejaron de vender cajas para vender licencias y adentrarse en el mundo de los servicios. La llegado de los EDR al mundo de la seguridad enpoint ha añadido un reto: qué hacer con toda la información que generan este tipo de soluciones. Un reto que los clientes han trasladado a los partners, y los partners a los fabricantes, algunos de los cuales han desarrollado propuestas de MDR (Managed, Detection and Response).

En Crowstrike es Julia Barruso la directora de canal y alianzas para el Sur de Europa, incluyendo Francia, Italia, España, Portugal, Israel, Grecia, Chipre y Malta. Además, no hace mucho que la compañía ha fichado a Lucas Rey como responsable de canal para España y Portugal, “y cada vez tenemos más partners que quieren ser afines a nuestra tecnología, porque resolvemos problemas reales de seguridad y muchos integradores que tiene con los mejores”.

Se ha trabajado en un modelo de canal Tier 1, hasta que hace un año se firmó un acuerdo de mayorista con Westcon “para poder tener más capilaridad y dar servicio a través de partners”, dice Juan Luis Garijo para añadir: “Queremos tener partners reales, partners de alianza, de confianza, especializados. Partners que realmente sean un wi-win”.

Falcon, el secreto del éxito

Falcon es, sin duda, el valor diferencial de Crowstrike. La compañía aprovecha los datos empresariales y de seguridad de los clientes conectados a su plataforma de ciberseguridad, y utiliza su agente ligero habilitado y la base de datos Threat Graph para generar correlaciones con los eventos de ciberseguridad. Cuantos más datos de seguridad del cliente se introduzcan en Falcon, más inteligente se vuelve la nube de seguridad para brindar detección, prevención y/o respuesta rápidas contra ciberataques y amenazas.

La plataforma Falcon actualmente ofrece 22 módulos en la nube, que cubren una amplia gama de soluciones de ciberseguridad, desde seguridad en la nube y protección de identificación, hasta inteligencia de amenazas y detección y respuesta extendidas. El enfoque basado en la nube de CrowdStrike permite la expansión oportuna de las ofertas de módulos en respuesta a los riesgos empresariales. La capacidad de la empresa para implementar de forma rápida módulos adicionales para los clientes sin necesidad de configuración ni consultoría adicional ha sido una característica atractiva para las empresas globales que intentan reforzar sus ciberdefensas a medida que migran más cargas de trabajo a la nube