_crowdstrike - RunkIntel

# CrowdStrike > EDR/XDR/NGAV · Sede: Austin, Texas · Presença LATAM: Sim ## Visão Geral A **CrowdStrike** foi fundada em 2011 por George Kurtz (CEO), Dmitri Alperovitch (ex-CTO) e Gregg Marston, com o objetivo de reinventar a segurança de endpoints por meio de uma arquitetura nativa em nuvem. A empresa ganhou projeção global ao investigar os maiores incidentes cibernéticos da última década, incluindo a atribuição do ataque à DNC em 2016 ao grupo russo [[g0007-apt28|APT28 / Fancy Bear]], a análise do malware [[s0368-notpetya]] atribuído à Rússia e a resposta ao incidente da [[solarwinds-supply-chain-attack|SolarWinds Supply Chain Attack]], onde o grupo [[g0016-apt29|APT29 / Cozy Bear]] comprometeu dezenas de agências governamentais americanas. A plataforma **Falcon** é o produto central da CrowdStrike - uma suíte cloud-native que unifica EDR, NGAV, inteligência de ameaças, threat hunting gerenciado e resposta a incidentes em um único agente leve. O Falcon Agent é instalado no endpoint e transmite telemetria em tempo real para o **Threat Graph**, um banco de dados proprietário que processa trilhões de eventos por semana para correlacionar indicadores e detectar comportamentos maliciosos. Essa arquitetura elimina a necessidade de atualizações de assinatura e reduz o impacto de desempenho no host. A unidade de inteligência de ameaças da empresa, **CrowdStrike Intelligence**, é referência global no rastreamento de atores estatais e cibercriminosos. O CrowdStrike utiliza uma nomenclatura própria para grupos adversários - sufixos como BEAR (Rússia), PANDA (China), CHOLLIMA (Coreia do Norte), SPIDER (cibercrime), KITTEN (Irã) e JACKAL (hacktivistas) - que se tornaram padrão de mercado e são amplamente citados em relatórios de ameaças. O relatório anual **Global Threat Report** da CrowdStrike é uma das públicações de inteligência mais influentes do setor. ## Produtos | Produto | Categoria | Descrição | |---------|-----------|-----------| | [[falcon-edr\|Falcon EDR]] | EDR | Detecção e resposta em endpoints - Threat Graph, process tree, RTR | | [[falcon-prevent\|Falcon Prevent (NGAV)]] | NGAV | Prevenção via ML, bloqueio de exploits, proteção anti-ransomware | | [[falcon-overwatch\|Falcon OverWatch]] | MDR | Threat hunting gerenciado 24x7 por analistas humanos | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", title AS "Produto", product-category AS "Categoria", version-current AS "Versão" FROM "vendors/crowdstrike" WHERE type = "product" SORT title ASC ``` %% ## Inteligência de Ameaças O **CrowdStrike Intelligence** rastreia mais de 230 adversários categorizados por nação-estado, motivação e sofisticação. A nomenclatura por sufixo é uma das mais adotadas pelo mercado: - **COZY BEAR** - [[g0016-apt29|APT29 / Cozy Bear]]: espionagem russa (SVR), responsável pela [[solarwinds-supply-chain-attack|SolarWinds Supply Chain Attack]] e intrusões em governo e diplomacia ocidental - **FANCY BEAR** - [[g0007-apt28|APT28 / Fancy Bear]]: GRU russo, campanhas de interferência eleitoral, alvo de governos e think tanks - **SILENT CHOLLIMA** - [[g0032-lazarus-group|Lazarus Group]]: operações financeiras e espionagem norte-coreanas, alvo de exchanges cripto e bancos - **VOLT TYPHOON** (Microsoft) / **VANGUARD PANDA** (CrowdStrike) - [[g1017-volt-typhoon|Volt Typhoon]]: espionagem chinesa em infraestrutura crítica americana - **SPIDER** - grupos cibercriminosos, incluindo operadores de ransomware como [[lockbit|LockBit Operators]] e [[Cl0p / TA505]] Os **Adversary Intelligence Reports** da CrowdStrike fornecem perfis técnicos detalhados de cada grupo, incluindo TTPs, infraestrutura e campanhas recentes - alimentando diretamente as regras de detecção do Falcon. ## Presença LATAM/Brasil A CrowdStrike possui presença crescente no Brasil e na América Latina, com escritório regional e uma rede de parceiros MSSPs (Managed Security Service Providers) que oferecem o Falcon como serviço gerenciado. O setor financeiro brasileiro - alvo frequente de grupos como [[g0099-blind-eagle-apt-c-36|Blind Eagle (APT-C-36)]] e atores de ransomware como [[lockbit|LockBit Operators]] - é o principal mercado da empresa na região. O relatório OverWatch de 2023 mencionou intrusions em organizações latino-americanas, e o Global Threat Report tem documentado o crescimento de ameaças de eCrime direcionadas a Brasil, México e Colômbia. A plataforma Falcon é certificada para conformidade com a LGPD ao operar com datacenters regionais e políticas de retenção de dados configuráveis. ## Notas Relacionadas **Produtos:** [[falcon-edr|Falcon EDR]] · [[falcon-prevent|Falcon Prevent (NGAV)]] · [[falcon-overwatch|Falcon OverWatch]] **Atores rastreados:** [[g0016-apt29|APT29 / Cozy Bear]] · [[g0007-apt28|APT28 / Fancy Bear]] · [[g0032-lazarus-group|Lazarus Group]] · [[g1017-volt-typhoon|Volt Typhoon]] · [[g0096-apt41|APT41]] · [[g0099-blind-eagle-apt-c-36|Blind Eagle (APT-C-36)]] **Grupos cibercriminosos:** [[lockbit|LockBit Operators]] · [[Cl0p / TA505]] **Malwares relevantes:** [[s0154-cobalt-strike]] · [[lockbit]] · [[s0559-sunburst]] · [[s0368-notpetya]] **Setores:** [[financial]] · [[government]] · [[healthcare|saúde]] · [[infraestrutura-crítica]]