VMware Carbon Black: EDR Cloud-Native para Workloads

Carbon Black: el veterano del EDR

Carbon Black tiene una de las historias más largas en el mercado EDR. Fundada en 2002 como Bit9, la compañía fue pionera en application whitelisting. En 2014 adquirió Carbon Black (el producto EDR original) y adoptó el nombre. En 2019, VMware adquirió Carbon Black por 2.100 millones de dólares para integrar seguridad de endpoint en su portfolio de virtualización y cloud. En 2023, Broadcom adquirió VMware, y con ello Carbon Black entró en una nueva fase de incertidumbre.

A pesar de los cambios de propiedad, Carbon Black mantiene un base instalada significativa, especialmente en organizaciones que usan infraestructura VMware. Este artículo analiza sus capacidades técnicas actuales, su arquitectura, y las consideraciones estratégicas que los cambios corporativos implican.

Dos productos, dos modelos: CB Cloud vs CB EDR

Carbon Black Cloud (CBC)

Carbon Black Cloud es la versión SaaS, cloud-native. Es el producto principal que VMware/Broadcom promociona actualmente.

Componentes de CBC:

• CB Cloud Endpoint Standard. NGAV (Next-Gen Antivirus) + EDR básico. Prevención de malware, detección de comportamiento, alertas. Para organizaciones que necesitan protección de endpoint sin capacidades avanzadas de hunting.
• CB Cloud Endpoint Advanced. Añade sobre Standard: Live Query (osquery), vulnerability assessment, y mayor retención de telemetría. Para equipos que hacen hunting activo.
• CB Cloud Endpoint Enterprise. Todas las capacidades: watchlists avanzadas, EEDR (Enterprise EDR), integración completa con third-party feeds, y retención máxima de telemetría.
• CB Cloud Workload. Protección específica para workloads virtualizados (VMs en vSphere) y containers. Incluye integración con vSphere para visibilidad sin agente en VMs.

Arquitectura de CBC:

El sensor CBC se instala en cada endpoint y envía telemetría a la nube de Carbon Black. La consola web permite gestión, investigación, y respuesta. El modelo es similar a CrowdStrike: sensor ligero + inteligencia en la nube.

La telemetría se almacena en la nube de CBC con retención que varía según el plan:

Plan	Retención de telemetría
Standard	30 días
Advanced	30 días
Enterprise	Hasta 180 días

Carbon Black EDR (anteriormente CB Response)

CB EDR es la versión on-premise. El servidor se despliega en la infraestructura del cliente y almacena toda la telemetría localmente.

Ventajas del modelo on-premise:

• Control total sobre los datos (no salen de la organización)
• Retención ilimitada (depende del almacenamiento)
• Compliance con requisitos de soberanía estrictos
• Posibilidad de operar en redes air-gapped

Desventajas:

• Requiere hardware de servidor (CPU, RAM, almacenamiento significativos)
• Gestión y mantenimiento por el equipo del cliente
• Actualizaciones manuales
• Sin beneficio de inteligencia colectiva cross-tenant

Estado actual: Con la adquisición por Broadcom, CB EDR on-premise ha recibido menor atención que CB Cloud. Broadcom ha enfocado las inversiones en la versión cloud. Los clientes de CB EDR on-premise deben evaluar la viabilidad a largo plazo del producto.

Telemetría: qué captura el sensor

Eventos de proceso

Carbon Black registra telemetría detallada de procesos:

• Creación y terminación de procesos. PID, PPID, nombre del ejecutable, ruta completa, línea de comando, usuario, integridad del token.
• Árboles de procesos. Relaciones padre-hijo con profundidad completa. CB fue uno de los primeros EDR en popularizar la visualización de árboles de procesos para investigación.
• Childproc events. Eventos específicos de creación de proceso hijo, que facilitan la detección de cadenas sospechosas (Office → cmd → PowerShell).
• Crossproc events. Eventos de interacción entre procesos: process injection, handle manipulation, remote thread creation.

Eventos de archivo

• Creación, modificación, eliminación de archivos
• Escritura de módulos (DLLs, drivers)
• Hash MD5 del archivo (SHA256 en versiones más recientes)
• Ruta completa y nombre de archivo

Eventos de red

• Conexiones TCP/UDP (IP, puerto, protocolo)
• DNS queries (dominio consultado y respuesta)
• Proceso que originó la conexión
• Volumen de datos transferidos

Eventos de registro

• Creación, modificación, eliminación de claves y valores
• Ruta completa del registro
• Proceso que realizó la operación

Modloads

• Carga de módulos (DLLs) por proceso
• Hash del módulo cargado
• Ruta del módulo

Watchlists: detección basada en IOCs y comportamiento

Las watchlists son el mecanismo principal de detección personalizada en Carbon Black. Una watchlist es un conjunto de queries que se ejecutan continuamente contra la telemetría para generar alertas.

Tipos de watchlists

IOC watchlists. Listas de indicadores de compromiso (hashes MD5/SHA256, dominios, IPs) que se comparan contra la telemetría. Cuando un proceso carga un archivo con un hash en la watchlist, se genera una alerta.

Query watchlists. Queries de búsqueda que se ejecutan periódicamente. Si la query devuelve resultados, se genera una alerta:

process_name:powershell.exe AND cmdline:*-enc* AND parent_name:winword.exe

Third-party feeds. Carbon Black puede ingestar feeds de inteligencia de amenazas (AlienVault OTX, VirusTotal, CyberArk, etc.) como watchlists automáticas. Los IOCs del feed se comparan continuamente contra la telemetría del entorno.

Configuración de watchlists

Cada watchlist define:

• Query o lista de IOCs. Qué buscar.
• Severity. Impacto de una coincidencia.
• Alert enabled. Si genera alerta o solo registra.
• Frequency. Con qué frecuencia se ejecuta la query (cada 15 minutos, cada hora, etc.).
• Tags. Etiquetas para organización y filtrado.

Watchlists por defecto

Carbon Black incluye watchlists preconfiguradas que cubren:

• AMSI bypass. Técnicas de evasión de Windows Antimalware Scan Interface.
• Credential theft. Acceso a LSASS, SAM, NTDS.dit.
• Defense evasion. Deshabilitación de Windows Defender, modificación de políticas de grupo, timestomping.
• Persistence. Modificación de Run keys, tareas programadas, servicios.
• Lateral movement. PSExec, WMI remoto, RDP, SSH.
• Ransomware indicators. Eliminación de shadow copies, cifrado masivo, notas de rescate.

Live Query: osquery integrado

Carbon Black Cloud integra osquery para ejecutar queries SQL contra el estado actual de los endpoints. A diferencia de la telemetría continua (que registra eventos a medida que ocurren), Live Query captura el estado del sistema en un momento determinado.

Queries útiles para investigación

Listar procesos con conexiones de red activas:

SELECT p.name, p.pid, p.cmdline, p.path,
       s.remote_address, s.remote_port, s.protocol
FROM processes p
JOIN process_open_sockets s ON p.pid = s.pid
WHERE s.remote_address NOT LIKE '127.%'
  AND s.remote_address NOT LIKE '10.%'
  AND s.remote_address NOT LIKE '192.168.%'
ORDER BY s.remote_address;

Buscar tareas programadas sospechosas:

SELECT name, action, path, enabled, last_run_time, next_run_time
FROM scheduled_tasks
WHERE enabled = 1
  AND path NOT LIKE '%Microsoft%'
  AND path NOT LIKE '%Windows%'
ORDER BY last_run_time DESC;

Verificar integridad de archivos de sistema:

SELECT path, filename, size, md5,
       datetime(mtime, 'unixepoch') as modified
FROM hash
WHERE directory = 'C:\Windows\System32'
  AND filename LIKE '%.dll'
  AND mtime > (strftime('%s', 'now') - 86400)
ORDER BY mtime DESC;

Detectar servicios con rutas sin comillas (unquoted service paths):

SELECT name, display_name, path, start_type, status
FROM services
WHERE path LIKE '% %'
  AND path NOT LIKE '"%'
  AND path NOT LIKE '\"%'
  AND start_type != 'DISABLED';

Live Query vs telemetría continua

Aspecto	Telemetría continua	Live Query
Temporalidad	Histórica (eventos pasados)	Estado actual (snapshot)
Cobertura	Eventos que el sensor captura	Cualquier dato que osquery puede consultar
Uso	Investigación de incidentes, hunting	Verificación de estado, compliance, forensics
Impacto	Bajo (recopilación pasiva)	Bajo-medio (ejecuta queries bajo demanda)

CB Cloud Workload: protección de VMs y containers

CB Cloud Workload está diseñado para proteger workloads virtualizados en entornos VMware vSphere y containers.

Protección de VMs en vSphere

Con agente. El sensor de CB Cloud se instala dentro de cada VM, igual que en un endpoint físico. Proporciona la misma telemetría y capacidades.

Sin agente (agentless). Mediante integración con vSphere y NSX, CB Cloud Workload puede obtener visibilidad de VMs sin instalar un agente dentro de cada una. Esta modalidad es especialmente útil para:

• VMs temporales o de corta duración
• VMs donde no se puede instalar software (appliances, legacy)
• Entornos VDI donde gestionar agentes en miles de VMs es complejo

La modalidad sin agente proporciona menor profundidad de telemetría que la modalidad con agente, pero reduce la complejidad operativa.

Protección de containers

CB Cloud Workload ofrece protección de containers Kubernetes:

• Escaneo de imágenes de container antes del despliegue
• Runtime protection dentro del container
• Detección de comportamiento anómalo en procesos del container
• Vulnerabilidad assessment de las imágenes

Vulnerability assessment

CB Cloud Workload incluye evaluación de vulnerabilidades integrada:

• Inventario de software en VMs y containers
• Correlación con CVEs conocidas
• Priorización basada en exploit availability y exposición
• Integración con el workflow de parcheo del equipo de operaciones

La consola CBC: navegación y workflow

Investigate

La vista Investigate permite buscar en la telemetría histórica. La búsqueda es potente pero usa una sintaxis propia de Carbon Black:

Buscar procesos por nombre y padre:

process_name:mimikatz.exe OR 
(process_name:powershell.exe AND cmdline:*Invoke-Mimikatz*)

Buscar archivos creados por PowerShell:

filemod_count:[1 TO *] AND process_name:powershell.exe AND 
filemod_name:*.exe

Buscar conexiones a IPs externas no comunes:

netconn_count:[1 TO *] AND -netconn_ipv4:10.* AND 
-netconn_ipv4:192.168.* AND process_name:rundll32.exe

Alerts

La cola de alertas presenta:

• Severity y source de la alerta (watchlist, behavioral analytics, reputation)
• Proceso tree con visualización gráfica
• Contexto de endpoint (OS, usuario, IP, grupo)
• Acciones recomendadas
• Estado de la alerta (new, in progress, resolved, dismissed)

Live Response

Live Response permite conectar remotamente a un endpoint para investigación y remediación:

• Shell interactivo (PowerShell/Bash)
• Navegación del sistema de archivos
• Descarga de archivos para análisis
• Ejecución de scripts de remediación
• Kill de procesos
• Gestión de servicios

Evolución bajo Broadcom: el elefante en la sala

La adquisición de VMware por Broadcom en noviembre de 2023 ha generado incertidumbre significativa en el mercado de Carbon Black:

Cambios confirmados

• Reestructuración de licenciamiento. Broadcom ha simplificado (y en muchos casos incrementado) los precios de Carbon Black como parte de bundles VMware más amplios.
• Reducción de personal. Broadcom ha reducido equipos de ingeniería y soporte de múltiples productos VMware, incluyendo Carbon Black.
• Foco en clientes enterprise. Broadcom ha comunicado su intención de focalizar inversión en clientes enterprise grandes, lo que puede afectar el soporte para organizaciones medianas y pequeñas.

Impacto en clientes existentes

• Algunos clientes han reportado mayor tiempo de respuesta en soporte técnico
• La cadencia de actualizaciones y nuevas funcionalidades se ha ralentizado respecto al período pre-adquisición
• Varios clientes han anunciado planes de migración a otros vendors (CrowdStrike, SentinelOne, Microsoft)

Evaluación estratégica

Para organizaciones evaluando Carbon Black hoy:

Si ya usas Carbon Black y funciona bien: No hay urgencia de migrar. El producto sigue siendo funcional y recibiendo actualizaciones. Pero es prudente tener un plan B documentado.

Si estás evaluando Carbon Black como nueva adquisición: Evalúa cuidadosamente el roadmap a largo plazo. Pide compromisos contractuales sobre soporte y funcionalidades. Compara con alternativas que no tengan incertidumbre corporativa.

Si usas infraestructura VMware extensivamente: CB Cloud Workload y la integración con vSphere/NSX siguen siendo un diferenciador único. Ningún otro vendor ofrece la misma profundidad de integración con el hipervisor VMware.

Fortalezas y debilidades

Fortalezas técnicas

Telemetría completa y detallada. Carbon Black fue uno de los primeros EDR en capturar telemetría continua de procesos con profundidad. La capacidad de reconstruir árboles de procesos completos con líneas de comando, módulos cargados, archivos creados, y conexiones de red sigue siendo robusta.

Integración VMware/vSphere. Para entornos virtualizados con VMware, la integración nativa con vSphere y NSX para protección agentless de VMs es única en el mercado. Si tu datacenter es VMware, Carbon Black Workload tiene una ventaja difícil de replicar.

Osquery integrado (Live Query). La capacidad de ejecutar queries SQL contra el estado actual de endpoints complementa la telemetría continua de forma potente. Osquery es una herramienta madura y bien documentada que los analistas pueden aprovechar.

Modelo on-premise disponible. CB EDR (on-premise) sigue disponible para organizaciones que no pueden enviar telemetría a la nube. Pocos vendors EDR modernos ofrecen una opción completamente on-premise.

Debilidades y consideraciones

Incertidumbre corporativa. La adquisición por Broadcom ha generado incertidumbre legítima sobre el futuro del producto. La reducción de personal, el cambio de licenciamiento, y el foco en enterprise grandes son señales que los clientes deben evaluar.

Interfaz de usuario. La consola de CB Cloud, aunque funcional, no es tan moderna ni intuitiva como las de CrowdStrike, SentinelOne o Microsoft. La experiencia de usuario para analistas puede ser menos fluida.

Lenguaje de búsqueda propietario. La sintaxis de búsqueda de Carbon Black no es estándar y no es portable. Las queries no se transfieren a otras herramientas si se migra de vendor.

MITRE ATT&CK Evaluations. Carbon Black ha participado en evaluaciones MITRE ATT&CK con resultados mixtos comparados con los líderes del mercado. La detección automatizada es competente pero no lidera en cobertura de técnicas.

Capacidades de IA/ML. Comparado con los modelos de ML de SentinelOne (Static AI + Behavioral AI) o la detección cloud-based de CrowdStrike, las capacidades de machine learning de Carbon Black son menos avanzadas. La detección depende más de watchlists y reglas que de modelos de ML sofisticados.

Caso de uso: protección de workloads VDI

Escenario: Una organización opera 2.000 escritorios virtuales VDI sobre VMware Horizon. Necesita protección EDR sin impacto excesivo en rendimiento.

Despliegue: CB Cloud Workload se despliega con sensor en las imágenes gold de VDI. Fleet Manager gestiona los agentes centralizadamente. Las políticas se configuran para minimizar el impacto en rendimiento:

• Exclusiones para directorios de perfil temporal de VDI
• Scan de archivos solo on-write (no on-read) para reducir I/O
• Watchlists focalizadas en las técnicas de ataque más relevantes para el entorno

Detección. Un usuario de VDI recibe un documento malicioso por email. Al abrir el documento y habilitar macros, el sensor detecta la cadena:

1. OUTLOOK.EXE → WINWORD.EXE → cmd.exe → powershell.exe
2. PowerShell descarga un payload desde una URL externa
3. El payload intenta crear persistencia en el registro

Respuesta. El sensor bloquea la persistencia basándose en la watchlist de "Run key modification by suspicious process". El analista verifica en la consola el process tree completo, confirma la detección, y busca con Live Query si otras VMs del pool VDI tienen artefactos del mismo ataque.

Live Query across fleet:

SELECT path, md5, datetime(ctime, 'unixepoch') as created
FROM file
WHERE directory LIKE '%\AppData\Local\Temp%'
  AND filename LIKE '%.exe'
  AND ctime > (strftime('%s', 'now') - 3600);

La query se ejecuta en las 2.000 VMs simultáneamente, identificando en segundos si hay otras instancias del payload en el entorno.

Ventaja VDI: Si la VM es no persistente, el simple reinicio de la sesión VDI elimina el malware. CB Cloud Workload registra la telemetría independientemente del ciclo de vida de la VM, permitiendo investigación post-mortem incluso si la VM ya no existe.