CrowdStrike refuerza Falcon Next-Gen SIEM con la adquisición de Onum y su data pipeline en tiempo real

Introducción

CrowdStrike, uno de los principales actores globales en ciberseguridad, ha anunciado la adquisición de Onum, una startup especializada en soluciones de procesamiento de datos en tiempo real. Esta operación estratégica busca integrar las capacidades de data pipeline de Onum en la plataforma Falcon Next-Gen SIEM de CrowdStrike, con el objetivo de potenciar la detección autónoma de amenazas y fortalecer la posición de Falcon como SIEM de nueva generación frente a los desafíos actuales en la gestión y análisis de eventos de seguridad.

Contexto del Incidente o Vulnerabilidad

El auge de los ataques avanzados, el incremento en la superficie de exposición y la complejidad de los entornos híbridos han puesto en jaque a los SIEM tradicionales, que luchan por procesar y correlacionar volúmenes masivos de datos en tiempo real. Según estudios recientes de Gartner, más del 60% de los SOCs identifican como principal reto la ingestión y correlación eficiente de datos procedentes de múltiples fuentes, lo que limita la capacidad de detección precoz y respuesta automatizada frente a amenazas avanzadas como ransomware, movimientos laterales o ataques fileless.

En este contexto, la incorporación de pipelines de datos en tiempo real es un factor diferenciador. Onum se ha posicionado como un referente en esta tecnología, permitiendo la recolección, normalización y enriquecimiento de eventos de seguridad a escala y sin latencia significativa, una funcionalidad crítica para SIEMs que aspiran a ofrecer detección autónoma y orquestación inteligente.

Detalles Técnicos

La solución de Onum está diseñada para operar con pipelines de datos en streaming, soportando ingestión desde fuentes como endpoints, servidores, aplicaciones SaaS, cloud y dispositivos de red. Su arquitectura nativa en la nube permite escalar horizontalmente, procesando millones de eventos por segundo y aplicando transformaciones, correlaciones y enriquecimientos en tiempo real.

La integración con Falcon Next-Gen SIEM permitirá explotar los siguientes beneficios técnicos:

– Ingesta de datos a escala: soporte para logs y eventos en formatos estandarizados (CEF, Syslog, JSON, etc.), así como telemetría propietaria de CrowdStrike.
– Correlación y detección autónoma: uso de algoritmos de machine learning y reglas YARA-L para detección de TTP vinculados al framework MITRE ATT&CK (por ejemplo, técnicas como T1071 para exfiltración de datos o T1059 para ejecución de scripts maliciosos).
– Integración con herramientas de respuesta: orquestación automatizada vía Falcon Fusion y compatibilidad con frameworks de respuesta como SOAR.
– Indicadores de Compromiso (IoC): ingesta y correlación automática de IoCs procedentes de feeds externos, Threat Intelligence y fuentes internas.
– Compatibilidad con exploits y frameworks conocidos: detección de patrones de ataque relacionados con herramientas como Metasploit, Cobalt Strike o Empire.

Impacto y Riesgos

La adopción de pipelines de datos en tiempo real representa una mejora significativa en la capacidad de detección y reducción de tiempos de dwell time, que según Ponemon Institute se sitúa en una media de 212 días a nivel global. La integración permitirá reducir el tiempo de reacción ante incidentes críticos, minimizar falsos positivos y maximizar la visibilidad sobre amenazas que tradicionalmente escapan a la correlación en lotes.

No obstante, el despliegue de este tipo de tecnología también conlleva retos, como la necesidad de asegurar la integridad y confidencialidad de los datos procesados en tiempo real, garantizar el cumplimiento normativo (GDPR, NIS2) y evitar cuellos de botella en la ingestión y el almacenamiento.

Medidas de Mitigación y Recomendaciones

Para maximizar el aprovechamiento de estas capacidades, se recomienda a los equipos de seguridad:

– Revisar y actualizar los procedimientos de ingestión y retención de logs, alineándolos con los requisitos de GDPR y NIS2.
– Implementar controles de acceso estrictos sobre los pipelines de datos y monitorizar actividades anómalas asociadas a la manipulación de eventos.
– Integrar feeds de Threat Intelligence actualizados que permitan enriquecer la detección autónoma.
– Realizar simulacros periódicos de incidentes para validar la efectividad de la correlación y respuesta automatizada.
– Establecer acuerdos de nivel de servicio (SLA) claros para la latencia y disponibilidad de los pipelines.

Opinión de Expertos

Según Marta Torres, CISO en una multinacional del sector energético: “La velocidad y precisión en la detección de amenazas es clave. La integración de pipelines de datos en tiempo real supone un salto cualitativo para los SIEM, permitiendo a los SOC priorizar amenazas reales y automatizar la respuesta, algo imprescindible en el contexto actual de ataques sofisticados”.

Implicaciones para Empresas y Usuarios

Para las empresas, esta adquisición supone una oportunidad para evolucionar hacia un modelo de seguridad proactivo y basado en inteligencia automatizada. Los administradores de sistemas y analistas SOC podrán beneficiarse de una correlación más precisa, reducción de tiempos de investigación y mejor alineamiento con los requisitos regulatorios europeos.

En cuanto a los usuarios finales, la mejora en la detección y respuesta redundará en una reducción de la exposición a brechas y en una mayor protección de los datos personales, aspecto crítico bajo el marco GDPR.

Conclusiones

La adquisición de Onum por parte de CrowdStrike refuerza la tendencia hacia SIEMs de nueva generación, capaces de operar en tiempo real y con detección autónoma basada en inteligencia artificial. Esta integración posiciona a Falcon Next-Gen SIEM como una solución puntera para organizaciones que buscan anticiparse a amenazas avanzadas y cumplir con los estándares regulatorios más exigentes. En un mercado donde la latencia y la capacidad de correlación marcan la diferencia entre contener o sufrir una brecha, la apuesta por pipelines de datos en streaming es, sin duda, el camino a seguir.

(Fuente: www.darkreading.com)