A Broadcom transformou o Carbon Black no seu núcleo de deteção de endpoints após a conclusão da aquisição da VMware em novembro de 2023. A plataforma, hoje vendida sob a marca Carbon Black Cloud, combina deteção comportamental, threat hunting e resposta a incidentes numa arquitetura desenhada para operar na nuvem. A transação, avaliada em 61 mil milhões de dólares, colocou o Carbon Black — fundado em 2002 em Waltham, Massachusetts — no portfólio de uma das maiores empresas de semicondutores e software do mundo.

Pontos-chave

  • Plataforma EDR cloud-native com deteção comportamental baseada em aprendizagem automática.
  • Aquisições: VMware comprou a Carbon Black em 2019 por 2,1 mil milhões de dólares; Broadcom absorveu a VMware em 2023.
  • Operação em ambientes isolados (air-gapped) e online — diferencial frente a rivais como o CrowdStrike Falcon.
  • Clientes notáveis incluem Fortune 500, agências governamentais e hospitais.
  • Concorrente direto de CrowdStrike, Microsoft Defender for Endpoint e SentinelOne.

O que é o Carbon Black

O Carbon Black é uma plataforma de proteção de endpoints que agrega quatro funções num único agente: antivírus de nova geração (NGAV), Endpoint Detection and Response (EDR), gestão de auditoria e análise de memória. O produto descende da startup de mesmo nome, fundada pelos ex-engenheiros da Bit9 que construíram as primeiras soluções de application allowlisting.

A arquitetura assenta num modelo de “sensor leve” instalado nos dispositivos que transmite eventos de processo, rede e sistema de ficheiros para uma consola central na nuvem. A correlação acontece em backends geridos pela Broadcom, que aplicam modelos de aprendizagem automática treinados com milhares de milhões de eventos recolhidos dos clientes desde 2014.

Funcionalidades principais

O módulo de Endpoint Detection and Response regista cada execução de processo, modificação de registo e ligação de rede, permitindo que analistas do SOC reconstruam o caminho dum ataque minutos após a deteção. A funcionalidade Live Response abre uma shell remota para o endpoint comprometido, equivalente ao que ferramentas forenses como o EnCase Forensic fazem em ambiente offline.

O NGAV combina assinaturas tradicionais com modelos comportamentais que bloqueiam ransomware, fileless malware e técnicas de living-off-the-land. Já o Threat Hunting disponibiliza watchlists configuráveis — baseadas em indicadores de comprometimento do MITRE ATT&CK — que disparam alertas quando determinados padrões surgem na frota de endpoints.

A consola unificada integra com SIEMs como Splunk e IBM QRadar, com SOARs como o Phantom e com feeds de threat intelligence da própria Broadcom, herdada da aquisição da Symantec em 2019.

Casos de uso reais

Equipas de Security Operations Center usam o Carbon Black em três cenários típicos. O primeiro é a resposta a ransomware: quando um sensor deteta volume anómalo de escrita de ficheiros, a plataforma isola o endpoint da rede em segundos, evitando propagação lateral. O segundo é a investigação forense, em que analistas retrocedem dias ou semanas na linha temporal do dispositivo para identificar a porta de entrada inicial — útil em ataques que usam ferramentas legítimas como o Cobalt Strike.

O terceiro cenário é a gestão de higiene de endpoints: administradores listam software não autorizado, bloqueiam execuções fora do horário laboral e monitorizam acessos a unidades USB. O suporte a ambientes air-gapped é o diferencial competitivo — bancos, infraestruturas críticas e forças armadas mantêm operações de deteção mesmo sem ligação à internet.

O mercado de EDR

O Gartner posiciona a Broadcom Symantec (que integra Carbon Black) no quadrante “Leaders” do Magic Quadrant de Endpoint Protection Platforms de 2024, ao lado de CrowdStrike, Microsoft e Trellix. A consultora IDC estima que o mercado global de EDR ultrapassou os 4,8 mil milhões de dólares em 2023, com crescimento anual composto acima dos 15%.

A aposta da Broadcom em simplificar o licenciamento — bundling Carbon Black, Symantec Enterprise e Web Application Firewalls numa única plataforma — visa consolidar clientes empresariais num momento em que a consolidação de fornecedores de segurança se tornou prioridade dos CISOs. Apenas a CrowdStrike mantém uma proposta equivalente de plataforma unificada.

Considerações para adoção

A transição do modelo de subscrição herdado da VMware para o ecossistema Broadcom gerou atrito entre clientes existentes. Relatos públicos em fóruns como Reddit e nos relatórios da Gartner Peer Insights apontam aumentos de preço e mudanças nos níveis de suporte técnico após a migração do portal my.vmware.com para o portal.broadcom.com.

Para quem avalia a adoção, três fatores pesam na decisão: a necessidade de operar em ambientes isolados (únicos clientes servidos por esta arquitetura), o volume de endpoints na casa das dezenas de milhares e a existência de uma equipa de SOC com competências em threat hunting. Organizações mais pequenas tendem a preferir o CrowdStrike Falcon pela experiência de administração mais polida.

A documentação oficial em broadcom.com/products/carbon-black descreve os requisitos técnicos do agente e o calendário de libertação das atualizações trimestrais. A Broadcom garante suporte para Windows 10/11, macOS, e as principais distribuições Linux corporativas — Ubuntu, RHEL e SUSE — com agentes distintos para servidores e workstations.