A plataforma CrowdStrike Falcon, desenvolvida pela empresa americana CrowdStrike Holdings, é o produto de detecção e resposta em endpoints (EDR) mais adotado por grandes corporações no mundo, segundo o quadrante mágico do Gartner publicado em 2024. Lançada em 2013 como primeira solução cloud-native de proteção de endpoints, a ferramenta processa mais de 8 trilhões de eventos de telemetria por semana e é utilizada por 70 das empresas listadas na Fortune 100.

Pontos-chave

  • Plataforma EDR cloud-native líder no quadrante mágico do Gartner desde 2020
  • Detecção comportamental baseada em IA e machine learning em escala global
  • Usada por 70 das 100 maiores empresas americanas (Fortune 100)
  • Identificou o ataque à SolarWinds em 2020 e invasões atribuídas à Rússia
  • Faturamento da CrowdStrike ultrapassou US$ 3 bilhões no ano fiscal de 2024

O que é o CrowdStrike Falcon

O CrowdStrike Falcon é uma plataforma de segurança de endpoints lançada em 2013 pela CrowdStrike, empresa fundada em 2011 por George Kurtz, Dmitri Alperovitch e Gregg Marston. A proposta central era substituir antivírus tradicionais baseados em assinaturas por uma arquitetura cloud-native capaz de coletar telemetria em tempo real de milhões de máquinas e usar inteligência artificial para identificar comportamentos maliciosos.

A arquitetura do Falcon difere de concorrentes legados pela ausência de infraestrutura on-premise. O sensor instalado em cada endpoint pesa aproximadamente 20 MB e envia telemetria para a nuvem da CrowdStrike, onde motores de IA processam padrões de comportamento. Em 2024, a empresa reportou processar mais de 8 trilhões de eventos semanais, alimentando modelos de detecção que cobrem desde ransomware até ataques de nação-estado.

A CrowdStrike tornou-se conhecida do grande público em 2016, quando sua equipe de investigação atribuiu a invasão ao Comitê Nacional Democrata (DNC) dos Estados Unidos a grupos ligados ao serviço de inteligência russo GRU. Em dezembro de 2020, foi novamente a empresa que primeiro identificou a campanha de supply chain attack conhecida como SolarWinds, atribuída ao grupo APT29.

Funcionalidades principais

A plataforma Falcon oferece múltiplos módulos que podem ser contratados separadamente ou em pacote unificado:

  • Falcon Prevent: next-generation antivirus com prevenção baseada em IA, substituindo antivírus tradicionais sem depender de assinaturas
  • Falcon Insight: EDR completo com visibilidade de processos, conexões de rede, alterações em registro e execução de scripts
  • Falcon OverWatch: serviço gerenciado de threat hunting com analistas humanos monitorando telemetria 24 horas por dia
  • Falcon Identity Protection: proteção de identidades e credenciais usando telemetria de endpoints e active directory
  • Falcon Cloud Security: postura de segurança para ambientes AWS, Azure e Google Cloud, com detecção de configurações incorretas
  • Falcon Complete: serviço gerenciado de MDR (Managed Detection and Response) com equipe da CrowdStrike responsável por triagem e resposta

Casos de uso documentados

O Falcon é adotado em setores regulados como financeiro, saúde, energia e governo. No Brasil, bancos como Itaú Unibanco e Bradesco contrataram a solução para proteção de mais de 300 mil endpoints cada, segundo cases divulgados pela própria CrowdStrike. Órgãos da administração pública federal brasileira também figuram entre os clientes desde 2021.

A detecção de ameaças desconhecidas — o chamado zero-day — é o principal caso de uso. Quando a vulnerabilidade Log4Shell (CVE-2021-44228) foi divulgada em dezembro de 2021, a CrowdStrike atualizou regras comportamentais em menos de 4 horas, permitindo que clientes identificassem tentativas de exploração sem depender de patches. Durante a onda de ataques com ransomware LockBit em 2023, o Falcon Over Watch reportou ter bloqueado tentativas em mais de 200 organizações antes que arquivos fossem criptografados.

A investigação de incidentes pós-fato também é uso relevante: a telemetria histórica do Falcon permite reconstruir cronogramas de ataques ocorridos meses antes, essencial em perícias digitais e comunicações regulatórias.

Relevância no mercado de EDR

A CrowdStrike lidera o quadrante mágico do Gartner para EDR desde 2020, mantendo posição também nos relatórios de Forrester Wave e IDC MarketScape. A empresa reportou faturamento de US$ 3,05 bilhões no ano fiscal encerrado em janeiro de 2024, com crescimento de 36% sobre o ano anterior. A base de clientes ultrapassou 23 mil organizações em mais de 170 países.

A concorrência é intensa. Microsoft Defender for Endpoint ganhou mercado expressivo por estar incluído em licenças Microsoft 365 E5, enquanto SentinelOne aposta em resposta autônoma via IA. A CrowdStrike diferencia-se pela profundidade da telemetria coletada e pela qualidade dos relatórios de threat intelligence publicados pela equipe Falcon Labs.

O incidente global de 19 de julho de 2024, causado por uma atualização defeituosa do sensor Falcon em sistemas Windows, expôs a vulnerabilidade de depender de uma única plataforma. Mais de 8,5 milhões de dispositivos ficaram indisponíveis, afetando companhias aéreas, bancos e hospitais. A CrowdStrike publicou análise técnica detalhada e comprometeu-se a reformular processos de validação de atualizações.

Considerações finais sobre Falcon

O CrowdStrike Falcon consolidou-se como referência em proteção de endpoints, mas o incidente de julho de 2024 evidenciou que centralização tem riscos. Para conhecer outras soluções do segmento, consulte a categoria de ferramentas de cibersegurança deste portal e a análise sobre plataformas de resposta a incidentes. Informações técnicas oficiais estão no site da CrowdStrike.