Cybereason lanzó owLSM en 2026, un agente de detección y prevención de amenazas (EDR) de código abierto basado en eBPF LSM que corre directamente en el kernel de Linux con reglas Sigma nativas. Funciona como un motor de seguridad stateful que correlaciona eventos en el núcleo del sistema operativo, permitiendo bloquear amenazas (ransomware, privilege escalation, shell injection) antes de que ejecuten, algo que soluciones como Falco no pueden hacer.
En 30 segundos
- owLSM es un agente EDR Linux open source (GPL-2.0) de LevelBlue (que adquirió Cybereason) que usa eBPF LSM para prevención en kernel, no solo detección
- Resuelve limitaciones críticas de Falco, Tetragon y KubeArmor: es stateful, correlaciona datos entre múltiples hooks, y ejecuta reglas Sigma nativas en el kernel
- Requiere kernel Linux 5.7+ con eBPF LSM habilitado (sin necesidad de kernel modules o compilación custom)
- Ya está en producción en clientes de LevelBlue/Cybereason desde 2025 y está disponible en GitHub bajo GPL-2.0
- Arranca en 10-50 segundos y tiene overhead mínimo gracias a la ejecución in-kernel (no requiere agente en userspace)
¿Qué es owLSM? El agente EDR de LevelBlue para Linux
owLSM es un motor de detección y prevención de amenazas que ejecuta reglas Sigma directamente en el kernel de Linux usando eBPF LSM (Linux Security Module). Es software de código abierto bajo licencia GPL-2.0, desarrollado por Cybereason (ahora parte de LevelBlue tras la adquisición completada en 2025) y disponible en su repositorio GitHub público.
A diferencia de herramientas como Falco que monitorizan eventos desde el espacio de usuario, owLSM corre adentro del kernel. Esto significa que puede bloquear acciones maliciosas antes de que suceda, no después. Una regla en owLSM puede decir: “si este proceso intenta escribir en archivos críticos del sistema y vino de una shell remota, detenelo”. Eso es prevención, no solo alertas.
El dato concreto que cambia todo: owLSM tiene estado. Eso quiere decir que correlaciona información entre múltiples puntos de intercepción del kernel. Un evento aislado no dice nada; veinte eventos conectados pintan un cuadro completo.
Por qué Cybereason abrió owLSM: limitaciones resueltas
El equipo de Cybereason se topó con un problema incómodo: las herramientas que existían para EDR en Linux no hacían lo que necesitaban. Falco es excelente para observabilidad pero es stateless (sin estado), lo que significa que cada evento se analiza aislado, sin contexto. Tetragon de Cilium es más potente pero está optimizado para Kubernetes (no para servidores bare metal). KubeArmor es similar pero enfocado en containers.
Ojo, acá viene lo bueno: los clientes de Cybereason recibían amenazas reales en Linux, pero las herramientas open source existentes no ofrecían prevención real, solo detección y alertas. “Tenemos una alerta de que alguien intenta escalar permisos” no es suficiente si eso que intentó ya ejecutó (spoiler: muchas veces ejecuta antes de que el analista vea la alerta).
Entonces tomaron una decisión: en lugar de arreglarse con las limitaciones de otros, construyeron owLSM desde cero con el enfoque correcto. Un motor stateful que corre en kernel, que sabe qué proceso lanzó qué, que puede correlacionar datos entre múltiples hooks eBPF, y que entiende reglas Sigma nativas sin conversión. Sobre eso hablamos en cumplimiento de estándares de seguridad.
Cómo funciona: eBPF LSM + Sigma rules en kernel
La arquitectura tiene tres capas que funcionan juntas. Primero, eBPF (extended Berkeley Packet Filter) es un sandbox seguro que corre código en el kernel sin necesidad de cargar módulos de kernel (que requieren recompilación y reinicio). Segundo, LSM (Linux Security Module) son ganchos de seguridad nativos del kernel que se ejecutan en momentos críticos (antes de que un proceso abra un archivo, antes de que se ejecute un programa, antes de que se escriba en memoria). Tercero, el motor Sigma de owLSM interpreta reglas de detección y prevención en esos puntos de intercepción.
Ponele que alguien intenta una inyección de comandos contra tu aplicación web. Sin owLSM, ese comando quizá ejecuta una shell maliciosa. Con owLSM, una regla puede bloquear esa ejecución en el LSM hook exec si detecta que la shell viene de un proceso que no debería generarla (basándose en correlación con eventos anteriores). La regla sabe: “este proceso apache vino desde el usuario www-data, la shell que intenta ejecutar vino de un descriptor de archivo abierto por apache hace poco, pero el intento de exec tiene características sospechosas (argumentos ofuscados, timestamps anómalos)”. Bloquea.
El tiempo de arranque de owLSM es 10-50 segundos según el peso de las reglas cargadas. No requiere reinicio del kernel ni compilación. Solo necesitás que el kernel ya tenga eBPF LSM soportado y habilitado (Linux 5.7+, lo cual es casi cualquier distro moderna con kernel actualizado).
Acá viene lo interesante: owLSM entiende Sigma nativamente. Sigma es un lenguaje de reglas abierto (estándar de la industria) usado por comunidades de seguridad para describir patrones de detección. En lugar de inventar un lenguaje nuevo, owLSM reutilizó uno que ya existe, que tiene miles de reglas públicas, y que los defensores ya conocen.
Diferencias clave con otras soluciones Linux
Si estás evaluando agentes EDR para Linux, la comparación clave es owLSM contra Falco, Tetragon (Cilium) y KubeArmor. La tabla siguiente muestra dónde divergen:
| Característica | owLSM | Falco | Tetragon | KubeArmor |
|---|---|---|---|---|
| Stateful (correlación de eventos) | Sí | No | No (eventos aislados) | No |
| Prevención real (bloqueo en kernel) | Sí | No (solo alertas) | Sí (parcial) | Sí (container-focused) |
| Sigma rules nativas | Sí | No (tiene su propio formato) | No | No |
| Requisito LSM + eBPF | Sí (Linux 5.7+) | No (usa sysdig) | Sí (Linux 5.8+) | Sí (Kubernetes-first) |
| Arquitectura | Kernel pure | Userspace observer | Kernel observer con userspace | Container enforcement |
| Overhead | Mínimo (~1-3%) | Bajo a medio (depende volumen eventos) | Bajo (observability) | Bajo (container-scoped) |
| Enfoque | Servidores bare metal + cloud VMs | Observabilidad general | Observabilidad en Kubernetes | Security policies en Kubernetes |
El diferenciador más importante: owLSM es prevención stateful nativa. Falco es excelente pero es solo alertas. Tetragon es observabilidad avanzada pero no está diseñado para bloquear a escala. KubeArmor es seguridad pero aplica a containers, no a servidores Linux tradicionales. Tema relacionado: análisis automático de comportamientos.
Casos de uso y aplicaciones prácticas
¿Dónde usarías owLSM en el mundo real? El uso obvio es detección y prevención de ransomware. Una regla puede correlacionar: proceso abierto, comienza a escribir miles de archivos en directorios clave, esos archivos se renombran con extensión sospechosa, todo esto ocurre desde una shell remota que no debería estar ejecutando ese usuario. La regla bloquea la escritura en el LSM hook.
Segundo caso de uso: prevención de shell injection. Si tu aplicación recibe un input malicioso y lo intenta pasar a exec(), owLSM puede ver eso en el LSM hook exec. Una regla sabe que ciertos procesos nunca deberían ejecutar shells desde argumentos que vienen de sockets de red. Bloquea antes de que la shell inicie.
Tercero: defensa contra fork bombs y privilege escalation. Un script malicioso intenta lanzar miles de procesos hijo para saturar el sistema. Una regla en owLSM puede limitar el número de procesos hijos por padre, por usuario, por segundo. Un intento de escalación de permisos que abusan de una vulnerabilidad de suid binario se bloquea en el LSM hook antes de completarse.
El dato concreto: estas reglas ya están en producción. LevelBlue/Cybereason tiene clientes reales ejecutando owLSM desde 2025 en servidores de producción. El código no es experimental; es una herramienta que la empresa usa internamente y decidió abrir porque, según el anuncio oficial de Cybereason, creen que la seguridad en Linux es un problema comunitario que beneficia de soluciones de código abierto.
Requisitos técnicos y compatibilidad
Acá hay un dato importante que choca con lo que muchos creen: no necesitás recompilar tu kernel ni cargar módulos personalizados. El requisito base es kernel Linux 5.7+ con eBPF LSM habilitado. La mayoría de distros modernas (Ubuntu 22.04+, Debian 12+, RHEL 9+, AlmaLinux 9+) vienen con esto configurado por defecto.
¿Cómo verificas? El repositorio de owLSM incluye un script `check_compatibility.sh` que verifica en cinco segundos si tu kernel está listo. Ejecutás el script, te dice sí o no, fin. Si es no, documentación te muestra exactamente qué kernel flag habilitar (en la mayoría de los casos solo requiere un rebuild mínimo o un kernel update).
El overhead de performance es mínimo. Como el código corre en kernel y es eBPF (no es intérprete, es JIT-compilado), típicamente ves 1-3% de overhead de CPU. Eso es negligible comparado con un agente en userspace que anda hojeando logs (que puede ser 10-20% o más). Más contexto en procesamiento inteligente de eventos.
Cómo empezar con owLSM
Los pasos son lineales. Primero cloná el repositorio desde GitHub. Segundo, ejecutás el script de compatibilidad para confirmar que tu kernel soporta eBPF LSM. Tercero, compilás los programas eBPF que están en el repo (hay un Makefile). Cuarto, cargas el módulo eBPF en el kernel (comando `bpf` con permisos). Quinto, cargás tus reglas Sigma (el repo tiene ejemplos en la carpeta RuleExamples).
Una vez cargado, owLSM comienza a monitorear y bloquear según tus reglas. Los eventos se loguean en syslog o en el journal del sistema (depende de tu distro). Hay herramientas de visualización que podés armar, o simplemente consultás `journalctl` si usás systemd.
La comunidad open source en GitHub está activa. Si tenés una pregunta, abrís una issue en el repo y alguien responde. No es soporte empresarial pero no es un proyecto muerto tampoco; LevelBlue mantiene el código.
Errores comunes
Error 1: Asumir que eBPF LSM está habilitado por defecto en todos los kernels. No siempre. Algunos kernels viejos o compilados sin LSM support no lo tienen. Solución: verificá primero con el script de compatibilidad.
Error 2: Cargar reglas Sigma escritas para Windows o para Sysmon en owLSM esperando que funcionen idénticas. Las reglas Sigma son portables pero los campos capturados en Linux son distintos (no hay Sysmon aquí, hay eventos del kernel). Las reglas tienen que adaptarse al contexto de Linux. Solución: usá los ejemplos del repo como base y adaptá.
Error 3: Pensar que owLSM reemplaza auditoría del sistema o logging tradicional. No. Es una capa de prevención. Seguís necesitando logs centralizados, forensics, y auditoría. owLSM bloquea; auditoría registra. Son complementarias. Para más detalles técnicos, mirá detección de patrones anómalos.
Preguntas Frecuentes
¿Qué es eBPF LSM y por qué es importante para Linux EDR?
eBPF LSM es un subsistema del kernel de Linux que permite ejecutar código custom en momentos críticos de seguridad (file access, process execution, memory writes) sin recompilar el kernel. Es importante para EDR porque brinda acceso a eventos de seguridad a nivel kernel con latencia mínima y overhead controlado. Es el mismo mecanismo que usan cloud providers como Cloudflare para patching en vivo de vulnerabilidades.
¿Puedo usar owLSM en servidores de producción ahora?
Sí. LevelBlue/Cybereason tiene clientes en producción desde 2025. El código está maduro. La advertencia: es software de código abierto comunitario, no tiene SLA empresarial. Si algo se rompe, vos (o tu equipo) lo arreglás o esperás a que la comunidad haga un patch.
¿Cuál es la diferencia entre owLSM y Falco?
Falco es observabilidad y alertas. owLSM es prevención y bloqueo. Falco detecta que algo sospechoso sucedió; owLSM lo detiene antes. Falco es stateless; owLSM es stateful y correlaciona eventos. Podés usar ambos juntos: Falco alertando sobre anomalías, owLSM bloqueando amenazas conocidas.
¿Necesito recompilar el kernel para usar owLSM?
No en la mayoría de casos. Solo si tu kernel es muy viejo (pre-5.7) o fue compilado sin eBPF LSM support. Kernels modernos (Ubuntu 22.04+, RHEL 9+, Debian 12+) traen soporte nativo. Verificá con el script `check_compatibility.sh` del repo.
¿Cómo integro owLSM con mi stack de seguridad existente (SOC, SIEM)?
owLSM loguea eventos en syslog o systemd journal. Desde ahí los agregás a tu SIEM (Splunk, ELK, Sumo Logic, etc.) como harías con cualquier fuente de logs del sistema. No hay API REST nativa pero los eventos son plaintext, facilitan el parsing. También podés armar scripts que lean el journal y envíen eventos a tu platform de seguridad.
Conclusión
owLSM es un cambio de perspectiva para seguridad en Linux. La mayoría de herramientas EDR en Linux son observability-first (detectan y alertan). owLSM es prevención-first (detecta y bloquea). Usa eBPF LSM para correr reglas Sigma directamente en el kernel, sin overhead significativo, y sin requerir recompilación del sistema.
Si administrás servidores Linux (bare metal, cloud, hybrid) y necesitás prevención contra ransomware, injection attacks, privilege escalation y fork bombs, owLSM merece estar en tu radar en 2026. Es código abierto, está en producción, y LevelBlue mantiene el proyecto. La curva de aprendizaje es media (necesitás entender eBPF y reglas Sigma) pero la documentación del repo es sólida y la comunidad responde dudas.
Si tu stack actual es Falco + alertas manuales, reemplazá la parte manual con owLSM. Si tu stack es puro logs y auditoría, agregá owLSM como capa preventiva. La seguridad en capas funciona.
¿Qué es un agente EDR?
Un agente EDR (Endpoint Detection and Response) detecta y responde a amenazas en servidores. owLSM va más allá: previene amenazas bloqueándolas directamente en el kernel antes de que ejecuten, no solo después como Falco.
¿Cómo instalo owLSM en mi servidor?
Verificá que tu kernel sea Linux 5.7+ con eBPF LSM habilitado (la mayoría de distros modernas ya lo tienen). Luego cloná el repo de GitHub, ejecutá check_compatibility.sh, compilá con make, y cargá el módulo eBPF. No necesitás recompilar el kernel.
¿owLSM es mejor que Falco?
Son herramientas diferentes. Falco es excelente para observabilidad pero solo alerta. owLSM es stateful, corre en kernel, y previene (bloquea amenazas). Usá owLSM si necesitás prevención en servidores; usá Falco si necesitás visibilidad general.
Fuentes
- owLSM GitHub – repositorio oficial con código, documentación y ejemplos de reglas
- Cybereason Blog – anuncio oficial de owLSM y arquitectura eBPF LSM
- Documentación oficial del kernel Linux – eBPF LSM hooks y programación
- Cloudflare Blog – casos de uso de eBPF LSM en producción y best practices
- Hacker News – discusión de la comunidad sobre owLSM y comparativas con Falco/Tetragon