La mejor manera para demostrar la eficacia de una solución de seguridad es probarla en condiciones que sean lo más reales posibles, usando tácticas y técnicas de un típico ataque dirigido. Kaspersky participas de manera regular en dichas pruebas y suele posicionarse muy por lo alto en los ratings.
Los resultados de una prueba reciente, Enterprise Advanced Security (EDR): Enterprise 2022 Q2 – DETECTION, fueron revelados en julio, en un informe de SE Labs. La compañía británica ha estado poniendo a prueba las soluciones de seguridad de los principales proveedores durante varios años. En su prueba más reciente, nuestro producto empresarial Kaspersky Endpoint Detection and Response Expert logró una puntuación de 100% absoluto en la detección de ataque dirigidos y recibió la mejor calificación posible: AAA.
Este no es el primer análisis de SE Labs realizado a nuestros productos para proteger una infraestructura corporativa contra amenazas sofisticadas. Dicha empresa realizó previamente su prueba de respuesta a brechas (en la que participamos en 2019). En 2021, nuestro producto fue probado en su Prueba se Seguridad Avanzada (EDR por sus siglas en inglés). Desde entonces, la metodología a seguir se ha modificado y la prueba en sí ha sido dividida en dos partes: Detección y Protección. Esta vez, SE Labs estudió la efectividad de las soluciones de seguridad para detectar actividad maliciosa. Además de Kaspersky EDR Expert, en la prueba participaron otros 4 productos: Broadcom Symantec, CrowdStrike, BlackBerry, y otra solución anónima.
Sistema de puntuación
La prueba constó de diversas comprobaciones, pero para tener una idea de los resultados bastará con echarle un ojo a las puntuaciones totales de precisión. Básicamente, esta muestran qué tan bien cada solución detectó ataques en distintas etapas y si molestó al usuario con falsos positivos. Para una mayor claridad visual, se asignó un premio a las soluciones participantes: Desde AAA (para productos con una calificación total alta de precisión) a D (para aquellas soluciones menos efectivas). Como se mencionó, nuestra solución obtuvo un total de 100% y una calificación de AAA.
Las calificaciones totales de precisión consisten en dos categorías de puntajes:
- Precisión de detección: esto toma en cuenta el éxito de la detección en cada etapa significativa de un ataque.
- Valoración de software legítimo: cuantos menos falsos positivos genere el producto, mayor será la puntuación obtenida.
Existe otro indicador clave: ataques detectados. Esto es un porcentaje de ataques detectados por la solución en al menos una de las etapas, lo que le da al equipo de seguridad de la información la oportunidad de responder al incidente.
Cómo fuimos evaluados
Idealmente, las pruebas tendrían que revelar cómo se comportaría una solución durante un ataque real. Con esto en mente, SE Labs trató de hacer que el entorno de prueba fuera lo más realista posible. Primero, no fueron desarrolladores quienes configuraron las soluciones de seguridad para la prueba, sino los propios evaluadores de SE Labs, quienes recibieron instrucciones del proveedor, como suelen hacer los equipos de seguridad de la información de los clientes. Segundo, las pruebas se realizaron en toda la cadena de ataque, desde el primer contacto, hasta el robo de datos o algún otro resultado similar. Tercero, las pruebas estuvieron basadas en métodos de ataque de cuatro grupos APT reales y activo:
- Wizard Spider, que apunta a corporaciones, bancos e incluso hospitales. Entre sus herramientas se encuentra el troyano bancario Trickbot.
- Sandworm, el cual se dirige principalmente a agencias de gobierno y Famoso por su malware NotPetya que se hizo pasar por ransomware, pero de hecho destruyó los datos de las víctimas sin posibilidad de recuperación.
- Lazarus, que se volvió ampliamente conocido después de su ataque a gran escala contra Sony Pictures en noviembre de 2014. Al haberse centrado anteriormente en el sector bancario, el grupo ha puesto los ojos recientemente en los intercambios de criptomonedas.
- Operación Wocao, que apunta a agencias gubernamentales, proveedores de servicios, empresas de energía y tecnología y al sector de la salud.
Pruebas de detección de amenazas
En la prueba de precisión de detección, SE Labs estudió la eficacia con la que las soluciones de seguridad detectan amenazas. Esto implicó llevar a cabo 17 ataques complejos basados en cuatro ataques del mundo real por parte de Wizard Spider, Sandworm, el grupo Lazarus y Operación Wocao, en los que se destacaron cuatro etapas significativas, cada una de las cuales constaba de uno o más pasos conectados entre sí:
- Entrega/Ejecución
- Acción
- Escalada de privilegios/Acción
- Movimiento lateral/Acción
La lógica de la prueba no requiere que la solución detecte todos los eventos en una etapa particular del ataque; basta con identificar al menos uno de ellos. Por ejemplo, si el producto no se percató de cómo llegó la carga al dispositivo, pero pudo detectar un intento de ejecutarlo, pesó la primera etapa de manera exitosa.
Entrega/Ejecución. Esta etapa probó la capacidad de una solución para detectar un ataque en su infancia: o sea, en el momento de la entrega, por ejemplo, de un correo electrónico de phishing o un enlace malicioso, y la ejecución del código dañino. En condiciones reales, el ataque suele detenerse allí, ya que la solución de seguridad simplemente no permite que el malware vaya más allá. Pero para los propósitos de la prueba, la cadena de ataque continuó para ver cómo es que la solución se enfrentaría a las etapas siguientes.
Acción. Aquí, los investigadores estudiaron el comportamiento de la solución cuando los atacantes ya tienen acceso al endpoint. Era necesario para detectar una acción ilegítima por parte del software.
Escalada de privilegios/Acción. En un ataque exitoso, el intruso intenta obtener más privilegios en el sistema y causar aún más daño. Si la solución de seguridad monitorea estos eventos o el propio proceso de escalada de privilegios, se otorgan puntos adicionales.
Movimiento lateral /Acción. Después de penetrar el endpoint, el atacante puede infectar otros dispositivos en la red corporativa. Esto es conocido como movimiento lateral. Quienes hicieron la prueba comprobaron si las soluciones de seguridad detectaban intentos de dicho movimiento o cualquier acción posible a consecuencia de este.
Kaspersky EDR Expert obtuvo una puntuación del 100% en este segmento; es decir, ni una sola etapa de cualquier ataque pasó desapercibida.
Calificaciones de Software legítimas
Una buena protección no solo debe repeler las amenazas de manera confiable, tampoco debe impedir que el usuario utilice servicios seguros. Para esto, los investigadores introdujeron un score separado: cuanto más alto era, menos a menudo la solución marcaba por error los sitios web o programas legítimos (en especial los populares) como peligrosos.
De nuevo, Kaspersky EDR Expert obtuvo el 100%
Resultados de la prueba
De acuerdo con todos los resultados de las pruebas Kaspersky Endpoint Detection and Response Expert recibió la calificación más alta posible: AAA. Otros tres productos obtuvieron la misma evaluación: Broadcom Symantec Endpoint Security y Cloud Workload Protection, CrowdStrike Falcon y la solución anónima. Sin embargo, solo nosotros y Broadcom Symantec logramos una puntuación del 100% en las calificaciones totales en cuanto a precisión.