{"id":25192,"date":"2022-08-31T08:51:39","date_gmt":"2022-08-31T14:51:39","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25192"},"modified":"2022-08-31T08:51:39","modified_gmt":"2022-08-31T14:51:39","slug":"kedr-selabs-test-2022","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/kedr-selabs-test-2022\/25192\/","title":{"rendered":"Pruebas independientes de soluciones EDR"},"content":{"rendered":"<p>La mejor manera para demostrar la eficacia de una soluci\u00f3n de seguridad es probarla en condiciones que sean lo m\u00e1s reales posibles, usando t\u00e1cticas y t\u00e9cnicas de un t\u00edpico ataque dirigido. Kaspersky participas de manera regular en dichas pruebas y suele posicionarse <a href=\"https:\/\/latam.kaspersky.com\/top3\" target=\"_blank\" rel=\"noopener\">muy por lo alto en los ratings.<\/a><\/p>\n<p>Los resultados de una prueba reciente, <a href=\"https:\/\/selabs.uk\/reports\/enterprise-advanced-security-edr-2022-q2-detection\/\" target=\"_blank\" rel=\"noopener nofollow\">Enterprise Advanced Security (EDR)<\/a><u>: Enterprise 2022 Q2 \u2013 DETECTION<\/u>, fueron revelados en julio, en un informe de <a href=\"https:\/\/selabs.uk\/\" target=\"_blank\" rel=\"noopener nofollow\">SE Labs<\/a>. La compa\u00f1\u00eda brit\u00e1nica ha estado poniendo a prueba las soluciones de seguridad de los principales proveedores durante varios a\u00f1os. En su prueba m\u00e1s reciente, nuestro producto empresarial<em> Kaspersky Endpoint Detection and Response Expert<\/em> logr\u00f3 una puntuaci\u00f3n de 100% absoluto en la detecci\u00f3n de ataque dirigidos y recibi\u00f3 la mejor calificaci\u00f3n posible: AAA.<\/p>\n<p>Este no es el primer an\u00e1lisis de SE Labs realizado a nuestros productos para proteger una infraestructura corporativa contra amenazas sofisticadas. Dicha empresa realiz\u00f3 previamente su prueba de respuesta a brechas (en la que participamos en <a href=\"https:\/\/selabs.uk\/reports\/breach-response-test-kaspersky-anti-targeted-attack-platform\/\" target=\"_blank\" rel=\"noopener nofollow\">2019<\/a>). En <a href=\"https:\/\/selabs.uk\/reports\/enterprise-advanced-security-edr-kaspersky-2021-q4\/\" target=\"_blank\" rel=\"noopener nofollow\">2021<\/a>, nuestro producto fue probado en su Prueba se Seguridad Avanzada (EDR por sus siglas en ingl\u00e9s). Desde entonces, la metodolog\u00eda a seguir se ha modificado y la prueba en s\u00ed ha sido dividida en dos partes: Detecci\u00f3n y Protecci\u00f3n. Esta vez, SE Labs estudi\u00f3 la efectividad de las soluciones de seguridad para <em>detectar<\/em> actividad maliciosa. Adem\u00e1s de Kaspersky EDR Expert, en la prueba participaron otros 4 productos: Broadcom Symantec, CrowdStrike, BlackBerry, y otra soluci\u00f3n an\u00f3nima.<\/p>\n<h2>Sistema de puntuaci\u00f3n<\/h2>\n<p>La prueba const\u00f3 de diversas comprobaciones, pero para tener una idea de los resultados bastar\u00e1 con echarle un ojo a las <strong>puntuaciones totales de precisi\u00f3n<\/strong>. B\u00e1sicamente, esta muestran qu\u00e9 tan bien cada soluci\u00f3n detect\u00f3 ataques en distintas etapas y si molest\u00f3 al usuario con falsos positivos. Para una mayor claridad visual, se asign\u00f3 un premio a las soluciones participantes: Desde AAA (para productos con una calificaci\u00f3n total alta de precisi\u00f3n) a D (para aquellas soluciones menos efectivas). Como se mencion\u00f3, nuestra soluci\u00f3n obtuvo un total de 100% y una calificaci\u00f3n de AAA.<\/p>\n<p>Las calificaciones totales de precisi\u00f3n consisten en dos categor\u00edas de puntajes:<\/p>\n<ul>\n<li>Precisi\u00f3n de detecci\u00f3n: esto toma en cuenta el \u00e9xito de la detecci\u00f3n en cada etapa significativa de un ataque.<\/li>\n<li>Valoraci\u00f3n de software leg\u00edtimo: cuantos menos falsos positivos genere el producto, mayor ser\u00e1 la puntuaci\u00f3n obtenida.<\/li>\n<\/ul>\n<p>Existe otro indicador clave: ataques detectados. Esto es un porcentaje de ataques detectados por la soluci\u00f3n en al menos una de las etapas, lo que le da al equipo de seguridad de la informaci\u00f3n la oportunidad de responder al incidente.<\/p>\n<h2>C\u00f3mo fuimos evaluados<\/h2>\n<p>Idealmente, las pruebas tendr\u00edan que revelar c\u00f3mo se comportar\u00eda una soluci\u00f3n durante un ataque real. Con esto en mente, SE Labs trat\u00f3 de hacer que el entorno de prueba fuera lo m\u00e1s realista posible. Primero, no fueron desarrolladores quienes configuraron las soluciones de seguridad para la prueba, sino los propios evaluadores de SE Labs, quienes recibieron instrucciones del proveedor, como suelen hacer los equipos de seguridad de la informaci\u00f3n de los clientes. Segundo, las pruebas se realizaron en toda la cadena de ataque, desde el primer contacto, hasta el robo de datos o alg\u00fan otro resultado similar. Tercero, las pruebas estuvieron basadas en m\u00e9todos de ataque de cuatro grupos APT reales y activo:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.theregister.com\/2022\/05\/18\/wizard-spider-ransomware-conti\/\" target=\"_blank\" rel=\"noopener nofollow\">Wizard Spider<\/a>, que apunta a corporaciones, bancos e incluso hospitales. Entre sus herramientas se encuentra el troyano bancario <a href=\"https:\/\/latam.kaspersky.com\/blog\/trickbot-new-tricks\/23134\/\" target=\"_blank\" rel=\"noopener\">Trickbot<\/a>.<\/li>\n<li><a href=\"https:\/\/www.welivesecurity.com\/2022\/03\/21\/sandworm-tale-disruption-told-anew\/\" target=\"_blank\" rel=\"noopener nofollow\">Sandworm<\/a>, el cual se dirige principalmente a agencias de gobierno y Famoso por su malware <a href=\"https:\/\/securelist.com\/expetrpetyanotpetya-is-a-wiper-not-ransomware\/78902\/\" target=\"_blank\" rel=\"noopener\">NotPetya<\/a> que se hizo pasar por ransomware, pero de hecho destruy\u00f3 los datos de las v\u00edctimas sin posibilidad de recuperaci\u00f3n.<\/li>\n<li><a href=\"https:\/\/latam.kaspersky.com\/blog\/lazarus-defi-wallet-backdoor\/24698\/\" target=\"_blank\" rel=\"noopener\">Lazarus<\/a>, que se volvi\u00f3 ampliamente conocido despu\u00e9s de su ataque a gran escala contra Sony Pictures en noviembre de 2014. Al haberse centrado anteriormente en el sector bancario, el grupo ha puesto los ojos recientemente en los intercambios de criptomonedas.<\/li>\n<li><a href=\"https:\/\/www.fox-it.com\/media\/kadlze5c\/201912_report_operation_wocao.pdf\" target=\"_blank\" rel=\"noopener nofollow\">Operaci\u00f3n Wocao<\/a>, que apunta a agencias gubernamentales, proveedores de servicios, empresas de energ\u00eda y tecnolog\u00eda y al sector de la salud.<\/li>\n<\/ul>\n<h3>Pruebas de detecci\u00f3n de amenazas<\/h3>\n<p>En la prueba de precisi\u00f3n de detecci\u00f3n, SE Labs estudi\u00f3 la eficacia con la que las soluciones de seguridad detectan amenazas. Esto implic\u00f3 llevar a cabo 17 ataques complejos basados en cuatro ataques del mundo real por parte de Wizard Spider, Sandworm, el grupo Lazarus y Operaci\u00f3n Wocao, en los que se destacaron cuatro etapas significativas, cada una de las cuales constaba de uno o m\u00e1s pasos conectados entre s\u00ed:<\/p>\n<ul>\n<li>Entrega\/Ejecuci\u00f3n<\/li>\n<li>Acci\u00f3n<\/li>\n<li>Escalada de privilegios\/Acci\u00f3n<\/li>\n<li><a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/lateral-movement\/\" target=\"_blank\" rel=\"noopener\">Movimiento lateral<\/a>\/Acci\u00f3n<\/li>\n<\/ul>\n<p>La l\u00f3gica de la prueba no requiere que la soluci\u00f3n detecte todos los eventos en una etapa particular del ataque; basta con identificar al menos uno de ellos. Por ejemplo, si el producto no se percat\u00f3 de c\u00f3mo lleg\u00f3 la carga al dispositivo, pero pudo detectar un intento de ejecutarlo, pes\u00f3 la primera etapa de manera exitosa.<\/p>\n<p><strong>Entrega\/Ejecuci\u00f3n.<\/strong>\u00a0Esta etapa prob\u00f3 la capacidad de una soluci\u00f3n para detectar un ataque en su infancia: o sea, en el momento de la entrega, por ejemplo, de un correo electr\u00f3nico de phishing o un enlace malicioso, y la ejecuci\u00f3n del c\u00f3digo da\u00f1ino. En condiciones reales, el ataque suele detenerse all\u00ed, ya que la soluci\u00f3n de seguridad simplemente no permite que el malware vaya m\u00e1s all\u00e1. Pero para los prop\u00f3sitos de la prueba, la cadena de ataque continu\u00f3 para ver c\u00f3mo es que la soluci\u00f3n se enfrentar\u00eda a las etapas siguientes.<\/p>\n<p><strong>Acci\u00f3n.<\/strong>\u00a0Aqu\u00ed, los investigadores estudiaron el comportamiento de la soluci\u00f3n cuando los atacantes ya tienen acceso al <em>endpoint<\/em>. Era necesario para detectar una acci\u00f3n ileg\u00edtima por parte del software.<\/p>\n<p><strong>Escalada de privilegios\/Acci\u00f3n.<\/strong>\u00a0En un ataque exitoso, el intruso intenta obtener m\u00e1s privilegios en el sistema y causar a\u00fan m\u00e1s da\u00f1o. Si la soluci\u00f3n de seguridad monitorea estos eventos o el propio proceso de escalada de privilegios, se otorgan puntos adicionales.<\/p>\n<p><strong>Movimiento lateral \/Acci\u00f3n.<\/strong>\u00a0Despu\u00e9s de penetrar el <em>endpoint<\/em>, el atacante puede infectar otros dispositivos en la red corporativa. Esto es conocido como movimiento lateral. Quienes hicieron la prueba comprobaron si las soluciones de seguridad detectaban intentos de dicho movimiento o cualquier acci\u00f3n posible a consecuencia de este.<\/p>\n<p>Kaspersky EDR Expert obtuvo una puntuaci\u00f3n del 100% en este segmento; es decir, ni una sola etapa de cualquier ataque pas\u00f3 desapercibida.<\/p>\n<h3>Calificaciones de Software leg\u00edtimas<\/h3>\n<p>Una buena protecci\u00f3n no solo debe repeler las amenazas de manera confiable, tampoco debe impedir que el usuario utilice servicios seguros. Para esto, los investigadores introdujeron un <em>score<\/em> separado: cuanto m\u00e1s alto era, menos a menudo la soluci\u00f3n marcaba por error los sitios web o programas leg\u00edtimos (en especial los populares) como peligrosos.<\/p>\n<p>De nuevo, Kaspersky EDR Expert obtuvo el 100%<\/p>\n<h2>Resultados de la prueba<\/h2>\n<p>De acuerdo con todos los resultados de las pruebas <a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/endpoint-detection-response-edr?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Detection and Response Expert<\/a> recibi\u00f3 la calificaci\u00f3n m\u00e1s alta posible: AAA. Otros tres productos obtuvieron la misma evaluaci\u00f3n: Broadcom Symantec Endpoint Security y Cloud Workload Protection, CrowdStrike Falcon y la soluci\u00f3n an\u00f3nima. Sin embargo, solo nosotros y Broadcom Symantec logramos una puntuaci\u00f3n del 100% en las calificaciones totales en cuanto a precisi\u00f3n.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>SE Labs otorg\u00f3 a Kaspersky EDR su calificaci\u00f3n m\u00e1s alta en pruebas independientes basadas en ataques del mundo real.<\/p>\n","protected":false},"author":2706,"featured_media":25194,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[9],"tags":[3124,710,1113,3279],"class_list":{"0":"post-25192","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-products","8":"tag-edr","9":"tag-pruebas","10":"tag-pruebas-independientes","11":"tag-se-labs"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/kedr-selabs-test-2022\/25192\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/kedr-selabs-test-2022\/24463\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/kedr-selabs-test-2022\/19929\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/kedr-selabs-test-2022\/26907\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/kedr-selabs-test-2022\/24821\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kedr-selabs-test-2022\/27520\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/kedr-selabs-test-2022\/27172\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kedr-selabs-test-2022\/33872\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/kedr-selabs-test-2022\/10941\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kedr-selabs-test-2022\/45160\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/kedr-selabs-test-2022\/19304\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/kedr-selabs-test-2022\/19911\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/kedr-selabs-test-2022\/29172\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/kedr-selabs-test-2022\/28424\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/kedr-selabs-test-2022\/25366\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kedr-selabs-test-2022\/30868\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kedr-selabs-test-2022\/30576\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/pruebas-independientes\/","name":"pruebas independientes"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25192","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=25192"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25192\/revisions"}],"predecessor-version":[{"id":25195,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25192\/revisions\/25195"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/25194"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=25192"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=25192"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=25192"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}