La mejor manera de demostrar la eficacia de una solución de seguridad es probarla en unas condiciones lo más reales posibles, utilizando las técnicas y tácticas típicas de los ataques dirigidos. Kaspersky participa regularmente en este tipo de pruebas y se sitúa en lo más alto de las clasificaciones.
Recientemente se han publicado los resultados de la prueba Enterprise Advanced Security (EDR): Enterprise 2022 Q2 – DETECTION de un informe de SE Labs de julio. La empresa británica lleva varios años poniendo a prueba las soluciones de seguridad de los principales proveedores. En esta última prueba, nuestro producto para empresas Kaspersky Endpoint Detection and Response Expert obtuvo una puntuación global del 100 % en la detección de ataques dirigidos y recibió la máxima calificación posible: AAA.
Este no es el primer análisis de SE Lab al que se someten nuestros productos para empresas. La empresa había realizado con anterioridad su Breach Response Test (en el que participamos en 2019). En 2021, nuestro producto se sometió a su prueba de seguridad avanzada (EDR). Desde entonces, la metodología de las pruebas se ha ido ajustado y se ha acabado dividiendo en dos partes: Detección y Protección. En esta ocasión, SE Labs analizó la eficacia de las soluciones de seguridad para detectar actividades maliciosas. Además de Kaspersky EDR Expert, participaron cuatro productos más en la prueba: Broadcom Symantec, CrowdStrike, BlackBerry y otra solución anónima.
Sistema de clasificación
Las pruebas se componen de varias valoraciones, pero para hacerse una idea de los resultados, bastará con ver las Tasas de precisión totales. Esto muestra, básicamente, la efectividad con la que cada solución detectó los ataques en sus diferentes etapas y si llegaron a molestar al usuario con falsos positivos. A las soluciones participantes se les asignó una puntuación: desde la AAA (para los productos con un alto índice de precisión total) hasta la D (para las soluciones menos eficaces). Como ya hemos dicho, nuestra solución obtuvo un resultado del 100 % y una calificación AAA.
Las Tasas de precisión totales están formadas por puntuaciones en dos categorías diferentes:
- Precisión de detección: tiene en cuenta el éxito en la detección de cada etapa significativa de un ataque.
- Calificación de software legítimo: a menos falsos positivos generados por el producto, mayor puntuación.
Hay otro indicador clave: Ataques detectados. Se trata del porcentaje de ataques detectados por la solución durante, al menos, una de las etapas, lo que permite al equipo de seguridad de la información responder al incidente.
¿Cómo se ha realizado la prueba?
En teoría, las pruebas deben reflejar cómo se comportaría la solución durante un ataque real. Con eso en mente, SE Labs trató de reflejar una situación y entorno lo más reales posibles. En primer lugar, para la prueba, no fueron los desarrolladores quienes configuraron las soluciones de seguridad, sino los propios evaluadores de SE Labs, que recibieron instrucciones del proveedor, como suelen hacer los equipos de seguridad de la información de los clientes. En segundo lugar, las pruebas se realizaron a lo largo de toda la cadena de ataque, desde el primer contacto hasta el robo de datos o cualquier otro resultado. Por último, las pruebas se basaron en métodos de ataque de cuatro grupos APT reales y activos:
- Wizard Spider, que tiene como objetivo empresas, bancos y hasta hospitales. Entre sus herramientas está el troyano bancario Trickbot.
- Sandworm, que se dirige principalmente a las agencias gubernamentales y es conocido por su malware NotPetya que, en un principio, se hizo pasar por ransomware, cuando en realidad destruyó los datos de sus víctimas sin posibilidad de recuperación.
- Lazarus, que se hizo mundialmente famoso tras el ataque a gran escala a Sony Pictures en noviembre de 2014. Después de haberse centrado en el sector bancario, el grupo ha puesto recientemente sus miras en los criptointercambios.
- Operación Wocao, también con las agencias gubernamentales como objetivo, además de los proveedores de servicios, las empresas energéticas, tecnológicas y el sector sanitario.
Pruebas de detección de amenazas
En la prueba de precisión de detección, SE Labs estudió la eficacia con la que las soluciones de seguridad detectan las amenazas. Para ello, se llevaron a cabo 17 ataques complejos basados en cuatro ataques de Wizard Spider, Sandworm, Lazarus Group y Operation Wocao, en los que se destacaron cuatro etapas relevantes, cada una de las cuales constaba de uno o más pasos interconectados:
- Entrega/Ejecución
- Acción
- Escalada de privilegios/Acción
- Movimiento lateral/Acción
La prueba no requiere que la solución detecte todos los eventos en cualquier etapa del ataque; es suficiente con identificar al menos uno de ellos. Por ejemplo, si el producto no detectó cómo llegó la carga útil al dispositivo, pero detectó un intento de ejecutarla, ya habrá superado con éxito la primera parte.
Entrega/Ejecución. En esta etapa se comprueba la capacidad de la solución para detectar un ataque en su fase inicial: en el momento de la entrega -por ejemplo, de un correo electrónico de phishing o un enlace malicioso- y la ejecución de código peligroso. En condiciones reales, el ataque suele detenerse ahí, ya que la solución de seguridad simplemente no permite que el malware vaya más allá. Pero a efectos de la prueba, se continuó la cadena de ataque para ver cómo la solución se enfrentaba a las siguientes etapas.
Acción. Aquí, los investigadores estudiaron el comportamiento de la solución cuando los atacantes ya han obtenido el acceso al endpoint. Se requería detectar una acción ilegítima por parte del software.
Escalada de privilegios/Acción. En un ataque exitoso, el ciberdelincuente intenta obtener más privilegios en el sistema y causar aún más daño. Si la solución de seguridad controla este tipo de eventos o el propio proceso en la escalada de privilegios, se le conceden puntos extra.
Movimiento/Acción lateral. Una vez que se ha penetrado en el endpoint, el atacante puede intentar infectar otros dispositivos de la misma red corporativa, lo que se conoce como movimiento lateral. Los evaluadores comprobaron si las soluciones de seguridad detectaban los intentos de dicho movimiento o las acciones que se producían como consecuencia de este.
Kaspersky EDR Expert obtuvo una puntuación del 100 % en este apartado; es decir, no pasó desapercibida ni una sola etapa de ningún ataque.
Calificación de software legítimo
Una buena protección no solo tiene que rechazar las amenazas de forma eficaz, sino también impedir que el usuario utilice servicios no seguros. Para ello, los investigadores introdujeron una puntuación independiente: cuanto más alta era, menos veces la solución marcaba por error sitios web o programas legítimos -especialmente los populares- como peligrosos.
Una vez más, Kaspersky EDR Expert obtuvo el 100 %.
Resultados de las pruebas
En base a todos los resultados de las pruebas, Kaspersky Endpoint Detection and Response Expert obtuvo la máxima calificación posible: AAA. Otros tres productos consiguieron la misma calificación: Broadcom Symantec Endpoint Security and Cloud Workload Protection, CrowdStrike Falcon y la solución anónima. Sin embargo, solo nosotros y Broadcom Symantec recibimos una puntuación del 100 % en las calificaciones de precisión total.