Uno de nuestros grandes aliados en MAPS Disruptivo es Kaspersky, el cual ha evolucionado la protección EDR de una manera formidable, en esta ocasión SE Labs realizó pruebas independientes a la solución de Enterprise Advanced Security obteniendo la más alta calificación basada en ataques del mundo real.

Esto han publicado en su blog.

Los resultados de una prueba reciente, Enterprise Advanced Security (EDR): Enterprise 2022 Q2 – DETECTION, fueron revelados en julio, en un informe de SE Labs. La compañía británica ha estado poniendo a prueba las soluciones de seguridad de los principales proveedores durante varios años. En su prueba más reciente, nuestro producto empresarial Kaspersky Endpoint Detection and Response Expert logró una puntuación de 100% absoluto en la detección de ataque dirigidos y recibió la mejor calificación posible: AAA.

Este no es el primer análisis de SE Labs realizado a nuestros productos para proteger una infraestructura corporativa contra amenazas sofisticadas. Dicha empresa realizó previamente su prueba de respuesta a brechas (en la que participamos en 2019). En 2021, nuestro producto fue probado en su Prueba se Seguridad Avanzada (EDR por sus siglas en inglés). Desde entonces, la metodología a seguir se ha modificado y la prueba en sí ha sido dividida en dos partes: Detección y Protección. Esta vez, SE Labs estudió la efectividad de las soluciones de seguridad para detectar actividad maliciosa. Además de Kaspersky EDR Expert, en la prueba participaron otros 4 productos: Broadcom Symantec, CrowdStrike, BlackBerry, y otra solución anónima.

Sistema de puntuación

La prueba constó de diversas comprobaciones, pero para tener una idea de los resultados bastará con echarle un ojo a las puntuaciones totales de precisión. Básicamente, esta muestran qué tan bien cada solución detectó ataques en distintas etapas y si molestó al usuario con falsos positivos. Para una mayor claridad visual, se asignó un premio a las soluciones participantes: Desde AAA (para productos con una calificación total alta de precisión) a D (para aquellas soluciones menos efectivas). Como se mencionó, nuestra solución obtuvo un total de 100% y una calificación de AAA.

Las calificaciones totales de precisión consisten en dos categorías de puntajes:

• Precisión de detección: esto toma en cuenta el éxito de la detección en cada etapa significativa de un ataque.
• Valoración de software legítimo: cuantos menos falsos positivos genere el producto, mayor será la puntuación obtenida.

Existe otro indicador clave: ataques detectados. Esto es un porcentaje de ataques detectados por la solución en al menos una de las etapas, lo que le da al equipo de seguridad de la información la oportunidad de responder al incidente.

Pruebas de detección de amenazas

En la prueba de precisión de detección, SE Labs estudió la eficacia con la que las soluciones de seguridad detectan amenazas. Esto implicó llevar a cabo 17 ataques complejos basados en cuatro ataques del mundo real por parte de Wizard Spider, Sandworm, el grupo Lazarus y Operación Wocao, en los que se destacaron cuatro etapas significativas, cada una de las cuales constaba de uno o más pasos conectados entre sí:

• Entrega/Ejecución
• Acción
• Escalada de privilegios/Acción
• Movimiento lateral/Acción

La lógica de la prueba no requiere que la solución detecte todos los eventos en una etapa particular del ataque; basta con identificar al menos uno de ellos. Por ejemplo, si el producto no se percató de cómo llegó la carga al dispositivo, pero pudo detectar un intento de ejecutarlo, pesó la primera etapa de manera exitosa.

Entrega/Ejecución. Esta etapa probó la capacidad de una solución para detectar un ataque en su infancia: o sea, en el momento de la entrega, por ejemplo, de un correo electrónico de phishing o un enlace malicioso, y la ejecución del código dañino. En condiciones reales, el ataque suele detenerse allí, ya que la solución de seguridad simplemente no permite que el malware vaya más allá. Pero para los propósitos de la prueba, la cadena de ataque continuó para ver cómo es que la solución se enfrentaría a las etapas siguientes.

Acción. Aquí, los investigadores estudiaron el comportamiento de la solución cuando los atacantes ya tienen acceso al endpoint. Era necesario para detectar una acción ilegítima por parte del software.

Escalada de privilegios/Acción. En un ataque exitoso, el intruso intenta obtener más privilegios en el sistema y causar aún más daño. Si la solución de seguridad monitorea estos eventos o el propio proceso de escalada de privilegios, se otorgan puntos adicionales.

Movimiento lateral /Acción. Después de penetrar el endpoint, el atacante puede infectar otros dispositivos en la red corporativa. Esto es conocido como movimiento lateral. Quienes hicieron la prueba comprobaron si las soluciones de seguridad detectaban intentos de dicho movimiento o cualquier acción posible a consecuencia de este.

Kaspersky EDR Expert obtuvo una puntuación del 100% en este segmento; es decir, ni una sola etapa de cualquier ataque pasó desapercibida.

De acuerdo a los resultados que obtuvo la Kaspersky Endpoint Detection and Response Expert, ha obtenido la calificación más alta posible, es decir AAA, al igual que otros fabricantes, sin embargo, la puntuación el 100% en las calificaciones totales en cuanto a precisión han sido de Kaspersky.

Recuerda que también puedes encontrar soluciones de Kaspersky en nuestra Tienda Virtual, te invitamos a conocerla dando clic aqui.