Resultados impresionantes contra las APT

Empresas

Como ya hemos mencionado, para nosotros las pruebas independientes nos indican que nuestras soluciones son efectivas y, además, son una herramienta con la que mejorar nuestras tecnologías. Por ello, rara vez publicamos historias sobre lo bien que nos ha ido en las pruebas, a pesar del alto rendimiento que ofrecen nuestros productos. Sin embargo, cabe destacar la certificación de defensa contra amenazas avanzadas llevada a cabo por ICSA Labs.

Nuestra plataforma Kaspersky Anti-Targeted Attack participó en esta certificación durante tres trimestres consecutivos y, en el último, obtuvo un resultado excelente: detección del 100 % de las amenazas y 0 falsos positivos. ¿Por qué es esto importante para los clientes corporativos y qué hay tras estas impresionantes cifras?

Certificación

De acuerdo con ICSA Labs, la finalidad de esta certificación es determinar lo efectivas que son las diferentes soluciones de protección defendiéndose de las últimas ciberamenazas. Con “las últimas”, ICSA se refiere a las amenazas no detectadas por la mayoría de las soluciones tradicionales. Al seleccionar los escenarios para las pruebas, tuvieron en cuenta el informe sobre la investigación de la brecha de seguridad de Verizon. Por ello, en primer lugar, su equipo de pruebas se compone de las amenazas más de moda y, en segundo lugar, la selección cambia cada trimestre según los cambios del panorama de las amenazas.

Esto permite a ICSA analizar la dinámica del rendimiento de la solución. Es decir, un buen resultado en una única prueba no es un indicador, pero si un producto muestra buenos resultados, a pesar de los cambios regulares en los patrones de las amenazas, es un signo claro de efectividad.

A su vez, el informe de Verizon contiene información sobre ciberincidentes ocurridos en grandes empresas. Por ello, estos no son solo los vectores de ataque más comunes y relevantes (son amenazas que usan los ciberdelincuentes para atacar grandes empresas).

Los últimos resultados

El estudio más reciente se llevó a cabo en el segundo trimestre de este año y sus resultados se publicaron en julio. ICSA Lab creó para cada participante una infraestructura de pruebas protegida mediante una solución especializada. Luego, durante 37 días, simularon varios ataques. En total, se llevaron a cabo más de 1.100 pruebas usando 600 muestras de malware y nuestra solución especializada las detectó todas. Además, la plataforma de Kaspersky Anti-Targeted Attack obtuvo un resultado perfecto con los falsos positivos. Los expertos de ICSA Labs lanzaron más de 500 muestras limpias que debían parecer maliciosas y nuestra solución no calificó ninguna como peligrosa.

ICSA Labs no lleva a cabo pruebas comparativas y, por ello, no publica tablas de datos. Por ello hemos creado las nuestras basándonos en los datos públicos que puedes encontrar aquí.

¿Cómo lo hemos logrado?

Nuestros productos, y en particular Kaspersky Anti-Targeted Attack, usan un enfoque multinivel para detectar las amenazas. Hay mecanismos para realizar análisis estáticos, reglas YARA configurables, reglas SNORT únicas para el motor IDS, mecanismos para comprobar los certificados, los archivos y la reputación de los dominios mediante una base global de amenazas (KSN), herramientas para realizar análisis dinámicos avanzados en entornos aislados y cuenta con un motor de aprendizaje automático (Targeted Attacks Analyzer). La combinación de Kaspersky Anti-Targeted Attack con estas herramientas le permite identificar las tecnologías maliciosas conocidas como desconocidas.

Targeted Attacks Analyzer, de hecho, es el núcleo analítico central. Basado en aprendizaje automático, permite a Kaspersky Anti-Targeted Attack no solo comparar la información entrante de diferentes niveles de detección, sino también detectar con éxito anomalías en la red y los equipos. Los análisis de comportamiento pueden detectar desviaciones que indican si hay un ataque en progreso que no hace uso de software malicioso. Por ejemplo, podría tratarse de un ataque que se lleva a cabo mediante el uso de software legítimo, credenciales robadas o agujeros de la infraestructura informática.

Sin embargo, la detección de amenazas no es suficiente. Es decir, si un producto lo bloquea todo, también detendrá al 100 % de las amenazas (pero los programas legítimos tampoco funcionaran). Por ello, es importante funcionar sin falsos positivos. Nuestras tecnologías nos permiten definir procesos seguros gracias al principio de inteligencia HuMachine. El balance entre el nivel de detección y el número de falsos positivos se compone de tres elementos:

  • Big data: contamos con una gran base de datos de información sobre amenazas que se lleva recopilando más de 20 años y se actualiza en tiempo real mediante Kaspersky Security Network con información de nuestras soluciones instaladas en los ordenadores del mundowill.
  • Tecnologías de aprendizaje automático avanzado que analizan dicha información.
  • Investigadores expertos que, si es necesario, corrigen y dirigen el motor del aprendizaje automático.

Por lo que podemos afirmar que los resultados de la certificación ICSA es, en muchos aspectos, el resultado del principio HuMachine.

Para saber más sobre la plataforma de Kaspersky Anti-Targeted Attack, visita esta página web.