Últimas noticias
18 de agosto de 2022 | Texto: Markus Selinger | Antivirus para Windows
Seguridad frente a ransomware: 34 soluciones en el Advanced Threat Protection test
Las oleadas de ataques con ransomware se suceden con una frecuencia cada vez mayor, sobre todo porque ahora hay disponible “Ransomware-as-a-Service“, con el que cibercriminales no duchos atacan adicionalmente. ¿Son capaces de hacer frente a estas oleadas las soluciones de seguridad para empresas y para usuarios privados actualmente en el mercado? Los test de Advanced Threat Protection de AV-TEST ponen rápidamente de manifiesto lo bien o mal que las soluciones defienden contra el ransomware. En los escenarios reales se documenta y evalúa cada paso de defensa de las soluciones. Muchos productos de seguridad trabajan bien, pero no todos.
Defensa contra ransomware
Test de Advanced Threat Protection con 34 paquetes y soluciones de seguridad
Por si no provocasen ya suficiente estrés los ataques de los grupos APT normales, su nuevo modelo de negocio, el ransomware como servicio o Ransomware-as-a-Service (RaaS), se está imponiendo cada vez más. El negocio consiste en otorgar las licencias pertinentes a atacantes con poca experiencia en el uso de ransomware. Se les suministra el ransomware y se pone a su disposición la infraestructura. Una parte del rescate de cada chantaje va a parar de inmediato al grupo APT. Este modelo tiene, por su puesto, como consecuencia que cada vez hayan más ataques de ransomware. Por eso, ahora es más importante si cabe saber lo bien que detectan, detienen y liquidan a los atacantes las soluciones de seguridad. Al contrario que con el malware clásico, la mera detección del ransomware no implica siempre que la defensa vaya a tener éxito. No obstante, un ransomware no detectado al principio aún puede ser detenido a lo largo del ataque. Los test de Advanced Threat Protection de AV-TEST dejan claro lo bien o mal que funciona todo esto. En la prueba, todos los productos, tanto para empresas como para usuarios privados, tienen que superar 10 escenarios en vivo.
34 soluciones en la prueba con 340 escenarios en vivo
Los productos examinados en el test se dividen en dos grupos de 17 productos cada uno. Los 17 paquetes de seguridad para usuarios privados provienen de AhnLab, Avast, AVG, Avira, Bitdefender, F-Secure, G DATA, K7 Computing, Kaspersky, Malwarebytes, McAfee, Microsoft, NortonLifeLock, PC Matic, Protected.net, Trend Micro y VIPRE Security.
Las otras 17 soluciones de seguridad para empresas proceden de AhnLab, Avast, Bitdefender (2 productos), Comodo (pronto Xcitium), G DATA, Kaspersky (2 productos), Malwarebytes, Microsoft, Sangfor Technologies, Seqrite, Symantec, Trellix, Trend Micro, VMware y WithSecure (antigua F-Secure Business).
Cada solución tiene que detectar un ransomware en 10 escenarios reales definidos con Windows y repeler el ataque, bien al principio o en pasos posteriores. Los 10 escenarios se describen en los gráficos a continuación. En uno, por ejemplo, llega un correo con un archivo comprimido adjunto. Este contiene un archivo ejecutable que se ejecuta directamente al extraerlo. Después, el ransomware empieza a dar una serie de pasos para hacerse con el sistema y encriptarlo. Los escenarios de prueba enumeran el tipo de ataque en cada paso. El laboratorio indica las definiciones mediante el código “Techniques“ de MITRE ATT&CK. Además, el laboratorio explica a los interesados los pasos técnicos exactos de un test de Advanced Threat Protection en el artículo ya publicado Nuevas defensas: prueba de soluciones EPP y EDR contra ataques de APT y ransomware.
Software de seguridad contra ataques de ransomware
El test de Advanced Threat Protection muestra lo bien que los 17 paquetes de seguridad superaron la prueba con 10 escenarios reales con ransomware
Soluciones de seguridad para empresas frente a ransomware
Ransomware, el temor de todas las empresas! El test de Advanced Threat Protection muestra la eficiencia de la defensa de las soluciones de seguridad
340 veces contra ransomware
Si en la prueba un paquete de seguridad detecta un ransomware en uno de los dos primeros pasos de un escenario (initial access o execution), el ataque se considera detenido. El laboratorio utiliza un código cromático para permitir una evaluación rápida de la tabla. El color verde significa que se ha detenido el ataque; el amarillo que se ha detenido parcialmente el ataque; y el naranja, que no se ha detenido el ataque (no detection). El campo amarillo al final puede indicar dos resultados: que el ataque solo se ha detectado parcialmente y se han encriptado diversos archivos (some files encrypted) o bien se ha evitado que el ransomware encripte archivos, pero este permanece en el sistema (malware remains on system). Si al final de la fila del gráfico hay un campo naranja, se considera que el ataque no se ha detectado y el ransomware se ha podido ejecutar por completo (files encrypted).
El sistema de puntos es tan sencillo como la evaluación. El laboratorio otorga cuatro puntos por una detección o detención completa en cada uno de los escenarios. Si la detección es parcial, la deducción de puntos es significativa. El resultado final de los 10 escenarios constituye la puntuación de protección, que en esta prueba puede ascender a un máximo de 40 puntos. Atención, los test de Advanced Threat Protection se realizan cada dos meses, pero los escenarios pueden variar y, por tanto, también la máxima puntuación de protección.
Escenarios de prueba
Todos los escenarios de ataque están documentados de acuerdo con los estándares de la base de datos de MITRE ATT&CK. Los diferentes subpuntos, por ejemplo “T1059.001“, aparecen en la base de datos de MITRE para “Techniques“ bajo 1059.001 “Command and Scripting Interpreter: PowerShell“. Cada paso de la prueba, por lo tanto, está definido por especialistas y es trazable y comprensible.
Usuarios privados: 12 productos sin fallos
En esta prueba, 17 productos se enfrentaron cada uno a 10 escenarios de ataque reales. 12 de los paquetes de seguridad tuvieron un gran éxito. Detectaron el ransomware de inmediato y no permitieron que ejecutara ninguna acción más. Por ello recibieron los 40 puntos máximos en la puntuación de protección. Se trata de los productos de AhnLab, Avast, AVG, Avira, F-Secure, Kaspersky, McAfee, Microsoft, NortonLifeLock, PC Matic, Protected.net y VIPRE Security.
Con 39 de los 40 puntos los siguen Bitdefender y K7 Computing. Ambos detectaron el ataque solo parcialmente en un escenario. En el caso de Bitdefender se encriptó un pequeño número de archivos. En el de K7 Computing se detuvo la encriptación, pero el malware permaneció en el ordenador, lo cual sigue suponiendo un peligro. Trend Micro tuvo el mismo problema, pero en tres ocasiones. Por ello recibió solo 37 puntos.
Malwarebytes llevó a cabo detecciones parciales en dos ocasiones. En una de ellas se encriptaron solo unos pocos archivos. Esto también ocurrió en la segunda ocasión, pero además se colocó una clave de registro y se modificó el fondo de pantalla. Cada una de las acciones que no se evita supone una deducción, por lo que la puntuación final es de 36,5 puntos.
El paquete de seguridad de G DATA no detectó al atacante en dos escenarios, por lo que el ransomware pudo ejecutarse. Esto supuso que G DATA perdiera 2 veces los 4 puntos y se tenga que conformar con 32 puntos.
Para que un producto consiga el certificado “Advanced Certified“ tiene que obtener al menos un 75 por ciento (30 puntos) de los máximos 40 puntos en la puntuación de protección. En esta prueba, lo consiguieron todos los productos.
Empresas: muchas soluciones trabajan sin fallos
Las soluciones para empresas examinadas en la prueba presentan en gran parte resultados muy buenos. 12 de los 17 productos probados consiguieron la máxima puntuación de protección de 40 puntos.
A estos les siguen las dos soluciones de Bitdefender con 39 puntos, puesto que hubo una detección parcial con cada una.
Seqrite tuvo problemas en tres casos y recibió 37 puntos. En una ocasión se trata de una detección parcial en la que algunos datos fueron encriptados. En los otros casos, el ransomware fue detectado y bloqueado, pero permaneció en el sistema. Esto sigue suponiendo un riesgo.
Trend Micro tuvo esa misma dificultad en tres ocasiones. Lo cual supone que el peligro sigue acechando, pero al menos nada fue encriptado. Trend Micro recibió igualmente 37 puntos.
La solución para empresas de G DATA tuvo problemas en dos escenarios en los que no reconoció a los agresores permitiendo que el ransomware se desplegara. Esto le costó 8 puntos, finalizando con 32 puntos.
Todos los productos para empresas recibieron el certificado “Advanced Approved Endpoint Protection“, ya que obtuvieron al menos un 75 por ciento (30 puntos) de la máxima puntuación en protección de 40.
Ransomware detenido con o sin servicio
Mientras que en la prueba de detección clásica, muchos de los productos conocidos ofrecen una actuación brillante, en el test de Advanced Threat Protection de AV-TEST tienen que demostrar también su rendimiento tras la detección o no detección de un ransomware. Esto es inmensamente importante sobre todo en lo relativo al ransomware, puesto que si se infiltra y puede desplegar su efecto por completo, entonces el sistema acaba encriptado y eleva al máximo el riesgo para el resto de la red.
Los paquetes de seguridad para usuarios privados obtuvieron un buen resultado en la prueba. 12 de los 17 productos consiguieron los 40 puntos máximos. Entre ellos están las soluciones gratuitas Avast Free Antivirus y también Microsoft Defender. Quien busque un paquete de seguridad fiable con un mayor volumen de funciones, lo encontrará entre los productos de pago de AhnLab, AVG, Avira, F-Secure, Kaspersky, McAfee, NortonLifeLock, PC Matic, Protected.net o VIPRE Security.
Entre las soluciones para empresas, el resultado es igualmente convincente. 12 de los 17 productos obtuvieron los 40 puntos máximos: AhnLab, Avast, Comodo, Kaspersky (con dos versiones), Malwarebytes, Microsoft, Sangfor Technologies, Symantec (Broadcom), Trellix, VMware y WithSecure (antigua F-Secure Business). Por lo tanto, las empresas cuentan con una amplia gama de soluciones con el certificado “Advanced Approved Endpoint Protection“ para proteger su red y sus puestos de trabajo.
