En la prueba con escenarios de ataques reales, 26 soluciones de protección para usuarios particulares y empresas demuestran su rendimiento en el laboratorio de AV-TEST. En la serie de pruebas de protección contra amenazas avanzadas, el laboratorio examina qué tan bien protegen los productos contra el ransomware.
Cada paso del ataque de malware se registra y evalúa, hasta el cifrado. Muchas soluciones cumplen lo que prometen: ofrecen protección contra ransomware. Pero no todas las soluciones ofrecen un rendimiento brillante.
Ransomware: la plaga del siglo XXI
Podría decirse que el ransomware es la plaga del siglo XXI. Los informes en los medios sobre ataques parciales o completamente exitosos simplemente no quieren detenerse. El interesante estudio de Sophos “The State of Ransomware 21” también muestra que este sentimiento no es engañoso. Una de las primeras conclusiones del estudio es que "los ataques de ransomware son más frecuentes: el 2022 % de las organizaciones encuestadas se vieron afectadas por ransomware en 66, frente al 2021 % en 37".
🔎 La mayoría de las soluciones resisten en la prueba en vivo extendida contra ransomware (imagen: AV-Test).
26 productos en la prueba de protección contra amenazas avanzada
Las pruebas de protección contra amenazas avanzadas brindan información importante para los fabricantes y usuarios sobre la seguridad con la que un producto protege contra el ransomware en escenarios reales. En la prueba participaron 14 soluciones de seguridad empresarial y 12 productos para usuarios finales. Los fabricantes de los productos de usuario final son: Avast, AVG, Bitdefender, F-Secure, G DATA, K7 Computing, Kaspersky, Microsoft, Microworld, NortonLifeLock, PC Matic y VIPRE Security.
Las soluciones para empresas incluyen productos de estos fabricantes: Acronis, Avast, Bitdefender (dos versiones), Comodo, F-Secure, G DATA, Kaspersky (dos versiones), Microsoft, Seqrite, Symantec, Trellix y VMware.
Todos los productos deben aprobar el ransomware en 10 escenarios del mundo real en Windows 10. Por ejemplo, se utilizan archivos con malware oculto en archivos, archivos de Powerpoint con scripts o archivos HTML con contenido peligroso. Los 10 gráficos para los "escenarios de prueba" enumeran el tipo de ataque y cada paso en él. El laboratorio incluso da las definiciones en los códigos de técnica MITRE ATT&CK. El laboratorio también explica los pasos técnicos exactos de una prueba de Advanced Threat Protection para los interesados en el artículo ya publicado Nuevas defensas: EPP y EDR en la prueba contra ataques APT y ransomware.
Empresa: prueba de ataque en vivo con ransomware
El laboratorio prueba 14 soluciones de protección de redes empresariales en 10 escenarios de ransomware del mundo real. En esta prueba se utilizan 10 escenarios definidos. El principal vector de ataque es un correo electrónico con un archivo adjunto malicioso. Siempre hay atacantes peligrosos en el archivo adjunto, por ejemplo, en forma de archivos de Office con scripts que luego llevan a cabo otros pasos, por ejemplo, a través de PowerShell.
En la prueba, todos los productos sin excepción reconocen a los atacantes en los primeros pasos (acceso inicial o ejecución). Sin embargo, el ataque solo fue reconocido y bloqueado por completo en 10 de los 14 productos. El resultado final son 10 productos de la empresa con los 40 puntos completos. Le sigue Symantec con 39,5 puntos, Seqrite y VMware con 39 puntos cada uno y Trellix con 36,5 puntos.
🔎 Ransomware contra los usuarios: incluso las estaciones de trabajo individuales están bien protegidas con los candidatos de prueba (Imagen: AV-TEST).
Usuarios domésticos: prueba de ataque en vivo con ransomware
En la prueba, 12 productos de usuario final se enfrentan a los exámenes de los expertos en el laboratorio. Todos los productos deben afirmarse en los 10 escenarios con diferentes rutas de ataque. En todos los ataques, el usuario recibe un correo electrónico con un archivo adjunto. Esto es peligroso en todos los casos: por ejemplo, Powerpoints infectados, scripts o archivos empaquetados con malware. La prueba muestra que todos los productos reconocen a los atacantes tan pronto como dan los primeros pasos (acceso inicial o ejecución). 11 de los 12 paquetes de protección también detienen cualquier ejecución adicional del ataque en este punto y, por lo tanto, reciben la calificación completa de 40 puntos. Solo K7 Computing tiene un problema: se reconoce el ataque, pero en el curso posterior del escenario No. 6, el atacante logra crear un archivo. Incluso si esto es inofensivo, hay una deducción de 0,5 puntos.
Más en AV-TEST.org
Acerca de AV PRUEBA AV-TEST GmbH es un proveedor independiente de servicios en el campo de la seguridad informática y la investigación de antivirus que se centra en identificar y analizar el malware más reciente y utilizarlo en pruebas comparativas exhaustivas. La actualización de los datos de prueba permite el análisis de reacción rápida de nuevo malware, la detección temprana de tendencias de virus y el examen y certificación de soluciones de seguridad de TI. Los resultados del Instituto AV-TEST representan una base de información exclusiva y sirven a los fabricantes para la optimización de productos, revistas especializadas para la publicación de resultados y clientes finales para orientarse a la hora de seleccionar productos.
La empresa AV-TEST ha estado operando en Magdeburg desde 2004 y emplea a más de 30 personas con una profunda experiencia profesional y práctica. Los laboratorios están equipados con 300 sistemas de cliente y servidor en los que se almacenan y procesan más de 2.500 terabytes de datos de prueba autodeterminados de información dañina y no peligrosa. Visite https://www.av-test.org para obtener más información.