Los ataques cibernéticos cada vez son más sofisticados y recurrentes. En la actualidad existe un crecimiento sin precedentes en la diversidad y proliferación de amenazas de seguridad a las que se enfrentan las organizaciones y a pesar de que los encargados del área de TI trabajan fuertemente en sus estrategias de protección los atacantes siempre van un paso adelante poniendo en jaque los datos confidenciales de las empresas y mostrando cuán vulnerables son.
Hoy en día los delincuentes cibernéticos combinan sus ataques a través de malware avanzado “conocido y desconocido” que va oculto en documentos, sitios web, redes y hosts, por mencionar algunos, siendo muy fácil su camino. Estos ataques tienen muchos propósitos, tales como motivos financieros e ideológicos saboteando la continuidad del negocio y dañando su reputación, otros se centran en el robo de datos, información que les servirá para tener más víctimas en su poder y así continuar su recorrido de hurtos.
Con la finalidad de que las organizaciones y usuarios dejen de ser un blanco fácil para los hackers Check Point puso a prueba sus soluciones para la captura de malware junto con otras tres de la competencia, teniendo como objetivo el proporcionar panoramas claros que ayuden a los tomadores de decisiones a conocer cuál es el postor que les brindará el mejor rendimiento de tasas de captura entre diferentes ofertas del mercado.
El resultado final de las soluciones de seguridad donde se evaluaron cuatro vendedores participantes fue liderado por Check Point comprobando la mejor tasa de captura de la industria de ciento por ciento, seguido apenas por uno de los proveedores que tuvo como alcance tan sólo el 70 por ciento, otro de un 62 por ciento y por último el 27 por ciento que mostró uno de ellos.
La prueba consistió en descargar un conjunto de 300 muestras conocidas de PDF malicioso, DOC y archivos ejecutables de base de datos «VirusTotal» de Google y mediante una técnica usada por los analistas se crearon variantes de malware nuevo y desconocido (De ahí el nombre «El Desconocido 300»). Las 300 muestras resultantes conservaron la funcionalidad original pero siendo ahora archivos maliciosos desconocidos. Con este conjunto de ejemplares desconocidos los analistas comprobaron el rendimiento y capacidad de detección de malware nuevo en las soluciones de los proveedores.
Para asegurar la validez de la prueba las plataformas se actualizaron y parchearon con el último firmware disponible de cada proveedor a partir de mediados de julio de 2014. Dado que el único objetivo de la prueba era comprobar la tasa de captura de archivos maliciosos, cabe mencionar que el rendimiento no se puso a prueba y de ninguna manera influyó en los resultados de ésta.
En el laboratorio instalado se simuló la realidad de un usuario descargando un archivo infectado. La configuración utilizada en todas las plataformas de prueba incluyeron el número máximo de servicios de prevención de amenazas como: IPS, AntiMalware, AntiBot y Emulación de Amenazas. “El Desconocido 300” consistió en una mezcla de 40 por ciento de archivos PDF, 40 por ciento archivos EXE y 20 por ciento de archivos DOC. Los archivos fueron descargados a un anfitrión detrás del dispositivo de seguridad simulando la descarga accidental de malware desde una página Web maliciosa por parte del usuario final.
En los resultados de la prueba realizada Check Point fue el único en ofrecer el ciento por ciento de efectividad de seguridad. A continuación la tasa de captura y detección de acuerdo con la clasificación de archivos por cada proveedor:
- Archivos PDF – Check Point 100%, seguido de 63%, 53% y 0% de los otros proveedores
- Archivos EXE – Check Point 100%, seguido de 91%, 87% y 24% de los otros proveedores
- Archivos DOC – Check Point 100%, seguido de 88%, 50% y 23% de los otros proveedores de seguridad
Hallazgos de seguridad
A medida que los analistas de investigación llevaron a cabo la prueba de «El Desconocido 300» detectaron en los resultados de seguridad puntos importantes a considerar en la lucha contra el malware:
- Tamaño del archivo. El malware viene en muchos tamaños y una solución de seguridad debe ofrecer la flexibilidad necesaria para acomodar diferentes tamaños de archivo. Uno de los competidores mostró tener un límite de tamaño predeterminado de sólo 500Kb (Máximo 1Mb) para archivos PDF que se pueden escanear por la nube de emulación Wildfire. Muchos archivos PDF consultados por VirusTotal estaban por encima de 1Mb.
- Tráfico SSL. El malware no discrimina si se llega a la red encriptada o no. Es fundamental escanear dentro el tráfico SSL y de la misma manera el tráfico no cifrado. Otro de los competidores mostró no admitir el escaneado de tráfico SSL, creando una vulnerabilidad potencial para la red.
- Detección frente a Prevención. Muchas soluciones de seguridad probadas pudieron detectar el malware desconocido pero no así evitar su entrada a la red. Por ejemplo, dos de los competidores permitieron la entrada de todos los archivos dando cabida a que los sospechosos comenzaran a descargarse mostrando un retraso de 30 minutos para uno de los competidores y 60 minutos para el otro antes de crear y actualizar bloques para detener el malware desconocido. Este periodo de tiempo permite una ventana significativa para la propagación de malware en la red.
- Archivos. Muchas organizaciones utilizan archivos comprimidos como RAR. Una solución de seguridad debe ser compatible con la consulta de los expedientes archivados. Los investigadores encontraron que uno de los competidores no podía emular cualquier archivo de almacenamiento excepto Zip.
- Costo total de propiedad. Muchas soluciones de seguridad requieren aparatos diferentes y no son compatibles con escaneado multiprotocolo en un solo aparato. Por ejemplo, uno de los competidores requiere un dispositivo separado para protección de correo electrónico y otro para la protección web aumentando el costo total de la propiedad.
Cuando se trata de proteger su organización es fundamental elegir soluciones de seguridad con la mejor tasa de captura de malware. La seguridad de su organización no debe estar en riesgo de los desconocidos 300. Por ello la importancia de tomarse el tiempo necesario para verificar las afirmaciones de los diferentes vendedores. Es un esfuerzo que vale la pena.
El equipo evaluado de Check Point fue el gateway ThreatCloud™ 13500. El primero de la línea de dispositivos 13000 diseñados específicamente para expandir la oferta de seguridad de red de la empresa. El aparato 13500 aprovecha Check Point HyperSpect™, el cual maximiza el uso del hardware y brinda hasta 77 Gbps de desempeño del firewall, 7 Gbps de rendimiento de IPS y 3200 unidades de SecurityPower™.