Emsisoft EDR obtiene la certificación en las pruebas de marzo de 2023 de AVLab

En marzo de 2023, el grupo independiente de pruebas de software antivirus AVLab Cybersecurity Foundation realizó su primera prueba de certificación de "Visibilidad de ataques en telemetría", que está diseñada para evaluar el rendimiento de las soluciones de detección y respuesta de punto final (EDR) y detección y respuesta extendida (XDR).

¡Los resultados de la prueba acaban de publicarse y estamos encantados de anunciar que Emsisoft Enterprise Security con EDR obtuvo la certificación! Siga leyendo para obtener más información sobre cómo se realizó la prueba y qué significan los resultados.

Una descripción general rápida de EDR

EDR es un tipo relativamente nuevo de herramienta de ciberseguridad que brinda a las organizaciones una mejor visibilidad de sus puntos finales. Mientras que las plataformas tradicionales de protección de terminales se centran principalmente en la prevención, los sistemas EDR ponen más énfasis en la detección y la recopilación de información. EDR puede analizar datos de puntos finales en toda la red, responder automáticamente a amenazas y proporcionar información crítica que puede usarse para investigar y clasificar un incidente.

Metodología de prueba

Para realizar la prueba de certificación, las soluciones EDR participantes se instalaron en máquinas virtuales que ejecutan Windows 11 y Windows Server 2019 con configuraciones predeterminadas. Los agentes de los productos probados se conectaron a la misma red, se les dio acceso completo a Internet y se configuraron con configuraciones predeterminadas o con configuraciones adicionales que facilitarían una telemetría más detallada.

Luego, los productos se expusieron a una variedad de ataques simulados, con los evaluadores de AVLab Cybersecurity Foundation replicando las acciones de los atacantes que ya tienen acceso a la infraestructura de TI de un objetivo. Esto implicó el uso de una máquina virtual que ejecutaba Linux Mint como un servidor de Comando y Control con Caldera Framework, y una máquina virtual que ejecutaba el software Kali Linux y Metasploit. Se utilizó una variedad de protocolos y herramientas de red como vehículos de entrega de amenazas.

Luego, los evaluadores rastrearon cómo cada producto EDR respondió a los ataques, junto con el nivel de información y conocimiento que brinda a los administradores.

A continuación se muestra una lista de las métricas de visibilidad que se midieron:

• Alerta en consola.
• Acción manual.
• Recuperación automática.
• Visibilidad completa de un ataque.
• Detección de ataques.
• Bloqueo preventivo de un ataque.
• Ataque visible en telemetría.
• Sin telemetría de ataque.

Resultados

¡Nos complace informar que Emsisoft Enterprise Security con EDR proporcionó visibilidad detallada de cada ataque durante las pruebas y, en consecuencia, recibió la certificación!

Curiosamente, Emsisoft EDR fue la única solución que bloqueó el robo de datos a través de la API de Telegram; todos los demás productos permitieron que el atacante simulado ejecutara código malicioso y estableciera una conexión con el sistema de destino.