En el siguiente artículo realizamos una comparativa Panda Adaptive Defense y Sophos Intercept X, analizando distintos factores en ambas soluciones EDR.
Tal y como comentaba en mi anterior post, la detección de malware a partir de los sistemas “tradicionales” de antivirus es totalmente inviable y las compañías proveedoras de software de seguridad se han puesto las pilas. Han cambiado la forma de concebir sus soluciones, orientándolos hacia el estudio de los patrones de comportamiento del usuario (es decir, una monitorización minuciosa de cada una de las acciones que desencadenan los programas en los equipos), el análisis global de usuarios utilizando técnicas de inteligencia basadas en Data Mining y Big Data, y la fortificación y securización de los equipos, impidiendo la ejecución de cualquier proceso sospechoso o peligroso y alertando al administrador de la red.
Dos de las compañías punteras en seguridad, Panda y Sophos, se han posicionado como líderes en un mercado en total expansión, el de las soluciones EDR (Endpoint Detection & Response)
Una solución EDR se caracteriza por cubrir cuatro aspectos de la seguridad en el endpoint, necesarios para proteger debidamente contra cualquier tipo de amenazas:
Para poder cubrir estos requisitos es necesaria la monitorización continua de los procesos con el objetivo de detectar cuanto antes comportamientos maliciosos de atacantes (conocidos o desconocidos) independientemente de su tipo. También es necesario conocer su origen, las acciones que han ejecutado, el vector de infección y la trazabilidad.
En la siguiente comparativa Panda Adaptive Defense y Sophos Intercept vamos a proceder a analizar los siguientes factores de ambas soluciones con el fin de ofrecer una perspectiva lo más objetiva posible en la decisión de adopción de una u otra plataforma:
Gracias a la monitorización en la nube, Adaptive Defense clasifica el 100% de los procesos ejecutados, determinando de forma precisa si son goodware o malware. En el caso de Sophos, no clasifica todos los procesos, solo aquellos que coinciden con los patrones antiexploit conocidos / descargados.
En el caso de Adaptive Defense, vemos que el almacenamiento de toda la información de monitorización de procesos en la nube le permite reconstruir las acciones de todo tipo de malware, incluyendo APTs (Advanced Persistent Threats – Amenazas Persistentes Avanzadas), evitando así falsos positivos y falsos negativos. En el Intercept X, los datos de la monitorización que se utilizan para el análisis forense no sirven de fuente para ningún proceso de análisis o estudio del malware automatizado en la nube.
Intercept X es un complemento que requiere la instalación de un antivirus tradicional para entregar una protección completa. Adaptive Defense protege el equipo con garantías de forma independiente, sin necesidad de antivirus de terceros.
En lo referente a este aspecto, Intercept X no procede al bloqueo de procesos desconocidos ni de procesos que utilicen técnicas desconocidas de explotación de vulnerabilidades. La protección provista está orientada al ransom que utiliza estrategia de explotación de vulnerabilidades conocidas.
A elección del administrador, Adaptive Defense puede bloquear todos los procesos desconocidos: protección adecuada tanto para el ransom como para otros tipos de malware, incluyendo APTs.
Las vulnerabilidades son la principal fuente de entrada de ataques. La prevención de aplicaciones vulnerables en los endpoints permite mitigar muchos de estos ataques, ofreciendo una protección real al usuario.
En este aspecto, Sophos nos ofrece un análisis forense basado en diagramas de grafos de alto nivel con las acciones ejecutadas por los procesos de malware, así como tablas de acciones simplificadas. Sin embargo, Panda vuelve ganar la partida ofreciendo unos diagramas mucho más detallados, tablas de acciones detalladas y muestra un timeline que permite labores de análisis forense más profundas y completas
Y algo que nos gusta mucho de Panda: una telemetría de la actividad de los procesos se envía a la nube de Panda para su clasificación, permitiendo detecciones de atacantes desconocidos y/o que comprometen aplicaciones confiables.
Dos herramientas de resolución de conflictos en ambos fabricantes: Sophos Cleaner y Cloud Cleaner. Son herramientas equivalentes para la reparación bajo demanda / offline de infecciones.
Intercept X mantiene una copia de todos los ficheros modificados por los procesos por si el proceso no ha sido aún identificado como malware, con su consecuente consumo de recursos en el equipo, tanto a nivel de rendimiento como de espacio.
Adaptive Defense es menos vulnerable ante el ransom ya que impide la ejecución de cualquier proceso desconocido o clasificado como maligno.
Tanto Sophos como Adaptive Defense evitan al usuario tener que realizar cualquier tipo de inversión en infraestructuras de seguridad, ya que todo el servicio se aloja en la nube.
Las consolas son de muy sencillo manejo y no requieren de personal técnico especializado (algo de agradecer y que, en cierta medida, ha supuesto un gran avance comercial para ambas compañías, haciendo que su solución sea atractiva en empresas que no cuentan con personal técnico informático).
La puesta en marcha es inmediata, con tiempos de instalación de aproximadamente 10-15 minutos por computadora.
En este aspecto, Panda ha puesto especial cuidado. Adaptive Defense es compatible con las plataformas Windows Workstation y server dominantes en el mercado, mientras que Intercept X no se instala en servidores Windows. El soporte en workstations Windows es algo más limitado para la solución de Sophos.
En lo referente a la integración con los SIEM corporativos ya existentes (soluciones que recopilan la información relacionada con la seguridad tanto del hardware de red como de aplicaciones y mediante su correlación o análisis en tiempo real generan diferentes eventos y alertas de seguridad), Panda permite su integración de manera amigable gracias a la generación de logs de la actividad de los procesos en los puestos. Estos logs son compatibles con la mayoría de los SIEMs de la industria.
Y aquí vuelve a ganar Panda. Aunque integrado en la consola común Sophos Cloud, Intercept X es una solución que funciona de forma independiente del resto de soluciones del fabricante, especialmente de su producto EPP Sophos Endpoint.
Adaptive Defense 360 implementa las tecnologías EPP tradicionales y EDR en forma de pipeline o secuencia de procesos por capas, que recogen los resultados de la capa anterior para procesarlos y enriquecerlos de forma progresiva.
Ésta ha sido nuestra comparativa Panda Adaptive Defense y Sophos Intercept X. Ambas compañías disponen de versiones gratuitas de prueba de su herramienta. ¿Os animáis a instalarlas? Probablemente os sorprenderéis de sus resultados.