TECNOVIRUS.- Entre marzo y abril de 2012 AV-Test realizó una comparación entre 2 soluciones de seguridad para protección de ambientes virtuales con el propósito de analizar sus capacidades para proteger contra el malware. Los productos estudiados fueron Kaspersky Security for Virtualization y Trend Micro Deep Security, en cinco pruebas distintas.
La primera fue una prueba real con 36 muesras de URLs maliciosas. La segunda fue una prueba de detección dinámica con cinco muestras. La tercera era una prueba de detección estática con 141.290 muestras, mientras que la cuarta fue de falsos positivos. Para finalizar, la quinta determinó el impacto en el desempeño del sistema mientras se usaban los productos.
Para realizar las pruebas, se crearon dos ambientes VMware ESXi en servidores idénticos. El software de seguridad empleó VMware vShield para proteger las máquinas virtuales, las cuales a su vez corrían Windows XP con las actualizaciones y Service Pack mas recientes. En el caso de las pruebas “Mundo Real” y “Dinámica” las muestras fueron ejecutadas y cada detección por parte del software de seguridad fue anotada. Adicionalmente, el estado resultante del sistema fue comparado con el estado original antes de la prueba para determinar si el ataque había sido bloqueado exitosamente o no. En el caso de la prueba “Estática”, los productos tuvieron que escanear una set de 141.290 archivos maliciosos. El producto Trend Micro fue probado con y sin “reputación de archivos y web” (en la nube), lo cual mostró una diferencia significativa en sus índices de detección.
Mundo Real
La prueba del “Mundo Real” mostró que Kaspersky usa únicamente detección basada en firmas mientras que Trend Micro es capaz de bloquear URLs completas con su técnica “Web Reputation”. Debido a sus altos índices de detección y sus cortos tiempos de respuesta ante nuevo malware, Kaspersky fue capaz de bloquear 30 de 36 archivos maliciosos, los cuales fueron descargados desde la red (otra muestra fue bloqueada parcialmente). Trend Micro fue capaz de bloquear 24 URLs con su motor “Web Reputation”, lo que significa que el usuario no fue capaz de descargar los archivos maliciosos. Aún así, cuando el archivo logró ser descargado, el software detectó únicamente 15 archivos. En resumen, Trend Micro logró bloquear 27 muestras.
Detección Estática
Las pruebas de detección estática mostraron que Kaspersky y Trend Micro se encuentran en un nivel similar mientras se mantenga activado el “file reputation” en este último. La opción “default” está disponible solamente en modo “agentes”. Debido a que nuestro setup en los ambientes no empleaba el ”agente”, comprobamos ambas opciones para mostrar las diferencias.
Detección Dinamica
La próxima prueba determinó la detección de malware nuevo y desconocido a través de métodos de detección dinámica. Estos son archivos que no son detectados a través del proceso estático. Kaspersky fue capaz de detectar y bloquear una de cinco muestras y Trend Micro logró detectar dos, pero no bloqueó ninguna. Quedó mas que claro que tanto Kaspersky como Trend Micro usan métodos de detección dinámica en su configuración.
Los productos pueden ser configurados con un agente en cada máquina virtual, en el caso de Kaspersky siendo el agente un cliente normal de Kaspersky Ednpoint Security. Si un agente es instalado, logra ser capaz de realizar análisis basados en comportamiento de malware y por ende, los índices de detección se incrementarían. Depende entonces de las necesidades de la compañía el usar un setup con o sin agente. El setup sin agente requerirá menos recursos por máquina virtual y por consiguiente un mayor número de máquinas pueden correr en un solo host.
Falsos Positivos
La prueba de Falsos Positivos incluyó el escaneo de dos sets de archivos estáticos y la instalación de 20 aplicaciones “limpias” y dinámicas. El primer set constó de 11.604 archivos provenientes de distintas instalaciones y detecciones en Windows y Office, las cuales por consiguiente son críticas. Ambos productos no mostraron falsos positivos detectados en este set. El segundo set contuvo toda clase de archivos provenientes de programas populares, los cuales fueron descargados desde sitios web de envergadura. El número total de estos archivos “menos críticos” fue de 231.872. De nuevo Kaspersky no mostró falsos positivos detectados, mientras que Trend Micro si lo hizo con dos archivos. Debido al tamaño del set, ambas cifras son muy buenas.
Desempeño
La prueba de desempeño midió varias operaciones sintéticas I/O como crear y abrir archivos así como el uso real de escenarios como descarga de archivos y correr aplicaciones. Este ciclo fue repetido 7 veces. El gráfico muestra el tiempo average total para cada operación específica del mundo real, no sintética.
Finalmente podemos decir que Kaspersky tiene el mejor performance, pero comparado con la referencia el mismo Kaspersky necesita mas del doble de tiempo para copiar un set de archivos, que pesa 3.4GB en total. El mayor impacto puede ser visto cuando Trend Micro instala aplicaciones. La prueba nos muestra un impacto notable en el desempeño de ambas soluciones de seguridad para el copiado de archivos dentro de una máquina virtual, al igual que la instalación de aplicaciones. Aun así, tales operaciones dentro de un ambiente virtual en el mundo real serían muy escasas.
Fuente: Kaspersky Lab.
