Россия
EDR vs корпоративный антивирус: главные отличия
15 Декабря 2021
На сегодняшний день Endpoint Detection and Response (EDR) заменяет стандартные антивирусы. Десятилетиями бизнес вкладывал в антивирусную защиту немалые ресурсы для обеспечения корпоративной безопасности. Вредоносные программы с каждым годом совершенствуются, становятся все изощренней, и классические антивирусы утрачивают способность противостоять продвинутым угрозам.
В этой ситуации производители ПО предложили предприятиям и организациям современные методы киберзащиты. Какие основные отличия EDR и антивируса, почему эффективность EDR существенно превышает AV, что необходимо для перехода с антивируса на улучшенный EDR? Ответы на эти вопросы, и другую полезную информацию читайте в нашем материале.
Основные отличия EDR от антивируса
Подходы кардинально разные и для ликвидации современных угроз один из них является наиболее оптимальным.
Специфические характеристики антивируса
В прошлые времена подсчет количества вредоносов можно было произвести в электронных таблицах. Антивирусные системы предлагали организациям инструменты блокировки угроз посредством анализа или сканирования файлов в течение того, как данные записывались на компьютерный диск. В случае «считывания» файла антивирусным сканером, программа произвела бы устранение вредоносной опасности.
Традиционные антивирусы – комплекс из совокупности сигнатур. В этих сигнатурах могут содержаться хэши вредоноса или условия с определенными характеристиками под соответствующий файл. Под характеристиками имеется ввиду текстовая информация, очередность байтов, тип, размер файла и прочие метаданные.
Антивирусные программы могут проводить простейший эвристический анализ запущенных операций, также с их помощью контролируется целостность ключевых системных файлов. Со стремительным увеличением вредоносного программного обеспечения в какой-то момент антивирусы стали не справляться со своей задачей. Для нормализации процесса был внедрен анализ после заражения (post factum).
В условиях роста угроз и уменьшения эффекта от использования антивирусной защиты некоторые производители делали попытки добавить дополнительные службы (управление брандмауэром, кодирование данных, перечень с разрешенными и заблокированными процессами и пр.) Эти технологии называются EPP или платформы защиты конечных точек и базируются на методе подписи.
В чем уникальность технологии EDR
Если в антивирусах фокус сосредоточен на файлах, представляющих угрозу, основная задача EDR – сбор информации с конечной точки, анализ данных на факт присутствия вредоносных и дефективных моделей в режиме realtime. С помощью EDR обнаруживается угроза и предпринимаются меры по устранению заражения. От быстрого реагирования EDR без человеческого влияния зависит эффективность процесса.
Качественный EDR сможет заблокировать файлы-вредоносы, эта система работает с учетом того, что все атаки являются файловыми. Продвинутые EDR содержат мощный функционал, которого нет в стандартных антивирусах – автоматическое реагирование, детальная видимость модификации файлов, формирование сетевых подключений на конечной точке. Такие процессы очень важны для цифровой криминалистики, поиска опасностей, ответа на инциденты.
Ключевые недостатки антивируса
Почему же антивирусы бессильны против множества угроз в бизнес-среде. Как выше упоминалось, новых моделей вредоносного ПО ежедневно настолько много, что с таким количеством не справляется даже многочисленная команда производителей сигнатур.
К тому же, злоумышленники используют обходные пути выявления через сигнатуры антивирусной системы без изменения вредоносной программы. Как известно, сигнатуры концентрируются не на всех характеристиках файлов, поэтому хакеры создают ПО с гибкими характеристиками, они называются полиморфные вредоносы.
Для примера, файловый хэш – это простейшая характеристика, которую можно изменить, при этом не исключено, что внутренние строки построены случайным образом, закодированы разным способом для конкретной сборки вредоносной программы. Операторы вредоносного ПО, которым выплачивают финансовую мотивацию, придумывают сложные уровни атак на базе файлов.
Бесфайловые или скрытые атаки обрели популярность, программы, управляемые человеческими ресурсами, например Hive, кроме «двойного вымогательства» (Maze, Ryuk) начинают свое действие взломом, попытками входа в учетные записи, используя дистанционный вариант выполнения кода. Эти действия чреваты потерей интеллектуальных данных вследствие кражи без старта обнаружения антивирусных сигнатур.
Какие преимущества платформы EDR
Система EDR ориентирована на прозрачность в обеспечении безопасности компании. Она включает автоматическое реагирование на выявление угроз, имеет лучшую приспособленность в борьбе с современными проблемами и угрозами. EDR сосредоточена на нестандартных активностях и реагировании, а не только на выявлении файловых опасностей. Важное преимущество EDR – это то, что угрозу не нужно точно определять, как это реализовано в антивирусах. Платформа занимается поиском закономерностей в неожиданных, нестандартных действиях и выдает предупреждения, которые в дальнейшем специалист по безопасности изучает.
Принцип работы EDR заключается в сборе данных со всех устройств, а после происходит визуализация результатов в едином интерфейсе.
ИТ-аналитики могут объединять эту информацию с другими программами для проведения подробного анализа. Отчет покажет общий уровень безопасности на предприятии, на основании данных можно провести ретроспективный поиск и проанализировать угрозы.
Расширенный EDR помогает найти такие данные, разместить их в последовательность на устройстве, снизить риск некорректного влияния человеческих ресурсов. Следует отметить, что некоторые EDR не могут производить такие действия, они рассчитывают на передачу данных в облачное пространство для проведения удаленного анализа.
EDR, как дополнение к антивирусу
Хоть и антивирусы имеют низкую эффективность во время развертывания обособленно или являясь частью EPP, все же они полезны, как дополняющая система к EDR. И в этом случае в платформах EDR будет элемент сигнатуры и блокировки хэш в качестве «расширенной защиты».
Антивирусы и решения EDR в комплексе способны блокировать вредоносные программы, используя полный функционал платформ EDR.
Active EDR разгружает работу команды SOC
Как было уже отмечено, EDR помогает в сохранении безопасности компании, сотрудникам IT-служб предоставляется возможность полного обзора конечных точек внутри сети. Но независимо от этих преимуществ платформы EDR не всегда оправдывают доверие подразделений безопасности. Ведь нужны достаточные человеческие ресурсы, которых часто не хватает в силу кадровых или бюджетных политик, или просто по причине недостаточности знаний и навыков в сфере кибербезопасности.
Многие компании, инвестировав в EDR, поняли, что занимаются перераспределением ресурсов в рамках разных задач – будь то сортировка инфицированных устройств, или сортировка предостережений EDR. Это затратная работа для специалистов по безопасности.
В этой связи полезная функция EDR – автономное устранение угроз без подключения человеческих ресурсов. Машинное обучение, искусственный интеллект позволяют Active EDR разгружать отделы SOC с возможностью смягчения инцидентов на конечной точке, не рассчитывая на облачные инструменты.
Какое влияние оказывает Active EDR для Вашей компании
По стандартной схеме пользователь во вкладке в Google Chrome запускает, по его мнению, безопасный файл. Программа применяет PowerShell для очистки резервных копий и шифрует все данные на дисковом носителе.
IT-аналитик, который использует пассивный EDR, может столкнуться со сложностями в работе. Огромное количество предупреждений специалист по безопасности вынужден свести в структурировано- упорядоченную историю. С Active EDR всю эту работу делает агент на конечной точке. Active EDR известна вся история, он ослабит угрозу до начала шифрования. В этот момент все составляющие истории обработаются, в том числе вкладка Chrome, открытая в браузере.
Принцип работы EDR заключается в том, что каждому параметру присваивается одинаковый идентификатор. Истории в последующем перемещаются в консоль чтобы аналитики и специалисты по безопасности отслеживали угрозы.
EDR, как эффективное средство для повышения безопасности
Выбор платформы EDR определяется потребностями Вашей компании и возможностями конкретного продукта. Хорошо работает тестирование. Важно ответить на несколько вопросов. Как эту систему будут использовать Ваши специалисты? Легко ли будет обучиться? Получите ли прежний уровень защиты при отключенных или неактивных облачных сервисах? Не менее важен вопрос развертывания. Есть ли у Вас возможность автоматизировать развертывание? Обратите внимание на то, обеспечена ли совместимость EDR с разными ОС Windows, Linux и macOS. При выборе производителя узнайте, предлагает ли он интеграцию с другими услугами, ведь программное обеспечение у всех предприятий может быть довольно сложное. На данный лучшим решением EDR является SentinelOne.
Платформа XDR, как дополняющий EDR инструмент для прозрачной видимости в кибербезопасности
XDR – расширенное обнаружение и реагирование на всех уровнях с максимальной прозрачностью. Благодаря XDR платформа EDR выводится на новый уровень, объединяя инструменты контроля видимости и безопасность, появляется целостная определенность о состоянии Вашей защиты.
Централизованный фонд с необработанными данными из всей экосистемы позволит XDR проводить быстрое, детальное, эффективное обнаружение угроз и реагирование по сравнению с EDR. Данные собираются и сопоставляются из большего количества источников.
Заключение
На сегодняшний день злоумышленники обходят классические антивирусные программы, EPP, поэтому предприятиям стоит задуматься о более надежных средствах защиты. Жертвы современных атак – это организации разного масштаба, в том числе крупные компании, потратившие немалые деньги на обеспечение своей безопасности.
В интернет-магазине «Софтлист» Вы можете приобрести программные решения для защиты Вашего бизнеса по выгодным ценам.