Корпоративный антивирус против EDR: в чем разница?

По мере того, как развивались антивирусы, так же развивались вредоносные программы, то что ранее спасало теперь называется «устаревшим» антивирусом.

EDR или Endpoint Detection and Response - это современная замена антивирусным пакетам безопасности. На протяжении десятилетий организации и предприятия инвестировали в антивирусные пакеты в надежде решить проблемы корпоративной безопасности.

Производители решений для безопасности переосмыслили проблемы корпоративной безопасности и предложили новые решения под названием EDR. Сегодня мы рассмотрим чем EDR отличается от антивируса? Как и почему EDR более эффективен, чем AV? А что нужно для замены вашего антивируса на усовершенствованный EDR?

Чем EDR отличается от антивируса?

Чтобы адекватно защитить свой бизнес или организацию от угроз, важно понимать разницу между EDR и традиционным или «устаревшим» антивирусом. Эти два подхода к безопасности принципиально разные, и только один подходит для борьбы с современными угрозами.

Особенности антивируса

В те дни, когда количество новых вредоносных программ в день можно было удобно подсчитывать в электронной таблице, антивирус предлагал предприятиям средство блокировки известных вредоносных программ путем изучения или сканирования файлов по мере их записи на диск на компьютерном устройстве. Если бы файл был «известен» базе данных вредоносных файлов антивирусного сканера, программное обеспечение предотвратило бы выполнение вредоносного файла.

Традиционная антивирусная база данных состоит из набора сигнатур. Эти сигнатуры могут содержать хэши вредоносного файла или правила, которые содержат набор характеристик, которым должен соответствовать файл. Такие характеристики обычно включают такие вещи, как читаемые человеком строки или последовательности байтов, обнаруженные внутри исполняемого файла вредоносной программы, тип файла, размер файла и другие виды метаданных файла.

Некоторые антивирусные движки также могут выполнять примитивный эвристический анализ запущенных процессов и проверять целостность важных системных файлов. Это «постфактум» или проверки после заражения были добавлены ко многим антивирусным продуктам после того, как ежедневный поток новых образцов вредоносного ПО начал превосходить возможности поставщиков антивирусных программ поддерживать свои базы данных в актуальном состоянии.

В свете растущих угроз и снижения эффективности антивирусного подхода некоторые унаследованные поставщики пытались дополнить антивирус другими службами, такими как управление брандмауэром, шифрование данных, списки разрешенных и заблокированных процессов и другие инструменты «набора» антивирусов. Такие решения, обычно известные как «EPP» или платформы защиты конечных точек, по-прежнему основаны на подходе подписи.

Особенности EDR

В то время как все антивирусные решения сосредоточены на (потенциально вредоносных) файлах, которые вводятся в систему, EDR, напротив, фокусируется на сборе данных с конечной точки и проверке этих данных на наличие вредоносных или аномальных шаблонов в режиме реального времени. Как следует из названия, идея системы EDR заключается в обнаружении инфекции и инициировании ответных действий. Чем быстрее EDR сможет это сделать без вмешательства человека, тем эффективнее он будет.

Хороший EDR также будет включать в себя возможности блокировать вредоносные файлы, но, что важно, EDR учитывает, что не все современные атаки основаны на файлах. Более того, проактивные EDR предлагают группам безопасности важные функции, которых нет в антивирусе, включая автоматическое реагирование и глубокую видимость изменений файлов, создания процессов и сетевых подключений, произошедших на конечной точке: это жизненно важно для поиска угроз, реагирования на инциденты и цифровой криминалистики.

Подводные камни антивируса

Существует множество причин, по которым антивирусные решения не справляются с угрозами, с которыми сегодня сталкиваются предприятия. Во-первых, как указывалось выше, количество новых образцов вредоносных программ, наблюдаемых ежедневно, превышает количество, с которым может справиться любая команда разработчиков сигнатур.

Во-вторых, злоумышленники могут легко обойти обнаружение с помощью сигнатур антивируса, даже не переписывая свое вредоносное ПО. Поскольку сигнатуры сосредоточены только на нескольких характеристиках файлов, авторы вредоносных программ научились создавать вредоносные программы с изменяющимися характеристиками, также известные как полиморфные вредоносные программы. Например, хэши файлов - одни из самых простых для изменения характеристик файла, но внутренние строки также могут быть рандомизированы, запутаны и зашифрованы по-разному для каждой сборки вредоносного ПО.

В-третьих, финансово мотивированные субъекты угроз, такие как операторы программ-вымогателей, вышли за рамки простых атак вредоносного ПО на основе файлов. Атаки в памяти или без файлов стали обычным явлением, а атаки программ-вымогателей, управляемые человеком, такие как Hive, наряду с атаками с «двойным вымогательством», такими как Maze , Ryuk и другие, могут начинаться с взлома или перебора учетных данных или использования RCE ( удаленное выполнение кода), могут привести к компрометации и потере интеллектуальной собственности из-за кражи данных без запуска обнаружения на основе сигнатур антивируса.

Преимущества EDR

Благодаря своей ориентации на обеспечение прозрачности для групп безопасности предприятия, наряду с автоматическим реагированием на обнаружение, EDR гораздо лучше приспособлен для борьбы с сегодняшними участниками угроз и проблемами безопасности, которые они представляют.

Сосредоточившись на обнаружении необычной активности и предоставлении ответа, EDR не ограничивается только обнаружением известных файловых угроз. Напротив, основная ценность предложения EDR состоит в том, что угроза не требует точного определения, как это делается для антивирусных решений. Решение EDR может искать закономерности действий, которые являются неожиданными, необычными и нежелательными, и выдавать предупреждение, которое аналитик безопасности должен изучить.

Более того, поскольку EDR работают, собирая широкий спектр данных со всех защищенных конечных точек, они предлагают группам безопасности возможность визуализировать эти данные в одном удобном централизованном интерфейсе. ИТ-группы могут использовать эти данные и интегрировать их с другими инструментами для более глубокого анализа, помогая информировать об общем состоянии безопасности организации по мере ее продвижения к определению характера потенциальных будущих атак. Исчерпывающие данные из EDR также могут позволить ретроспективный поиск и анализ угроз.

Возможно, одним из самых больших преимуществ расширенного EDR является возможность получать эти данные, помещать их в контекст на устройстве и уменьшать угрозу без вмешательства человека. Однако не все EDR способны на это, поскольку многие полагаются на передачу данных EDR в облако для удаленного (и, следовательно, отложенного) анализа.

Как EDR дополняет антивирус

Несмотря на свои ограничения при развертывании отдельно или в составе решения EPP, антивирусные механизмы могут быть полезными дополнениями к решениям EDR, и большинство EDR будут содержать некоторый элемент сигнатурной и хэш-блокировки как часть стратегии «глубокой защиты». .

Включив антивирусные механизмы в более эффективное решение EDR, группы безопасности предприятия могут воспользоваться преимуществами простого блокирования известных вредоносных программ и объединить его с расширенными функциями, которые могут предложить EDR.

Избегайте тревожной усталости с помощью активного EDR

Как мы уже отмечали ранее, EDR обеспечивают безопасность предприятия, а ИТ-отделам обеспечивают глубокий обзор всех конечных точек в сети организации, что, в свою очередь, дает ряд преимуществ. Однако, несмотря на эти преимущества, многие решения EDR не имеют того воздействия, на которое надеялись группы безопасности предприятия, потому что для управления им требуется много человеческих ресурсов: ресурсы, которые часто недоступны из-за кадровых или бюджетных ограничений или недоступны из-за кибербезопасности. нехватка навыков.

Вместо того, чтобы наслаждаться большей безопасностью и меньшим объемом работы для своих ИТ-отделов и специалистов по безопасности, многие организации, инвестировавшие в EDR, просто обнаружили, что перераспределяют ресурсы с одной задачи безопасности на другую: от сортировки зараженных устройств до сортировки множества предупреждений EDR.

И все же так быть не должно . Возможно, наиболее ценным потенциалом EDR является его способность автономно устранять угрозы без необходимости вмешательства человека. Используя возможности машинного обучения и искусственного интеллекта, Active EDR снимает нагрузку с команды SOC и может автономно смягчать события на конечной точке, не полагаясь на облачные ресурсы.

Что означает Active EDR для вашей команды

Рассмотрим типичный сценарий: пользователь открывает вкладку в Google Chrome, загружает файл, который считает безопасным, и запускает его. Программа использует PowerShell для удаления локальных резервных копий, а затем начинает шифрование всех данных на диске.

Работа аналитика по безопасности, использующего пассивные решения EDR, может быть сложной . Заваленный предупреждениями, аналитик должен собрать данные в содержательную историю. При использовании Active EDR эта работа выполняется агентом на конечной точке. Active EDR знает всю историю, поэтому он смягчит эту угрозу во время выполнения, до того, как начнется шифрование.

Когда история смягчается, все элементы этой истории будут обработаны, вплоть до вкладки Chrome, которую пользователь открыл в браузере. Он работает, присваивая каждому из элементов истории один и тот же идентификатор сюжетной линии . Эти истории затем отправляются в консоль управления, что позволяет аналитикам безопасности и ИТ-администраторам отслеживать и легко отслеживать угрозы.

Повышение безопасности с помощью EDR

Когда мы увидим явные преимущества системы EDR перед антивирусом, что делать дальше? Выбор правильного EDR требует понимания потребностей вашей организации и возможностей предлагаемого продукта.

Также важно проводить тесты, но чтобы убедиться, что эти тесты применимы в реальном мире. Как этот продукт будет использоваться вашей командой в повседневной работе? Насколько легко научиться? Будет ли он по-прежнему защищать вашу компанию, когда какие-либо облачные сервисы, на которые она полагается, отключены или недоступны ?

Также важно рассмотреть вопрос о развертывании и развертывании. Можете ли вы автоматизировать развертывание в своем парке? А как насчет совместимости платформ? Придает ли выбранный вами поставщик одинаковое значение Windows, Linux и macOS? Каждая конечная точка должна быть защищена; Те, что остались позади, могут стать лазейкой в ​​вашей сети.

Затем подумайте об интеграции. Большинство организаций имеют сложный программный стек. Предлагает ли ваш поставщик мощную, но простую интеграцию для других услуг, на которые вы полагаетесь?

Более подробное руководство о том, как выбрать правильный EDR, можно найти в бесплатной электронной книге «Секреты оценки продуктов безопасности» .

Помимо EDR | XDR для максимальной видимости и интеграции

В то время как Active EDR - это следующий шаг для организаций, которым еще предстоит пройти мимо антивируса, предприятиям, которым требуется максимальная видимость и интеграция во всем своем имуществе, следует подумать о расширенном обнаружении и реагировании , или XDR.

XDR выводит EDR на новый уровень , интегрируя все средства контроля видимости и безопасности в полное целостное представление о том, что происходит в вашей среде. Благодаря единому пулу необработанных данных, содержащему информацию со всей экосистемы, XDR позволяет быстрее, глубже и эффективнее обнаруживать угрозы и реагировать на них, чем EDR, собирая и сопоставляя данные из более широкого диапазона источников.

Заключение

Злоумышленники давно вышли за рамки антивируса и EPP, и организациям необходимо учитывать, что такие продукты не могут противостоять угрозам, которые действуют сегодня. Даже беглый взгляд на заголовки показывает, насколько крупные неподготовленные организации становятся жертвами современных атак, таких как программы-вымогатели, даже несмотря на то, что они вложили средства в меры безопасности. На сегодняшний день лучшим решением EDR в мире считается антивирус от SentinelOne, который в этом году получил первое место по версии Gartner.

Расскажите об этом:

Подписаться на KM.RU в Telegram

Сообщить об ошибке на km.ru_new@mail.ru

Комментарии читателей Оставить комментарий

Выбор читателей
© KM.RU, Алексей Белкин
Николай Арефьев: «Мы пополняем бюджет за счет штрафов»
Алаудинов призвал ужесточить наказание за разжигание межнациональной розни
© KM.RU, Алексей Белкин
Баку передал СК России доказательства убийства азербайджанцев на Урале
«Грязный след Тимура Иванова». Кто украл воду Донбасса?
Избранное
Пригожин назвал отношения с Навальным «безответной любовью»
«Монгол Шуудан», 2 апреля, «Base»
Дальше мечты «На моем пути» (интернет-сингл)
«Ундервуд» вспомнил о съемках фильма «АССА» в Зеленом театре Парка Горького
Уголовное дело Толстоброва: рейдерский захват под прикрытием закона?
«В мире предвоенная ситуация. Война, жестокая и беспощадная, готова вспыхнуть в любой момент»
ЖКХ устроило Апокалипсис жителям нескольких районов Москвы
«Кипелов», 3 декабря, «Крокус Сити Холл»
Скелет кита «Открытая дверь» (интернет-сингл в двух версиях)
«Моральный кодекс», 18 мая, Lustra Bar
Манекены «Постмодерн» (интернет-сингл)
официальный сайт © ООО «КМ онлайн», 1999-2025 О проекте ·Все проекты ·Выходные данные ·Контакты ·Реклама
]]>
]]> 		Сетевое издание KM.RU. Свидетельство о регистрации Эл № ФС 77 – 41842.
Мнения авторов опубликованных материалов могут не совпадать с позицией редакции.

Мультипортал KM.RU: актуальные новости, авторские материалы, блоги и комментарии, фото- и видеорепортажи, почта, энциклопедии, погода, доллар, евро, рефераты, телепрограмма, развлечения.

Карта сайта


Подписывайтесь на наш Telegram-канал и будьте в курсе последних событий.


Организации, запрещенные на территории Российской Федерации