INDEX.PHP: Антивирус или EDR: что следует выбрать для организации в 2024 году?
Endpoint Detection and Response (EDR) — это современная замена антивирусам. На протяжении десятилетий организации инвестировали в антивирусные программы в надежде решить проблемы корпоративной безопасности. Но сложность и распространенность вредоносных программ возросла, поэтому недостатки антивирусов стали слишком очевидными.
В ответ на это производители переосмыслили вызовы корпоративной безопасности и предложили новые решения. Чем EDR отличается от антивируса? Почему EDR эффективнее антивируса? И что нужно сделать, чтобы заменить антивирус на современный EDR? Ответы на эти вопросы вы найдете в этой статье.
Чем EDR отличается от антивируса?
Чтобы адекватно защитить свой бизнес от угроз, важно понимать разницу между EDR и традиционным антивирусом. Эти два подхода к безопасности принципиально отличаются, и только один из них подходит для борьбы с современными угрозами.
Возможности антивирусов
Когда количество новых вирусов за день можно было подсчитать в электронной таблице, антивирусы блокировали известные вредоносные программы путем сканирования файлов во время их записи на диск компьютера. Если файл был «известен» базе данных антивируса, программа не позволяла ему выполняться.
Антивирусная база данных состоит из набора сигнатур. Они могут содержать хеши файла вируса и/или характеристики, которым должен соответствовать файл. Такие характеристики имеют читаемые человеком строки или последовательности байтов, имеющиеся в исполняемом файле вируса, а также тип этого файла, размер и другие виды метаданных.
Некоторые антивирусы также могут выполнять примитивный эвристический анализ запущенных процессов и проверять целостность важных системных файлов. Такие проверки после вероятного заражения системы добавили, когда новых образцов вирусов становилось больше, чем производители антивирусов успевали включать их в базы данных.
Из-за снижения эффективности антивирусов некоторые производители дополняют их другими услугами, такими как управление фаерволом, шифрование данных, списки разрешенных и заблокированных процессов и тому подобное. Такие решения известны как платформы защиты конечных точек (Endpoint Protection Platform, EPP) и также базируются на подходе, основанном на сигнатурах.
Возможности EDR
Антивирусы в основном защищают системы от записи на них потенциально вредоносных файлов. Зато EDR собирает данные с конечной точки и исследует их на наличие вредоносных или аномальных шаблонов событий в режиме реального времени. Сама идея EDR заключается в обнаружении заражения конечной точки и реагировании на угрозы. Чем быстрее EDR может сделать это без вмешательства человека, тем эффективнее оно будет.
Хорошее EDR также блокирует вредоносные файлы, но и обнаруживает современные безфайловые атаки. Проактивное EDR тоже автоматически реагирует и обеспечивает видимость любых изменений файлов, создания процессов и сетевых соединений на конечной точке, что важно в ходе проведения расследований инцидентов.
Проблемы антивирусов
Во-первых, любая команда исследователей сигнатур не успевает за количеством новых вирусов и методов атак, появляющихся ежедневно.
Антивирусы не могут обнаружить большинство угроз, поэтому компании сталкиваются с теми, которые они пропускают.
Во-вторых, злоумышленники могут легко обойти обнаружение с помощью сигнатур. Сигнатуры сосредотачиваются на нескольких характеристиках файлов, поэтому авторы вирусов создают их с переменными (полиморфными) характеристиками. Например, изменить хэши файлов является самой простой задачей, но дополнительно и внутренние метаданные также могут быть рандомизированы, обфусцированы или зашифрованы по-разному с каждой новой версией.
В-третьих, разработчики программ-вымогателей вышли за рамки файловых атак. Распространенными стали атаки в памяти, бесфайловые атаки, управляемые человеком атаки (Hive) или же атаки двойного вымогательства (Maze, Ryuk). Они могут начинаться со взлома учетных данных или использования уязвимостей RCE (remote code execution, удаленного выполнения кода). Происходят утечки данных, но антивирус не реагирует на данные угрозы, ведь проверка сигнатур не выявила ничего вредоносного.
Преимущества EDR
EDR сосредотачивается на обеспечении видимости для команд безопасности и автоматическом реагировании на угрозы, поэтому гораздо лучше справляется с современными угрозами.
EDR не ограничивается только обнаружением известных файловых угроз. Наоборот, основная ценность заключается в том, что угроза не должна быть точно определена: решение ищет неожиданные, аномальные и нежелательные шаблоны активности на конечной точке и генерирует оповещения, которые аналитик безопасности должен исследовать.
Поскольку EDR собирают широкий спектр данных со всех защищенных конечных точек, команды безопасности могут визуализировать их и проводить аналитику в унифицированном интерфейсе. Также данные можно интегрировать с другими инструментами для более глубокого анализа, дальнейшего информирования об общем состоянии безопасности и ретроспективного поиска и анализа угроз.
Продвинутые EDR могут получить эти данные, контекстуализировать их на устройстве и уменьшить угрозу без вмешательства человека. Но так могут не все: если данные передаются через облако для удаленного анализа, он становится отложенным.
Как EDR дополняет антивирус
Антивирусные механизмы могут дополнить EDR, и большинство из них содержат элементы блокировки на основе сигнатур и хешей как часть стратегии «глубокой защиты». Так команды безопасности организации могут воспользоваться преимуществами блокировки уже известного вредоносного ПО.
Active EDR: как избежать лавины из уведомлений
EDR предоставляют глубокую видимость всех конечных точек в сети, однако многие решения не дают того эффекта, на который надеялись команды безопасности. Они требуют значительных человеческих ресурсов для управления, которые часто недоступны из-за кадровых/бюджетных ограничений или недостижимы из-за нехватки навыков.
Многие организации, инвестировавшие в EDR, просто перераспределяют ресурсы с одной задачи безопасности на другую: вместо сортировки зараженных устройств приходится просматривать горы оповещений.
Но так не должно быть: EDR может автономно уменьшать угрозы без необходимости вмешательства человека. Используя AI/ML, Active EDR снимает нагрузку с команды SOC и может автономно устранить вредоносную активность на конечной точке, не полагаясь на облачные ресурсы.
Это означает, что угрозы устраняются быстрее, чем это сделал бы человек самостоятельно и обезвреживаются без участия специалиста.
Что Active EDR дает вашей команде
Рассмотрим типичный сценарий: пользователь открывает вкладку в Google Chrome, загружает, по его мнению, безопасный файл и запускает его. Программа использует PowerShell для удаления локальных резервных копий, а затем начинает шифровать все данные на диске.
Заваленный оповещениями аналитик должен собрать данные в целостную историю. С Active EDR эту работу выполняет агент на конечной точке. Active EDR знает полную хронологию событий, поэтому оно устраняет эту угрозу во время ее выполнения, еще до начала шифрования.
Когда атака будет минимизирована, все элементы ее хронологии событий будут защищены, вплоть до вкладки Chrome, которую пользователь открыл в браузере. Это работает благодаря тому, что каждому элементу присваивается одинаковый идентификатор Storyline ID. Затем сформированные в цепочки элементы отправляются в консоль управления, что позволяет аналитикам и администраторам легко отслеживать угрозы.
Как повысить уровень безопасности с помощью EDR
Выбор правильного EDR требует понимания потребностей организации и возможностей продукта.
Важно провести тесты и убедиться, что они имеют реальное применение. Как продукт будет использоваться вашей командой в повседневной работе? Насколько легко его освоить? Будет ли он защищать вашу компанию, если облачные сервисы поставщика EDR будут отключены или недоступны?
Важно также учитывать развертывание и внедрение. Можете ли вы автоматизировать развертывание на всей сети? Как насчет совместимости платформ? Уделяет ли выбранный вами поставщик одинаковое внимание Windows, Linux и macOS? Каждая конечная точка должна быть защищена: оставленные без внимания создают бэкдор в вашу сеть.
Далее нужно подумать об интеграции: большинство организаций имеют сложный стек программ. Предлагает ли ваш поставщик мощную, но простую интеграцию для других ваших сервисов?
XDR для максимальной видимости и интеграции
Active EDR является следующим шагом после антивирусов. А предприятиям, которые нуждаются в максимальной видимости и интеграции везде, подойдет расширенное обнаружение и реагирование (Extended Detection and Response, XDR).
XDR выводит EDR на новый уровень защиты благодаря интеграции всех решений контроля видимости и безопасности в полное целостное представление о том, что происходит в вашей среде. Благодаря единому пулу телеметрии, включающему информацию со всей экосистемы, XDR позволяет быстрее, глубже и эффективнее выявлять угрозы и реагировать на них, собирая и сопоставляя данные из более широкого спектра источников.
SentinelOne Singularity XDR
Узнайте, как SentinelOne обеспечивает сквозную видимость организации, мощную аналитику и автоматизированное реагирование на весь стек технологий.
Вывод
Злоумышленники уже давно вышли за рамки антивирусов и EPP, поэтому такие продукты не способны противостоять активным угрозам настоящего времени. Даже беглый взгляд на заголовки новостей показывает, как крупные, но неподготовленные организации становятся жертвами современных атак, несмотря на инвестиции в средства кибербезопасности. На нас лежит ответственность за то, чтобы наши программы для защиты были пригодным для сегодняшних и будущих угроз.
Если вы хотите узнать больше о том, как SentinelOne может обеспечить расширенную защиту для вашей организации, свяжитесь с нами по этой ссылке.