Как защитить конечные устройства пользователей. Должны ли антивирусы уже уходить на пенсию и уступать место системам EDR? Или же антивирус должен быть краеугольным камнем современных систем безопасности?
В эпоху растущего количества кибератак обеспечение высокого уровня кибербезопасности ИТ-систем не дает спать по ночам многим ИТ-администраторам и директорам. Многие организации не могут позволить себе создать и содержать собственный отдел кибербезопасности, а создание ИТ-отдела, который бы занимался этими вопросами, приводит к перегрузке.
С увеличением количества угроз растет и осведомленность об атаках и доступные на рынке решения, которые могут защитить пользователей от последствий атак.
В этом материале мы рассматриваем вопросы защиты конечных устройств – настольных компьютеров и ноутбуков, используемых в организациях. Мы объясняем разницу между антивирусом и EDR и объясняем, какое решение является правильным выбором в 2023 году.
Как выглядит антивирус сегодня?
Слово "антивирус" ассоциируется практически с каждым интернационалом. У большинства конечных пользователей антивирус вызывает унизительные эмоции. Еще несколько лет назад - в эпоху компьютеров с жесткими дисками – антивирусы негативно влияли на скорость работы устройств и могли вызвать проблемы во время использования. Сегодня это осталось в прошлом, и подавляющее большинство работников организации даже не догадываются, что работают на компьютере с антивирусным программным обеспечением.
Антивирус – это компьютерная программа, задачей которой является обнаружение, борьба, удаление и изоляция компьютерных вирусов и других видов угроз.
Антивирусное программное обеспечение сканирует операционную систему, приложения и данные пользователя в поисках известных антивирусам угроз, таких как трояны, программы-вымогатели или вредоносные программы. При обнаружении такого программного обеспечения антивирус автоматически запускает процедуру его изоляции от остальной операционной системы, а затем безопасного удаления.
Антивирус – это пассивная система безопасности, которая реагирует только на известные угрозы, предсказанные производителем в сигнатурах безопасности. Сигнатуры безопасности являются инструкцией и базой данных для антивирусного программного обеспечения – они учат его, какие угрозы следует искать в файлах, доступных на диске.
В настоящее время большинство антивирусных программ, доступных на рынке, являются NGAV (Next Generation AntiVirus – антивирус нового поколения). Антивирусное программное обеспечение нового поколения использует преимущества машинного обучения и искусственного интеллекта для своей работы. Таким образом, программное обеспечение может обнаруживать угрозы, которых нет в текущих сигнатурах безопасности, на основе сходства с известными типами вирусов. NGAV также защищает пользователя от обнаружения атак нулевого дня и безфайловых угроз.
Какие характеристики системы EDR?
EDR расшифровывается как Endpoint Detection and Response. Как следует из названия, это система обнаружения и реагирования на конечные точки. Ее принцип работы отличается от принципа работы антивируса.
EDR – это централизованная система, предназначенная для обеспечения безопасности конечных устройств, расположенных в ИТ-инфраструктуре организации. Этот тип программного обеспечения не только обеспечивает безопасность, но и значительно облегчает работу всех сотрудников, задействованных в защите компьютерной техники.
Endpoint Detection and Response – это программное обеспечение, основанное на мониторинге поведения пользователей, операционной системы и данных в ней в режиме реального времени. Мониторинг предназначен для того, чтобы научить систему поведению, которое является типичным для устройства и его пользователя. В отличие от антивируса, EDR не основан на подписи данных. Система собирает и анализирует данные, чтобы выявить типичные модели использования.
После того, как шаблон поведения пользователя установлен, система способна немедленно обнаружить аномалии в поведении операционной системы, например, внезапное удаление нескольких файлов или запуск процесса шифрования данных. Такие действия для антивируса не являются чем-то подозрительным, пока не появляется известная угроза. EDR, с другой стороны, способен автоматически реагировать на неизвестную и необычную угрозу, изолируя операционную систему и ее отдельные компоненты и информируя об инциденте ИТ-отдел.
В большинстве случаев, несмотря на разный дизайн и принцип работы, антивирус и EDR выполняют очень похожие задачи. Разница заключается в степени независимости. Антивирус – это реактивное программное обеспечение, которое работает на основе предоставленных ему данных, которые должны быть должным образом подготовлены заранее, тогда как EDR использует искусственный интеллект и машинное обучение, чтобы действовать на опережение – обнаруживать новые аномалии в режиме реального времени и исправлять их.
Антивирус все еще остается важным инструментом безопасности, но сегодня его уже недостаточно
Антивирус еще долго будет оставаться важным инструментом для защиты компьютеров частных лиц и устройств, принадлежащих организациям. Однако стоит помнить, что он уже не обеспечивает такого высокого уровня защиты, как еще несколько лет назад.
Традиционное обнаружение угроз на основе сигнатур уже не является эффективным для обнаружения современного вредоносного программного обеспечения из-за его быстрой эволюции и использования уникальных угроз для кибератак. Кроме того, создатели вредоносных программ используют различные методы, такие как безфайловые вредоносные программы, чтобы избежать обнаружения антивирусными решениями.
Эффективное выявление современных угроз безопасности конечных точек сейчас требует более качественной информации и контекста, чем это доступно антивирусам. Системы EDR интегрируют целый ряд функций безопасности, что позволяет выявлять аномальное поведение. Кроме того, возможности реагирования, предоставляемые EDR, позволяют аналитикам по безопасности быстрее принимать меры для решения потенциальных инцидентов безопасности, уменьшая влияние атаки.
Эксперты по кибербезопасности не рекомендуют отказываться от антивирусов в пользу решений типа EDR. Они рекомендуют использовать антивирусное программное обеспечение в тандеме с дополнительным элементом, таким как EDR-система.
