Як захистити кінцеві пристрої користувачів. Чи повинні антивіруси вже йти на пенсію і поступатися місцем системам EDR? Або ж антивірус має бути наріжним каменем сучасних систем безпеки?
В епоху зростаючої кількості кібератак забезпечення високого рівня кібербезпеки ІТ-систем не дає спати ночами багатьом ІТ-адміністраторам та директорам. Багато організацій не можуть дозволити собі створити та утримувати власний відділ кібербезпеки, а створення ІТ-відділу, який би займався цими питаннями, призводить до перевантаження.
Зі збільшенням кількості загроз зростає і обізнаність про атаки та доступні на ринку рішення, які можуть захистити користувачів від наслідків атак.
У цьому матеріалі ми розглядаємо питання захисту кінцевих пристроїв – настільних комп'ютерів і ноутбуків, що використовуються в організаціях. Ми пояснюємо різницю між антивірусом та EDR і пояснюємо, яке рішення є правильним вибором у 2023 році.
Як виглядає антивірус сьогодні?
Слово "антивірус" асоціюється практично з кожним інтернаціоналом. У більшості кінцевих користувачів антивірус викликає принизливі емоції. Ще кілька років тому – в епоху комп'ютерів з жорсткими дисками – антивіруси негативно впливали на швидкість роботи пристроїв і могли викликати проблеми під час використання. Сьогодні це залишилося в минулому, і переважна більшість працівників організації навіть не здогадуються, що працюють на комп'ютері з антивірусним програмним забезпеченням.
Антивірус – це комп'ютерна програма, завданням якої є виявлення, боротьба, видалення та ізоляція комп'ютерних вірусів та інших видів загроз.
Антивірусне програмне забезпечення сканує операційну систему, програми та дані користувача в пошуках відомих антивірусам загроз, таких як трояни, програми-вимагачі або шкідливі програми. При виявленні такого програмного забезпечення антивірус автоматично запускає процедуру його ізоляції від решти операційної системи, а потім безпечного видалення.
Антивірус – це пасивна система безпеки, яка реагує лише на відомі загрози, передбачені виробником у сигнатурах безпеки. Сигнатури безпеки є інструкцією та базою даних для антивірусного програмного забезпечення – вони вчать його, які загрози слід шукати у файлах, доступних на диску.
В даний час більшість антивірусних програм, доступних на ринку, є NGAV (Next Generation AntiVirus – антивірус нового покоління). Антивірусне програмне забезпечення нового покоління використовує переваги машинного навчання та штучного інтелекту для своєї роботи. Таким чином, програмне забезпечення може виявляти загрози, яких немає в поточних сигнатурах безпеки, на основі схожості з відомими типами вірусів. NGAV також захищає користувача від виявлення атак нульового дня та безфайлових загроз.
Які характеристики системи EDR?
EDR розшифровується як Endpoint Detection and Response. Як випливає з назви, це система виявлення та реагування на кінцеві точки. Її принцип роботи відрізняється від принципу роботи антивірусу.
EDR – це централізована система, призначена для забезпечення безпеки кінцевих пристроїв, розташованих в ІТ-інфраструктурі організації. Цей тип програмного забезпечення не тільки забезпечує безпеку, але й значно полегшує роботу всіх співробітників, задіяних у захисті комп'ютерної техніки.
Endpoint Detection and Response – це програмне забезпечення, яке базується на моніторингу поведінки користувачів, операційної системи та даних в ній в режимі реального часу. Моніторинг призначений для того, щоб навчити систему поведінки, яка є типовою для пристрою та його користувача. На відміну від антивірусу, EDR не базується на підписі даних. Система збирає та аналізує дані, щоб виявити типові моделі використання.
Після того, як шаблон поведінки користувача встановлено, система здатна негайно виявити аномалії в поведінці операційної системи, наприклад, раптове видалення декількох файлів або запуск процесу шифрування даних. Такі дії для антивірусу не є чимось підозрілим, доки не з'являється відома загроза. EDR, з іншого боку, здатний автоматично реагувати на невідому і незвичну загрозу, ізолюючи операційну систему та її окремі компоненти і інформуючи про інцидент ІТ-відділ.
У більшості випадків, незважаючи на різний дизайн і принцип роботи, антивірус і EDR виконують дуже схожі завдання. Різниця полягає в ступені незалежності. Антивірус – це реактивне програмне забезпечення, яке працює на основі наданих йому даних, які повинні бути належним чином підготовлені заздалегідь, тоді як EDR використовує штучний інтелект і машинне навчання, щоб діяти на випередження – виявляти нові аномалії в режимі реального часу і виправляти їх.
Антивірус все ще залишається важливим інструментом безпеки, але сьогодні його вже недостатньо
Антивірус ще довго залишатиметься важливим інструментом для захисту комп'ютерів приватних осіб і пристроїв, що належать організаціям. Однак варто пам'ятати, що він вже не забезпечує такого високого рівня захисту, як ще кілька років тому.
Традиційне виявлення загроз на основі сигнатур вже не є ефективним для виявлення сучасного шкідливого програмного забезпечення через його швидку еволюцію та використання унікальних загроз для кібератак. Крім того, творці шкідливих програм використовують різні методи, такі як безфайлові шкідливі програми, щоб уникнути виявлення антивірусними рішеннями.
Ефективне виявлення сучасних загроз безпеці кінцевих точок наразі вимагає більш якісної інформації та контексту, ніж це доступно антивірусам. Системи EDR інтегрують цілий ряд функцій безпеки, що дозволяє виявляти аномальну поведінку. Крім того, можливості реагування, що надаються EDR, дозволяють аналітикам з безпеки швидше вживати заходів для вирішення потенційних інцидентів безпеки, зменшуючи вплив атаки.
Експерти з кібербезпеки не рекомендують відмовлятися від антивірусів на користь рішень типу EDR. Вони рекомендують використовувати антивірусне програмне забезпечення в тандемі з додатковим елементом, таким як EDR-система.
