EDR vs. antivírus corporativo: Qual é a diferença?
In eigener Sache
EDR, ou Endpoint Detection and Response, é um substituto moderno para conjuntos de segurança antivírus. Durante décadas, organizações e empresas têm investido em conjuntos de antivírus na esperança de resolver os desafios de segurança das empresas. Mas com a crescente sofisticação e proliferação de ameaças malware durante a última década, as deficiências das chamadas soluções antivírus "legadas" tornaram-se demasiado claras.
Em resposta, alguns vendedores repensaram os desafios da segurança das empresas e desenvolveram novas soluções para as deficiências dos antivírus. Qual é a diferença entre EDR e antivírus? Como e porquê o EDR é mais eficaz do que o AV? E o que considerar ao substituir o seu AV por um EDR avançado? Encontrará as respostas a todas estas perguntas e muito mais neste artigo.
Como é que o EDR difere do antivírus?
Para proteger adequadamente o seu negócio ou organização contra ameaças, é importante compreender a diferença entre EDR e os antivírus tradicionais ou "antigos". Estas duas abordagens de segurança são fundamentalmente diferentes, e apenas uma delas é adequada para lidar com as ameaças modernas.
Características dos antivírus
Nos dias em que o número de novas ameaças de malware por dia podia ser convenientemente contado numa folha de cálculo, os antivírus ofereciam às empresas uma forma de bloquear malware conhecido através do exame - ou scan - de ficheiros tal como estes eram escritos no disco rígido de um dispositivo informático. Se o ficheiro fosse "conhecido" na base de dados de ficheiros maliciosos do verificador AV, o software impedia que o ficheiro malware fosse executado.
A base de dados antivírus tradicional é constituída por uma série de assinaturas. Estas assinaturas podem conter hashes de um ficheiro de malware e/ou regras que contêm um conjunto de características que o ficheiro deve corresponder. Estas características incluem tipicamente cadeias de caracteres legíveis por humanos ou sequências de bytes encontradas no executável malware, o tipo de ficheiro, o tamanho do ficheiro e outros tipos de metadados de ficheiros.
Alguns programas antivírus também podem realizar análises heurísticas primitivas de processos em execução e verificar a integridade de ficheiros importantes do sistema. Estas verificações "after-the-fact" ou pós-infecção foram adicionadas a muitos produtos AV após a inundação diária de novas amostras de malware ultrapassarem a capacidade dos fornecedores de AV de manter as suas bases de dados actualizadas.
Face às ameaças crescentes e ao declínio da eficácia da abordagem antivírus, alguns fornecedores procuraram complementar o antivírus com outros serviços tais como controlo de firewall, encriptação de dados, listas de admissão e bloqueio de processos, e outras ferramentas "suite" AV. Estas soluções, geralmente referidas como "EPP" ou Plataformas de Protecção de Terminais, ainda se baseiam numa abordagem de assinatura no seu núcleo.
Características do EDR
Enquanto o foco de todas as soluções AV está nos ficheiros (potencialmente maliciosos) que são introduzidos no sistema, um EDR, em contraste, concentra-se na recolha de dados do ponto final e no exame desses dados para padrões maliciosos ou anómalos em tempo real. Como o nome sugere, a ideia de um sistema EDR é detectar uma infecção e iniciar uma resposta. Quanto mais rápido um sistema EDR puder fazer isto sem intervenção humana, mais eficaz será.
Um bom sistema EDR também tem características para bloquear ficheiros maliciosos, mas mais importante, os EDRs reconhecem que nem todos os ataques modernos são baseados em ficheiros. Além disso, os EDR proactivos fornecem às equipas de segurança características importantes não encontradas em programas antivírus, tais como respostas automatizadas e visibilidade abrangente em alterações de ficheiros feitas no ponto final, criação de processos e ligações de rede: Isto é crítico para a caça de ameaças, resposta a incidentes e perícia digital.
Armadilhas de antivírus
Há muitas razões pelas quais as soluções antivírus não conseguem acompanhar as ameaças que as empresas enfrentam actualmente. Em primeiro lugar, como mencionado anteriormente, há todos os dias mais novos padrões de malware do que uma equipa humana de escritores de assinaturas consegue lidar.
Uma vez que as soluções AV não podem inevitavelmente detectar muitos destes padrões, as empresas devem assumir que serão confrontadas com uma ameaça que o programa antivírus não consegue detectar.
Em segundo lugar, a detecção por assinaturas de antivírus pode muitas vezes ser facilmente contornada por agentes de ameaça, mesmo sem reescrever o seu malware. Como as assinaturas se concentram apenas em poucas características de ficheiro, os autores de malware aprenderam a criar malware com características variáveis, também conhecido como malware polimórfico. Os hashes de ficheiro, por exemplo, estão entre as características mais fáceis de alterar, mas as cordas internas também podem ser aleatorizadas, ofuscadas e encriptadas de forma diferente com cada construção do malware.
Em terceiro lugar, os agentes de ameaça motivados financeiramente, tais como operadores de resgates, foram além dos simples ataques de malware baseados em ficheiros. Ataques de resgate feitos pelo homem, como a Colmeia, bem como ataques de "dupla extorsão", como o Labirinto, Ryuk e outros que começam com credenciais comprometidas ou forçadas ou com a exploração de vulnerabilidades de execução de código remoto (RCE), podem levar ao comprometimento e perda de propriedade intelectual através da exfiltração de dados sem detecção baseada em assinatura de antivírus.
Vantagens do EDR
Com o seu enfoque em dar visibilidade às equipas de segurança das empresas e às respostas de detecção automática, EDR está muito melhor equipado para lidar com os actuais actores da ameaça e os desafios de segurança associados.
Ao concentrar-se na detecção de actividade invulgar e no fornecimento de uma resposta, EDR não se limita à detecção de ameaças conhecidas baseadas em ficheiros. Pelo contrário, a principal vantagem do EDR é que a ameaça não precisa de ser definida com precisão, como é o caso das soluções antivírus. Uma solução EDR pode procurar padrões de actividade inesperados, invulgares e indesejados e emitir um alerta que pode ser investigado por um analista de segurança.
Como os EDR recolhem uma variedade de dados de todos os pontos finais protegidos, fornecem às equipas de segurança a capacidade de visualizar estes dados numa interface conveniente e centralizada. As equipas de TI podem integrar estes dados com outras ferramentas de análise mais profunda para melhorar a postura global de segurança da organização e definir a natureza de potenciais ataques futuros. Os dados abrangentes de um EDR também permitem a caça e análise de ameaças pós-facto.
Talvez um dos maiores benefícios de um EDR avançado seja a capacidade de tomar estes dados, contextualizá-los no dispositivo e mitigar a ameaça sem intervenção humana. Contudo, nem todos os EDRs são capazes de o fazer, pois muitos deles precisam de transmitir os dados EDR para a nuvem para análise remota (e portanto com um atraso).
Como o EDR Antivírus complementa
Apesar das suas limitações, quando usado sozinho ou como parte de uma solução EPP, os motores antivírus podem ser complementos úteis às soluções EDR, e a maioria das EDRs incluem um elemento de bloqueio baseado em assinatura e hash como parte de uma estratégia de defesa em profundidade.
Ao integrar motores antivírus numa solução EDR mais eficaz, as equipas de segurança empresariais podem tirar partido da facilidade de bloqueio de malware conhecido e combiná-lo com as capacidades avançadas que os EDRs oferecem.
Evitar o cansaço de alerta com EDR activo
Como mencionámos anteriormente, os EDR fornecem segurança corporativa e equipas de TI com visibilidade abrangente em todos os pontos finais da rede corporativa, o que, por sua vez, traz uma série de benefícios. No entanto, apesar destes benefícios, muitas soluções EDR não têm o impacto que as equipas de segurança empresarial esperavam, uma vez que requerem muitos recursos humanos para gerir: Recursos que frequentemente não estão disponíveis devido a restrições de pessoal ou orçamentais, ou indisponíveis devido à falta de profissionais de segurança cibernética.
Em vez de desfrutarem de mais segurança e menos trabalho para as suas equipas de TI e segurança, muitas empresas que investiram em RED simplesmente tiveram de reafectar recursos de uma tarefa de segurança para outra: de lidar com dispositivos infectados para lidar com uma montanha de alertas de RED.
E ainda assim, não tem de ser assim. Talvez o potencial mais valioso do EDR resida na sua capacidade de atenuar autonomamente as ameaças sem intervenção humana. Ao aproveitar o poder da aprendizagem de máquinas e da inteligência artificial, o EDR activo retira o fardo à equipa do SOC e é capaz de mitigar autonomamente os eventos no ponto final sem depender de recursos das nuvens.
Isto significa que as ameaças são atenuadas à velocidade da máquina - mais rapidamente do que qualquer análise remota das nuvens - e sem esforço humano.
O que significa EDR activo para a sua equipa
Imagine o seguinte cenário típico: Um utilizador abre um separador no Google Chrome, descarrega um ficheiro que acredita ser seguro, e executa-o. O programa utiliza o PowerShell para apagar as cópias de segurança locais e depois começa a encriptar todos os dados no disco.
O trabalho de um analista de segurança que utiliza soluções passivas de EDR pode ser difícil. É inundado de alertas e tem de compilar os dados para um relatório significativo. Com EDR activo, este trabalho é, em vez disso, feito pelo agente no ponto final. O EDR activo conhece toda a história e atenua a ameaça na mosca, antes de começar a encriptação.
Uma vez atenuada a ameaça, todos os elementos dessa ameaça são tidos em conta, até ao separador Cromo que o utilizador tem aberto no navegador. Isto é feito através da atribuição da mesma identificação do enredo a cada elemento da história. Estas histórias são então enviadas para a consola de gestão, para que os analistas de segurança e administradores de TI possam facilmente identificar e detectar as ameaças.
Melhorar a sua segurança com EDR
Tendo identificado as claras vantagens de um sistema EDR sobre um programa antivírus, qual é o próximo passo? A escolha do sistema EDR certo requer que compreenda as necessidades do seu negócio e as capacidades do produto em oferta.
É também importante realizar testes, mas para assegurar que estes testes sejam aplicados na prática. Como é que o produto é utilizado pela sua equipa no dia-a-dia da sua empresa? Como é fácil de aprender? Será que continuará a proteger o seu negócio se todos os serviços em nuvem em que depende estiverem offline ou inacessíveis?
É importante considerar também a implantação e o rollout. Pode automatizar a implantação em toda a sua frota? E a compatibilidade de plataformas? O seu fornecedor escolhido coloca o mesmo valor em Windows, Linux e macOS? Todos os pontos finais precisam de ser protegidos. Aqueles que são deixados para trás podem ser uma porta traseira para a sua rede.
A seguir, pense na integração. A maioria das empresas tem uma pilha de software complexa. O seu fornecedor oferece uma integração poderosa mas simples para outros serviços em que confia?
Mais do que EDR | XDR para máxima visibilidade e integração
Embora o EDR activo seja o próximo passo para as empresas que ainda não deixaram o antivírus para trás, as empresas que necessitam da máxima visibilidade e integração em todo o seu inventário devem considerar a Detecção e Resposta Alargadas, ou XDR.
XDR leva o EDR ao nível seguinte, integrando todos os controlos de visibilidade e segurança numa visão completa e holística do que está a acontecer no seu ambiente. Com um único conjunto de dados em bruto que inclui informação de todo o ecossistema, o XDR permite uma detecção e resposta mais rápida, profunda e eficaz às ameaças do que o EDR, recolhendo e agregando dados de uma gama mais vasta de fontes.
Conclusão
Os agentes de ameaça há muito que ultrapassaram os antivírus e o PPE, e as empresas precisam de perceber que tais produtos não estão à altura das ameaças de hoje. Mesmo um olhar superficial nas manchetes mostra quão grandes e despreparadas são as empresas apanhadas por ataques modernos como os resgates, apesar de terem investido em controlos de segurança. Cabe-nos a nós, como defensores, garantir que o nosso software de segurança não está apenas pronto para os ataques de ontem, mas também para os de hoje e de amanhã.
Se estiver interessado numa solução EDR ou XDR, teremos todo o prazer em aconselhá-lo sobre a solução certa para o seu negócio. Basta contactar-nos por telefone, e-mail ou através do nosso formulário de contacto. Aguardamos com expectativa a sua consulta.