EDR i antywirus to dziś zupełnie różne klasy rozwiązań. Antywirus skupia się głównie na wykrywaniu znanych plików złośliwych i kończy działanie na ich usunięciu, bez kontekstu i analizy przyczyn incydentu. EDR zbiera pełną telemetrię z endpointów, analizuje zachowanie systemu, wykrywa także nieznane zagrożenia i umożliwia skuteczną reakcję, dochodzenie powłamaniowe oraz threat hunting.

Choć część producentów AV oferuje „EDR w nazwie”, tylko pełnoprawne EDR-y zapewniają rzeczywistą widoczność i analitykę. Dla mniejszych firm alternatywą może być Endpoint Protection lub usługa MDR/SOC, która pozwala korzystać z EDR bez budowania własnych kompetencji. W nowoczesnej architekturze bezpieczeństwa klasyczny antywirus to rozwiązanie przeszłości, a wybór technologii powinien zależeć od skali organizacji, ryzyka i dostępnych zasobów.

EDRy i antywirusy wczoraj i dziś

By zrozumieć różnicę między systemem EDR a antywirusem, warto przyjrzeć się genezie obu tych rozwiązań.

Początkowo zastosowanie systemów EDR było różne od tego, które znamy dzisiaj, a bardziej trafnym rozwinięciem tego akronimu było hasło Event Data Recorder – czyli nagrywarka zdarzeń. EDRy pełniły wówczas funkcję kolektorów telemetrii. Ich zadaniem było nagrywanie każdego zdarzenia, które dzieje się w systemie operacyjnym: metadanych każdego utworzenia pliku, połączenia sieciowego, uruchomienia danego programu. Wszystkie te dane były zbierane, by posłużyć do weryfikacji tego, co wykrył antywirus – zatem działanie EDRów i systemów AV (ang. Anti Virus) się uzupełniało.

Z czasem zaczęto wzbogacać systemy EDR o funkcje reaktywne, co w połączeniu z ogromną ilością danych analitycznych przełożyło się na większą skuteczność wykrywania ataków niż w przypadku tradycyjnego antywirusa. Podczas gdy AV jedynie sprawdzał pliki, ulepszony EDR był w stanie analizować zachowanie, pozostając niewrażliwym na modyfikacje plików czy nowe zagrożenia nieujęte w sygnaturach.

Systemy EDR, które znamy dzisiaj, czyli Endpoint Detection and Response, zbierają obszerne dane telemetryczne, wykrywają zagrożenia i reagują na nie.

Programy antywirusowe również wyewoluowały na przestrzeni lat – wielu producentów oferuje bardziej zaawansowane warianty swoich rozwiązań, wzbogacone o funkcje analizy i reakcji na incydenty. Postawienie znaku równości pomiędzy systemem EDR i AV wciąż jednak byłoby nieuczciwe. Dlaczego? Postaram się wyjaśnić w tym artykule.

EDR vs. antywirus

Obecnie każdy EDR posiada funkcje antywirusa, ale żaden antywirus nie oferuje tak zaawansowanych funkcji analitycznych jak EDR.

Po pierwsze, działanie programów AV opiera się na skanowaniu każdego pliku i porównywaniu go z gotową listą plików szkodliwych. EDR także to robi, jednak nieco inaczej – rozbiera każdy plik na elementy pierwsze, przy wykorzystaniu uczenia maszynowego, porównuje zebrane artefakty z danymi zebranymi w przeszłości i na tej podstawie analizuje czy dany plik jest złośliwy, czy nie. W odróżnieniu od klasycznego antywirusa, EDR nie ma problemu z wykryciem pliku, który się zmienił, bądź jest mu całkowicie nieznany.

Po drugie, działanie antywirusa kończy się w momencie, kiedy system wykrywa złośliwy plik i blokuje go bądź wysyła alert, że w systemie dzieje się coś podejrzanego. Reakcja ogranicza się do usunięcia wykrytego pliku, bez możliwości wycofania zmian, które on wprowadził. AV nie daje żadnych informacji o tym pliku – nie wiemy skąd się wziął, jakie akcje zdążył wykonać, jakie zagrożenie stanowi dla organizacji, czy rozprzestrzenił się na inne urządzenia itd.

Te i wiele innych danych dostarcza nam system EDR. Dzięki centralnej konsoli mamy dostęp do informacji, które pozwalają nam odtworzyć całą historię zdarzeń – możemy stwierdzić, czy wina leży po stronie insidera, który przyniósł szkodliwy plik na pendrivie, czy malware trafił do infrastruktury za pośrednictwem maila, czy też dany pracownik kliknął w złośliwą reklamę. Dysponujemy kompletem informacji pozwalających przeprowadzić śledztwo w zakresie zaalarmowanego zagrożenia.

EDR EDRowi nierówny

Wysoka skuteczność EDRów przyczynia się do ich rosnącej popularności. Zmiany następują jednak powoli, a na rynku wciąż widać znaczącą przewagę tradycyjnych antywirusów, których producenci, nie chcąc pozostać w tyle, także oferują produkty z “EDR” w nazwie. Do najpopularniejszych należą rozwiązania ESET czy Bitdefender, które w wybranych planach licencyjnych rzeczywiście oferują funkcje analityczne.

Przyjrzyjmy się bliżej ESETowi – dostarcza on produkty na kilku poziomach licencyjnych, z których najwyższe, oparte na innym niż reszta agencie, posiadają funkcje EDRa. Dane analityczne dostarczane w tych planach są jednak dość okrojone, ponieważ zbierane są tylko te informacje, które są skojarzone przez system z scenariuszem detekcji. Telemetria, którą dysponujemy, korzystając z takiego systemu, ogranicza się do wygenerowanego alertu. Dla porównania - EDRy od wiodących dostawców, takich jak SentinelOne, Microsoft, czy Palo Alto Networks, zbierają wszystkie dane telemetryczne, niezależnie czy są one skojarzone z jakąś detekcją, dzięki czemu dają zarówno możliwość analizy poincydentalnej, threat huntingu jak i detection engineering.

Mimo to poziom zaawansowania danych dostarczany przez ESET w najwyższych planach licencyjnych dla wielu organizacji może być wystarczający. Zwłaszcza, jeśli wykorzystywane są tam również dodatkowe funkcjonalności tego rozwiązania, takie jak zarządzanie aktualizacjami, czy inne funkcje wspierające organizacje w działaniach administracyjnych w zakresie IT. Niechęć do rezygnacji z kompleksowego rozwiązania, dostarczającego szereg przydatnych funkcji, a przy tym oferującego przyzwoity poziom bezpieczeństwa, jest zrozumiała.

Proces wdrożenia systemu EDR i antywirusa – czym się różni?

Wdrożenie obu tych systemów najczęściej wygląda bardzo podobnie i rodzi podobne problemy. Ich instalacja wygląda identycznie. W obu przypadkach mamy do czynienia z koniecznością dystrybucji agentów w zasobach naszej organizacji. Tak samo jak z każdym innym oprogramowaniem, możemy w tym celu wykorzystać mechanizmy zdalnej dystrybucji dostępne w Active Directory czy też dedykowane narzędzia.

Zarówno wdrożenie EDRa jak i bardziej zaawansowanego programu AV, który działa niskopoziomowo i bardziej ingeruje w to, co dzieje się w systemie operacyjnym, może generować problemy w działaniu niektórych aplikacji bądź zwiększone wykorzystanie zasobów. W przypadku EDRa łatwiej sobie z tym poradzimy dzięki centralnej konsoli, która pozwala na szybką identyfikację problemów w oparciu o zebraną telemetrię oraz ich eliminację za pomocą szerokiego wachlarza wyjątków, który mamy do dyspozycji. Jeśli natomiast chodzi o antywirusa, to często musimy działać po omacku, ze względu na brak szczegółowej telemetrii mogącej nas wesprzeć w tym zadaniu.

Endpoint Protection – alternatywa dla małych firm

W sytuacji, kiedy dana firma potrzebuje jedynie skutecznego narzędzia do ochrony punktów końcowych, a nie dysponuje zasobami pozwalającymi przetworzyć dane analityczne dostarczane przez EDR, warto, by zwróciła uwagę na rozwiązania klasy Endpoint Protection.

Stanowią one kompromis pomiędzy anytwirusem a pełnoprawnym EDRem, ponieważ zazwyczaj oferują mechanizmy detekcji tożsame rozwiązania EDR danego producenta, ale są pozbawione funkcji zbierania telemetrii. Rozwiązania Endpoint Protection są często konkurencyjne cenowo względem rozwiązań antywirusowcyh, zapewniając przy tym skuteczniejsze mechanizmy detekcji, oparte nie na sygnaturach, lecz uczeniu maszynowym i analizie behawioralnej. Znajdziemy je w ofercie wszystkich wiodących producentów rozwiązań EDR, jak SentinelOne, Palo Alto Networks, CyberReason, Microsoft, czy Crowdstrike.

Usługa MDR

Firmy, które nie dysponują zasobami do utylizacji możliwości rozwiązań EDR, a chciałyby podnieść swój poziom bezpieczeństwa, zachęcałbym do skorzystania z usługi MDR, czyli Managed Detection and Response, oferowanej przez zewnętrzne zespoły SOC (Security Operation Center).

Korzyści usługi SOC jest wiele i należą do nich:

1. Istotny wzrost poziomu bezpieczeństwa przy zachowaniu stosunkowo niskich kosztów;

2. Dostępność w trybie 24/7 wyspecjalizowanych analityków, którzy stale podnoszą swoje kompetencje;

3. Możliwość korzystania z rozwiązań EDR najwyżej klasy w cenie dostępnej dotychczas tylko dla dużych organizacji enterprise;

4. Budowanie odporności organizacji na bazie różnych źródeł – nie tylko alertów z systemów bezpieczeństwa, ale także narzędzi CTI oraz analizy incydentów w dedykowanym środowisku laboratoryjnym.

Jako zespół SOC360 świadczymy nasze usługi firmom posiadającym zarówno trzydzieści, jak i kilkadziesiąt tysięcy endpointów. Każdy z naszych klientów, bez względu na rozmiar, otrzymuje ten sam poziom usługi, ten sam sposób monitoringu i ten sam poziom bezpieczeństwa.

Antywirus to przeszłość

Na pytanie, który system jest lepszy – EDR czy antywirus, odpowiedź jest jasna. EDR wraz ze swoimi zaawansowanymi mechanizmami wykrywania anomalii i reakcji na incydenty, ale także możliwością analizy poincydentalnej i tworzenia nowych reguł detekcji na podstawie obszernych danych telemetrycznych, jest obiektywnie skuteczniejszym rozwiązaniem. Nie bez powodu uznaje się go za jeden z podstawowych elementów skutecznej architektury bezpieczeństwa.

Istnieją jednak sytuacje, w których korzystanie z innych rozwiązań jest uzasadnione, dlatego każdy przypadek należy analizować indywidualnie. Jeśli zastanawiasz się jaka technologia najlepiej sprawdzi się w Twojej firmie, skontaktuj się z nami. Pomożemy w znalezieniu rozwiązania, które w pełni odpowie na Twoje potrzeby.