Czy antywirusy, jakie znamy, to przeszłość? Nie podważamy zaawansowanych możliwości wykrywania i reagowania na incydenty, jakie zapewnia EDR. Nie jest to jednak idealne rozwiązanie dla każdej organizacji. Kiedy EDR jest lepszy od antywirusa?

Należy wiedzieć, jak zidentyfikować różnicę między tymi dwoma rozwiązaniami i w jakich okolicznościach użyć jednego lub drugiego, a nawet obu! Nawet jeśli wydaje się oczywiste, że skuteczność EDR przewyższa skuteczność antywirusa, to w momencie zadania pytania „Dlaczego?”, odpowiedź jest często niejasna.

 

1. ANTYWIRUS


TRYBY WYKRYWANIA: SYGNATURA I ANALIZA HEURYSTYCZNA

 

Sygnatura

Podstawową funkcją antywirusa jest wykrywanie oparte na sygnaturach.  
 
Czym jest sygnatura?  

Sygnatura cyfrowa to specyficzna cecha złośliwego pliku (malware, ransomware, Rootkit itp.) lub złośliwego działania (wymiany cyfrowe z IP lub domeną atakującego).


Każdy antywirus zawiera bazę sygnatur cyfrowych, która jest regularnie aktualizowana przez jego wydawcę (domyślnie), a czasem przez inne źródła zewnętrzne w momencie zaawansowanych konfiguracji.


Jeśli do systemu dostanie się plik lub zostanie wykonana akcja, która zawiera znacznik odpowiadający jednej z sygnatur obecnych w antywirusowej bazie danych, antywirus wykryje ją i podejmie jedno z powiązanych działań zaradczych. 
 
Ograniczenia wykrywania opartego na sygnaturach

Duża część programów antywirusowych opiera wykrywanie tylko i wyłącznie na bazie sygnatur. Niestety ta metoda wykrywania jest ograniczona, ponieważ wykrywanie jest skuteczne tylko wtedy, gdy sygnatura pozwala na zidentyfikowanie zagrożenia.

 

Zagrożenie to jest więc już znane antywirusowi. Jeśli złośliwe działanie jest nowe, nie przypominające żadnego ze zidentyfikowanych w przeszłości, antywirus oparty na sygnaturach nie będzie miał szans na jego wykrycie, co oznacza nieskuteczną ochronę.

 

Analiza heurystyczna 

Analiza heurystyczna polega na zidentyfikowaniu źródła zagrożeń dla struktury pliku (analiza statyczna) lub jego zachowania w momencie wykonania (analiza dynamiczna – Sandboxing).

 

Wbrew temu, co twierdzi się w innych artykułach na ten temat, zwłaszcza tych autorstwa deweloperów EDR, nie jest to cecha specyficzna dla EDR. Jest również obecna w niektórych zaawansowanych antywirusach (lub często jest oferowana jako opcja). Na przykład następujące produkty antywirusowe posiadają takie funkcje: Kaspersky Endpoint Security 10, ESET NOD32 lub Bitdefender Total Security. 
 
Granice wykrywania za pomocą analizy heurystycznej

Wykrywanie z wykorzystaniem analizy heurystycznej pozwala antywirusowi wykryć złośliwe pliki, które nigdy nie zostały zidentyfikowane w przeszłości i nie są sklasyfikowane w bazie danych. Jednak takie wykrycie będzie możliwe tylko wtedy, gdy sposób działania lub struktura tego pliku przypominają inną znaną odmianę złośliwego pliku (zwaną wariantem). Jeśli jest to wariant daleki od znanych odmian lub techniki ataku (zwłaszcza w przypadkach ataku zero-day), analiza heurystyczna nie będzie w stanie go wykryć.  

 

REAKCJA NA WYKRYCIE 

W przypadku antywirusa możliwości reakcji na wykrycie zagrożenia są w zasadzie ograniczone do następujących elementów:

  • Blokowanie wykonania złośliwego pliku
  • Usunięcie złośliwego pliku
  • Kwarantanna złośliwego pliku
  • Alarm zwrotny do centralnej konsoli wykrywania

 

EDR: KRÓL ZABEZPIECZEŃ ENDPOINT

TRYB WYKRYWANIA: BEHAWIORALNY I SZTUCZNA INTELIGENCJA

Po pierwsze, wszystkie metody wykrywania oferowane przez antywirusy (sygnaturowe i heurystyczne) są zapewniane przez EDR (z rzadkimi wyjątkami). W tym rozdziale przyjrzymy się zatem dodatkowym możliwościom wykrywania, jakie oferuje EDR w porównaniu z antywirusem.

 

Wykrywanie behawioralne 

Ta zdolność wykrywania jest z pewnością największą przewagą, jaką EDR ma nad antywirusem. Polega ona na korelacji sekwencji zdarzeń i identyfikacji złośliwych zachowań. Niezależnie od tego, jaka jest sygnatura, staramy się wykryć podejrzane zachowanie i sprawdzić, czy odpowiada ono znanemu modelowi ataku. 

Możliwości ataków są nieskończone, ale liczba technik wykorzystywanych w tych atakach (TTP) jest policzalna i zmienia się znacznie mniej niż liczba odmian złośliwego oprogramowania. Wiele zespołów obrony cybernetycznej opiera się właśnie na matrycy ATT&CK MITRE, która wyczerpująco odnosi się do znanych technik ataku. Jeśli potrafisz zmapować zachowania z tego zestawu technik i ataków i możesz je przełożyć na behawioralne reguły wykrywania w EDR, będziesz w stanie wykryć wszystko! 
 
W rzeczywistości uzyskanie tego wyniku jest prawie niemożliwe. Po pierwsze dlatego, że każda z technik ataku wytwarza wiele możliwych i trudno policzalnych zachowań, ale także dlatego, że niektóre z tych zachowań są podobne do tych zgodnych z prawem: utonięcie w fałszywie pozytywnych wynikach jest pewne, jeśli spróbujesz je wykryć (zatem nawet EDR nigdy nie będzie w stanie wykryć ich wszystkich). 
 
Jednak wynik nie ma znaczenia, ponieważ z EDR można znacznie rozszerzyć możliwości wykrywania dzięki analizie behawioralnej.

 

Sztuczna inteligencja 

Sztuczna inteligencja (i jej pochodne: Machine Learning, UEBA, Deep Learning itp.) jest stosowana w dużej liczbie EDR i uzupełnia wykrywanie zachowań. W rzeczywistości sztuczna inteligencja będzie się uczyć, dzięki analizie behawioralnej, jakie nawyki są wykonywane na chronionych przez nią Endpointach. AI zidentyfikuje potencjalne odchylenia i anomalie i ostatecznie uruchomi alarm.  
 
Sztuczna inteligencja to funkcja promowana przez producentów EDR, która często jest źle rozumiana przez użytkowników i sprzedawców przedstawiających ją jako magiczne rozwiązanie. W sztucznej inteligencji nie ma nic magicznego, jest ona wynikiem algorytmów testowanych przez wiele lat badań. Jednak algorytmy te wymagają pewnego nakładu pracy, aby dostosować się do środowiska, w którym są wykorzystywane.

 

REAKCJA NA WYRYCIE

Podobnie jak w przypadku wykrywania, metody reakcji na wykrywanie oferowane przez antywirusy są również dostępne w przypadku EDR. Oprócz tych możliwości EDR oferuje również między innymi następujące funkcje:

  • Udostępnienie intuicyjnego interfejsu i strategicznych danych badawczych
  • Zdalna kontrola przez analityka reakcji na incydenty
  • Wykorzystanie systemu plików stacji roboczej przez analityka
  • Kwarantanna i odizolowanie stacji roboczej od reszty sieci

 

PODSUMOWANIE

 

EDR: Doskonałość w wykrywaniu i reagowaniu na incydenty 

Z funkcjonalnego punktu widzenia EDR nie pozostawia niedosytu w porównaniu ze swoim „przodkiem” – antywirusem. EDR jest doskonałym produktem w zakresie wykrywania i reagowania na incydenty w urządzeniach końcowych i znacznie przewyższa w tych kategoriach antywirusy.

 

EDR: narzędzie, które wymaga doświadczenia 

Niemniej jednak, możliwości wykrywania i reagowania EDR wymagają pewnego doświadczenia, aby w pełni wykorzystać ich potencjał!  

 

Z jednej strony, jego zaawansowane możliwości wykrywania oparte na analizie behawioralnej i sztucznej inteligencji powinny być używane z ostrożnością: wadą tych technik jest generowanie większej liczby fałszywych wyników dodatnich niż w przypadku bardziej niezawodnego wykrywania opartego na sygnaturach. Te fałszywe wyniki dodatnie muszą być kontrolowane poprzez dostosowanie reguł do ich środowiska i, pomimo tego dostosowania, wiele z tych reguł nie będzie korzystało z automatycznej reakcji i będzie wymagało ludzkiej analizy. Prowadzi to do większego zapotrzebowania na analityków bezpieczeństwa.

 

Z drugiej strony, ich możliwości w zakresie remediacji i reagowania na incydenty również wymagają pewnej wiedzy specjalistycznej: narzędzia dochodzeniowe są przeznaczone dla użytkowników specjalizujących się w reagowaniu na incydenty.

 

Antywirus: skuteczność 

W przeciwieństwie do EDR antywirus wykorzystuje jedynie techniki wykrywania o bardzo niskim współczynniku fałszywych wyników dodatnich. W związku z tym antywirus jest w stanie podjąć działania zaradcze autonomicznie, bez interwencji człowieka. Antywirusy są stworzone do takiego działania, dlatego są szeroko stosowane zarówno przez firmy jak i osoby prywatne.

 

Kiedy wybrać EDR zamiast programu antywirusowego? 

EDR ma znacznie większe możliwości wykrywania i reagowania na incydenty niż antywirus. Jednak, aby naprawdę skorzystać z tych funkcji, konieczne jest posiadanie pewnego doświadczenia w zakresie bezpieczeństwa systemów informatycznych. Jego integracja i obsługa są dość kosztowne (z punktu widzenia ludzkiego i licencyjnego) i nie ma sensu wdrażać takiego rozwiązania w organizacji, chyba że nie spełnia ona 42 zasad zawartych w przewodniku higieny ANSSI.


EDR jest rozwiązaniem, które warto przyjąć, gdy organizacja posiada zaawansowaną dojrzałość w zakresie bezpieczeństwa systemów informatycznych, a zespoły operacyjne posiadają umiejętności z zakresu cyberbezpieczeństwa (analityk SOC/reagowanie na incydenty).


W przeciwnym razie radzimy zachować oprogramowanie antywirusowe i ewentualnie zaktualizować tradycyjny antywirus do bardziej zaawansowanego rozwiązania (Next-gen), które posiada nowocześniejsze funkcje analityczne, takie jak analiza heurystyczna, poprzez aktywację dodatkowych opcji.

Udostępnij ten artykuł