W dobie rosnącej liczby cyberataków zapewnienie wysokiego poziomu bezpieczeństwa cybernetycznego systemów informatycznych spędza sen z powiek wielu administratorom i dyrektorom IT. Wiele organizacji nie stać na wdrożenie i utrzymanie własnego działu ds. cyberbezpieczeństwa, a zajmowanie się tymi zagadnieniami przez działu IT prowadzi do ich przeciążenia.

Wraz z rosnącą liczbą zagrożeń wzrasta również świadomość dotycząca ataków, a także dostępnych na rynku rozwiązań, które mogą zabezpieczać użytkowników przed skutkami ataków.

Zobacz również:

• Bezpieczeństwo urządzeń końcowych - 9 kluczowych zasad

W niniejszym materiale poruszamy kwestie zabezpieczenia urządzeń końcowych - komputerów stacjonarnych oraz przenośnych wykorzystywanych w organizacjach. Wyjaśniamy czym różni się antywirus od EDRa oraz, które rozwiązanie jest odpowiednim wyborem w 2023 roku.

Jak wygląda dzisiejszy antywirus?

Słowo antywirus kojarzy praktycznie każdy internatura. Dla większości użytkowników końcowych antywirus wywołuje pejoratywne emocje. Jeszcze kilka lat temu - w dobie komputerów z dyskami HDD - antywirusy negatywnie wpływały na prędkość pracy urządzeń oraz mogły sprawiać problemy podczas użytkowania. Dziś to przeszłość, a przeważająca większość pracowników organizacji nawet nie zdaje sobie sprawy, że pracuje na komputerze z oprogramowaniem antywirusowym.

Antywirus to program komputerowy, do którego zadań należy wykrywanie, zwalczanie, usuwanie, a także izolowanie wirusów komputerowych i innego rodzaju zagrożeń od systemu operacyjnego.

Oprogramowanie antywirusowe skanuje system operacyjny, aplikacje oraz dane użytkownika w celu poszukiwania znanych dla antywirusa zagrożeń takich jak trojany, ransomware czy malware. Po wykryciu tego typu oprogramowania antywirus automatycznie rozpoczyna procedurę odizolowania ich od reszty systemu operacyjnego, a następnie bezpiecznego usunięcia.

Antywirus jest biernym systemem bezpieczeństwa, który reaguje jedynie na znane zagrożenia udostępniane przez producenta w ramach sygnatur bezpieczeństwa. Sygnatury bezpieczeństwa są instrukcją obsługi oraz bazą danych dla oprogramowania antywirusowego - uczą go pod kątem jakich zagrożeń należy skanować pliki dostępne na dysku.

Aktualnie większość dostępnych na rynku antywirusów to oprogramowanie typu NGAV - Next Generation AntiVirus. Oprogramowanie antywirusowe następnej generacji do swojego działania wykorzystuje dobrodziejstwa uczenia maszynowego oraz sztucznej inteligencji. Tym samym program może wykrywać zagrożenia, które nie są obecne w aktualnych sygnaturach bezpieczeństwa na bazie podobieństw do znanych typów wirusów. NGAV chronią również użytkownika przed wykrywaniem ataków typu zero-day oraz zagrożeń bezplikowych.

Czym charakteryzuje się system EDR?

EDR to skrót od słów Endpoint Detection and Response. Jak sama nazwa wskazuje jest to system wykrywania i reagowania na urządzeniach końcowych. Jego zasada działania różni się od metody pracy antywirusa.

EDR to scentralizowany system, który ma zapewnić bezpieczeństwo urządzeń końcowych znajdujących się w infrastrukturze IT danej organizacji. Oprogramowanie tego typu nie tylko zapewnia bezpieczeństwo, ale znacząco ułatwia pracę wszystkim pracownikom zaangażowanym w ochronę sprzętu komputerowego.

Endpoint Detection and Response to oprogramowanie, które bazuje na monitorowaniu zachowań użytkownika oraz systemu operacyjnego i danych na nim zgromadzonych w czasie rzeczywistym. Monitorowanie ma na celu nauczenie systemu zachowań typowych dla danego urządzenia i jego użytkownika. W odróżnieniu od antywirusa, EDR nie bazuje na sygnaturze danych. System zbiera i analizuje dane, aby określić typowe wzorce użytkowania.

Po stworzeniu wzorca zachowań użytkowników system jest w stanie natychmiastowo wykryć anomalie w zachowaniu systemu operacyjnego np. nagłe usunięcie wielu plików lub rozpoczęcie procesu szyfrowania danych. Takie czynności dla antywirusa nie są niczym podejrzanym dopóki nie pojawi się znane zagrożenie. EDR z kolei jest w stanie automatycznie zareagować na nieznane i nietypowe zagrożenie izolując system operacyjny oraz jego poszczególne elementy, a także informując o zdarzeniu dział IT.

W większości przypadków pomimo innej budowy i odmiennego schematu działania, antywirus oraz EDR wykonują bardzo podobne zadania. Różnica polega na stopniu samodzielności. Antywirus jest oprogramowaniem reaktywnym działającym na podstawie dostarczonych mu danych, które muszą zostać wcześniej odpowiednio przygotowane, a EDR korzysta ze sztucznej inteligencji i uczenia maszynowego, aby działać proaktywnie - na bieżąco wykrywać nowe nieprawidłowości i je usuwać.

Antywirus nadal jest podstawowym zabezpieczeniem, ale dziś już nie wystarczającym4

Antywirus jeszcze przez długi okres czasu będzie podstawowym narzędziem chroniącym komputery osób indywidualnych oraz urządzenia należące do organizacji. Warto jednak pamiętać, że obecnie nie zapewnia już tak wysokiego poziomu ochrony, jak jeszcze kilka lat temu.

Tradycyjne wykrywanie zagrożeń oparte na sygnaturach nie jest już skuteczne w identyfikowaniu nowoczesnego złośliwego oprogramowania ze względu na jego szybką ewolucję oraz wykorzystywanie unikalnych zagrożeń do cyberataków. Dodatkowo, twórcy złośliwego oprogramowania wykorzystują różne techniki, takie jak malware bez plików, aby uniknąć wykrycia przez rozwiązania antywirusowe.

Skuteczne wykrywanie nowoczesnych zagrożeń dla bezpieczeństwa punktów końcowych wymaga aktualnie większej ilości jakościowych informacji i kontekstu, niż te dostępne dla antywirusów. Systemy EDR integrują szereg funkcji bezpieczeństwa, umożliwiając wykrywanie nietypowych zachowań. Dodatkowo, możliwości reagowania zapewniane przez EDR pozwalają analitykom bezpieczeństwa na szybsze podejmowanie działań w celu rozwiązania potencjalnych incydentów bezpieczeństwa, ograniczając wpływ ataku.

Eksperci do spraw bezpieczeństwa cybernetycznego nie zalecają rezygnacji z antywirusów na rzecz rozwiązań typu EDR. Rekomendacją jest korzystanie z oprogramowania antywirusowego w parze z dodatkowym elementem, jaki jest system EDR.