Aprendizado e descoberta 5min de Leitura - 08 de março de 2022

Qual a diferença entre EDR e Antivírus?

EDR antivírus

This post is also available in: Português Español

Uma pergunta cada vez mais frequente no mundo da segurança digital é: quais as diferenças entre o EDR e o antivírus convencional? De uma forma resumida, pode-se dizer que o EDR é a evolução do antivírus, atuando como uma espécie de substituto. Por isso, o EDR começa a ganhar notoriedade em um contexto no qual as empresas passaram décadas investindo em pacotes antivírus na esperança de resolver os desafios da segurança corporativa. Mas, à medida que evoluía a sofisticação das ameaças de malware, as deficiências dos antivírus tornaram-se muito aparentes.

Portanto, para proteger adequadamente a empresa, é importante entender mais profundamente a diferença entre EDR e antivírus tradicional. Essas duas abordagens de segurança são fundamentalmente diferentes, possuindo níveis de eficiência distintos.

A questão é que alguns anos atrás era possível contar nas mãos a quantidade de malware que surgia por dia. Era um tempo em que o antivírus oferecia às empresas um meio de bloquear malwares examinando arquivos conforme eram gravados nos HDs dos computadores. Se o arquivo fosse “conhecido” pelo banco de dados de arquivos maliciosos, o software impediria a execução do malware.

O banco de dados dos antivírus convencionais consiste em um conjunto de assinaturas. Essas assinaturas podem conter hashes de um arquivo de malware e/ou regras que contêm um conjunto de características que o arquivo deve corresponder. Essas características geralmente incluem strings legíveis por humanos ou sequências de bytes encontradas no executável do malware, tipo de arquivo, tamanho de arquivo e outras formas de metadados de arquivo.

Essas verificações são do tipo pós-infecção, e foram adicionadas a muitos antivírus depois que a enxurrada diária de novas amostras de malware começou a superar a capacidade dos fornecedores de antivírus de manter seus bancos de dados atualizados.

Em meio ao declínio da eficácia dessa abordagem de antivírus, alguns fornecedores tentaram complementar o produto com outros serviços, como controle de firewall, criptografia de dados, permissão de processo e listas de bloqueio e outras ferramentas. Genericamente conhecidas como “EPP” ou Endpoint Protection Platforms, essas soluções permanecem baseadas em uma abordagem de assinatura.

Características do EDR

Enquanto o foco de todas as soluções AV está nos arquivos potencialmente perigosos que estão sendo introduzidos no sistema, um EDR concentra-se na coleta de dados do endpoint e na análise desses dados em busca de padrões maliciosos ou anômalos em tempo real. Como o nome indica, a ideia de um sistema EDR é detectar uma infecção e iniciar uma resposta. Quanto mais rápido um EDR puder fazer isso sem intervenção humana, mais eficaz será.

Um bom EDR também incluirá recursos para bloquear arquivos maliciosos, mas o importante é que os EDRs reconhecem que nem todos os ataques modernos são baseados em arquivos. Além disso, oferecem às equipes de segurança recursos essenciais não encontrados no antivírus, incluindo resposta automatizada e visibilidade profunda de quais modificações de arquivos, criações de processos e conexões de rede ocorreram no endpoint. Tais modificações são vitais para busca de ameaças, resposta a incidentes e análise forense digital.

As armadilhas dos antivírus

Existem muitas razões pelas quais as soluções antivírus não conseguem acompanhar as ameaças que as empresas enfrentam hoje. Primeiro, conforme já dito, o número de novas amostras de malware vistas diariamente é maior do que o número que qualquer equipe humana pode acompanhar.

Em segundo lugar, a detecção por meio de assinaturas de antivírus pode ser facilmente contornada por agentes de ameaças, mesmo sem reescrever seu malware. Como as assinaturas se concentram apenas em algumas características do arquivo, os cibercriminosos aprenderam a criar malware com características variáveis, algo conhecido como malware polimórfico. Os hashes de arquivo, por exemplo, estão entre as características de um arquivo mais fáceis de alterar, mas as strings internas também podem ser aleatórias, ofuscadas e criptografadas de maneira diferente a cada compilação do malware.

Em terceiro lugar, os agentes de ameaças com motivação financeira – operadores de ransomwares – foram além dos simples ataques de malware baseados em arquivos. Ataques na memória ou sem arquivo tornaram-se comuns, e ataques de ransomware operados por humanos podem levar a um comprometimento e perda de propriedade intelectual por meio de exfiltração de dados sem nunca acionar uma detecção baseada em assinatura de antivírus.

Benefícios do EDR

Com seu foco em fornecer visibilidade às equipes de segurança corporativas, juntamente com respostas de detecção automatizadas, o EDR está mais bem equipado para lidar com os agentes de ameaças atuais e os desafios de segurança que eles apresentam.

Ao se concentrar na detecção de atividades incomuns e fornecer uma resposta, o EDR não se limita apenas a detectar ameaças conhecidas baseadas em arquivos. Pelo contrário; a principal proposta do EDR é que a ameaça não precisa ser definida com precisão da mesma forma que acontece com as soluções antivírus. Uma solução EDR pode procurar padrões de atividade inesperados, incomuns e indesejados, emitindo um alerta para um analista de segurança proceder com uma análise mais profunda.

Além disso, como os EDRs trabalham coletando uma vasta gama de dados de todos os endpoints protegidos, eles oferecem a oportunidade de visualizar esses dados em uma interface centralizada e intuitiva. É possível então pegar esses dados e integrá-los a outras ferramentas para uma análise mais profunda, ajudando a criar a postura geral de segurança da empresa, definindo o que pode vir a ser um possível futuro ataque. Os dados abrangentes de um EDR também podem permitir a busca e análise retrospectiva de ameaças.

Alertas demais?

Apesar dessas vantagens todas, algumas soluções de EDR não estão tendo o impacto que as equipes de segurança corporativa esperavam, porque exigem uma grande quantidade de recursos humanos para gerenciar: recursos que geralmente estão indisponíveis devido a restrições de pessoal ou orçamento.

Em vez de desfrutar de maior segurança e menos trabalho para suas equipes de TI e segurança, muitas empresas que investiram em EDR simplesmente se viram realocando recursos de uma tarefa de segurança para outra: da triagem de dispositivos infectados para a triagem de uma montanha de alertas de EDR.

Mas isso pode ser diferente, pois o diferencial mais valioso do EDR é a sua capacidade de mitigar ameaças de forma autônoma sem a necessidade de intervenção humana. Ao aproveitar o poder do aprendizado de máquina e da Inteligência Artificial, o EDR alivia a carga das equipes de segurança, e é capaz de mitigar eventos de forma autônoma no endpoint sem depender de recursos de nuvem.

Isso significa que as ameaças são mitigadas na velocidade da máquina – mais rápido do que qualquer análise de nuvem remota – e sem esforço humano.

Implementando

Escolher o EDR certo requer entender as necessidades da empresa e dos recursos do produto que está sendo oferecido. Também é importante realizar testes, garantindo que esses tenham aplicação no mundo real. Como esse produto será usado por sua equipe no dia a dia das operações? Quão fácil é aprender? Ele ainda protegerá sua empresa quando quaisquer serviços em nuvem dos quais ele depende estiverem offline ou inacessíveis?

É importante considerar a implantação e o lançamento também. Você pode automatizar a implantação em todo o seu sistema? E a compatibilidade da plataforma? O fornecedor escolhido dá igual importância ao Windows, Linux e macOS? Afinal, todo e qualquer endpoint precisa ser protegido – sem exceções.

Em seguida, deve-se pensar na integração. A maioria das empresas tem uma pilha de softwares complexos. É necessário então analisar se a solução apresentada oferece uma ampla integração, porém simples, para outros serviços nos quais a equipe já confia.

Seja como for, é essencial ter em mente que os agentes de ameaças há muito tempo superaram os antivírus. As empresas então precisam considerar que esses produtos não são mais suficientes contra as ameaças ativas hoje. Basta ver a quantidade de reportagens sobre empresas sofrendo ataques como ransomware, embora tenham investido em controles de segurança – mas talvez não da maneira correta. O EDR então ajuda a garantir que a empresa seja capaz de se defender não apenas dos ataques já conhecidos, como fazem os antivírus convencionais, mas que também tenha meios para driblar os ataques do presente e do futuro antes mesmo que eles aconteçam.

Ficou com alguma dúvida? Converse com nossos especialistas.

This post is also available in: Português Español