EDR vs. bedrijfsantivirus: Wat is het verschil?
In eigener Sache
EDR, of Endpoint Detection and Response, is een moderne vervanging voor antivirusbeveiligingssuites. Decennialang hebben organisaties en bedrijven geïnvesteerd in antivirussuites in de hoop de beveiligingsproblemen van ondernemingen op te lossen. Maar met de toenemende geavanceerdheid en proliferatie van malwarebedreigingen in het afgelopen decennium zijn de tekortkomingen van zogenaamde "legacy" antivirusoplossingen maar al te duidelijk geworden.
In reactie hierop hebben sommige leveranciers de uitdagingen van bedrijfsbeveiliging opnieuw bekeken en nieuwe oplossingen ontwikkeld voor de tekortkomingen van antivirus. Waarin verschilt EDR van antivirus? Hoe en waarom is EDR effectiever dan AV? En waar moet u rekening mee houden als u uw AV vervangt door een geavanceerde EDR? Het antwoord op al deze vragen en meer vindt u in dit artikel.
Hoe verschilt EDR van antivirus?
Om uw bedrijf of organisatie adequaat te beschermen tegen bedreigingen, is het belangrijk het verschil te begrijpen tussen EDR en traditionele of 'oude' antivirus. Deze twee beveiligingsbenaderingen zijn fundamenteel verschillend, en slechts één ervan is geschikt voor de aanpak van moderne bedreigingen.
Antivirusfuncties
In de tijd dat het aantal nieuwe malwarebedreigingen per dag gemakkelijk kon worden geteld in een spreadsheet, bood antivirus bedrijven een manier om bekende malware te blokkeren door bestanden te onderzoeken - of te scannen - terwijl ze naar de harde schijf van een computer werden geschreven. Als het bestand "bekend" was in de database met schadelijke bestanden van de AV-scanner, verhinderde de software dat het malwarebestand kon worden uitgevoerd.
De traditionele antivirusdatabase bestaat uit een reeks handtekeningen. Deze handtekeningen kunnen hashes bevatten van een malwarebestand en/of regels die een reeks kenmerken bevatten waaraan het bestand moet voldoen. Deze kenmerken omvatten doorgaans door mensen leesbare strings of byte-sequenties die in het uitvoerbare malwarebestand worden aangetroffen, het bestandstype, de bestandsgrootte en andere soorten bestandsmetadata.
Sommige antivirusprogramma's kunnen ook een primitieve heuristische analyse van lopende processen uitvoeren en de integriteit van belangrijke systeembestanden controleren. Deze controles "na de feiten" of na de besmetting werden aan veel AV-producten toegevoegd nadat de stroom van nieuwe malwaremonsters dagelijks het vermogen van AV-leveranciers om hun databases up-to-date te houden, oversteeg.
Gezien de toenemende bedreigingen en de afnemende doeltreffendheid van de antivirusaanpak hebben sommige leveranciers geprobeerd antivirus aan te vullen met andere diensten zoals firewallcontrole, gegevensversleuteling, lijsten met toegelaten processen en blokkades, en andere AV-"pakketten". Deze oplossingen, gewoonlijk aangeduid als "EPP" of Endpoint Protection Platforms, zijn in de kern nog steeds gebaseerd op een handtekeningbenadering.
Kenmerken van EDR
Terwijl de focus van alle AV-oplossingen ligt op de (potentieel schadelijke) bestanden die in het systeem worden ingevoerd, richt een EDR zich daarentegen op het verzamelen van gegevens van het eindpunt en onderzoekt die gegevens in realtime op schadelijke of afwijkende patronen. Zoals de naam al aangeeft, is het idee van een EDR-systeem het detecteren van een infectie en het in gang zetten van een reactie. Hoe sneller een EDR-systeem dit kan doen zonder menselijke tussenkomst, hoe effectiever het is.
Een goed EDR-systeem heeft ook functies om schadelijke bestanden te blokkeren, maar het belangrijkste is dat EDR's erkennen dat niet alle moderne aanvallen op bestanden zijn gebaseerd. Daarnaast bieden proactieve EDR's beveiligingsteams belangrijke functies die niet te vinden zijn in antivirusprogramma's, zoals geautomatiseerde reacties en uitgebreid inzicht in bestandswijzigingen op het endpoint, het aanmaken van processen en netwerkverbindingen: Dit is cruciaal voor threat hunting, incident response en digitaal forensisch onderzoek.
Valkuilen van antivirus
Er zijn vele redenen waarom antivirusoplossingen de bedreigingen waarmee bedrijven tegenwoordig worden geconfronteerd, niet kunnen bijhouden. Ten eerste zijn er, zoals eerder vermeld, elke dag meer nieuwe malwarepatronen dan een menselijk team van handtekeningenschrijvers aankan.
Aangezien AV-oplossingen onvermijdelijk veel van deze patronen niet kunnen detecteren, moeten bedrijven ervan uitgaan dat zij worden geconfronteerd met een bedreiging die het antivirusprogramma niet kan detecteren.
Ten tweede kan detectie door antivirussignaturen vaak gemakkelijk worden omzeild door actoren van de dreiging, zelfs zonder hun malware te herschrijven. Omdat handtekeningen zich richten op slechts enkele bestandskenmerken, hebben auteurs van malware geleerd malware te maken met veranderende kenmerken, ook wel polymorfe malware genoemd. Bestandshashes behoren bijvoorbeeld tot de gemakkelijkst te veranderen kenmerken van een bestand, maar ook interne strings kunnen bij elke build van de malware anders worden gerandomiseerd, verduisterd en versleuteld.
Ten derde zijn financieel gemotiveerde bedreigers zoals exploitanten van ransomware verder gegaan dan eenvoudige bestandsgebaseerde malware-aanvallen. Menselijk gemaakte ransomware-aanvallen zoals Hive, alsmede "dubbele afpersing"-aanvallen zoals Maze, Ryuk en andere die beginnen met gecompromitteerde of geforceerde referenties of de exploitatie van kwetsbaarheden voor remote code execution (RCE), kunnen leiden tot compromittering en verlies van intellectuele eigendom door exfiltratie van gegevens zonder detectie op basis van antivirushandtekeningen.
Voordelen van EDR
Met zijn focus op het bieden van zichtbaarheid aan beveiligingsteams van ondernemingen en geautomatiseerde reacties op detectie, is EDR veel beter toegerust om het hoofd te bieden aan de huidige dreigingsactoren en de bijbehorende beveiligingsuitdagingen.
Doordat EDR zich richt op het detecteren van ongebruikelijke activiteiten en het geven van een reactie, is het niet beperkt tot het detecteren van bekende bestandsgebaseerde bedreigingen. Integendeel, het belangrijkste voordeel van EDR is dat de bedreiging niet nauwkeurig hoeft te worden gedefinieerd, zoals bij antivirusoplossingen het geval is. Een EDR-oplossing kan zoeken naar onverwachte, ongebruikelijke en ongewenste activiteitspatronen en een waarschuwing afgeven die door een beveiligingsanalist kan worden onderzocht.
Omdat EDR's allerlei gegevens verzamelen van alle beschermde endpoints, bieden zij beveiligingsteams de mogelijkheid om deze gegevens te visualiseren in een handige, gecentraliseerde interface. IT-teams kunnen deze gegevens integreren met andere tools voor diepere analyse om de algehele beveiligingshouding van de organisatie te verbeteren en de aard van potentiële toekomstige aanvallen te bepalen. De uitgebreide gegevens van een EDR maken het ook mogelijk om na de feiten op zoek te gaan naar bedreigingen en deze te analyseren.
Een van de grootste voordelen van een geavanceerde EDR is misschien wel de mogelijkheid om deze gegevens te gebruiken, ze in de context van het apparaat te plaatsen en de bedreiging zonder menselijke tussenkomst te beperken. Niet alle EDR's kunnen dit echter, omdat veel ervan de EDR-gegevens naar de cloud moeten sturen voor analyse op afstand (en dus met vertraging).
Hoe EDR Antivirus aanvult
Ondanks hun beperkingen kunnen antivirusprogramma's, wanneer ze alleen of als onderdeel van een EPP-oplossing worden gebruikt, een nuttige aanvulling vormen op EDR-oplossingen, en de meeste EDR's bevatten een element van op handtekening en hash gebaseerde blokkering als onderdeel van een defence-in-depth strategie.
Door antivirus engines te integreren in een effectievere EDR-oplossing kunnen beveiligingsteams van ondernemingen profiteren van het gemak van het blokkeren van bekende malware en dit combineren met de geavanceerde mogelijkheden die EDR's bieden.
Vermijd waarschuwingsmoeheid met Active EDR
Zoals we al eerder zeiden, bieden EDR's bedrijfsbeveiligings- en IT-teams uitgebreid inzicht in alle endpoints op het bedrijfsnetwerk, wat weer een aantal voordelen met zich meebrengt. Maar ondanks deze voordelen hebben veel EDR-oplossingen niet de impact waarop corporate security teams hadden gehoopt, omdat het beheer ervan veel personele middelen vergt: Middelen die vaak niet beschikbaar zijn vanwege personeels- of budgetbeperkingen, of niet beschikbaar zijn vanwege een tekort aan cyberbeveiligingsprofessionals.
In plaats van meer veiligheid en minder werk voor hun IT- en beveiligingsteams, moesten veel bedrijven die in EDR hadden geïnvesteerd gewoon hun middelen van de ene beveiligingstaak naar de andere verplaatsen: van het aanpakken van geïnfecteerde apparaten naar het afhandelen van een berg EDR-waarschuwingen.
Toch hoeft dat niet zo te zijn. Misschien ligt het meest waardevolle potentieel van EDR wel in het vermogen om bedreigingen autonoom te bestrijden zonder menselijke tussenkomst. Door de kracht van machine learning en kunstmatige intelligentie te benutten, ontlast Active EDR het SOC-team en is het in staat gebeurtenissen op het endpoint autonoom te bestrijden zonder afhankelijk te zijn van cloud resources.
Dit betekent dat bedreigingen op machinesnelheid worden beperkt - sneller dan elke cloudanalyse op afstand - en zonder menselijke tussenkomst.
Wat Active EDR voor uw team betekent
Stelt u zich het volgende typische scenario voor: Een gebruiker opent een tabblad in Google Chrome, downloadt een bestand waarvan hij denkt dat het veilig is, en voert het uit. Het programma gebruikt PowerShell om de lokale back-ups te verwijderen en begint vervolgens alle gegevens op de schijf te versleutelen.
Het werk van een beveiligingsanalist die passieve EDR-oplossingen gebruikt, kan zwaar zijn. Hij wordt overspoeld met waarschuwingen en moet de gegevens compileren tot een zinvol rapport. Met Active EDR wordt dit werk in plaats daarvan gedaan door de agent op het eindpunt. Active EDR kent het hele verhaal en beperkt de bedreiging on the fly, voordat de versleuteling begint.
Zodra de bedreiging is beperkt, wordt rekening gehouden met alle elementen van die bedreiging, tot en met het Chrome-tabblad dat de gebruiker in de browser heeft geopend. Dit gebeurt door dezelfde storyline-ID toe te wijzen aan elk element in het verhaal. Deze stories worden vervolgens naar de beheerconsole gestuurd, zodat beveiligingsanalisten en IT-beheerders de bedreigingen gemakkelijk kunnen identificeren en detecteren.
Uw beveiliging verbeteren met EDR
Nu we de duidelijke voordelen van een EDR-systeem ten opzichte van een antivirusprogramma hebben geïdentificeerd, wat is dan de volgende stap? Het kiezen van het juiste EDR-systeem vereist dat u de behoeften van uw bedrijf en de mogelijkheden van het aangeboden product begrijpt.
Het is ook belangrijk om tests uit te voeren, maar om ervoor te zorgen dat deze tests in de praktijk worden toegepast. Hoe wordt het product door uw team in de dagelijkse praktijk gebruikt? Hoe gemakkelijk is het te leren? Zal het nog steeds uw bedrijf beschermen als alle clouddiensten waarop het steunt offline of ontoegankelijk zijn?
Het is belangrijk om ook te kijken naar de implementatie en uitrol. Kunt u de uitrol over uw hele vloot automatiseren? Hoe zit het met platformcompatibiliteit? Hecht de gekozen provider dezelfde waarde aan Windows, Linux en macOS? Elk eindpunt moet worden beschermd. Achtergebleven endpoints kunnen een achterdeur in uw netwerk vormen.
Denk vervolgens aan integratie. De meeste bedrijven hebben een complexe softwarestack. Biedt uw provider krachtige maar eenvoudige integratie voor andere diensten waarop u vertrouwt?
Meer dan EDR | XDR voor maximale zichtbaarheid en integratie
Terwijl Active EDR de volgende stap is voor organisaties die antivirus nog niet achter zich hebben gelaten, moeten organisaties die behoefte hebben aan maximale zichtbaarheid en integratie in hun hele organisatie, Extended Detection and Response, of XDR, overwegen.
XDR tilt EDR naar een hoger niveau door alle zichtbaarheids- en beveiligingscontroles te integreren in een compleet, holistisch beeld van wat er in uw omgeving gebeurt. Met een enkele pool van ruwe gegevens die informatie uit het hele ecosysteem bevat, maakt XDR een snellere, diepgaandere en effectievere opsporing van en reactie op bedreigingen mogelijk dan EDR, doordat gegevens uit een groter aantal bronnen worden verzameld en samengevoegd.
Conclusie
Bedreigers zijn antivirus en EPP al lang ontgroeid, en bedrijven moeten zich realiseren dat dergelijke producten niet opgewassen zijn tegen de hedendaagse bedreigingen. Zelfs een vluchtige blik op de krantenkoppen laat zien hoe grote, onvoorbereide bedrijven worden overvallen door moderne aanvallen zoals ransomware, ondanks dat ze hebben geïnvesteerd in beveiligingsmaatregelen. Het is aan ons als verdedigers om ervoor te zorgen dat onze beveiligingssoftware niet alleen klaar is voor de aanvallen van gisteren, maar ook voor die van vandaag en morgen.
Als u geïnteresseerd bent in een EDR- of XDR-oplossing, adviseren wij u graag over de juiste oplossing voor uw bedrijf. Neem gewoon contact met ons op via telefoon, e-mail of ons contactformulier. Wij kijken uit naar uw aanvraag.