Щоб адекватно захистити свій бізнес від загроз, важливо розуміти різницю між EDR і традиційним антивірусом. Ці два підходи до безпеки принципово відрізняються, і лише один з них є ефективним для боротьби з сучасними загрозами.

Коли кількість нових вірусів за день можна було підрахувати в електронній таблиці, антивіруси блокували відомі шкідливі програми шляхом сканування файлів під час їх запису на диск комп'ютера. Якщо файл був «відомий» базі даних антивірусу, програма не дозволяла йому виконуватися.
Антивірусна база даних складається з набору сигнатур. Вони можуть містити хеші файлу вірусу та/або характеристики, яким повинен відповідати файл. Такі характеристики мають читабельні для людини рядки або послідовності байтів, що є у виконуваному файлі вірусу, а також тип цього файлу, розмір та інші види метаданих.
Деякі антивіруси також можуть виконувати примітивний евристичний аналіз запущених процесів і перевіряти цілісність важливих системних файлів. Такі перевірки після ймовірного зараження системи додали, коли нових зразків вірусів ставало більше, ніж виробники антивірусів встигали включати їх до баз даних.
Через зниження ефективності антивірусів деякі виробники доповнюють їх іншими послугами, такими як управління фаєрволом, шифрування даних, списки дозволених і заблокованих процесів тощо. Такі рішення відомі як платформи захисту кінцевих точок (Endpoint Protection Platform, EPP) і також базуються на підході, заснованому на сигнатурах.

Антивіруси здебільшого захищають системи від запису на них потенційно шкідливих файлів. Натомість EDR збирає дані з кінцевої точки та досліджує їх на наявність шкідливих або аномальних шаблонів подій в режимі реального часу. Сама ідея EDR полягає у виявленні зараження кінцевої точки та реагуванні на загрози. Що швидше EDR може зробити це без втручання людини, то ефективнішим воно буде. Хороше EDR так само блокує шкідливі файли, але й виявляє сучасні безфайлові атаки. Проактивне EDR також автоматично реагує і забезпечує видимість будь-яких змін файлів, створення процесів і мережевих з'єднань на кінцевій точці, що важливо в ході проведення розслідувань інцидентів.

По-перше, будь-яка команда дослідників сигнатур не встигне за кількістю нових вірусів та методів атак, що з'являються щодня.
Антивіруси не можуть виявити більшість загроз, тому компанії стикаються з тими, які вони пропускають.
По-друге, зловмисники можуть легко обійти виявлення за допомогою сигнатур. Сигнатури зосереджуються на кількох характеристиках файлів, тому автори вірусів створюють їх зі змінними (поліморфними) характеристиками. Наприклад, змінити хеші файлів є найпростішим завданням, але додатково і внутрішні метадані також можуть бути рандомізовані, обфусковані чи зашифровані по-різному з кожною новою версією.
По-третє, розробники програм-вимагачів вийшли за рамки файлових атак. Поширеними стали атаки в пам'яті, безфайлові атаки, керовані людиною атаки (Hive) або ж атаки подвійного вимагання (Maze, Ryuk). Вони можуть починатися зі зламу облікових даних або використання вразливостей RCE (remote code execution, віддаленого виконання коду). Відбуваються витоки даних, але антивірус не реагує на дані загрози, бо перевірка сигнатур не виявила нічого шкідливого.

EDR зосереджується на забезпеченні видимості для команд безпеки та автоматичному реагуванні на загрози, тому з сучасними загрозами впорається набагато краще.
EDR не обмежується лише виявленням відомих файлових загроз. Навпаки, основна цінність полягає в тому, що загроза не повинна бути точно визначена: рішення шукає несподівані, аномальні та небажані шаблони активності на кінцевій точці та генерує сповіщення, які аналітик з безпеки повинен дослідити.
Оскільки EDR збирають широкий спектр даних з усіх захищених кінцевих точок, команди безпеки можуть візуалізувати їх та проводити аналітику в уніфікованому інтерфейсі. Також дані можна інтегрувати з іншими інструментами для глибшого аналізу, подальшого інформування про загальний стан безпеки й ретроспективного пошуку та аналізу загроз.
Просунуті EDR можуть отримати ці дані, контекстуалізувати їх на пристрої та зменшити загрозу без втручання людини. Але так можуть не всі: якщо дані передаються через хмару для віддаленого аналізу, він стає відкладеним.

Антивірусні механізми можуть корисно доповнити EDR, і більшість з них містять елементи блокування на основі сигнатур і хешів як частину стратегії «глибокого захисту». Так команди безпеки організації можуть скористатися перевагами блокування вже відомого шкідливого ПЗ.

EDR надають глибоку видимість всіх кінцевих точок в мережі, однак багато рішень не дають того ефекту, на який сподівалися команди безпеки. Вони вимагають значних людських ресурсів для управління, які часто недоступні через кадрові чи бюджетні обмеження або недосяжні через брак навичок.
Багато організацій, які інвестували в EDR, просто перерозподіляють ресурси з одного завдання безпеки на інше: замість сортування заражених пристроїв доводиться переглядати гори сповіщень.

Розглянемо типовий сценарій: користувач відкриває вкладку в Google Chrome, завантажує, на його думку, безпечний файл і запускає його. Програма використовує PowerShell для видалення локальних резервних копій, а потім починає шифрувати всі дані на диску.
Завалений сповіщеннями аналітик повинен зібрати дані в цілісну історію. З Active EDR цю роботу виконує агент на кінцевій точці. Active EDR знає повну хронологію подій, тому воно усуває цю загрозу під час її виконання, ще до початку шифрування.
Коли атака буде мінімізована, всі елементи її хронології подій будуть захищені, аж до вкладки Chrome, яку користувач відкрив у браузері. Це працює завдяки тому, що кожному елементу присвоюється однаковий ідентифікатор Storyline ID. Потім сформовані в ланцюжки елементи надсилаються у консоль управління, що дозволяє аналітикам та адміністраторам легко відстежувати загрози.

Вибір правильного EDR вимагає розуміння потреб організації та можливостей продукту.
Важливо провести тести й переконатися, що вони мають реальне застосування. Як продукт буде використовуватися вашою командою в повсякденній роботі? Наскільки легко його освоїти? Чи буде він захищати вашу компанію, якщо хмарні сервіси постачальника EDR будуть вимкнені або недоступні?
Важливо також враховувати розгортання та впровадження. Чи можете ви автоматизувати розгортання на всій мережі? Як щодо сумісності платформ? Чи приділяє обраний вами постачальник однакову увагу Windows, Linux та macOS? Кожна кінцева точка повинна бути захищена: залишені поза увагою створюють бекдор у вашу мережу.
Далі треба подумати про інтеграцію: більшість організацій мають складний стек програм. Чи пропонує ваш постачальник потужну, але просту інтеграцію для інших ваших сервісів?

Active EDR є наступним кроком після антивірусів. А підприємствам, які потребують максимальної видимості та інтеграції всюди, підійде розширене виявлення та реагування (Extended Detection and Response, XDR).
XDR виводить EDR на новий рівень захисту завдяки інтеграції всіх рішень контролю видимості та безпеки в повне цілісне уявлення про те, що відбувається у вашому середовищі. Завдяки єдиному пулу телеметрії, що містить інформацію з усієї екосистеми, XDR дозволяє швидше, глибше та ефективніше виявляти загрози й реагувати на них, збираючи та зіставляючи дані з ширшого спектра джерел.

Зловмисники вже давно вийшли за рамки антивірусів і EPP, тому такі продукти не здатні протистояти активним загрозам сьогодення. Навіть швидкий погляд на заголовки новин показує, як великі, але непідготовлені організації стають жертвами сучасних атак попри інвестиції в засоби кібербезпеки. На нас лежить відповідальність за те, щоб наші програми для захисту були придатним для сьогоднішніх і майбутніх загроз.