EDR X antivírus: qual a diferença?

Evolutia Team
14/03/2022
Segurança no Endpoint, SentinelOne

EDR x antivírus? Como essa “dúvida” deve impactar a sua estratégia de segurança cibernética? O EDR, ou Endpoint Detection and Response, é uma inovadora tecnologia para suítes de segurança antivírus. Por décadas, organizações e empresas investiram em pacotes antivírus na esperança de resolver os desafios da segurança corporativa. Mas, à medida que a sofisticação das ameaças de malware cresceram nos últimos dez anos, as falhas das soluções de antivírus tornaram-se muito mais fáceis de serem detectadas.

Para fazer frente a esse cenário, alguns fornecedores repensaram os desafios da segurança corporativa e criaram novas soluções para minimizar as falhas do antivírus. Quais são as principais diferenças entre o EDR e o antivírus? Como e por que o EDR é mais eficaz que o antivírus? E o que está envolvido na substituição do seu antivírus por um EDR avançado? Você encontrará as respostas para essas perguntas e muito mais neste post.

EDR x antivírus: cada um no seu lugar

Para proteger adequadamente sua empresa ou organização contra ameaças, é importante entender a diferença entre EDR e antivírus tradicional ou “legado”. Essas duas abordagens de segurança são bem diferentes e apenas uma é apropriada para lidar com ameaças modernas.

Funcionalidades dos antivírus

Foi-se o tempo em que era possível anotar diariamente as novas ameaças de malware em planilhas. Nessa época, o antivírus oferecia às empresas um meio de bloquear malware conhecido examinando – ou verificando – arquivos à medida que eram gravados em disco em um dispositivo de computador. Se o arquivo fosse “conhecido” pelo banco de dados de arquivos maliciosos do scanner antivírus, o software impediria a execução do arquivo de malware.

Um bom EDR também incluirá recursos para bloquear arquivos maliciosos, e reconhecem que nem todos os ataques modernos são baseados em arquivos. Além disso, os EDRs proativos oferecem às equipes de segurança recursos essenciais não encontrados no antivírus, incluindo resposta automatizada e visibilidade profunda de quais modificações de arquivos, criações de processos e conexões de rede ocorreram no endpoints – vitais para busca de ameaças, resposta a incidentes e análise forense digital.

Mais vantagens no EDR x antivírus

Além do problema do crescente aumento do malwares, a detecção por meio de assinaturas de antivírus pode ser facilmente contornada por agentes de ameaças, mesmo sem reescrever seu malware. Como as assinaturas se concentram apenas em algumas características do arquivo, os autores de malware aprenderam a criar malwares com características variáveis, também conhecido como malware polimórfico. Os hashes de arquivo, por exemplo, estão entre as características de um arquivo mais fáceis de alterar, mas as strings internas também podem ser aleatórias, ofuscadas e criptografadas de maneira diferente a cada compilação do malware.

Em terceiro lugar, os agentes de ameaças com motivação financeira, como operadores de ransomware, foram além dos simples ataques de malware baseados em arquivos. Ataques na memória ou sem arquivo tornaram-se comuns, e ataques de ransomware operados por humanos como Hive – juntamente com ataques de “extorsão dupla” como Maze, Ryuk e outros – que podem começar com credenciais comprometidas ou força bruta, ou exploração de RCE (Remote Code Execution – execução remota de código) levam a um comprometimento e perda de propriedade intelectual por meio de exfiltração de dados sem nunca acionar uma detecção baseada em assinatura de antivírus.

Benefícios do EDR

Com seu foco em fornecer visibilidade às equipes de segurança corporativas, juntamente com respostas de detecção automatizadas, o EDR está muito mais bem equipado para lidar com os agentes de ameaças atuais e os desafios de segurança.

Ao se concentrar na detecção de atividades incomuns e fornecer uma resposta, o EDR não se limita apenas a detectar ameaças conhecidas baseadas em arquivos. Pelo contrário, o principal valor da proposta de EDR é que a ameaça não precisa ser definida com precisão da mesma forma que acontece com as soluções antivírus. Uma solução EDR pode procurar padrões de atividade inesperados, incomuns e indesejados e emitir um alerta para um analista de segurança investigar.

Além disso, como os EDRs trabalham coletando uma grande variedade de dados de todos os endpoints protegidos, eles oferecem às equipes de segurança a oportunidade de visualizar esses dados em uma interface centralizada e intuitiva. As equipes de TI podem pegar esses dados e integrá-los a outras ferramentas para uma análise mais profunda, ajudando a informar a postura geral de segurança da organização à medida que ela se move para definir a natureza de possíveis ataques futuros. Os dados abrangentes de um EDR também podem permitir a busca e análise retrospectiva de ameaças.

Talvez um dos maiores benefícios de um EDR avançado seja a capacidade de obter esses dados, contextualizá-los no dispositivo e mitigar a ameaça sem intervenção humana. No entanto, nem todos os EDRs são capazes disso, pois muitos dependem da transmissão de dados EDR para a nuvem para análise remota (e, portanto, atrasada).

Como o EDR complementa o antivírus

Apesar de suas limitações quando implantados sozinhos ou como parte de uma solução EPP, os mecanismos antivírus podem ser complementos úteis às soluções EDR, e a maioria dos EDRs conterá algum elemento de assinatura e bloqueio baseado em hash como parte de uma estratégia de “defesa em profundidade”.

Ao incorporar mecanismos antivírus em uma solução de EDR mais eficaz, as equipes de segurança corporativa podem aproveitar os benefícios do bloqueio simples de malware conhecido e combiná-lo com os recursos avançados que os EDRs têm a oferecer.

Com a palavra, o cliente

Segundo o estudo PeerInsights do Gartner, quando se chega ao momento EDR x antivírus, as soluções de EDR da SentinelOne são selecionadas levando em consideração as seguintes características: