Blog WatchGuard

EDR vs Antivírus corporativo

EDR, ou Endpoint Detection and Response, é um substituto moderno para suítes de segurança antivírus. Por décadas, organizações e empresas investiram em pacotes antivírus na esperança de resolver os desafios da segurança corporativa. Mas, à medida que a sofisticação e a prevalência de ameaças de malware cresceram nos últimos anos, as deficiências do que agora é chamado de antivírus “herdado” tornaram-se muito aparentes.

Enquanto o foco de todas as soluções AV está nos arquivos (potencialmente maliciosos) que estão sendo introduzidos no sistema, um EDR, por outro lado, concentra-se na coleta de dados do endpoint e na análise desses dados em busca de padrões maliciosos ou anômalos em tempo real. Como o nome indica, a ideia de um sistema EDR é detectar uma infecção e iniciar uma resposta. Quanto mais rápido um EDR puder fazer isso sem intervenção humana, mais eficaz será.

Um bom EDR também incluirá recursos para bloquear arquivos maliciosos, mas o importante é que os EDRs reconhecem que nem todos os ataques modernos são baseados em arquivos. Além disso, os EDRs proativos oferecem às equipes de segurança recursos essenciais não encontrados no Antivírus, incluindo resposta automatizada e visibilidade profunda de quais modificações de arquivos, criações de processos e conexões de rede ocorreram no endpoint: vitais para busca de ameaças, resposta a incidentes e análise forense digital.

Existem muitas razões pelas quais as soluções antivírus não conseguem acompanhar as ameaças que as empresas enfrentam hoje. Isto porque, o número de novas amostras de malware vistas diariamente é maior do que o número que qualquer equipe humana de escritores de assinaturas pode acompanhar. Além disso, a detecção por meio de assinaturas de antivírus pode ser facilmente contornada por agentes de ameaças, mesmo sem reescrever seu malware.

Com seu foco em fornecer visibilidade às equipes de segurança corporativas, juntamente com respostas de detecção automatizadas, o EDR está muito melhor equipado para lidar com os agentes de ameaças atuais e os desafios de segurança.

Ao se concentrar na detecção de atividades incomuns e fornecer uma resposta, o EDR não se limita apenas a detectar ameaças conhecidas baseadas em arquivos. Pelo contrário, o principal valor da proposta de EDR é que a ameaça não precisa ser definida com precisão da mesma forma que acontece com as soluções antivírus. Uma solução EDR pode procurar padrões de atividade inesperados, incomuns e indesejados e emitir um alerta para um analista de segurança investigar.

Além disso, como os EDRs trabalham coletando uma grande variedade de dados de todos os endpoints protegidos, eles oferecem às equipes de segurança a oportunidade de visualizar esses dados em uma interface centralizada e conveniente. As equipes de TI podem pegar esses dados e integrá-los a outras ferramentas para uma análise mais profunda, ajudando a informar a postura geral de segurança da organização à medida que ela se move para definir a natureza de possíveis ataques futuros. Os dados abrangentes de um EDR também podem permitir a busca e análise retrospectiva de ameaças.    

Apesar de suas limitações quando implantados sozinhos ou como parte de uma solução de EPP, os mecanismos antivírus podem ser complementos úteis às soluções EDR, e a maioria dos EDRs conterá algum elemento de assinatura e bloqueio baseado em hash como parte de uma estratégia de “defesa em profundidade” .

Ao incorporar mecanismos antivírus em uma solução de EDR mais eficaz, as equipes de segurança corporativa podem aproveitar os benefícios do bloqueio simples de malware conhecido e combiná-lo com os recursos avançados que os EDRs têm a oferecer.