EDR vs. antivírus: Qual é a diferença?

O que é EDR?

As ferramentas EDR monitoram todos os dispositivos usados em uma organização, seja local, remoto ou ambos. Os produtos EDR registram todas as atividades e transações que ocorrem nesses dispositivos e compilam os dados em um arquivo de registro abrangente em tempo real. As equipes de segurança podem então analisar os dados de log para identificar qualquer atividade ou comportamento anormal em andamento. Os dados de log também fornecem uma visão holística das deficiências de segurança atuais e futuras, proporcionando às equipes de segurança uma ideia de onde melhorar a segurança dos endpoints. Os dados podem sinalizar, por exemplo, se os controles de acesso precisam ser atualizados ou substituídos.

À medida que as ferramentas de EDR coletam dados de atividades, elas podem conduzir respostas automatizadas com base em regras criadas pela equipe de segurança. Dependendo das regras definidas e das ameaças descobertas, os produtos EDR podem tomar ações limitadas para interromper ou mitigar um ataque de segurança em andamento ou notificar as equipes de segurança se o ataque for muito complexo e exigir intervenção humana. O software EDR também pode ajudar a detectar ameaças internas usando análise comportamental de processos e ações em endpoints.

As informações que as ferramentas de EDR coletam dos endpoints incluem o seguinte:

• Endereços IP aos quais os endpoints da organização estiveram e estão atualmente conectados.
• Contas de usuários finais que fizeram login nos dispositivos e os locais de onde obtiveram acesso.
• Tentativas de alteração de senha, que podem destacar tentativas de login maliciosas.
• Execuções de processos de aplicativos e sistemas operacionais.
• Atividade de rede de dispositivos para outros pontos de conexão e vice-versa.
• Criação e armazenamento de arquivos, seja localmente, na nuvem, em servidor físico, etc.
• Uso de mídia de armazenamento portátil e quais dados foram copiados ou baixados.

Os produtos EDR oferecem os seguintes benefícios:

1. Maior visibilidade do terminal. As ferramentas de EDR fornecem uma visão completa do que está acontecendo exatamente em tempo real em todos os endpoints.
2. Registro de conformidade. O software EDR ajuda as organizações a aplicar leis de privacidade de dados, como GDPR, CCPA e HIPAA. Como as ferramentas de EDR monitoram todos os dispositivos, as equipes de segurança de TI podem acompanhar de perto os bancos de dados para ver quem está acessando o quê e se algo está sendo exfiltrado. Se houver uma violação de dados, ela poderá ser interrompida imediatamente.
3. Risco reduzido. Além de apenas coletar dados, os produtos EDR podem fazer o seguinte:

• Detecte ameaças iminentes, como ransomware.
• Contenha e isole cargas maliciosas encontradas.
• Apoie a análise forense digital com evidências e outras pistas necessárias para identificar uma violação de segurança.

4. Poupança de custos. As ferramentas EDR são implementadas localmente, mas todas as informações e dados são transmitidos para uma fonte central, como uma plataforma SIEM. Como resultado, as equipes de segurança de TI podem responder mais rapidamente a ameaças iminentes, reduzindo assim o tempo médio de detecção e o tempo médio de resposta. Esta é uma estratégia muito mais vantajosa do que examinar cada dispositivo individualmente.

O que é antivírus?

O software antivírus é uma ferramenta legada projetada para verificar e interromper automática e manualmente software malicioso, como vírus e malware, em endpoints. Também pode ajudar a evitar pop-ups e spam. Dado que as ferramentas antivírus exigem acesso privilegiado nos endpoints, alguns agentes mal-intencionados têm como alvo os produtos antivírus diretamente.

As ferramentas antivírus procuram software e arquivos maliciosos por meio das seguintes técnicas de detecção:

• Detecção baseada em assinatura. O software antivírus examina o malware suspeito comparando seu código com assinaturas de malware conhecidas.
• Detecção baseada em comportamento. As ferramentas antivírus monitoram arquivos ou software em busca de atividades suspeitas, como execução anormal de arquivos ou chamadas de API, conexão a servidores externos ou alterações incomuns no sistema de arquivos.
• Detecção baseada em heurística. Os produtos antivírus executam uma combinação dos dois métodos anteriores, examinando estaticamente o código em busca de componentes suspeitos e permitindo sua execução para monitorá-lo em busca de comportamento suspeito.

Os benefícios do software antivírus incluem o seguinte:

• Detecção. Ele verifica todo o dispositivo, incluindo todos os diretórios e arquivos, em busca de vírus. As verificações podem ser realizadas manual ou automaticamente e executadas de acordo com uma programação conveniente para a organização.
• Varredura seletiva. Um único arquivo —por exemplo, um anexo de e-mail— pode ser verificado.
• Erradicação e desativação do vírus. Se algo suspeito for detectado –por exemplo, macros em um arquivo Excel– o software antivírus tentará erradicá-lo ou desativá-lo.
• Relatórios de integridade do dispositivo. Após a conclusão da verificação, o software antivírus exibe uma pontuação abrangente para fornecer aos usuários uma ideia de quão seguro é o dispositivo.

As ferramentas antivírus mais recentes incluem bancos de dados que contêm perfis de assinatura de ameaças fornecidos pelo fornecedor. Isso permite que o software avalie arquivos armazenados em dispositivos endpoint para determinar se algo suspeito está à espreita.

EDR vs. antivírus: como eles diferem

Simplificando, as ferramentas EDR fornecem um conjunto abrangente de detecção e resposta que pode se conectar a sistemas centralizados, enquanto o software antivírus oferece a capacidade de verificar malware conhecido e interromper ou colocar em quarentena a execução de arquivos suspeitos.

O software EDR também inspeciona todos os dispositivos em tempo real; o software antivírus foi projetado para funcionar apenas com dispositivos locais onde cada usuário tem algum controle sobre o software antivírus.

O software EDR é superior na descoberta de ameaças desconhecidas por meio do uso de IA e aprendizado de máquina. As ferramentas antivírus, por outro lado, só conseguem detectar ameaças conhecidas. O software EDR também fornece inteligência em tempo real, enquanto as ferramentas antivírus geralmente só descobrem ameaças durante uma verificação automática programada ou quando solicitada a realização de uma verificação manual. Além disso, o software antivírus não gera os detalhes necessários para ajudar uma equipe forense a conduzir uma investigação completa.

Qual sua organização deve usar?

Ao comparar EDR versus antivírus, a questão permanece: qual deles deve ser usado? A resposta depende dos requisitos de segurança da sua organização. O software antivírus é uma ótima opção para consumidores com requisitos de segurança limitados; As ferramentas EDR costumam ser uma escolha muito melhor para as empresas, dada a maior complexidade da infraestrutura de TI e de rede.

Usar ambas as ferramentas de segurança de endpoint também é uma opção. As organizações podem usar software antivírus para detectar e mitigar malware conhecido e implantar ferramentas de EDR para uma segurança mais proativa. Com o software antivírus lidando com ataques comuns, as ferramentas de EDR podem se concentrar na detecção e na interrupção de ataques mais sofisticados.

Sobre o autor: Ravi Das é consultor de segurança cibernética e especialista em negócios especializado em testes de penetração e conteúdo de gerenciamento de vulnerabilidades.