EDR vs Antivirus vs EPP: Wat is het verschil?

Een bijdrage van Aart de Wit en Jenny ten Brink

Endpoint Detection and Response software (EDR), is een moderne vervanging voor Antivirus-beveiligingssoftware (AV). Al tientallen jaren investeren organisaties en bedrijven in AV-suites in de hoop de uitdagingen van bedrijfsbeveiliging op te lossen. Maar naarmate de verfijning van malware bedreigingen de afgelopen tien jaar is toegenomen, zijn de tekortkomingen van wat nu 'legacy' AV wordt genoemd, maar al te duidelijk geworden.

Als reactie hierop hebben sommige leveranciers de uitdagingen van bedrijfsbeveiliging opnieuw bekeken en nieuwe oplossingen bedacht voor de tekortkomingen van AV.  


Kenmerken van Antivirus en EPP

In de tijd dat het aantal nieuwe malware bedreigingen per dag gemakkelijk kon worden geteld in een spreadsheet document, bood AV bedrijven een manier om bekende malware te blokkeren door bestanden te onderzoeken. Als het bestand 'bekend' was in de database met schadelijke bestanden van de AV-scanner, zou de software voorkomen dat het malware bestand werd uitgevoerd.

De traditionele AV-database bestaat uit een set handtekeningen. Deze handtekeningen kunnen hashes van een malware bestand bevatten die een set kenmerken heeft, waaraan het bestand moet voldoen. Dergelijke kenmerken omvatten doorgaans zaken als door mensen leesbare strings of reeksen bytes die zich in het uitvoerbare bestand van de malware bevinden, bestandstype, bestandsgrootte of andere soorten metagegevens van het bestand.

Sommige AV-programma's kunnen ook primitieve heuristische analyses uitvoeren op actieve processen en de integriteit van belangrijke systeembestanden controleren. Deze 'after-the-fact' of post-infectiecontroles werden aan veel AV-producten toegevoegd, nadat de dagelijkse vloed aan nieuwe malware de mogelijkheid van AV-leveranciers om hun databases up-to-date te houden begon te overtreffen.

In het licht van de groeiende bedreigingen en de afnemende effectiviteit van de AV-aanpak, hebben sommige oudere leveranciers geprobeerd om AV aan te vullen met andere services zoals firewallvcontrole, gegevensversleuteling, proces toestaan- en blokkeerlijsten en andere AV-'suite'-tools. Dergelijke oplossingen, die algemeen bekend staan als 'EPP' of Endpoint Protection Platforms, blijven in essentie gebaseerd op een handtekening benadering.


Kenmerken van EDR

Terwijl de focus van alle AV-oplossingen ligt op de (potentieel schadelijke) bestanden die aan het systeem worden toegevoegd, richt een EDR zich daarentegen op het verzamelen van gegevens van het endpoint (de Engelse benaming voldoet beter dan de vertaling “eindpunt”) en het onderzoeken van die gegevens op schadelijke of afwijkende patronen in real-time. Zoals de naam al aangeeft, is het idee van een EDR-systeem om een infectie te detecteren en een reactie te initiëren. Hoe sneller een EDR dit kan doen zonder menselijke tussenkomst, hoe effectiever het zal zijn.

EDR's erkennen dat niet alle moderne aanvallen op bestanden zijn gebaseerd. Bovendien bieden proactieve EDR's beveiligingsteams cruciale functies die niet in AV te vinden zijn, waaronder geautomatiseerde respons en diepgaand inzicht in welke bestandswijzigingen, procescreaties en netwerkverbindingen op het endpoint hebben plaatsgevonden: essentieel voor threat hunting, incident response en digitale forensics.

Valkuilen van Antivirus

Er zijn veel redenen waarom AV-oplossingen de bedreigingen waarmee bedrijven vandaag de dag worden geconfronteerd niet kunnen bijhouden:

  1. Het aantal nieuwe malware monsters dat dagelijks wordt gezien, is vele malen groter dan het aantal waarvan sprake was toen de legacy AV oplossingen werden ontwikkeld.
  2. Detectie via AV-handtekeningen kan vaak gemakkelijk worden omzeild door kwaadwillenden, zelfs zonder hun malware te herschrijven. Bestandshashes behoren bijvoorbeeld tot de gemakkelijkste kenmerken van een bestand om te wijzigen, maar interne strings kunnen ook willekeurig worden gemaakt, verduisterd en anders worden gecodeerd met elke build van de malware.
  3. De kwaadwillenden zijn verder gegaan dan eenvoudige op bestanden gebaseerde malware-aanvallen. In-memory of fileless aanvallen zijn gebruikelijk geworden.

Voordelen van EDR

EDR is veel beter uitgerust om om te gaan met de huidige kwaadwillenden en de beveiligingsuitdagingen die zij vormen.

Door zich te richten op de detectie van ongebruikelijke activiteit en het bieden van een reactie, is EDR niet beperkt tot het detecteren van bekende, op bestanden gebaseerde bedreigingen. De primaire waarde van het EDR-voorstel is dat de bedreiging niet precies hoeft te worden gedefinieerd zoals dat wel het geval is voor Antivirus-oplossingen. Een EDR-oplossing kan zoeken naar patronen van activiteit die onverwacht, ongebruikelijk en ongewenst zijn en een waarschuwing afgeven voor een beveiligingsanalist om te onderzoeken.

Bovendien bieden EDR's beveiligingsteams de mogelijkheid om die gegevens te visualiseren in één handige, gecentraliseerde interface, omdat ze werken door een groot aantal gegevens van alle beschermde endpoints te verzamelen. IT-teams kunnen die gegevens integreren met andere tools voor diepere analyses.


EDR als aanvulling van Antivirus

Ondanks hun beperkingen kunnen AV-engines nuttige aanvullingen zijn op EDR-oplossingen. De meeste EDR's bevatten een element van handtekening- en hash-gebaseerde blokkering als onderdeel van een 'defense-in-depth'-strategie.

Door AV-engines op te nemen in een effectievere EDR-oplossing, kunnen beveiligingsteams van bedrijven profiteren van eenvoudige blokkering van bekende malware en deze combineren met de geavanceerde functies die EDR's te bieden hebben. 

Actieve EDR

Ondanks de voordelen slagen veel EDR-oplossingen er echter niet in om de impact te hebben waarop beveiligingsteams van bedrijven hadden gehoopt, omdat ze veel menselijke hulpbronnen vereisen om te beheren: hulpbronnen die vaak niet beschikbaar zijn.

Toch hoeft dat niet zo te zijn. EDR heeft ook het vermogen om bedreigingen autonoom te beperken zonder dat er menselijke tussenkomst nodig is. Door de kracht van machine learning en kunstmatige intelligentie te benutten, ontlast Actieve EDR het SOC-team en kan het bedreigingen op het endpoint zélf beperken, sneller dan welke externe cloud analyse dan ook en zonder menselijke inspanning.

Conclusie: Is EDR waardevol voor jouw IT Security?

Het bedreigingsveld is niet verschoven maar vergroot met meer geavanceerde aanvallen naast de traditionele bestand gerelateerde aanvallen. De kans dat geavanceerde aanvallen worden opgezet is het grootst bij organisaties waar "veel te halen valt". EDR is een nieuwe manier van beveiligen die een uitstekende aanvulling vormt op de beveiliging van organisaties waar hoogwaardige beveiliging van groot belang is.

Hoewel EDR niet onze ‘core business’ is, hoort het wel bij de eerder genoemde gelaagdheid van beveiliging. Op alle niveau’s, vanaf het endpoint tot het netwerk design en de externe verbindingen moet worden gedacht aan beveiliging en dus hoort EDR daar absoluut bij.

Neem contact met ons op: https://www.procyonnetworks.nl/contact/



Bekijk ook de rest van onze IT Security Blog reeks



Volg Procyon Networks op LinkedIn en vind wekelijks waardevolle informatie over cybersecurity en netwerktechnologie op jouw tijdlijn.