Vi har alle en antivirusløsning installert på PC-en. Den kjører i bakgrunnen, med faste oppdateringer og skanninger. Spørsmålet er om et tradisjonelt antivirus fremdeles bra nok, eller er den bare en falsk trygghet.
Vi er på 2020-tallet, og teknologien går fremover. Litt for fort vil noen mene, men hackerne gnir seg i hendene. Hver dag oppdages over 350.000 nye virus eller mutasjoner av de forrige.
Akkurat som med våre dataenheter, som i praksis blir utdatert i det vi pakker dem ut, skjer det samme innen beskyttelse mot nettangrep. Teknologien blir stadig mer sofistikert, og de datakriminell henger med. På grunn av denne rivende utviklingen, klarer ikke tradisjonelle antivirus å tilby den samme beskyttelsen som det den engang gjorde. Volumet av nye trusler blir for stort, og angrepsmetodene blir for avanserte.
Husk at måten tradisjonelle antivirus fungerer på ikke har endret seg på nesten 20 år!
I de fleste tilfeller er endepunktet (maskinen) som er angrepsmålet. Dagens migrering mot skytjenester, der du ikke lenger sitter bak bedriftens sikkerhetsmurer, har gjort maskinene mer utsatt. Brukernes PC’er anses som nettverkets svakeste ledd, og er da primærmålet for angrep. Hvis, eller dessverre når, en maskin blir infisert, så trenger du å ha muligheten til å finne trusselen og respondere på den. Trussel som ikke må spres videre til andre maskiner.
Fremfor å fortsatt stole på signaturbasert detektering, har de ledende sikkerhetsprodusentene startet med å monitorere mistenkelig adferd på maskinen. Gjennom denne adferdsbaserte detekteringen er det helt underordnet om trusler er filbaserte eller avanserte fil-løse angrep. Hvis noe oppfører seg mistenkelig vil løsningen respondere deretter, og isolere maskinen ved å stenge all nett- og nettverkstrafikk. Dette er en mer effektiv form for beskyttelse, da den ikke er avhengig av om skadekoden har vært oppdaget tidligere. Det kan være et helt nytt virus, men likevel vil systemet gjenkjenne at denne nye koden prøver å utføre uønskede handlinger, som må forhindres.
Enkelt forklart så bryr ikke EDR seg om hva slags skadeprogram som benyttes for å angripe maskinen din. Den ser heller på oppførselen som finner sted. Hvis oppførselen er skadelig eller indikerer mistenkelig aktivitet, vil EDR oppdage dette og respondere. Gjennom avansert teknologi vil sikkerhetsprogrammet fjerne trusselen, og spole maskinen tilbake til statusen den hadde før angrepet!
EDR-teknologien har da fire primære oppgaver:
EDR-løsninger bruker avansert AI (kunstig intelligens) for å kontinuerlig se etter indikatorer på kompromittering av maskinen, såkalte IoC’er. Disse avslører om et angrep har funnet sted. De vil så begrense intervallet av infiseringen, for deretter benytte utbedringsteknologi for å fjerne og/eller fikse datafiler i det infiserte systemet. Helt avgjørende for løsningene er at de samler inn store mengder data om hendelser for å bruke AI til å lære mer om angrepsoppførsel. Dette styrker kontinuerlig løsningens evne til å forstå og reagere på adferdsmønstre.
Uavhengig av om du velger å kalle dette neste generasjons antivirus eller EDR, så er det viktigste budskapet at vi må bevege oss bort fra tradisjonelle signaturbaserte antivirus-løsninger, og over på adferdsbasert monitorering av maskinen. At vi i de nye løsningene også får mulighet til å respondere mot truslene og tilbakestille maskinen, gjør valget relativt enkelt. Bytt nå!