Vi har alle en antivirusløsning installert på PC-en. Den kjører i bakgrunnen, med faste oppdateringer og skanninger. Spørsmålet er om et tradisjonelt antivirus fremdeles bra nok, eller er den bare en falsk trygghet. 

Vi er på 2020-tallet, og teknologien går fremover. Litt for fort vil noen mene, men hackerne gnir seg i hendene. Hver dag oppdages over 350.000 nye virus eller mutasjoner av de forrige. 

Akkurat som med våre dataenheter, som i praksis blir utdatert i det vi pakker dem ut, skjer det samme innen beskyttelse mot nettangrep. Teknologien blir stadig mer sofistikert, og de datakriminell henger med. På grunn av denne rivende utviklingen, klarer ikke tradisjonelle antivirus å tilby den samme beskyttelsen som det den engang gjorde. Volumet av nye trusler blir for stort, og angrepsmetodene blir for avanserte.  

Husk at måten tradisjonelle antivirus fungerer på ikke har endret seg på nesten 20 år! 

3 typer angrep som tradisjonelt antivirus aldri vil oppdage 

  1. «Dag-null»-angrep
    Et «dag-null»-angrep er akkurat hva det høres ut som – et dataangrep som skjer samme dag som svakheten oppdages. Den utnytter en svakhet før en oppdatering av det tradisjonelle antiviruset har kommet! Vanlig antivirus oppdager kun kjente virus og skadelig kode. «Dag-null» angrep er nye, og vil enkelt passere tradisjonelt antivirus. 
  2. Krypto-angrep
    Kryptovirusangrep involverer programvare som er lastet ned av et uvitende offer. Tidligere som regel via et e-postvedlegg eller en lenke i en e-post, men i senere tid er viruset også gjemt i vanlige nettsider. Tradisjonelt antivirus klarer som oftest ikke å beskytte mot disse angrepene. 
  3. Fil-løse programvare angrep
    I motsetning til kryptovirus trusler, er et «fil-løst» angrep et angrep på eksisterende Windowsverktøy, fremfor skadelig programvare som blir installert på offerets maskin. Derfor er det ingen virusfiler for tradisjonelt antivirus å sjekke mot. 

Neste generasjon sikkerhet 

I de fleste tilfeller er endepunktet (maskinen) som er angrepsmålet. Dagens migrering mot skytjenester, der du ikke lenger sitter bak bedriftens sikkerhetsmurer, har gjort maskinene mer utsatt. Brukernes PC’er anses som nettverkets svakeste ledd, og er da primærmålet for angrep. Hvis, eller dessverre når, en maskin blir infisert, så trenger du å ha muligheten til å finne trusselen og respondere på den. Trussel som ikke må spres videre til andre maskiner.  

Signaturbasert vs. adferdsbasert detektering 

Fremfor å fortsatt stole på signaturbasert detektering, har de ledende sikkerhetsprodusentene startet med å monitorere mistenkelig adferd på maskinen. Gjennom denne adferdsbaserte detekteringen er det helt underordnet om trusler er filbaserte eller avanserte fil-løse angrep. Hvis noe oppfører seg mistenkelig vil løsningen respondere deretter, og isolere maskinen ved å stenge all nett- og nettverkstrafikk. Dette er en mer effektiv form for beskyttelse, da den ikke er avhengig av om skadekoden har vært oppdaget tidligere. Det kan være et helt nytt virus, men likevel vil systemet gjenkjenne at denne nye koden prøver å utføre uønskede handlinger, som må forhindres. 

EDR – Endepunkts, Detektering og Respons 

Enkelt forklart så bryr ikke EDR seg om hva slags skadeprogram som benyttes for å angripe maskinen din. Den ser heller på oppførselen som finner sted. Hvis oppførselen er skadelig eller indikerer mistenkelig aktivitet, vil EDR oppdage dette og respondere. Gjennom avansert teknologi vil sikkerhetsprogrammet fjerne trusselen, og spole maskinen tilbake til statusen den hadde før angrepet!  

EDR-teknologien har da fire primære oppgaver: 

  1. Detektere mistenkelige sikkerhetshendelser 
  2. Oppbevare den mistenkelige sikkerhetshendelsen på maskinen (endepunktet) ved å stenge for all datatrafikk.
  3. Undersøke hendelsen 
  4. Gjenopprette maskinen (endepunktet) til den tilstanden den hadde før sikkerhetshendelsen inntraff. 

EDR-løsninger bruker avansert AI (kunstig intelligens) for å kontinuerlig se etter indikatorer på kompromittering av maskinen, såkalte IoC’er. Disse avslører om et angrep har funnet sted. De vil så begrense intervallet av infiseringen, for deretter benytte utbedringsteknologi for å fjerne og/eller fikse datafiler i det infiserte systemet. Helt avgjørende for løsningene er at de samler inn store mengder data om hendelser for å bruke AI til å lære mer om angrepsoppførsel. Dette styrker kontinuerlig løsningens evne til å forstå og reagere på adferdsmønstre. 

Uavhengig av om du velger å kalle dette neste generasjons antivirus eller EDR, så er det viktigste budskapet at vi må bevege oss bort fra tradisjonelle signaturbaserte antivirus-løsninger, og over på adferdsbasert monitorering av maskinen. At vi i de nye løsningene også får mulighet til å respondere mot truslene og tilbakestille maskinen, gjør valget relativt enkelt. Bytt nå!