Tarvitsenko kolmannen osapuolen virustorjuntaa Windowsissa tai macOS:ssä?

Useimmille kotikäyttäjille ei – Windows Defenderin ja macOS:n sisäänrakennettu suojaus riittää. Missä saatat haluta enemmän: pienyritykset, joilla on arvokkaita tavoitteita, kuka tahansa, joka hallitsee monia päätepisteitä, käyttäjät, joilla on EDR:n määritteleviä säännöksiä. Ilmaiset kolmannen osapuolen AV:t tarjoavat marginaalisia parannuksia järjestelmän suorituskyvyn ja (joskus) telemetrian kustannuksella.

Mitä eroa on AV:n, EDR:n ja XDR:n välillä?

AV saa kiinni tunnetut haittaohjelmat allekirjoitusten avulla. EDR tallentaa päätepisteen käyttäytymisen ja havaitsee haitalliset mallit. XDR korreloi EDR:n verkko-, identiteetti-, pilvi- ja sähköpostitietoihin. Jokainen sukupolvi lisää valmiuksia; modernit tietoturvapinot sisältävät kaikki kolme kerrosta, usein yhdistettynä yhdeksi tuotteeksi.

Hidastaako EDR tietokonettani?

Marginaaliset lisäkustannukset – muutaman prosentin CPU nykyaikaisella laitteistolla. Joillakin vanhoilla AV-tuotteilla oli historiallisesti suuri vaikutus; moderni EDR on suunniteltu kevyeksi. Jos huomaat merkittävää hidastumista, tarkista tuotteen asetukset tai harkitse toista toimittajaa.

Voiko päätepisteen suojaus lukea tiedostojani?

Kyllä – suunnittelusta. EDR:n on nähtävä tiedoston sisältö ja prosessitoiminta havaitakseen haitallisia malleja. Yritystuotteilla on tietojenkäsittelykäytännöt; kuluttajatuotteet, jotka lähettävät telemetriaa pilveen, voivat jakaa metatietoja. Lue tietosuojakäytäntö, jos tällä on sinulle merkitystä. VPN ei muuta laitteesi toimintaa.

Ovatko Macit todella turvallisempia kuin Windows?

Vähemmän hyökätty, osittain turvallisempi. macOS:ssä on vähemmän hyödyke-haittaohjelmatartuntoja, koska markkinaosuus on pienempi ja Applen hiekkalaatikko-/allekirjoitusmalli nostaa rimaa. Huippuuhat (kohdistetut, kansallisvaltiot) toimivat hyvin Mac-tietokoneissa. "Turvallisempi" on totta jokapäiväisille käyttäjille; "immuuni" ei ole koskaan ollut totta millekään alustalle.

Päätepisteen suojaus selitetty: Virustentorjunnasta EDR:ään XDR:ään

Päätepisteen suojaus on se, mihin kannettava tietokoneesi, puhelimesi ja palvelimesi ovat riippuvaisia haittaohjelmien, kiristysohjelmien, tunnistetietojen varkauksien ja kaiken muun laitteeseen saapuvan pahan havaitsemisesta. Kategoria kehittyi yksinkertaisesta allekirjoitusta vastaavasta virustorjuntaohjelmasta Endpoint Detection and Response (EDR) ja nyt Extended Detection and Response (XDR), ja sukupolvien välinen ero on valtava.

Artikkelin koko runko on englanniksi alla.

Endpoint security on joukko työkaluja, jotka suojaavat yksittäisiä laitteita – kannettavia tietokoneita, pöytätietokoneita, palvelimia, puhelimia, tabletteja – niihin kohdistuvilta uhilta. Kategoria on käynyt läpi kolme sukupolvea:

Antivirus (AV) — mallin täsmäytys tunnettuja haittaohjelmia vastaan
EDR (Endpoint Detection and Response) — käyttäytymisanalyysi sekä telemetria- ja tapahtumareaktiot ja PLXXExtendedZPLZXXte. Vastaus) — EDR korreloi verkon, identiteetin, pilvi- ja sähköpostisignaalien kanssa koko organisaatiossa

Perinteisen virustorjunnan rajat

Klassinen AV toimi allekirjoitusten täsmäämisen avulla: skannaa tiedostot tunnettujen haittaohjelmien hajautustietokantaa vastaan, hälytä, jos vastaavuus löytyy. Tämä oli tehokas 2000-luvun alun haittaohjelmia vastaan - kiinteän merkkijonon binäärit, jotka leviävät ennustettavasti. Se hajosi kahdesta syystä:

Polymorfinen haittaohjelma. Nykyaikaiset hyökkääjät kääntävät tai pakkaavat työkalujaan jatkuvasti. Tämän päivän muunnelman allekirjoitus ei vastaa huomista.
Tiedostottomat hyökkäykset. Yhä useammin hyökkäykset elävät kokonaan muistissa tai käyttävät käyttöjärjestelmän sisäänrakennettuja työkaluja (PowerShell, WMI, cmd.exe). Tarkistettavaa tiedostoa ei ole.

Allekirjoituspohjaisen AV:n sieppausnopeus nykyisiä hyökkäyksiä vastaan on heikko – uusien uhkien osalta usein alle 20 %. Se on edelleen hyödyllinen lähtökohtana hyödykehaittaohjelmia vastaan, mutta kukaan, joka luottaa siihen yksin, on ollut umpikujassa vuosikymmenen ajan.

Mitä EDR lisää

EDR tallentaa jokaisen päätepisteen prosessin – prosessin luomisen, tiedostojen muokkaukset, argumenttien analyysit, komentorivien muokkaus, komentorivien muokkaus. epäilyttäviä kuvioita. Havaitseminen on käyttäytymiseen perustuva, ei allekirjoituspohjainen:

Office-prosessi synnyttää PowerShellin koodatuilla argumenteilla
cmd.exe luo lähteviä verkkoyhteyksiä
Massikkotiedostojen muokkaus epätavallisella nopeudella (lunnasohjelmapalvelun4 salaus4xLoZXX tilille) Klo 3.00 maasta, jossa käyttäjä ei ole koskaan käynyt
Lateraaliset liikeyritykset WMI:n, PsExecin, SMB

Kun EDR havaitsee jotain, se voi asettaa prosessin karanteeniin, eristää isännän verkosta ja välittää hälytyksen tietoturvatiimille. Tallennetun telemetrian avulla vastaajat voivat perua hyökkäyksen: mikä prosessi poiki minkäkin, mitä tiedostoja kosketettiin, mitkä URL-osoitteet saavutettiin. Täydellinen tutkimus on mahdollista ilman muistin tyhjentämistä tai laitteen takavarikointia.

Tärkeimmät EDR-tuotteet

CrowdStrike Falcon – pilvipohjainen, vahva markkina-asema yrityksissä
XPLZ, Windows 3:ssa, ilmainen EDR5 Microsoft Defender5. lisensointi
SentinelOne – edelläkävijä autonominen vastaus ("AI-ohjattu" korjaus)
Palo Alto Cortex XDR
So X
VMware Carbon Black

Markkinat konsolidoituivat nopeasti vuosina 2022–2025, kun XDR:stä tuli hallitseva strategia. kanssa:

Verkon havaitseminen (NDR) — mitä palomuuri, välityspalvelin ja paketti kaappaavat, katso
IIdentiteettisignaalit (ITDR) — Active Directory, kertakirjautumisen tunnistus työkuorma telemetry — AWS, Azure, GCP-tarkastuslokit ja ajonaikaiset tapahtumat
Sähköpostiuhkatiedot — tietojenkalastelukampanjat, liitteiden käyttäytyminen

Arvo on osoitteessa: 3 yhden verkkotunnuksen kirjautumiskorrelaatio; klo 3.00 sisäänkirjautuminen, jota seuraa postilaatikkosäännön luominen ja sen jälkeen S3-säihön suodattaminen on hyökkäys. XDR yhdistää pisteet, joita yksittäiset työkalut kaipaavat.

Päätepisteiden suojaus kuluttajille

Hyvä uutinen: kuluttajien päätepisteiden tietoturva on paremmassa kunnossa kuin se on ollut vuosikymmeniin. Sisäänrakennetut suojaukset ovat päteviä:

Windows Defender toimitetaan Windows 10/11:n kanssa ja kilpailee uskottavasti kaupallisten AV:iden kanssa. Useimmille kotikäyttäjille se riittää.
macOS XProtect, Gatekeeper, Notarization – Applen kerroksittainen suojaus allekirjoittamattomia ja tunnettuja haittaohjelmia vastaan.
iOS/iPadOS – hiekkalaatikko-haittaohjelmat ja sovelluskaupan tehokkaat osakemarkkinat eivät ole keinoja. iPhones.
Chromebookit – vain luku -käyttöjärjestelmä, vahvistettu käynnistys, hiekkalaatikko oletuksena. Haittaohjelmatarina on pääosin ratkaistu ChromeOS:lle.

Tärkeimmät kuluttajien päätepisteriskit eivät enää ole haittaohjelmat, vaan ne ovat tietojenkalastelu, tilin haltuunotto ja sosiaalinen manipulointi, jonka päätepisteiden suojaus voi merkitä, mutta ei estää itsestään.

Mihin päätepisteiden suojaus ei vieläkään pysty hyökkäämäänPLZXXXXXPLZXXXX jotka eivät kosketa päätepistettä. Hyökkääjän koneelta etäkäytössä käytetty kalastelusalasana ei koskaan päädy laitteellesi.
Korjaa huonot kokoonpanot. Paljattu järjestelmänvalvojan käyttöliittymä tai väärin määritetty pilvipaketti on haavoittuvuus, jota EDR ei näe.PLZ30top9XXXXXX kansallisvaltiotason zero-days. APT-luokan vastustajat kirjoittavat työkaluja erityisesti välttääkseen kaupallisen EDR:n. Ne onnistuvat joskus kuukausia.
Korvaa korjaus. EDR voi havaita hyväksikäytön, mutta korjaustiedostot ovat tärkeämpiä.
Loppupisteen suojaus on tärkeä kerros, ei koko pino. Deep-depth -puolustus yhdistää sen verkon ohjauksiin, henkilöllisyyden suojaukseen ja konfigurointihygieniaan.

Usein kysytyt kysymykset

Tarvitsenko kolmannen osapuolen virustorjuntaa Windowsissa tai macOS:ssä?: Useimmille kotikäyttäjille ei – Windows Defenderin ja macOS:n sisäänrakennettu suojaus riittää. Missä saatat haluta enemmän: pienyritykset, joilla on arvokkaita tavoitteita, kuka tahansa, joka hallitsee monia päätepisteitä, käyttäjät, joilla on EDR:n määritteleviä säännöksiä. Ilmaiset kolmannen osapuolen AV:t tarjoavat marginaalisia parannuksia järjestelmän suorituskyvyn ja (joskus) telemetrian kustannuksella.
Mitä eroa on AV:n, EDR:n ja XDR:n välillä?: AV saa kiinni tunnetut haittaohjelmat allekirjoitusten avulla. EDR tallentaa päätepisteen käyttäytymisen ja havaitsee haitalliset mallit. XDR korreloi EDR:n verkko-, identiteetti-, pilvi- ja sähköpostitietoihin. Jokainen sukupolvi lisää valmiuksia; modernit tietoturvapinot sisältävät kaikki kolme kerrosta, usein yhdistettynä yhdeksi tuotteeksi.
Hidastaako EDR tietokonettani?: Marginaaliset lisäkustannukset – muutaman prosentin CPU nykyaikaisella laitteistolla. Joillakin vanhoilla AV-tuotteilla oli historiallisesti suuri vaikutus; moderni EDR on suunniteltu kevyeksi. Jos huomaat merkittävää hidastumista, tarkista tuotteen asetukset tai harkitse toista toimittajaa.
Voiko päätepisteen suojaus lukea tiedostojani?: Kyllä – suunnittelusta. EDR:n on nähtävä tiedoston sisältö ja prosessitoiminta havaitakseen haitallisia malleja. Yritystuotteilla on tietojenkäsittelykäytännöt; kuluttajatuotteet, jotka lähettävät telemetriaa pilveen, voivat jakaa metatietoja. Lue tietosuojakäytäntö, jos tällä on sinulle merkitystä. VPN ei muuta laitteesi toimintaa.
Ovatko Macit todella turvallisempia kuin Windows?: Vähemmän hyökätty, osittain turvallisempi. macOS:ssä on vähemmän hyödyke-haittaohjelmatartuntoja, koska markkinaosuus on pienempi ja Applen hiekkalaatikko-/allekirjoitusmalli nostaa rimaa. Huippuuhat (kohdistetut, kansallisvaltiot) toimivat hyvin Mac-tietokoneissa. "Turvallisempi" on totta jokapäiväisille käyttäjille; "immuuni" ei ole koskaan ollut totta millekään alustalle.