בלוג 03 אפריל 2023

אנטי וירוס מסורתי ואנטי וירוס מהדור הבא

אנטי וירוס מסורתי ואנטי וירוס מהדור הבא

שירותי מחשוב לעסקים בעידן האיומים המתקדמים: למה אנטי וירוס מסורתי כבר לא מספיק ומה מוסיף EDR

במשך שנים, אנטי וירוס היה שכבת ההגנה הבסיסית כמעט בכל משרד. מתקינים תוכנה, מעדכנים חתימות, סורקים קבצים וממשיכים לעבוד. אלא שבפועל, סביבת העבודה השתנתה מן היסוד: עובדים מתחברים מרחוק, קבצים זורמים בין מייל, ענן וטלפונים ניידים, ושרתים עסקיים מחוברים לשירותים חיצוניים כמעט בלי הפסקה.

במציאות הזו, השאלה כבר איננה אם מותקן אנטי וירוס, אלא אם מערך ההגנה באמת מסוגל לזהות התנהגות חשודה, לעצור תקיפה בזמן, ולתת לצוות ה-IT תמונה מלאה של מה שקרה. כאן בדיוק נכנס לתמונה EDR, קיצור של Endpoint Detection and Response, או בעברית: זיהוי ותגובה בנקודות קצה.

עבור מנהלים, בעלי עסקים ואנשי מערכות מידע, זהו לא רק דיון טכנולוגי. זו החלטה שמשפיעה על רציפות העבודה, על זמינות המערכות, על הסיכון להשבתה, על יעילות הצוותים, ועל היכולת של הארגון לצמוח בלי להגדיל את החשיפה שלו לאירועי סייבר.

מה ההבדל בין אנטי וירוס מסורתי לאנטי וירוס מהדור הבא?

אנטי וירוס מסורתי נבנה סביב רעיון פשוט יחסית: לזהות קובץ זדוני מוכר לפי "חתימה" ידועה, ואז לחסום או למחוק אותו. המודל הזה עדיין רלוונטי במקרים רבים, במיוחד מול איומים מוכרים ונפוצים. הבעיה היא שתוקפים כבר מזמן לא נשענים רק על קבצים שקל לזהות.

תקיפות מודרניות עושות שימוש בסקריפטים, תהליכים לגיטימיים של מערכת ההפעלה, קישורים זדוניים, קבצים שנראים תמימים, ולעיתים גם בהרשאות של משתמשים אמיתיים שנפלו בפישינג. במצב כזה, חתימה לבדה לא תמיד מספיקה.

אנטי וירוס מהדור הבא, ובוודאי פתרונות EDR, פועל בגישה רחבה יותר. במקום לשאול רק "האם הקובץ הזה מוכר כמזיק?", הוא שואל גם "מה מתרחש כרגע על התחנה?", "האם התהליך הזה מתנהג באופן חריג?", "האם יש ניסיון להצפין כמות גדולה של קבצים?", "האם נפתח חיבור לא רגיל לשרת חיצוני?"

במילים פשוטות: אנטי וירוס קלאסי מחפש בעיקר מה ידוע. EDR מנסה להבין גם מה חשוד.

מהו EDR ולמה הוא הפך לחלק מהשיח סביב שירותי מחשוב לעסקים

EDR הוא פתרון שמנטר מחשבים, שרתים ולעיתים גם תחנות קצה נוספות, כדי לזהות פעילות חריגה ולספק יכולת תגובה מהירה. הוא אוסף מידע מהתחנות עצמן, מנתח אירועים בזמן אמת, ומאפשר לצוותי אבטחה או לספקי שירותי מחשוב לעסקים להבין אם מדובר בתקלה תמימה, בפעולה שגויה של משתמש, או בתחילתה של תקיפה.

זהו הבדל מהותי מבחינה תפעולית. אנטי וירוס מסורתי בדרך כלל עובד ברקע ומתריע כשזוהה איום ספציפי. EDR מוסיף שכבת תצפית וחקירה: מי הפעיל מה, מאיזה מחשב, באיזו שעה, מה קרה לפני, ולאן הפעילות התפשטה אם בכלל.

לכן, במונחים של ניהול מערכות מידע, EDR אינו רק "עוד תוכנת אבטחה". הוא כלי שמחבר בין אבטחת מידע לעבודה השוטפת של צוותי IT, מוקד תמיכה, ניהול שרתים, ניהול רשתות מחשבים ולעיתים גם המשכיות עסקית והתאוששות מאסון.

איך זה נראה בשטח: לא רק חסימה, אלא גם הקשר

נניח שעובדת במחלקת כספים פותחת קובץ מצורף שנראה כמו חשבונית. אנטי וירוס מסורתי עשוי לזהות קובץ מזיק אם מדובר באיום מוכר. אבל אם הקובץ עצמו אינו מזוהה מיידית, והנזק מתחיל רק לאחר שהופעל סקריפט שמנסה ליצור תקשורת החוצה או להצפין תיקיות משותפות, המערכת צריכה להבין את הרצף.

כאן ל-EDR יש יתרון מובהק. הוא לא בוחן רק את הקובץ, אלא את שרשרת ההתנהגות: פתיחת הקובץ, הפעלת תהליך חריג, ניסיון לשנות קבצים רבים, יצירת משימת מערכת לא מוכרת, או חיבור ליעד שאינו תואם את דפוסי העבודה הרגילים.

המשמעות לעסק פשוטה מאוד: ככל שמזהים מוקדם יותר, כך יש פחות סיכוי להשבתת עמדות, לפגיעה בשרת קבצים, לעומס על התמיכה הטכנית לעסקים, ולשיבוש פעילות של מחלקות שלמות.

היתרון העסקי: פחות זמן עיוורון, יותר שליטה

מנהלים לא תמיד צריכים לדעת איך עובד מנוע ניתוח התנהגותי, אבל הם כן צריכים להבין מה קורה כשהוא לא קיים. באירוע סייבר, הזמן הקריטי הוא לא רק זמן הפריצה, אלא הזמן שעובר עד שמישהו מבין שמשהו אינו תקין.

אם מחשב בארגון נדבק, אבל אין נראות מספקת, צוות התמיכה עלול לגלות את הבעיה רק כשמשתמשים מתחילים לדווח שקבצים לא נפתחים, תיקיות נעלמות, או שהרשת נהיית איטית. בשלב הזה, הפגיעה כבר אינה רק אבטחתית. היא תפעולית וכלכלית.

EDR נועד לצמצם את פרק הזמן הזה. הוא יכול לסמן חריגה, לבודד תחנה מהרשת, לעצור תהליך מסוים או לספק התראה מיידית לבדיקה. לא בכל מקרה התגובה תהיה אוטומטית, ולא כל ארגון יבחר באותה רמת אוטומציה, אבל עצם היכולת להגיב מהר יותר משנה את כללי המשחק.

מבחינת הנהלה, המשמעות היא שליטה טובה יותר באירוע. מבחינת אנשי IT, המשמעות היא יכולת חקירה טובה יותר. מבחינת העובדים, המשמעות היא סיכוי נמוך יותר שהאירוע יתפשט לעמדות נוספות ויעצור את יום העבודה.

לא רק אבטחה: ההשפעה על תפעול, שירות ותמיכה

במבט רחב, ההבדל בין אנטי וירוס בסיסי לבין מערכת EDR מורגש גם בשגרה, לא רק בזמן תקיפה. ארגון שמפעיל מערך הגנה מתקדם בדרך כלל בונה סביבו תהליכי עבודה מסודרים יותר: ניהול תחנות קצה, תיעוד אירועים, הקשחת מחשבים, מדיניות הרשאות, ולעיתים גם חיבור ל-SIEM, לפיירוול או לשירותי ענן לעסקים.

זהו חיבור ישיר לעולם של פתרונות מחשוב לעסקים. מערך אבטחה טוב לא עומד לבד. הוא תלוי בתחזוקת מחשבים לעסקים, בעדכונים שוטפים, בניהול שרתים, בגיבוי לעסקים, וביכולת של ספק התמיכה או מחלקת ה-IT לטפל באירועים במהירות.

למשל, אם תחנת קצה מבודדת מהרשת בעקבות זיהוי חשוד, מישהו צריך לדעת איך לבדוק אותה, לשחזר פעילות תקינה במידת הצורך, ולוודא שהמשתמש חוזר לעבוד בלי לסכן את שאר המערכות. כאן נכנסים לתמונה הנהלים, כוח האדם, והאינטגרציה בין אבטחת מידע לעסקים לבין התמיכה הטכנית השוטפת.

מה אנטי וירוס עדיין עושה טוב, ולמה הוא לא נעלם

חשוב לדייק: המעבר ל-EDR אינו אומר שאנטי וירוס הפך מיותר. במקרים רבים, הוא עדיין משמש שכבת בסיס חיונית. הוא מהיר, מוכר, יעיל מול איומים רבים, ולעיתים מגיע כחלק אינטגרלי מחבילות הגנה רחבות יותר.

הטעות מתחילה כשהוא נתפס כפתרון מלא. ארגונים עם סניפים, משתמשים מרוחקים, שרתים מקומיים, גישה לשירותי ענן, או נתונים עסקיים רגישים, זקוקים בדרך כלל ליותר משכבת זיהוי מבוססת חתימות בלבד.

לכן השיח הנכון אינו "אנטי וירוס או EDR", אלא איזו ארכיטקטורת הגנה מתאימה לעסק, לסיכונים שלו, לאופי העבודה שלו, ולמשאבי הניהול שיש לו. עסק קטן עם מעט תחנות עשוי לבחור בגישה אחת. ארגון עם כמה מחלקות, סביבת Microsoft 365, שרתי קבצים וגישה מרחוק, עשוי להזדקק לגישה אחרת.

איפה הקושי האמיתי מתחיל: הטמעה וניהול לאורך זמן

מערכות EDR מספקות ערך רב, אבל הן גם דורשות בגרות תפעולית. התראות רבות מדי, ללא מי שינתח אותן, עלולות ליצור עומס ולא בהכרח שקט ניהולי. לכן, לפני שמיישמים פתרון כזה, חשוב להבין מי אמור לצפות בהתראות, מי מקבל החלטה על בידוד תחנה, ומה קורה אם האירוע מתחיל בסוף יום העבודה.

זו בדיוק הנקודה שבה שירותי IT לעסקים נבחנים לא רק ברמת הטכנולוגיה, אלא ברמת התהליך. מי שמספק את הפתרון צריך לדעת גם איך הוא ישתלב במוקד תמיכה, בנוהלי ההסלמה, בגיבוי, בתקשורת מול המשתמשים ובניהול האירוע.

ללא תהליך מתאים, גם מערכת מתקדמת עלולה להפוך לעוד מסך בקרה שאיש לא מסתכל עליו בזמן. עם תהליך נכון, היא יכולה להיות כלי שמונע התפשטות של תקלה או תקיפה לפני שהיא הופכת למשבר.

כיצד לבחור פתרון בצורה אחראית

הבחירה אינה צריכה להתחיל בשם של מוצר, אלא במיפוי של סביבת העבודה. כמה תחנות קצה יש? האם עובדים מחוץ למשרד? האם יש שרתים מקומיים או תשתית של מחשוב ענן? האם קיימים נהלי גיבוי והמשכיות עסקית? האם יש צוות פנימי שמסוגל לחקור אירועים, או שהארגון נשען על שירותי מחשוב מנוהלים?

לאחר מכן, כדאי לבחון כמה שכבות במקביל: יכולת הזיהוי, איכות הדיווח, פשטות הניהול, התממשקות עם מערכות קיימות, עומס המשאבים על התחנות, והיכולת של הכלי להשתלב בשגרת העבודה בלי לייצר הפרעות מיותרות.

גם לשירות חשוב יש משקל. מערכת טובה ללא תמיכה טובה, הדרכה מתאימה ונהלי עבודה ברורים, לא בהכרח תספק את התוצאה המצופה. במיוחד בעסקים בינוניים, שבהם אין תמיד SOC פנימי או צוות סייבר ייעודי, מרכיב הליווי חשוב כמעט כמו המוצר עצמו.

הקשר הישיר לגיבוי, לענן ולהמשכיות עסקית

אחת הטעויות הנפוצות היא להסתכל על הגנת קצה כתחום מנותק. בפועל, היא קשורה באופן ישיר לגיבוי לעסקים, לניהול הרשאות, לשירותי ענן לעסקים וליכולת התאוששות מאירוע.

אם תחנה נפרצה והקבצים הוצפנו, EDR עשוי לסייע בזיהוי ובבלימה. אבל אם אין גיבוי תקין, בדוק ונגיש, ההתאוששות תהיה קשה יותר. אם אין הפרדה בין הרשאות משתמשים, הפגיעה עלולה להיות רחבה יותר. ואם אין תיעוד מסודר של הנכסים הארגוניים, קשה לדעת אילו מערכות נמצאות בסיכון.

לכן, כשבוחנים הקמת תשתיות מחשוב או שדרוג של אבטחת מידע לעסקים, נכון לראות את התמונה הרחבה: הגנה, ניטור, גיבוי, התאוששות, נהלים, והדרכת משתמשים. חוליה אחת חזקה לא תפצה על שרשרת חלשה.

מה זה אומר למנהלים שאינם טכנולוגיים

מנכ"ל, סמנכ"ל תפעול או מנהל כספים לא צריכים לנהל קונסולת EDR. הם כן צריכים לשאול אם הארגון מסוגל לזהות אירוע בזמן, לבודד אותו, להבין מה קרה, ולהחזיר את העובדים לפעילות במהירות סבירה.

זהו כבר דיון של ניהול סיכונים עסקי. האם ניתן להמשיך לעבוד אם תחנה מרכזית מושבתת? האם מסמכים קריטיים מגובים? האם יש תלות באדם אחד בלבד שמכיר את המערכות? האם ספק התמיכה מרחוק יודע לטפל גם באירועי אבטחה ולא רק בתקלות מדפסת ואאוטלוק?

ככל שהארגון נשען יותר על מערכות דיגיטליות, כך הגבול בין תקלה תפעולית לאירוע אבטחה נעשה דק יותר. ולכן ההחלטה בין אנטי וירוס מסורתי לבין פתרון מתקדם יותר היא, בסופו של דבר, החלטה ניהולית לא פחות מטכנולוגית.

מתי נכון לשקול מעבר לגישה מתקדמת יותר

יש כמה סימנים ברורים לכך שהגיע הזמן לבחון שכבת הגנה מעבר לאנטי וירוס בסיסי: עבודה היברידית, שימוש אינטנסיבי בענן, ריבוי מחשבים ניידים, חשיפה למיילים חיצוניים, שמירת מידע עסקי רגיש על תחנות ושרתים, או תלות גבוהה בקבצים משותפים ובמערכות זמינות.

גם תקלות "קטנות" לכאורה יכולות להיות סימן. למשל, משתמשים שמדווחים על קבצים שננעלו, פתיחה לא מוסברת של חלונות פקודה, התחברות חריגה לחשבונות, או ביצועי מחשב לא סדירים. לא כל סימן כזה מצביע על תקיפה, אבל הוא בהחלט מצדיק נראות טובה יותר.

במקרים כאלה, שילוב של אנטי וירוס עם יכולות EDR, כחלק ממעטפת רחבה של ניהול רשתות מחשבים, גיבוי, ניהול שרתים ותמיכה טכנית לעסקים, עשוי לייצר איזון נכון בין הגנה, תפעול ועלות.

סיכום: הגנת קצה היא כבר לא מוצר בודד, אלא חלק מאסטרטגיית מחשוב

אנטי וירוס מסורתי עדיין ממלא תפקיד חשוב, אבל הוא כבר לא יכול לשאת לבדו את משקל ההגנה הארגונית. ככל שנקודות הקצה הפכו לשערי כניסה מרכזיים לארגון, כך נדרשת יכולת עמוקה יותר של זיהוי, הקשר ותגובה.

EDR לא מבטל את הצורך בשכבות אחרות, ולא מתאים באותו אופן לכל ארגון. אבל הוא כן מייצג שינוי מהותי: מעבר מהגנה פסיבית יחסית לגישה שמבינה התנהגות, מספקת נראות, ומאפשרת לפעול לפני שהנזק מתרחב.

מנקודת מבט של שירותי מחשוב לעסקים, זהו ההבדל בין תחזוקה שמטפלת רק במה שכבר נשבר, לבין תשתית שמנסה למנוע את השבר הבא. בעולם שבו השבתה של כמה שעות יכולה לשתק צוותים, לעכב כספים, לפגוע בשירות ולייצר עומס ניהולי, זו כבר לא שאלה שולית.

טבלת סיכום: אנטי וירוס מסורתי מול EDR בהקשר של שירותי מחשוב לעסקים

נושא אנטי וירוס מסורתי EDR / אנטי וירוס מהדור הבא המשמעות לעסק
שיטת זיהוי מבוססת בעיקר על חתימות של איומים מוכרים משלבת ניתוח התנהגות, הקשר ותגובה יכולת טובה יותר לזהות פעילות חריגה גם כאשר האיום אינו מוכר מראש
נראות על תחנות קצה מוגבלת יחסית גבוהה יותר, עם תיעוד אירועים ושרשרת פעילות מסייעת לחקירה, להבנת מקור הבעיה ולמניעת התפשטות
תגובה לאירוע לרוב חסימה או הסרה של קובץ עשויה לכלול בידוד תחנה, עצירת תהליך והתראה לצוות קיצור זמן תגובה והקטנת הפגיעה התפעולית
התאמה לסביבת עבודה מודרנית שכבת בסיס חשובה אך מוגבלת מתאימה יותר לעבודה היברידית, ענן וריבוי נקודות קצה הגנה טובה יותר על עובדים, קבצים ומערכות מבוזרות
דרישות ניהול פשוטות יחסית דורש תהליך תפעולי, ניטור והבנת התראות מחייב היערכות של צוות פנימי או ספק שירות חיצוני
קשר לתשתיות נוספות לעיתים עובד ככלי נפרד משתלב טוב יותר עם SIEM, פיירוול, גיבוי וניהול שרתים מחזק גישה של הגנה רב-שכבתית והמשכיות עסקית

שאלות מעשיות שכדאי לשאול לפני שמחליטים

האם הארגון שלנו יודע לזהות פעילות חריגה בתחנות קצה, או שהוא מגלה בעיה רק אחרי שהעובדים כבר מושפעים ממנה?

מי אמור לקבל, לנתח ולטפל בהתראות אבטחה: צוות פנימי, ספק חיצוני, או אף אחד בפועל?

אם תחנה או שרת נפגעים, האם יש לנו גיבוי תקין ונהלי התאוששות שמאפשרים לחזור לעבודה בלי אלתורים?

האם פתרון ההגנה הנוכחי משתלב עם שאר תשתיות המחשוב, כמו ניהול שרתים, שירותי ענן, תמיכה מרחוק וניהול הרשאות?

האם רמת ההגנה הנוכחית מתאימה לאופי העבודה שלנו כיום, כולל עבודה היברידית, שיתוף קבצים, שימוש בענן וחשיפה למיילים חיצוניים?

חזרה לבלוג
מאת צוות 24/7 Service
מאמרים נוספים שיעניינו אותך
התקפות מניעת שירות (DOS) והתקפות מניעת שירות מבוזרות (DDOS)
התקפות מניעת שירות (DOS) והתקפות מניעת שירות מבוזרות (DDOS)
אבטחת סביבת העבודה ההיברידית
אבטחת סביבת העבודה ההיברידית
הסוגים הנפוצים ביותר של תוכנות זדוניות
הסוגים הנפוצים ביותר של תוכנות זדוניות
Windows 11: ביצועים, אבטחה, דרישות
Windows 11: ביצועים, אבטחה, דרישות
מחזור החיים של אבטחת מידע
מחזור החיים של אבטחת מידע
מתי לשקול מיקור חוץ של תחזוקת מחשבים
מתי לשקול מיקור חוץ של תחזוקת מחשבים
למה מעבר לענן דורש אימוץ של Load Balancer מודרני?
למה מעבר לענן דורש אימוץ של Load Balancer מודרני?
מדוע עסקים קטנים צריכים מיקור חוץ של תחזוקת מחשבים
מדוע עסקים קטנים צריכים מיקור חוץ של תחזוקת מחשבים