למה אנטי-וירוס כבר לא מספיק: הגנת נקודות קצה (EDR) לעסקים קטנים

כמעט כל עסק מריץ אנטי-וירוס ומניח שהמחשבים שלו מוגנים. במשך שנים זו הייתה הנחה סבירה. כבר לא. אנטי-וירוס מסורתי עובד על ידי זיהוי קבצים רעים מוכרים — הוא משווה את מה שיש על המכונה שלכם מול רשימה של איומים שזוהו בעבר — והתקפות מודרניות בנויות במיוחד כדי להימנע מלהיות ברשימה הזו. תוקפים משתמשים כיום בטכניקות שלא משאירות קובץ זדוני לסריקה, משנים כל הזמן את הכלים שלהם כדי לחמוק מחתימות, ומנצלים תוכנה לגיטימית שכבר נמצאת על המחשב שלכם. התוצאה היא פער הולך וגדל בין מה שאנטי-וירוס תופס לבין מה שבאמת נכנס. זיהוי ותגובה בנקודות קצה (EDR) היא הטכנולוגיה שסוגרת את הפער הזה, ועבור עסקים קטנים ובינוניים בישראל היא עברה מ'נחמד שיש' לבסיס.

מה אנטי-וירוס מסורתי באמת עושה — ומה לא

אנטי-וירוס קלאסי הוא ביסודו תרגיל התאמה: הוא בודק קבצים מול מסד נתונים של איומים מוכרים וחוסם את אלה שהוא מזהה. זה עובד היטב נגד תוכנה זדונית ישנה ונפוצה, ועדיין כדאי שיהיה כמסנן ראשון. הבעיה היא כל מה שהוא לא יכול לראות. התקפה חדשה לגמרי שעדיין לא נמצאת בשום מסד נתונים חולפת ישירות. כך גם תוכנה זדונית 'חסרת קובץ' שרצה כולה בזיכרון בלי קובץ לסרוק, וכך גם התקפות שמנצלות לרעה כלים מובנים מהימנים כדי לגרום את נזקן. אנטי-וירוס נוטה גם להיות הכול-או-כלום: הוא חוסם משהו לחלוטין או מעביר אותו, בלי תיעוד של התנהגות חשודה-אך-מותרת. מול האיומים של היום, זיהוי קבצים רעים מוכרים הכרחי אך כבר לא מספיק.

מה EDR מוסיף

EDR מעביר את המיקוד ממה שקובץ הוא למה שהוא עושה. במקום לשאול רק 'האם ראיתי את האיום המדויק הזה קודם?', הוא צופה ברציפות בהתנהגות בכל מכשיר — תהליכים שמתחילים, קבצים שמוצפנים, חיבורי רשת חריגים, ניסיונות להשבית כלי אבטחה — ומסמן פעילות שנראית כמו התקפה גם כשאין תוכנה זדונית מוכרת מעורבת. חשוב מכך, הוא גם מתעד את הפעילות הזו, כך שכשמשהו קורה אתם יכולים לראות איך זה התחיל, במה זה נגע, ועד כמה זה התפשט. וה-R של תגובה פירושו שהוא יכול לפעול: בידוד מכונה שנפרצה מהרשת, סיום תהליך זדוני, או החזרת שינויים לאחור, לעיתים קרובות אוטומטית ותוך שניות. זה ההבדל בין גלאי עשן שמכיר רק שריפות שראה לבין כזה שמזהה עשן.

למה זה חשוב יותר מכול לכופרה

כופרה היא בדיוק סוג האיום שאנטי-וירוס מתקשה איתו ו-EDR בנוי עבורו. כופרה מודרנית היא לעיתים קרובות חדשה, חומקת בכוונה, ומתנהגת בדרכים שרשימת חתימות לא תתפוס עד שיהיה מאוחר מדי. אבל ההתנהגות שלה ברורה: ברגעים שלפני שהיא מכה היא משביתה הגנות, מוחקת גיבויים ומתחילה להצפין קבצים במהירות. EDR מתוכנן לזהות בדיוק את הדפוס הזה ולעצור אותו באמצע — ולבודד את המכונה המושפעת לפני שההתקפה יכולה להתפשט ברשת. עבור עסק קטן, שבו אירוע כופרה בודד יכול להיות ימי השבתה ועלויות שחזור משמעותיות, הזיהוי המוקדם והבלימה האוטומטית הם לעיתים קרובות ההבדל בין בהלה מבוקרת לאירוע שמאיים על העסק.

הנראות ש-EDR נותן לכם אחרי אירוע

כשמשהו משתבש, השאלות הראשונות תמיד זהות: איך הם נכנסו, למה הם הגיעו, והאם זה באמת נעלם? אנטי-וירוס מסורתי כמעט אף פעם לא יכול לענות עליהן — הוא חוסם או לא, ושומר מעט היסטוריה. EDR מתעד ציר זמן מפורט של מה שקרה בכל נקודת קצה, וזה לא יסולא בפז גם במהלך אירוע וגם אחריו. הוא אומר לכם איזו מכונה הייתה נקודת הכניסה, מה התוקף עשה, האם ניגשו למידע רגיש, והאם האיום באמת הוסר. הנראות הזו מזינה ישירות את התגובה לאירוע ואת השאלה המשפטית האם מידע אישי נחשף לפי תקנות הפרטיות בישראל. בלעדיה, אתם נשארים לעיתים קרובות לנחש — וניחוש שגוי לגבי פריצה הוא יקר.

אל תבלבלו בין זיהוי לגיבוי

EDR חזק, אבל הוא שכבה אחת, לא ההגנה כולה. הוא מצמצם את הסיכוי שהתקפה תצליח ומגביל את הנזק אם אחת מתרחשת, אך שום טכנולוגיית זיהוי אינה מושלמת, והתקפה נחושה או חדשה עדיין יכולה לעבור. לכן EDR יושב לצד — ולא במקום — גיבויים בדוקים ומבודדים, אימות רב-שלבי אכוף, עדכון מהיר, וצוות מודרך. חשבו על זה כחלק מגישה רב-שכבתית: MFA ומודעות מצמצמים כמה פעמים תוקפים נכנסים, EDR תופס ובולם את אלה שכן, וגיבויים טובים מבטיחים שתוכלו להתאושש אם כל השאר נכשל. כל שכבה מכסה את חולשות האחרות, ועסק קטן שמסתמך על אחת מהן בלבד חשוף יותר ממה שהוא מבין.

EDR מנוהל: הכלי הוא רק חצי מהתשובה

EDR מייצר התראות, והתראות עוזרות רק אם מישהו מוכשר צופה ופועל לפיהן. כאן עסקים קטנים רבים נכשלים: הם קונים כלי מסוגל, ואז אין להם מי שיגיב כשהוא נדלק בשתיים בלילה, או שהם מוצפים בהתראות שאינם יכולים לפרש. איום אמיתי שזוהה ב-3 לפנות בוקר אינו מועיל אם אף אחד לא רואה אותו עד 9 בבוקר. לכן רוב העסקים הקטנים מקבלים את השירות הטוב ביותר מ-EDR מנוהל — שנקרא לעיתים זיהוי ותגובה מנוהלים — שבו ספק מנטר את ההתראות מסביב לשעון, מפריד איומים אמיתיים מרעש, ופועל בשמכם. הטכנולוגיה חשובה, אבל התגובה האנושית היא מה שהופך אותה להגנה.

מה לחפש בבחירת EDR

לא כל הגנת נקודות קצה זהה, ועסק קטן אינו זקוק לפלטפורמה הארגונית המורכבת ביותר. חפשו פתרונות שמגנים מפני כופרה במיוחד, כולל היכולת לזהות ולעצור התנהגות של הצפנה המונית. העדיפו כלים שיכולים לבודד אוטומטית מכשיר שנפרץ ובאופן אידיאלי להחזיר שינויים זדוניים לאחור. תנו עדיפות להתראות ברורות ובנות-ניהול על פני מבול מציף, שכן כלי שאף אחד לא יכול לעמוד בקצב שלו אינו מגן על איש. ושקלו ברצינות האם הוא מגיע עם ניטור, כי צד התגובה הוא המקום שבו הערך האמיתי חי. עבור רוב העסקים הקטנים בישראל, פתרון מנוהל שמותאם לגודלם מספק הרבה יותר הגנה ממוצר ארגוני לא מנוהל שאף אחד אין לו זמן להפעיל.

פערי כיסוי: המכשירים ששכחתם

EDR מגן רק על המכשירים שהוא מותקן עליהם, והמכונה המסוכנת ביותר היא בדרך כלל זו שאף אחד לא זכר. המחשב הנייד האישי שעובד משתמש בו כדי לבדוק אימייל מהבית, השרת הישן בפינה שמריץ אפליקציה קריטית, המחשב של העובד החדש שהוקם בחיפזון — כל נקודת קצה לא מוגנת היא נקודת כניסה פוטנציאלית שעוקפת את ההגנות שלכם לחלוטין. אימוץ EDR הוא לכן גם הזדמנות לעשות מצאי של כל מכשיר שנוגע במידע העסקי שלכם ולוודא שכל אחד מכוסה. תרגיל רישומם חושף לעיתים קרובות מכונות נשכחות והרגלי מכשירים אישיים מסוכנים ששווה לטפל בהם בפני עצמם.

מאיפה להתחיל

אם העסק שלכם מסתמך על אנטי-וירוס בסיסי בלבד, אתם מוגנים מפני האיומים של אתמול וחשופים לאלה של היום. NetFortress פורסת ומנהלת זיהוי ותגובה בנקודות קצה לעסקים קטנים ובינוניים בישראל — הגנה ממוקדת כופרה, בידוד אוטומטי של מכשירים שנפרצו, וניטור מסביב לשעון כך שאיום שזוהה ב-3 לפנות בוקר מטופל ב-3 לפנות בוקר, ולא מתגלה למחרת. אנחנו משלבים זאת עם ה-MFA, העדכון והגיבויים הבדוקים שהופכים אותו לחלק מהגנה רב-שכבתית אמיתית. קבעו ייעוץ חינם ונסקור מה הגנת נקודות הקצה הנוכחית שלכם הייתה תופסת ומה לא.