EDR

EDR (Endpoint Detection and Response) е технология, която анализира операциите извършени на крайните точки във вашата мрежа. Тази система автоматично събира данни за процеси, изменения в регистрите, изпълнение на команди, мрежова активност и файлови операции. На базата на тази информация, EDR оценява дали действията на устройството представляват заплаха и ако е така, оценява сериозността на риска. EDR платформите включват функции за реакция, които защитават и позволяват на организациите да реагират на заплахи след тяхното откриване. Освен това повечето EDR платформи позволяват детайлна визуализация на всички стъпки, които заплахата е предприела, за да се осъществи.

Каква е разликата между EDR и антивирусна програма?

Антивирусните програми предлагат защита, фокусирана предимно върху идентифицирането и неутрализирането на зловреден софтуер чрез сканиране на файлове за вируси и други известни типове малуер. Те разчитат на база данни със сигнатури за зловредни кодове, която се актуализира регулярно. Въпреки че този метод е ефективен срещу много традиционни заплахи, той може да бъде недостатъчен при откриването на напълно нови или модифицирани заплахи, които не съответстват на базата данни със сигнатури.

EDR (Endpoint Detection and Response) от своя страна предоставя по-глобален подход. Освен че сканира за зловреден код, EDR системите анализират широк спектър от операции на крайните точки в мрежата, за да открият аномалии, които могат да са признак за злонамерена дейност. Този подход позволява на EDR да открива както малуер, така и други видове заплахи, които не зависят директно от вирусни сигнатури, като тактики за използване на легитимни инструменти, за да се навреди или получи достъп до системата (известни като „Living off the land“).