Hoe meer beveiligingslagen hoe beter natuurlijk, maar wat is nu het verschil tussen een traditionele antivirus en een EDR-oplossing (Endpoint Detection & Response).
Antivirus en EDR (Endpoint Detection and Response) zijn beide belangrijke componenten van een cyberbeveiligingsstrategie voor eindpunten, maar ze bieden verschillende niveaus van bescherming en werken op verschillende manieren.
Hoe werkt een traditionele antivirus?
De traditionele antivirus is software die werkt op basis van wat hij kent. Daarvoor houd deze een lijst bij van gekende virussen en malware. Een lijst (of database) die idealiter zeer frequent én automatisch geupdate wordt.
Komt er vervolgens een virus langs dat gekend is, dan wordt deze tegengehouden. Je krijgt een bericht met een eventuele vraag voor een specifieke actie en dan kan je weer verder.
Over de jaren heen is de lijst van virusdefinities steeds langer geworden en is het automatisch bijhouden quasi een permanente taak. Hierdoor wordt ook het systeem (je computer) waarop deze software staat voortdurend extra zwaar belast want elke file, mail of actie moet gescanned worden.
Wat is het verschil met Endpoint Detection & Response (EDR)?
Feitelijk loopt antivirussoftware zoals we die vandaag kennen steeds een beetje achter op de realiteit. Let wel, niks doen is nog veel erger, dus helemaal nutteloos is het niet.
EDR werkt niet op basis van virusdefinities maar gaat permanent en actief op zoek naar verdacht gedrag op je endpoint. Is er een ongewenste activiteit, dan zal EDR die onmiddellijk blokkeren of neutraliseren om verdere verspreiding tegen te gaan.
Antivirus is traditioneel gericht op het detecteren en verwijderen van malware op een geïnfecteerd apparaat. Dit doet het door bestanden en toepassingen te scannen op bekende bedreigingen en deze te blokkeren of te verwijderen. Antivirus is effectief tegen bekende bedreigingen, maar het kan moeite hebben om onbekende of geavanceerde bedreigingen te detecteren, zoals zero-day-aanvallen en fileless malware.
EDR gaat verder dan antivirus door verdachte activiteiten op eindpunten te monitoren en te analyseren. Dit omvat activiteiten zoals netwerkverkeer, procesuitvoering en bestandsgedrag. Door deze activiteiten te analyseren, kan EDR onbekende en geavanceerde bedreigingen detecteren die antivirus mogelijk kunnen ontlopen. Naast detectie biedt EDR ook mogelijkheden om te reageren op bedreigingen, zoals het isoleren van geïnfecteerde apparaten, het stoppen van kwaadaardige processen en het verwijderen van malware.
EDR versus anti-virus