EDR и антивирус — это не конкуренты, а разные слои защиты конечных точек: антивирус блокирует известные вредоносные файлы по сигнатурам, а EDR обнаруживает атаки по поведению и даёт инструменты для расследования и реагирования. Заменять одно другим не нужно — на практике их применяют вместе.
Эта статья раскрывает один из вопросов большого гида «Что такое EDR и как его выбрать».
Чем принципиально отличаются подходы
Коротко: антивирус отвечает на вопрос «это вредоносный файл?», а EDR — на вопрос «что происходит на конечной точке и не атака ли это?».
- Антивирус опирается прежде всего на сигнатуры и эвристику, блокирует файлы, которые уже попали в его базы или похожи на известные образцы.
- EDR непрерывно собирает телеметрию (процессы, сетевые соединения, доступ к файлам и реестру), ищет подозрительное поведение и сохраняет хронологию событий для разбора.
Что обнаруживает антивирус, а что — EDR
Антивирус хорошо справляется с массовыми известными угрозами: вредоносными вложениями, троянами, червями, у которых уже есть сигнатура. Это быстрый и недорогой базовый слой.
EDR закрывает то, что сигнатуры пропускают:
- атаки без вредоносных файлов (fileless), когда злоумышленник работает через память и скрипты;
- злоупотребление легитимными утилитами системы (living-off-the-land);
- горизонтальное перемещение и закрепление в инфраструктуре;
- цепочки действий, которые по отдельности выглядят безобидно, а вместе складываются в атаку.
Почему их используют вместе
Антивирус и EDR дополняют друг друга: первый дёшево отсекает поток известных угроз, второй даёт видимость и реагирование там, где сигнатур недостаточно. Отказ от антивируса перегрузил бы аналитиков шумом от массовых угроз, а отказ от EDR оставил бы инфраструктуру слепой к целевым атакам.
В зрелой защите оба слоя работают совместно, а события сводятся в SIEM или XDR для общей картины.
Когда одного антивируса недостаточно
Одного антивируса не хватает, как только в модели угроз появляются целевые атаки и человек-атакующий, а не только массовые вредоносы. Признаки, что пора внедрять EDR:
- в компании есть ценные данные и она интересна целевым атакующим;
- нужна возможность расследовать инциденты, а не просто фиксировать срабатывания;
- требуется быстрое реагирование — изоляция хоста, остановка процессов;
- появилось требование строить или развивать собственный SOC.
Сравнение в таблице
Коротко основные различия можно свести так:
- Принцип работы. Антивирус — сигнатуры и эвристика; EDR — поведенческий анализ телеметрии.
- Что обнаруживает. Антивирус — известные вредоносы; EDR — целевые и бесфайловые атаки, злоупотребление легитимными инструментами.
- Реагирование. Антивирус — блокировка и удаление файла; EDR — изоляция хоста, остановка процессов, сбор артефактов.
- Расследование. У антивируса фактически нет; у EDR — полная хронология событий.
- Кому нужен. Антивирус — всем как базовый слой; EDR — там, где есть риск целевых атак и команда для разбора.
Заменяет ли EDR антивирус
Нет, EDR не заменяет антивирус, а работает поверх него. Антивирус остаётся быстрым и недорогим фильтром массовых угроз, а EDR добавляет видимость поведения и реагирование на то, что фильтр пропускает. Попытка отказаться от одного из слоёв ослабляет защиту: без антивируса аналитики тонут в шуме, без EDR инфраструктура слепа к целевым атакам.
Отработать разницу на практике
Понять разницу проще всего на реальной телеметрии. На курсах BI.ZONE EDR вы на изолированных стендах разбираете события и алерты, видите, как поведенческое обнаружение ловит то, что не видит сигнатурный движок, и применяете меры реагирования. С возможностями продукта можно ознакомиться на странице BI.ZONE EDR, а полный обзор класса — в гиде «Что такое EDR».