Перейти к содержимому
EDR

EDR против антивируса: в чём разница и что выбрать

Автор: Пётр Куценко  · Обновлено:

EDR и антивирус — это не конкуренты, а разные слои защиты конечных точек: антивирус блокирует известные вредоносные файлы по сигнатурам, а EDR обнаруживает атаки по поведению и даёт инструменты для расследования и реагирования. Заменять одно другим не нужно — на практике их применяют вместе.

Эта статья раскрывает один из вопросов большого гида «Что такое EDR и как его выбрать».

Чем принципиально отличаются подходы

Коротко: антивирус отвечает на вопрос «это вредоносный файл?», а EDR — на вопрос «что происходит на конечной точке и не атака ли это?».

  • Антивирус опирается прежде всего на сигнатуры и эвристику, блокирует файлы, которые уже попали в его базы или похожи на известные образцы.
  • EDR непрерывно собирает телеметрию (процессы, сетевые соединения, доступ к файлам и реестру), ищет подозрительное поведение и сохраняет хронологию событий для разбора.

Что обнаруживает антивирус, а что — EDR

Антивирус хорошо справляется с массовыми известными угрозами: вредоносными вложениями, троянами, червями, у которых уже есть сигнатура. Это быстрый и недорогой базовый слой.

EDR закрывает то, что сигнатуры пропускают:

  • атаки без вредоносных файлов (fileless), когда злоумышленник работает через память и скрипты;
  • злоупотребление легитимными утилитами системы (living-off-the-land);
  • горизонтальное перемещение и закрепление в инфраструктуре;
  • цепочки действий, которые по отдельности выглядят безобидно, а вместе складываются в атаку.

Почему их используют вместе

Антивирус и EDR дополняют друг друга: первый дёшево отсекает поток известных угроз, второй даёт видимость и реагирование там, где сигнатур недостаточно. Отказ от антивируса перегрузил бы аналитиков шумом от массовых угроз, а отказ от EDR оставил бы инфраструктуру слепой к целевым атакам.

В зрелой защите оба слоя работают совместно, а события сводятся в SIEM или XDR для общей картины.

Когда одного антивируса недостаточно

Одного антивируса не хватает, как только в модели угроз появляются целевые атаки и человек-атакующий, а не только массовые вредоносы. Признаки, что пора внедрять EDR:

  • в компании есть ценные данные и она интересна целевым атакующим;
  • нужна возможность расследовать инциденты, а не просто фиксировать срабатывания;
  • требуется быстрое реагирование — изоляция хоста, остановка процессов;
  • появилось требование строить или развивать собственный SOC.

Сравнение в таблице

Коротко основные различия можно свести так:

  • Принцип работы. Антивирус — сигнатуры и эвристика; EDR — поведенческий анализ телеметрии.
  • Что обнаруживает. Антивирус — известные вредоносы; EDR — целевые и бесфайловые атаки, злоупотребление легитимными инструментами.
  • Реагирование. Антивирус — блокировка и удаление файла; EDR — изоляция хоста, остановка процессов, сбор артефактов.
  • Расследование. У антивируса фактически нет; у EDR — полная хронология событий.
  • Кому нужен. Антивирус — всем как базовый слой; EDR — там, где есть риск целевых атак и команда для разбора.

Заменяет ли EDR антивирус

Нет, EDR не заменяет антивирус, а работает поверх него. Антивирус остаётся быстрым и недорогим фильтром массовых угроз, а EDR добавляет видимость поведения и реагирование на то, что фильтр пропускает. Попытка отказаться от одного из слоёв ослабляет защиту: без антивируса аналитики тонут в шуме, без EDR инфраструктура слепа к целевым атакам.

Отработать разницу на практике

Понять разницу проще всего на реальной телеметрии. На курсах BI.ZONE EDR вы на изолированных стендах разбираете события и алерты, видите, как поведенческое обнаружение ловит то, что не видит сигнатурный движок, и применяете меры реагирования. С возможностями продукта можно ознакомиться на странице BI.ZONE EDR, а полный обзор класса — в гиде «Что такое EDR».

Практика на стенде

Отработайте навыки из статьи на учебном стенде BI.ZONE.