Antivirusna (AV) rešenja koja se i danas koriste u mnogim kompanijama tradicionalno se u velikoj meri oslanjaju na nešto što se zove „podudaranje potpisa“ da bi se utvrdile pretnje po uređaj. AV softver upoređuje datoteke sa poznatom bazom podataka „loših“ datoteka. Kada se pronađe podudaranje, datoteka se prepoznaje kao pretnja. AV softver takođe može da koristi heuristiku – predviđanja zasnovana na ponašanju – da pokuša da pogleda i ponašanje datoteke ili procesa, ali primarni metod detekcije/zaštite je baza podataka potpisa.
EDR (Endpoint detection and response) softver preokreće taj model – oslanjajući se prvenstveno na analizu ponašanja onoga što se dešava na krajnjoj tački. Na primer, ako Word dokument pokreće PowerShell proces i izvršava nepoznatu skriptu, to je zabrinjavajuće. Datoteka će biti označena i stavljena u karantin dok se ne potvrdi validnost procesa. Neoslanjanje u velikoj meri na datoteke potpisa omogućava EDR softveru da bolje reaguje na nove i napredne pretnje.
Iako postoji izvesno preklapanje između EDR-a i tradicionalnog AV rešenja, EDR je svakako sveobuhvatnije rešenje.
Tekst u celosti možete pročitati u digitalnom izdanju časopisa.
