Антивирус блокирует известные угрозы по сигнатурам и хешам файлов — это профилактика на основе баз данных. EDR (Endpoint Detection and Response) анализирует поведение процессов, фиксирует телеметрию, обнаруживает неизвестные атаки и даёт инструменты реагирования: изоляцию хоста, откат изменений и расследование. Антивирус предотвращает, EDR обнаруживает и отвечает.
Ключевые различия EDR и антивируса
Классический антивирус (AV) работает как фильтр на входе: он сверяет файлы с базой сигнатур и репутационными хешами и блокирует то, что уже известно как вредоносное. Это быстрый и дешёвый способ остановить массовые угрозы, но он бессилен против атак без файла на диске и техник, которых ещё нет в базе. EDR устроен иначе — он непрерывно собирает телеметрию с конечной точки (запуски процессов, сетевые соединения, изменения в реестре, обращения к памяти) и ищет подозрительные цепочки поведения, а не отдельные «плохие» файлы.
Ключевое слово в аббревиатуре EDR — Response, то есть реагирование. Антивирус умеет только удалить файл или поместить его в карантин. EDR добавляет активный ответ: изоляцию заражённого хоста от сети, завершение вредоносных процессов, сбор артефактов для расследования и откат части изменений. Именно поэтому EDR относят к инструментам обнаружения и реагирования, а не к чисто превентивной защите.
Сигнатурный подход проигрывает по фундаментальной причине: злоумышленнику достаточно изменить один байт или переупаковать вредонос, чтобы получить новый хеш и обойти базу. Полиморфное и метаморфное ВПО, упаковщики и генераторы нагрузок делают это автоматически. Поведение же изменить сложнее: чтобы украсть учётные данные из памяти или зашифровать файлы, атака всё равно выполняет узнаваемые действия — и именно их фиксирует EDR.
| Критерий | Антивирус (AV) | EDR |
|---|---|---|
| Метод обнаружения | Сигнатуры, хеши, репутация файлов | Поведенческий анализ, эвристика, ML, IOC/IOA |
| Реагирование | Удаление и карантин файла | Изоляция хоста, завершение процессов, откат, поиск по всему парку |
| Видимость | Событие «файл заблокирован» | Полная телеметрия и хронология атаки (attack timeline) |
| Покрытие угроз | Известные вирусы, трояны, массовое ВПО | Бесфайловые атаки, LotL, программы-вымогатели, APT |
| Стоимость | Низкая, часто в расчёте на устройство | Выше: лицензии + хранение данных + аналитики |
| Управление | «Поставил и забыл» | Требует SOC-команды или сервиса MDR |
Что обнаруживает каждый
Антивирус хорошо ловит то, что уже описано: известные семейства вирусов, троянов, червей, рекламное и потенциально нежелательное ПО, вредоносные вложения в письмах. Современные AV дополнены облачной репутацией и эвристикой, но их логика остаётся файл-центричной — «есть ли этот объект в списке плохих».
EDR ориентирован на технику атаки, а не на конкретный образец. Он выявляет то, что не оставляет файла или маскируется под легитимные инструменты: бесфайловые атаки в оперативной памяти, злоупотребление PowerShell и WMI, техники Living-off-the-Land, боковое перемещение, кражу учётных данных, подготовку к запуску программы-вымогателя. Матрица MITRE ATT&CK описывает эти тактики и техники (например, T1055 Process Injection, T1003 Credential Dumping), и именно на такие поведенческие индикаторы атаки (IOA) настраивается EDR.
Важное отличие — глубина хранения данных. Антивирус фиксирует факт блокировки и почти ничего не хранит. EDR сохраняет телеметрию на недели или месяцы, что позволяет расследовать инцидент задним числом: понять, как атака попала в сеть, какие хосты затронуты и что нужно устранить. Эта ретроспектива критична, потому что среднее время присутствия целевых атак в сети измеряется неделями, а не минутами.
Есть и оборотная сторона. Чем шире поведенческое обнаружение, тем выше риск ложных срабатываний: легитимный администратор, запускающий PowerShell-скрипты, внешне похож на злоумышленника, использующего те же инструменты. Поэтому EDR требует настройки правил и разбора оповещений человеком, тогда как сигнатурный антивирус почти не генерирует ложных тревог, но и пропускает всё принципиально новое.
- Антивирус: известное ВПО, сигнатурные и хеш-совпадения, массовые кампании.
- EDR: неизвестные и целевые атаки, поведенческие аномалии, пост-эксплуатация.
Нужен ли антивирус, если есть EDR
На практике граница размыта: большинство современных EDR-платформ включают антивирусный движок нового поколения (NGAV) как встроенный слой профилактики. Поэтому отдельный классический антивирус рядом с полноценным EDR обычно избыточен и даже вреден — два агента, перехватывающих одни и те же события, конфликтуют между собой и снижают производительность системы.
Правильная модель — эшелонированная защита (defense in depth): превентивный слой (NGAV) блокирует то, что можно остановить дёшево и мгновенно, а слой обнаружения и реагирования (EDR) ловит остальное. Рекомендации NIST по управлению инцидентами (SP 800-53, SP 800-61) исходят из того, что стопроцентной профилактики не существует, поэтому организации нужны возможности обнаружения и реагирования, а не только предотвращения.
Из этого следует практическое правило миграции: при внедрении EDR старый антивирус нужно не оставлять «на всякий случай», а осознанно выводить из эксплуатации, предварительно убедившись, что встроенный NGAV включён и активен. Держать оба продукта одновременно — типичная ошибка: она не усиливает защиту, а создаёт слепые зоны из-за конфликтов перехвата событий и лишнюю нагрузку на конечные точки.
NGAV (антивирус нового поколения) — где он
NGAV (Next-Generation Antivirus) — промежуточное звено между классическим AV и EDR. Он отказывается от опоры только на сигнатуры и добавляет машинное обучение, поведенческую блокировку и анализ в облаке, чтобы останавливать неизвестные образцы в момент запуска. Но NGAV, как и любой антивирус, ориентирован на предотвращение: он блокирует угрозу, но не даёт глубокой телеметрии, хронологии атаки и инструментов расследования.
EDR же делает акцент на видимости и реагировании после проникновения. В большинстве коммерческих продуктов NGAV и EDR поставляются как единый агент: NGAV — превентивный слой, EDR — детективно-ответный. Аналитики Gartner выделяют EDR в отдельную категорию, а также объединённые платформы защиты конечных точек, где NGAV и EDR — части одного продукта.
Что выбрать для бизнеса
Выбор зависит от зрелости, рисков и наличия людей, а не только от бюджета:
- Малый бизнес без ИБ-специалиста: как минимум NGAV; EDR — только в управляемом варианте (см. ниже), иначе некому разбирать оповещения.
- Средний бизнес с ИТ-командой: EDR с NGAV в одном агенте плюс сервис MDR, если нет собственного SOC.
- Крупная организация или регулируемая отрасль: EDR как основа, интеграция с SIEM и SOC, охота за угрозами (threat hunting) и процессы реагирования по NIST.
Отдельно стоит учесть операционную нагрузку. EDR генерирует оповещения, которые нужно приоритизировать, расследовать и закрывать. Без процессов и людей поток оповещений превращается в шум и усталость от алертов (alert fatigue). Поэтому для многих компаний оптимален не «голый» EDR, а связка EDR + MDR, где обнаружение и реагирование берёт на себя внешняя команда в режиме 24/7.
Главный тезис: EDR не заменяет антивирус — он его поглощает и расширяет. Опасен не выбор «AV или EDR», а покупка EDR без ресурса на обработку его оповещений. Если своей команды нет, разумнее взять управляемую услугу, чем платить за телеметрию, которую никто не читает.
Подытоживая: антивирус и EDR — не конкуренты, а разные слои одной модели. Антивирус в форме NGAV дёшево отсекает известное, EDR добавляет видимость, поведенческое обнаружение и реагирование на то, что профилактика пропустила. Для бизнеса вопрос звучит не «AV или EDR», а «есть ли у нас процессы и люди, чтобы EDR приносил пользу». Ответ на него важнее выбора конкретного вендора.
Подробнее о самих технологиях и смежных подходах — в наших материалах: что такое EDR, что такое MDR (управляемое обнаружение и реагирование) и что такое SIEM для централизованного сбора событий.
FAQ
EDR — это замена антивируса?
Функционально да: EDR-платформы включают движок NGAV, который выполняет роль превентивного антивируса. Ставить рядом отдельный классический AV не нужно — это создаёт конфликты агентов. Но «замена» здесь означает поглощение: EDR делает всё, что делает AV, и добавляет обнаружение и реагирование.
Можно ли использовать только антивирус?
Для домашнего компьютера — вполне. Для бизнеса это рискованно: антивирус не видит бесфайловых и целевых атак и не даёт данных для расследования. NIST исходит из того, что профилактика не бывает стопроцентной, поэтому организации нужны обнаружение и реагирование.
Чем EDR отличается от XDR?
EDR работает на уровне конечных точек. XDR (Extended Detection and Response) расширяет ту же логику на почту, сеть, облако и удостоверения, коррелируя события из нескольких источников. XDR — это эволюция EDR за пределы одного хоста.
Нужен ли SOC для EDR?
Технически EDR можно развернуть без SOC, но его ценность — в анализе оповещений и реагировании, а это работа людей. Без SOC или сервиса MDR оповещения EDR остаются без обработки, и вы платите за телеметрию, которую никто не читает.
Что такое поведенческое обнаружение?
Это выявление угроз по действиям, а не по файлу: подозрительным цепочкам процессов, инъекциям в память, аномальным сетевым соединениям. Такие индикаторы атаки (IOA) описаны в матрице MITRE ATT&CK и лежат в основе детектирования EDR. В отличие от сигнатуры, которая описывает конкретный файл, индикатор атаки описывает намерение — например, «процесс Office запустил командную оболочку, а та обратилась к интернету». Такой шаблон срабатывает независимо от того, каким именно вредоносом пользуется атакующий.
Защищает ли EDR от программ-вымогателей?
EDR распознаёт характерное поведение шифровальщиков (массовое изменение файлов, удаление теневых копий) и может изолировать хост до распространения. Это эффективнее сигнатурного антивируса, который видит только уже известные образцы вымогателей.