Zatímco klasický antivirus funguje jako „vrátný“, který do budovy nepustí známé kriminálníky, EDR funguje jako síť bezpečnostních kamer a detektivů uvnitř budovy, kteří sledují podezřelé chování každého, kdo se dostal dovnitř.
Tradiční antiviry (EPP - Endpoint Protection Platform) spoléhají na tzv. signatury (otisky prstů známých virů). Moderní útočníci však používají techniky, které signaturu nemají:
1. **Sběr dat (Monitoring):** Agent nainstalovaný na počítači sleduje procesy, síťová spojení, změny v registrech a přístupy k souborům. 2. **Detekce (Analýza):** Data jsou odesílána do cloudu, kde umělá inteligence hledá anomálie (např. "Proč program Kalkulačka najednou stahuje data z internetu?"). 3. **Vyšetřování:** EDR ukládá historii událostí, takže administrátor může zpětně vidět celou cestu útočníka systémem (tzv. //Kill Chain//). 4. **Reakce:** Pokud EDR zjistí hrozbu, může napadený počítač okamžitě izolovat od sítě, ukončit podezřelý proces nebo smazat infikovaný soubor.
| Vlastnost | Klasický Antivirus | EDR |
|---|---|---|
| Zaměření | Prevence (zabránit vstupu) | Detekce (najít útočníka uvnitř) |
| Způsob práce | Hledání známých virů (signatur) | Hledání podezřelého chování |
| Viditelnost | Vidí jen útok | Vidí celou historii aktivit na PC |
| Hlavní cíl | Smazat soubor | Pochopit útok a zastavit ho |
Technologie EDR se dále vyvíjí do širších konceptů:
EDR dramaticky zkracuje dobu, po kterou se útočník v síti nachází (tzv. Dwell Time). Bez EDR trvá odhalení průniku průměrně přes 200 dní; s kvalitním EDR řešením se tato doba zkracuje na minuty či hodiny.
Zajímavost: Termín EDR zavedl v roce 2013 Anton Chuvakin ze společnosti Gartner, aby popsal nově vznikající třídu nástrojů, které se nezaměřují jen na „blokování“, ale na „pochopení“ toho, co se v systému děje.