Эксперт ARinteg в статье для «Банковского обозрения» рассказал о преимуществах EDR над антивирусом

С момента появления антивирусного программного обеспечения началась затяжная война между теми, кто проникает в сеть частных компьютеров и организаций, и теми, кто эти атаки отражает. За время этого противостояния накоплен большой опыт атак, нападений и блокировок обеими сторонами конфликта

Именно злоумышленники указывают направление развития отрасли информационной безопасности (ИБ), так как эта область — всегда реактивная составляющая информационной инфраструктуры предприятия. На вопросы, кому стоит внедрять новые технологии и почему, ответят эксперты ARinteg, одного из ведущих российских системных интеграторов.

Цель кибератак никогда не менялась — кража информации, шифрование данных, вымогательство или просто использование ресурсов компьютеров для бот-сетей и майнинга. Менялись только методы. Однако стратегия по защите информации от различного типа угроз для большинства компаний длительное время остается неизменной.

Многие IT- и ИБ-сотрудники сосредоточены на блокировке и предотвращении атак на рабочих станциях с использованием классических антивирусов. Такой подход имеет множество плюсов, но в современном мире он нежизнеспособен.

Классический антивирус — это автоматическое средство реагирования на вредоносный код, позволяющее слегка менять настройки по управлению автоматическим процессом.

Реагирование антивирусов — реактивное: ответ от них приходит в случае, когда инцидент произошел, и вредоносный файл проник в сеть. Расследование тоже всегда начинается только по факту произошедшего. Однако классические антивирусы не содержат средства для расследования, так что «расследование» в данном случае подразумевает просмотр лог-файлов и перемещение их на карантин. Таким образом, когда вредоносный файл заблокирован, мы не можем сказать, откуда он взялся на компьютере, есть ли он где-то еще в сети и какие последствия могут быть.

Подробнее здесь.