דלג לתוכן הראשי
נתן-אור
← חזרה לבלוג
· 7 דקות קריאה

אנטי-וירוס מסורתי מול EDR, וההבדל בין ESET ל-SentinelOne

המונח EDR נשמע הרבה בשנים האחרונות, ולא תמיד ברור מה הוא נותן שאנטי-וירוס רגיל לא. נסביר את ההבדל בשפה פשוטה, ואז נשווה בין שתי מערכות מוכרות שאנחנו נשאלים עליהן הרבה: ESET ו-SentinelOne.

מה עושה אנטי-וירוס מסורתי

אנטי-וירוס קלאסי עובד בעיקר לפי "חתימות", כלומר בסיס נתונים של איומים מוכרים. כשקובץ מגיע למחשב, התוכנה משווה אותו לרשימה ולכמה כללים התנהגותיים בסיסיים, ואם יש התאמה היא חוסמת. רוב המוצרים היום מוסיפים גם זיהוי היוריסטי שמנסה לתפוס וריאציות חדשות של איומים ידועים.

זה עובד טוב נגד מה שנפוץ ומוכר, וזו עדיין שכבת הגנה שאסור לוותר עליה. החולשה מתחילה כשמגיעה התקפה חדשה שעוד אין לה חתימה, או כזו שמשתמשת בכלים לגיטימיים של המערכת עצמה. במקרים כאלה האנטי-וירוס הקלאסי עלול לפספס, וגם אם הבחין במשהו, הוא לא שומר תיעוד שיאפשר לכם להבין מה בעצם קרה.

מה EDR מוסיף

EDR (ראשי תיבות של Endpoint Detection and Response) ניגש לעניין מזווית אחרת. במקום רק לחסום בכניסה, הוא מתעד באופן רציף מה קורה על המחשב: אילו תהליכים רצים, מי פתח מה, ואילו חיבורי רשת נוצרו. על בסיס התיעוד הזה הוא מזהה התנהגות חשודה גם בלי חתימה מוכרת מראש.

בזכות זה EDR נותן שלושה דברים שאין באנטי-וירוס רגיל:

  • ראייה: אפשר לראות בדיוק מה קרה, מאיזה קובץ או פעולה זה התחיל, ולאן זה התפשט.
  • תגובה: אפשר לבודד מחשב מהרשת, לעצור תהליך או להסיר רכיב מרחוק, ולרוב בלחיצה.
  • חקירה: ההיסטוריה שנשמרת מאפשרת להבין את שורש האירוע ולמנוע ממנו לחזור.

אם לתמצת: אנטי-וירוס מנסה למנוע מראש, ו-EDR מניח שמשהו בכל זאת עלול לעבור, ולכן דואג שתוכלו לזהות אותו, להבין אותו ולהגיב בזמן.

אז אנטי-וירוס כבר לא צריך?

דווקא כן. ברוב המערכות EDR לא בא במקום האנטי-וירוס אלא מעליו. שכבת המניעה (המכונה EPP) ממשיכה לחסום את הידוע והנפוץ, וה-EDR מטפל במה שחדש או מתוחכם. בפועל, לעסק זה אומר לבחור פתרון אחד שמשלב את שתי השכבות, ולא להתלבט ביניהן.

ה-EDR של ESET (ESET Inspect)

ה-EDR של ESET נקרא ESET Inspect, והוא חלק מפלטפורמת הניהול ESET PROTECT (בענן או בהתקנה מקומית). הוא יושב על מנוע האנטי-וירוס הוותיק של ESET ומוסיף לו זיהוי התנהגותי ומבוסס-מוניטין, שנשען על מערכת המוניטין LiveGrid של ESET, ומאגד אירועים בודדים לכדי תקריות עם ניתוח שורש.

מה שמאפיין אותו בעיקר:

  • משקל קל יחסית על המחשב, יתרון אמיתי כשיש בעסק גם תחנות ישנות.
  • שקיפות ושליטה: מי שמבין מה הוא עושה יכול לכוונן את כללי הזיהוי ולחקור לעומק.
  • עלות נגישה יותר ומדרגיות שמתאימה לעסקים קטנים ובינוניים.
  • אפשרות לשירות מנוהל (ESET MDR), אם אין לכם מי שינטר את ההתראות בעצמו.

בזכות השילוב הזה, ESET היא בחירה הגיונית לעסקים שרוצים יכולות EDR אמיתיות, בלי קפיצת מדרגה בעלות ובמורכבות.

ה-EDR של SentinelOne (Singularity)

SentinelOne ניגש לעניין מכיוון של אוטומציה ובינה מלאכותית. הסוכן שמותקן על המחשב מנתח התנהגות בזמן אמת, ומסוגל להגיב בעצמו בלי שאדם ילחץ על כפתור. שתי יכולות בולטות שלו:

  • Storyline: המערכת מקשרת אוטומטית את כל האירועים הקשורים להתקפה לציר זמן אחד וברור, וחוסכת חלק גדול מעבודת החקירה הידנית.
  • Rollback: על מחשבי Windows נתמכים, המערכת יכולה להחזיר את המחשב למצב שלפני ההתקפה בעזרת תצלומי מצב פנימיים, יכולת חזקה במיוחד מול וירוס כופר.

מנגד, זה פתרון שמכוון בדרך כלל לארגונים גדולים יותר או בעלי פרופיל סיכון גבוה, והמחיר שלו גבוה יותר בהתאם. העובדה שהוא עושה הרבה לבד נוחה כשאין צוות אבטחה, אבל היא גם דורשת אמון במנגנון האוטומטי ותקציב שתומך בכך.

אז מה לבחור?

זאת לא שאלה של טוב מול רע, אלא של התאמה. עסק קטן או בינוני שמחפש הגנה מודרנית אמיתית במשקל קל ובעלות סבירה ימצא ב-ESET את ההתאמה הטבעית, במיוחד בשילוב עם שירות ניטור מנוהל. ארגון גדול יותר, עם נכסים רגישים או צורך בתגובה אוטומטית ובשחזור מיידי מכופר בלי תלות בצוות, יקבל מ-SentinelOne יותר אוטומציה, במחיר גבוה יותר.

חשוב לזכור דבר אחד מעבר לבחירת המוצר: מערכת EDR שווה בדיוק כמו ההטמעה והניטור שמאחוריה. גם הכלי המשוכלל בעולם לא יעזור אם אף אחד לא מסתכל על ההתראות שהוא מפיק.

לא בטוחים מה מתאים לעסק שלכם?

אנחנו עובדים עם ESET ויכולים להתאים, להטמיע ולנטר עבורכם הגנת EDR לפי הגודל והתקציב של העסק. נשמח לעזור גם אם אתם שוקלים בין כמה אפשרויות.

לשיחת ייעוץ ←