{"id":23462,"date":"2026-02-16T09:17:17","date_gmt":"2026-02-16T08:17:17","guid":{"rendered":"https:\/\/rosoft.si\/?p=23462"},"modified":"2026-02-16T09:17:19","modified_gmt":"2026-02-16T08:17:19","slug":"edr-proti-klasicnemu-antivirusu-razlika-ki-danes-odloca-o-varnosti","status":"publish","type":"post","link":"https:\/\/rosoft.si\/en\/edr-proti-klasicnemu-antivirusu-razlika-ki-danes-odloca-o-varnosti\/","title":{"rendered":"EDR proti klasi\u010dnemu antivirusu: Razlika, ki danes odlo\u010da o varnosti"},"content":{"rendered":"
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

EDR proti klasi\u010dnemu antivirusu: Razlika, ki danes odlo\u010da o varnosti<\/span><\/h1>\n

Kibernetska varnost v podjetjih se je v zadnjih letih izjemno spremenila. Gro\u017enje so postale bolj napredne, bolj avtomatizirane in pogosto usmerjene v izkori\u0161\u010danje \u010dlove\u0161kih napak ali ranljivosti v legitimni programski opremi. V tem kontekstu se vse pogosteje pojavlja vpra\u0161anje ali je klasi\u010dni antivirus sploh \u0161e dovolj?<\/em><\/span>
Kratek odgovor je ne. Zato organizacije prehajajo na EDR (Endpoint Detection and Response)<\/strong> re\u0161itve, ki so bistveno bolj napredne in u\u010dinkovite.<\/span><\/p>\n

<\/p>\n

Kaj je klasi\u010dni antivirus?<\/strong><\/span><\/p>\n

Klasi\u010dni antivirus (AV) je varnostna re\u0161itev, ki deluje predvsem na podlagi podpisov (signatures) in prepoznavanja znanih vzorcev \u0161kodljive kode. Njegov glavni namen je:<\/span><\/p>\n

    \n
  • zaznati znane viruse, trojanske konje (trojance) in \u010drve,<\/span><\/li>\n
  • blokirati osnovne oblike \u0161kodljivih datotek,<\/span><\/li>\n
  • prepre\u010diti prenos oku\u017eb prek datotek in spletnih strani.<\/span><\/li>\n<\/ul>\n

    Tipi\u010den antivirusni program deluje reaktivno. To pomeni, da lahko prepozna gro\u017enjo, le \u010de jo je nekdo \u017ee analiziral in zanjo pripravil podpis. Pri novih ali neznanih napadih (t. i. zero-day napadih) je antivirusni program kot tak\u0161en zato pogosto neu\u010dinkovit.<\/span><\/p>\n

    <\/p>\n

    Kaj je EDR (Endpoint Detection and Response)?<\/strong><\/span><\/p>\n

    EDR (Endpoint Detection and Response) je napredna varnostna tehnologija, ki se osredoto\u010da na aktivno spremljanje, analizo in odzivanje na sumljivo vedenje na kon\u010dnih to\u010dkah (ra\u010dunalnikih, stre\u017enikih, prenosnikih).<\/span><\/p>\n

    EDR vklju\u010duje:<\/span><\/p>\n

      \n
    • strojno u\u010denje in analizo vedenja,<\/span><\/li>\n
    • poglobljeno telemetrijo (procesi, omre\u017eni promet, sprememb v registru \u2026),<\/span><\/li>\n
    • realno \u010dasovno odkrivanje napadov,<\/span><\/li>\n
    • mo\u017enost takoj\u0161njega odziva (izolacija naprave, ubijanje procesov, povrnitev datotek),<\/span><\/li>\n
    • forenzi\u010dno analizo,<\/span><\/li>\n
    • vpogled v celoten potek napada (attack chain).<\/span><\/li>\n<\/ul>\n

      Medtem ko antivirusni program posku\u0161a prepoznati zlonamerno datoteko, EDR gleda celoten kontekst. To pomeni, da zazna tudi tiste napade, ki ne vklju\u010dujejo klasi\u010dne zlonamerne kode \u2013 na primer napade brez datotek (fileless attacks), zlorabe legitimnih orodij (npr. PowerShell) ali druge neznane zlorabe.<\/span><\/p>\n

      <\/p>\n

      Klju\u010dne razlike med EDR in antivirusom<\/strong><\/span><\/p>\n

      Metoda zaznavanja<\/u><\/span><\/p>\n

        \n
      • AV program temelji na prepoznavi podpisov, kar pomeni, da je u\u010dinkovit le proti znanim gro\u017enjam.<\/span><\/li>\n
      • EDR uporablja analizo vedenja, strojno u\u010denje in korelacijo dogodkov. Zazna napade, tudi \u010de \u0161e niso klasificirani.<\/span><\/li>\n<\/ul>\n

        Vidljivost<\/u><\/span><\/p>\n

          \n
        • AV vidi posamezne datoteke in dogodke.<\/span><\/li>\n
        • EDR spremlja celotno delovanje naprave, procese, omre\u017eje, dostope in spremembe v samem sistemu.<\/span><\/li>\n<\/ul>\n

          Odziv<\/u><\/span><\/p>\n

            \n
          • AV lahko gro\u017enjo le blokira ali izbri\u0161e.<\/span><\/li>\n
          • EDR omogo\u010da takoj\u0161en odziv: izolacijo naprave, zaustavitev procesov, odstranitev trajnih mehanizmov napadalcev, povrnitev stanja pred napadom.<\/span><\/li>\n<\/ul>\n

            Forenzi\u010dna analiza<\/u><\/span><\/p>\n

              \n
            • AV praviloma ne omogo\u010da pregleda, kaj se je zgodilo pred, med in po napadu.<\/span><\/li>\n
            • EDR shranjuje podatke o dogodkih in omogo\u010da analizo celotne verige napada.<\/span><\/li>\n<\/ul>\n

              Napadi brez datotek<\/u><\/span><\/p>\n

                \n
              • AV je skoraj popolnoma slep za napade brez uporabe oku\u017eenih datotek.<\/span><\/li>\n
              • EDR jih zazna na podlagi nenavadnega vedenja procesov ali ukazov.<\/span><\/li>\n<\/ul>\n

                <\/p>\n

                <\/p>\n

                Zakaj je EDR bolj\u0161i za sodobna podjetja?<\/strong><\/span><\/p>\n

                Napadi so danes preve\u010d kompleksni za klasi\u010den antivirusni program<\/u><\/span><\/p>\n

                Sodobni napadi uporabljajo kombinacije tehnik: socialni in\u017eeniring, makre v dokumentih, skripte PowerShell, vrivanje v legitimne procese. Ti napadi pogosto niso v obliki datotek, ki jih antivirusni program lahko pregleda in prepozna.<\/span><\/p>\n

                EDR prepozna spremembe v vedenju sistema \u2013 tudi \u010de napad ne vsebuje nobene datoteke.<\/span><\/p>\n

                <\/p>\n

                Hitrej\u0161i in avtomatiziran odziv prepre\u010di \u0161irjenje oku\u017ebe<\/u><\/span><\/p>\n

                Ko napadalec dobi za\u010detni dostop, obi\u010dajno ne ustavi napada \u2014 \u0161ele za\u010dne ga \u0161iriti po omre\u017eju. Samo antivirusni program tu ne more narediti veliko.<\/span><\/p>\n

                EDR lahko:<\/span><\/p>\n