Adfærdsbaseret sikkerhed — hvad er det, og hvorfor er antivirus ikke nok?
Klassisk antivirus leder efter kendte trusler. Moderne EDR ser på adfærd og fanger angreb der aldrig er set før. Sådan virker det — uden buzzwords.
Antivirus = ordbog over kendte trusler
Klassisk antivirus virker som en ordbog: 'Kender jeg denne fil som farlig? Hvis ja, blokér.' Det fungerer fint til kendte virusfamilier, men er hjælpeløst overfor nye angreb der endnu ikke står i ordbogen. Og moderne ransomware opdateres hver dag.
EDR = adfærdsanalyse i realtid
EDR (Endpoint Detection & Response) eller XDR (Extended) ser på hvad programmer og brugere faktisk gør på maskinen. Et tekstbehandlingsprogram der pludselig begynder at kryptere tusindvis af filer? Suspekt. En PowerShell-kommando startet fra en mail-attachment? Suspekt. Det stoppes uanset om filen står i nogen ordbog eller ej.
Hvad I konkret bør have
- EDR/XDR på alle endpoints — ikke kun servere.
- Central konsol der ser tværs over alle maskiner.
- 24/7 SOC-overvågning — enten internt eller via en partner.
- Automatisk isolation af inficerede maskiner inden hackeren spreder sig.
- Logning af alle hændelser i mindst 90 dage — gerne længere.
Microsoft Defender for Business — for SMV'er
For mindre virksomheder er Microsoft Defender for Business (inkluderet i M365 Business Premium) en realistisk indgang. Det er ikke det dyreste på markedet, men det er solid EDR til en pris hvor en 20-mands virksomhed kan have det med. Større setups bør evaluere SentinelOne, CrowdStrike eller Defender for Endpoint Plan 2.
Skal vi tage en uforpligtende snak?
Vi hjælper gerne med at vurdere jeres setup og lægge en plan, der giver mening.
Var denne artikel nyttig?
Klik på en stjerne for at give din bedømmelse
