Kunskap · Endpoint
EDR är endpoint-skydd som försöker upptäcka misstänkt beteende på datorer och servrar. Det är inte magi, men rätt infört kan det ge mycket bättre kontroll när något avviker.
Datorer och servrar är ofta vägen in i företagets miljö. Där öppnas bilagor, webblänkar klickas, program körs och användare loggar in. Därför behöver skyddet inte bara känna igen gamla virus, utan också kunna reagera på ovanligt beteende.
Traditionellt antivirus fokuserar ofta på att stoppa kända skadliga filer. EDR tittar bredare: processer, nätverksanslutningar, skript, inloggningar och kedjor av händelser. Det kan hjälpa till att se om en dator beter sig konstigt även när hotet inte redan finns i en signaturdatabas.
Den vanligaste missuppfattningen är att EDR löser allt bara genom att installeras. I praktiken behöver någon följa upp larm, avgöra vad som är falskt positivt, isolera maskiner vid behov och se till att samma problem inte återkommer. Det är här personlig IT-drift och säkerhet hänger ihop.
EDR är särskilt relevant när företaget har flera användare, känslig information, servrar, fjärrarbete, Microsoft 365, krav från kunder eller en verksamhet som skulle få stora problem vid ransomware. Men det ska kombineras med MFA, backup, patchning, rätt behörigheter och tydliga rutiner.