Antivirus מסורתי עובד לפי Signatures – חתימות של קבצים ידועים. בשנת 2025, כ-97% מה-Malware שנוצר הוא Polymorphic – משנה חתימה בכל הרצה. כלומר: Antivirus מסורתי כמעט לא רלוונטי לאיומים המודרניים. EDR (Endpoint Detection & Response) הוא הדור הבא.
ההבדל הפונדמנטלי
- Antivirus = Signature-based. חוסם קבצים ידועים. Reactive.
- EDR = Behavioral-based. מנתח הרצות, מדבר תהליכים, זרימות רשת. Proactive.
- XDR (Extended DR) = EDR + Email + Cloud + Network. קורלציה רב-שכבתית.
- MDR (Managed DR) = EDR + SOC מנוהל. לארגונים ללא SOC פנימי.
EDR בלי אנליסט = ?
EDR מייצר המון alerts. ללא SOC Analyst שמנהל אותם – מדובר ב-Alert Fatigue. לארגונים קטנים, MDR (Managed EDR Service) הוא הפתרון שמשלב את הטכנולוגיה עם הידע.
השוואת מוצרים מובילים 2025
- CrowdStrike Falcon – מוביל שוק, ביצועים מעולים ב-MITRE ATT&CK, עלות גבוהה.
- SentinelOne Singularity – AI-native, Rollback אוטומטי לאחר Ransomware, מחיר תחרותי.
- Microsoft Defender for Endpoint – מוכלל ב-M365 Business Premium. מצוין ל-Windows-centric.
- Cybereason – חזק ב-MalOp (Malicious Operation) correlation. פופולרי בישראל.
- Palo Alto Cortex XDR – אינטגרציה מעולה עם NGFW ו-SIEM. Enterprise Focus.
מה לחפש בבחירת EDR
- ציון MITRE ATT&CK Evaluations – בדקו את התוצאות הרשמיות בaviations.mitre.org
- False Positive Rate – EDR עם הרבה False Positives גורם ל-Alert Fatigue
- Response Capabilities – Isolate, Kill Process, Rollback. לא רק Detection.
- Multi-OS Support – Windows, macOS, Linux. ארגוני Dev צריכים Linux.
אם תקציב מוגבל ויש לכם Microsoft, התחילו עם Microsoft Defender for Endpoint Plan 2 – זהו EDR מלא שכלול ב-M365 Business Premium ב-₪70-80 לחודש למשתמש. לאחר מכן בדקו את ה-gaps.
EDRXDRAntivirusCrowdStrikeSentinelOneEndpoint