דלגו לתוכן
אבטחה לעסק10 בדצמבר 202510 דק׳ קריאה

אנטי-וירוס כבר לא מספיק: EDR ומה עסק קטן באמת צריך בתחנות הקצה

האנטי-וירוס היה ירוק ומעודכן — ובכל זאת הסיסמאות נגנבו והקבצים הוצפנו. מתקפות ללא קובץ ו-Infostealers עוקפים זיהוי חתימות, ולכן השאלה הנכונה היא מי רואה מה קורה בתחנות. מדריך מעשי: ההבדל האמיתי בין AV, EDR ו-MDR, מה כבר כלול בחינם ב-Windows וב-Microsoft 365, מתי באמת צריך לשלם — ואיך נמנעים ממלכודת עייפות ההתראות.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

כמעט בכל תחקיר אירוע שאנחנו עושים בעסקים קטנים חוזר משפט אחד, כמעט מילה במילה: ״אבל היה לנו אנטי-וירוס, והוא היה מעודכן״. וזה נכון. האייקון היה ירוק, הסריקה רצה כל לילה, הרישיון שולם בזמן — ובכל זאת הסיסמאות שנשמרו בדפדפן נשאבו החוצה, תיבת המייל שימשה לשליחת חשבוניות מזויפות ללקוחות, ובמקרה הגרוע הקבצים בשרת התעוררו בוקר אחד מוצפנים. אנטי-וירוס קלאסי הוא לא מוצר גרוע — הוא פשוט עונה על שאלה שהתוקפים כבר לא שואלים. במדריך הזה נעשה סדר: מה באמת ההבדל בין AV, EDR ו-MDR, מה כבר מגיע לכם בחינם עם Windows ועם Microsoft 365, מתי עסק קטן באמת צריך לשלם על EDR — ואיך מוודאים שהכלי היקר לא הופך למדף.

שלושה מונחים בשלוש שורות

AV (Antivirus) — תוכנה שמזהה וחוסמת קבצים זדוניים מוכרים, בעיקר לפי ״חתימות״ ומאפיינים ידועים. EDR (Endpoint Detection & Response) — מערכת שמתעדת ברציפות מה קורה בתחנה (תהליכים, תקשורת, שינויים), מזהה התנהגות חשודה ומאפשרת להגיב: לעצור תהליך, לבודד מחשב מהרשת, לתחקר. MDR (Managed Detection & Response) — לא מוצר אלא שירות: בני אדם שצופים בהתראות של ה-EDR שלכם 24/7 ומגיבים בשמכם.

איך מתקפות עוקפות אנטי-וירוס מבוסס חתימות

המודל הקלאסי של אנטי-וירוס בנוי על זיהוי המוכר: קובץ נכנס למחשב, מושווה מול מאגר של נוזקות ידועות, ואם יש התאמה — נחסם. זה עדיין עובד מצוין נגד נוזקות ממוחזרות שמסתובבות ברשת שנים. הבעיה: חלק גדל והולך מהמתקפות המודרניות פשוט לא משאיר קובץ זדוני שאפשר להשוות מול מאגר.

הדוגמה הבולטת היא מתקפות ״ללא קובץ״ (Fileless) וטכניקת Living off the Land — ״לחיות מהשטח״: התוקף לא מביא איתו כלים, אלא משתמש במה שכבר מותקן בכל מחשב Windows — PowerShell, כלי ניהול מרחוק, משימות מתוזמנות. מנקודת המבט של אנטי-וירוס חתימות, שום דבר חריג לא קרה: רצו כלים לגיטימיים של מערכת ההפעלה, בחתימה דיגיטלית של Microsoft. רק מי שמסתכל על ההתנהגות — למה חשבון של מנהלת החשבונות מריץ PowerShell בשתיים בלילה ופותח תקשורת לשרת לא מוכר — יראה שמשהו לא בסדר. וזה בדיוק מה שאנטי-וירוס קלאסי לא בנוי לעשות.

השחקן השני שכדאי להכיר הוא ה-Infostealer — נוזקת גניבת מידע שמגיעה בדרך כלל בקובץ מצורף, ב״עדכון תוכנה״ מזויף או בתוכנה פרוצה, רצה שניות ספורות, שואבת סיסמאות שמורות מהדפדפן, עוגיות התחברות (שעוקפות גם MFA) וארנקים דיגיטליים — ונעלמת. סיכום מערך הסייבר הלאומי לשנת 2025 מונה נוזקות Infostealer בין שיטות התקיפה המרכזיות נגד ארגונים בישראל, לצד פישינג, פגיעויות בשרשרת האספקה ומערכות לא מעודכנות. וכשמצליבים את זה עם נתון של הסוכנות לעסקים קטנים ובינוניים, שלפיו כ-70% מהעסקים הקטנים בישראל מסתמכים על תוכנת ההגנה המובנית בלבד — מתקבלת תמונה ברורה: רוב העסקים מגינים על עצמם מפני המתקפות של העשור הקודם.

AV, EDR ו-MDR — בלי שיווק

הדרך הפשוטה ביותר לחשוב על שלוש השכבות היא דרך משל הבניין. אנטי-וירוס הוא המנעול: מונע מרוב הפורצים המזדמנים להיכנס, וזו שכבה שחייבת להיות — אבל מי שהשיג מפתח או נכנס דרך החלון לא יפגוש אותה בכלל. EDR הוא מערך המצלמות וחיישני התנועה: הוא לא רק חוסם, הוא רואה ומתעד. כל תהליך שרץ, כל חיבור רשת, כל שינוי הגדרות — נרשם. כשמצטברת שרשרת חשודה, נוצרת התראה, ואפשר להגיב מרחוק: לעצור את התהליך, לנתק את המחשב מהרשת, ולשחזר אחורה מה בדיוק קרה ואיפה עוד. היכולת האחרונה הזו — ראות (Visibility) — היא הערך הגדול ביותר בפועל: בלי EDR, השאלה ״מה בדיוק קרה ואילו עוד מחשבים נפגעו״ נענית בניחושים; איתו — בעובדות.

MDR הוא חברת המוקד: מצלמות מצוינות לא שוות הרבה אם אף אחד לא מסתכל במסכים. שירות MDR — בין אם של יצרן ה-EDR עצמו ובין אם של ספק מקומי — שם בני אדם מול ההתראות שלכם, מסנן את הרעש, ומתקשר אליכם (או מבודד תחנה בעצמו) כשמשהו אמיתי קורה. לעסק קטן בלי איש אבטחה, זו לרוב ההחלטה החשובה יותר מבחירת המוצר עצמו — ונרחיב עליה בהמשך.

טבלת השוואה בין אנטי-וירוס, EDR ו-MDR — אילו יכולות כל שכבה נותנת
שלוש שכבות ההגנה על תחנות קצה — מה כל אחת באמת נותנת. עיבוד: Cybertis, על בסיס תיעוד Microsoft.

מה כבר יש לכם בחינם — הערכה כנה

נתחיל בחדשות הטובות: אם המחשבים שלכם מריצים Windows 10 או 11, יש לכם כבר אנטי-וירוס אמיתי ומעודכן — Microsoft Defender Antivirus, מובנה במערכת ההפעלה ובלי עלות נוספת. זה מזמן לא ה״Defender״ המצומק של פעם: הוא כולל הגנה בזמן אמת, ניטור התנהגות והגנת ענן. בעסק קטן עם מספר מחשבים בודדים, הרגלי עבודה סבירים, MFA וגיבויים — זו נקודת פתיחה לגיטימית לגמרי, ובוודאי עדיפה על אנטי-וירוס צד-שלישי שפג תוקפו ומנטרל את Defender בלי לתת כלום בתמורה. מה שחסר בו הוא בדיוק מה שמפריד AV מ-EDR: אין ניהול מרכזי, אין ראות רוחבית על כל התחנות, ואין יכולת תגובה מרחוק.

החדשות הטובות עוד יותר: אם אתם משלמים על Microsoft 365 Business Premium, ייתכן שיש לכם כבר EDR ששילמתם עליו ולא הפעלתם. החבילה כוללת את Microsoft Defender for Business — מוצר EDR מלא לעסקים של עד 300 עובדים, עם זיהוי ותגובה בתחנות קצה, חקירה ותיקון אוטומטיים והקטנת שטח תקיפה, לפי התיעוד הרשמי של Microsoft. הוא קיים גם כמוצר עצמאי — נכון ליולי 2026, במחירון הרשמי של Microsoft הוא מוצע בכ-3 דולר למשתמש לחודש. לפני שרצים לרכוש מוצר חדש, שווה קודם לבדוק מה כבר יש לכם בטנאנט — ואגב, זה נכון לעוד הרבה הגדרות: ריכזנו את החשובות שבהן במדריך הקשחת Microsoft 365.

מתי עסק קטן באמת צריך EDR בתשלום

לא כל עסק צריך לרוץ מחר לרכוש EDR מנוהל. הנה המצבים שבהם, מהניסיון שלנו, התשובה היא כן חד-משמעי:

  • צי מחשבים מחוץ למשרד. לפטופים בבתים, בבתי קפה וברשתות זרות נמצאים מחוץ להגנות המשרד. EDR מבוסס ענן רואה אותם ומגיב אליהם בכל מקום — הפיירוול המשרדי לא.
  • מידע רגיש או רגולציה. אם אתם מחזיקים מידע רפואי, פיננסי או ביומטרי — ובפרט מאגרים שחלה עליהם רמת אבטחה בינונית או גבוהה לפי תקנות אבטחת מידע — חובת הדיווח המיידי על אירוע אבטחה חמור מחייבת אתכם לדעת מה קרה בפועל. בלי תיעוד EDR, אין לכם באמת מה לדווח ואיך לתחקר.
  • כבר היה אירוע. עסק שחווה פריצה, הונאת חשבונית או הדבקה — הסתברות גבוהה שהתוקפים ישובו, ולפעמים הם עדיין בפנים. אם אתם מזהים אצלכם סימנים שהעסק כבר נפרץ — ראות מלאה היא לא מותרות.
  • שרת או מערכת שהעסק לא מתפקד בלעדיהם. ERP, שרת קבצים, מערכת קופות — נקודות שכשל בהן משבית את העסק, ולכן הן היעד הראשון של תוקף כופרה.
מסלול החלטה — ארבע שאלות שקובעות אם העסק צריך EDR בתשלום
ארבע שאלות, החלטה אחת. מסגרת עבודה של Cybertis מליווי עסקים קטנים.

רגע האמת: מה EDR עושה כשכופרה נכנסת

כופרה היא המקום שבו ההבדל בין השכבות מפסיק להיות תיאורטי. לפי דוח Verizon DBIR 2025, כופרה הייתה מעורבת ב-44% מאירועי הפריצה שנחקרו — עלייה של 37% משנה לשנה. אנטי-וירוס קלאסי, במקרה הטוב, יתפוס את קובץ ההצפנה אם הוא מוכר. EDR מזהה את ההתנהגות: תהליך שמתחיל להצפין מאות קבצים בדקות, מוחק עותקי גיבוי מקומיים ומנסה להתפשט לשכנים ברשת. ברגע הזה נכנסת לפעולה היכולת החשובה ביותר של EDR — בידוד תחנה (Device Isolation): בלחיצת כפתור בקונסולה (או אוטומטית), המחשב הנגוע מנותק מהרשת אך נשאר מחובר לשרת הניהול, כך שאפשר להמשיך לתחקר אותו בלי שההצפנה תתפשט לשרת ולשאר המשרד. אצל Microsoft, למשל, בידוד נתמך גם בתחנות Windows וגם ב-Mac. ההבדל בין תחנה אחת מבודדת לרשת שלמה מוצפנת הוא ההבדל בין תקלה של יום לאירוע קיומי — הרחבנו על התסריט המלא במדריך כופרה בעסק קטן.

מלכודת עייפות ההתראות: EDR בלי עיניים = מדף יקר

הכישלון הנפוץ ביותר שאנחנו פוגשים הוא לא בחירת מוצר גרוע — אלא מוצר טוב שאף אחד לא מסתכל בו. EDR מייצר התראות, וההתראה החשובה תגיע בשבת ב-2 בלילה. אם אין בעסק מי שפותח את הקונסולה לפחות מדי יום ויודע להבדיל בין רעש לאירוע — קניתם מצלמות בלי מוקד. הפתרון לעסק קטן הוא כמעט תמיד חיצוני: שירות MDR של היצרן, ספק מנוהל מקומי, או גורם אבטחה חיצוני שמקבל את ההתראות ואחראי להגיב. את השאלה ״מי רואה את ההתראות?״ שאלו את הספק לפני שחותמים — לא אחרי האירוע הראשון.

ומה עם מק וטלפונים? בדיקת מציאות

שתי אמונות רווחות דורשות עדכון. הראשונה — ״למק לא צריך הגנה״: העידן הזה נגמר. נוזקות גניבת מידע ייעודיות ל-macOS הפכו לנפוצות, ורוב מוצרי ה-EDR המובילים, כולל Defender for Business, מתקינים סוכן מלא גם על Mac. אם המעצבת והמנכ״ל עובדים על מק והם מחוץ למערך ההגנה — התוקף ימצא את זה לפניכם. השנייה — ״צריך אנטי-וירוס לטלפון״: בטלפונים הסיפור שונה. הסיכון המרכזי במובייל הוא לא וירוס קלאסי אלא פישינג, אפליקציות מתחזות והרשאות מופרזות, ולכן הכלי הרלוונטי הוא Mobile Threat Defense — הגנה שמסננת קישורים עוינים ומזהה אפליקציות מסוכנות. גם כאן שווה לבדוק מה כבר כלול: Defender for Business כולל הגנת מובייל ל-Android ול-iOS בלי צורך במערכת ניהול מכשירים נפרדת. טלפון עם עדכונים שוטפים, נעילה ביומטרית והתקנות מחנויות רשמיות בלבד — מכוסה ברובו.

איך בוחרים: טבלת קריטריונים לעסק קטן

קריטריוןמה בודקים בפועללמה זה קריטי לעסק קטן
כיסוי פלטפורמותסוכן אחד וקונסולה אחת ל-Windows, macOS, שרתים ומוביילציוד מעורב הוא הנורמה; כל מכשיר לא מכוסה הוא הדלת שהתוקף יבחר
תקורת ניהולקונסולת ענן, פריסה מרחוק, בלי שרת ניהול מקומי ובלי כוונון אינסופיאין איש IT במשרה מלאה — מוצר שדורש מומחה יישאר לא מכוונן
יכולות תגובהבידוד תחנה בלחיצה, עצירת תהליך מרחוק, ציר זמן חקירה קריאברגע כופרה, דקות של תגובה קובעות אם זה אירוע או אסון
מי צופה בהתראותאופציית MDR מובנית או ספק מנוהל — כולל SLA לתגובה בלילות וסופ״שיםהתראה שאף אחד לא ראה שווה בדיוק אפס
תמיכה מקומיתתמיכה בעברית או לפחות בשעות פעילות ישראליות; שותף מקומי מנוסהבשעת אירוע אין זמן לטיקט באנגלית שייענה ביבשת אחרת מחר
מחיר ומודל רישויתמחור למשתמש/מכשיר לחודש; מה כלול (שרתים? מובייל? MDR?) ומה בתוספתקודם בדקו מה כבר משולם — למנויי Business Premium יש כבר EDR בפנים

טיפים לפריסה — בלי להשבית את המשרד

  • מתחילים במצב ראות (Audit/Detect). בשבועיים-שלושה הראשונים תנו למערכת רק לתעד ולהתריע, בלי חסימות אוטומטיות. תלמדו מה נורמלי אצלכם, תכווננו — ורק אז תעברו למצב חסימה. פריסה אגרסיבית מדי ביום הראשון היא הדרך המהירה לתקוע את תוכנת הנהלת החשבונות ולאבד את אמון העובדים.
  • משמעת חריגות (Exclusions). כל חריגה שמוסיפים — מתועדת: מה הוחרג, למה, מי אישר ומתי. חריגה רחבה כמו תיקייה שלמה או כונן שלם היא מנהרה עוקפת-EDR שתוקפים מכירים היטב. סוקרים את רשימת החריגות פעם ברבעון ומוחקים את מה שכבר לא נחוץ.
  • מסירים את הישן. שני מוצרי הגנה על אותה תחנה לא נותנים הגנה כפולה — הם נותנים תקלות כפולות. הסרה מסודרת של האנטי-וירוס הקודם היא חלק מהפריסה.
  • לא שוכחים את השרתים. דווקא המכונה החשובה ביותר בעסק נשארת הרבה פעמים בחוץ כי ״לא נוגעים בשרת״. השרת קודם לכולם.
  • מתרגלים את כפתור הבידוד. פעם אחת, על מחשב לא קריטי, בשעה שקטה — כדי שברגע אמת מישהו יידע איפה הכפתור ומה קורה כשלוחצים עליו.

צ׳קליסט: מה עושים השבוע

  1. מפו את כל תחנות הקצה: מחשבי משרד, לפטופים בבתים, מחשבי Mac, שרתים וטלפונים עם גישה למידע עסקי. מה שלא ברשימה — לא מוגן.
  2. בדקו מה כבר שילמתם: יש לכם Microsoft 365 Business Premium? יש לכם כבר EDR — צריך רק להפעיל ולחבר את התחנות.
  3. ודאו שההגנה הקיימת באמת פעילה: לא Trial שפג לפני שנתיים שמנטרל את Defender ולא נותן כלום בתמורה.
  4. החליטו מי רואה התראות — עובד מוגדר, ספק IT, שירות MDR או גורם אבטחה חיצוני. שם וטלפון, לא ״נראה בהמשך״.
  5. אם החלטתם על EDR — הפעילו במצב ראות, תעדו כל חריגה, ועברו לחסימה אחרי תקופת למידה.
  6. תרגלו בידוד תחנה אחת, ותעדו את הנוהל: מי מחליט, מי לוחץ, למי מודיעים.
  7. קבעו תזכורת רבעונית: סקירת חריגות, כיסוי תחנות חדשות, ובדיקה שההתראות באמת מגיעות למישהו.

השורה התחתונה: השאלה הנכונה היא לא ״איזה אנטי-וירוס הכי טוב״ אלא ״מי רואה מה קורה בתחנות שלנו, ומי מגיב כשמשהו קורה״. עסק קטן עם Defender מובנה, MFA וגיבויים נמצא במקום סביר; עסק עם לפטופים בשטח, מידע רגיש או שרת קריטי צריך EDR — ובעיקר צריך עיניים על ההתראות. הטכנולוגיה זולה מתמיד; מה שיקר הוא להעמיד פנים שהיא עובדת לבד.

לא בטוחים אם אתם צריכים EDR, מה כבר כלול ברישוי שלכם, או מי אמור להסתכל על ההתראות? שירות ה-CISO החיצוני של Cybertis נותן לעסק שלכם גורם מקצועי אחד שמתכנן, בוחר, פורס — וגם נמצא שם כשההתראה מגיעה. הפגישה הראשונה עלינו.

לשירות CISO חיצוני

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי או המלצה על מוצר ספציפי. יכולות ומחירים של מוצרים משתנים; הנתונים נכונים למועד הכתיבה (יולי 2026) ויש לאמתם מול היצרן. בחירת פתרון בפועל מחייבת בחינה פרטנית של צורכי הארגון.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il