Windows veya macOS'ta üçüncü taraf antivirüse ihtiyacım var mı?

Çoğu ev kullanıcısı için hayır; Windows Defender ve macOS yerleşik korumaları yeterlidir. Daha fazlasını isteyebileceğiniz yerler: yüksek değerli hedeflere sahip küçük işletmeler, çok sayıda uç noktayı yöneten herkes, EDR'yi belirten düzenleyici gereksinimleri olan kullanıcılar. Ücretsiz üçüncü taraf AV'ler, sistem performansı ve (bazen) telemetri pahasına marjinal iyileştirmeler sunar.

AV, EDR ve XDR arasındaki fark nedir?

AV, bilinen kötü amaçlı yazılımları imzalar aracılığıyla yakalar. EDR, uç nokta davranışını kaydeder ve kötü amaçlı kalıpları tespit eder. XDR, EDR'yi ağ, kimlik, bulut ve e-posta verileriyle ilişkilendirir. Her nesil yetenek katar; modern güvenlik yığınları genellikle tek bir üründe birleştirilen üç katmanın tümünü içerir.

EDR bilgisayarımı yavaşlatır mı?

Marjinal ek yük — modern donanımda yüzde birkaç CPU. Bazı eski AV ürünlerinin tarihsel olarak büyük etkileri oldu; modern EDR hafif olacak şekilde tasarlanmıştır. Önemli bir yavaşlama fark ederseniz ürünün ayarlarını kontrol edin veya farklı bir satıcıyı düşünün.

Uç nokta güvenliği dosyalarımı okuyabilir mi?

Evet - tasarım gereği. EDR'nin kötü amaçlı kalıpları algılaması için dosya içeriğini ve işlem etkinliğini görmesi gerekir. Kurumsal ürünlerin veri işleme politikaları vardır; Telemetriyi buluta gönderen tüketici ürünleri meta verileri paylaşabilir. Bu sizin için önemliyse gizlilik politikasını okuyun. VPN, cihazınızda neyin çalıştığını değiştirmez.

Mac'ler gerçekten Windows'tan daha mı güvenli?

Daha az saldırıya uğrar, tasarım gereği kısmen daha güvenlidir. Pazar payının daha küçük olması ve Apple'ın korumalı alan/imzalama modelinin çıtayı yükseltmesi nedeniyle macOS'ta daha az ticari amaçlı kötü amaçlı yazılım bulaşması yaşanıyor. Üst düzey tehditler (hedefli, ulus devlet) Mac'lerde sorunsuz çalışır. "Daha güvenli", günlük kullanıcılar için doğrudur; "bağışıklık" hiçbir platform için hiçbir zaman doğru olmamıştır.

Uç Nokta Güvenliği Açıklaması: Antivirüsten EDR'ye ve XDR'ye

Uç nokta güvenliği, dizüstü bilgisayarınızın, telefonunuzun ve sunucularınızın kötü amaçlı yazılımları, fidye yazılımlarını, kimlik bilgileri hırsızlığını ve cihaza gelen diğer kötü amaçlı yazılımları tespit etmek için kullandığı güvenliktir. Kategori, basit imza eşleştirme antivirüsünden Uç Nokta Tespit ve Yanıt'a (EDR) ve şimdi de Genişletilmiş Tespit ve Yanıt'a (XDR) dönüştü ve nesiller arasındaki fark çok büyük.

Makalenin tam metni aşağıda İngilizce olarak verilmektedir.

Uç nokta güvenliği, dizüstü bilgisayarlar, masaüstü bilgisayarlar, sunucular, telefonlar, tabletler gibi bireysel cihazları kendilerine gelen tehditlerden koruyan bir araç setidir. Kategori üç nesilden geçmiştir:

Antivirüs (AV) — bilinen kötü amaçlı yazılımlara karşı model eşleştirme
EDR (Uç Nokta Tespiti ve Yanıtı) — davranışsal analiz artı telemetri ve olay yanıtı
XDR (Genişletilmiş Tespit ve Yanıt) — EDR, kuruluş genelinde ağ, kimlik, bulut ve e-posta sinyalleriyle ilişkilidir

Geleneksel antivirüsün sınırları

Klasik AV, imza eşleştirmeyle çalışır: dosyaları bilinen kötü amaçlı yazılım karmalarından oluşan bir veritabanına karşı tarayın, bir eşleşme bulunursa uyarı verin. Bu, 2000'li yılların başlarındaki kötü amaçlı yazılımlara (tahmin edilebilir şekilde yayılan sabit dize dizeleri ikili dosyaları) karşı etkili oldu. İki nedenden dolayı bozuldu:

Polimorfik kötü amaçlı yazılım. Modern saldırganlar araçlarını sürekli olarak yeniden derler veya paketler. Bugünün varyantının imzası yarının imzasıyla eşleşmiyor.
Dosyasız saldırılar. Saldırılar giderek daha fazla, tamamen bellekte yaşıyor veya yerleşik işletim sistemi araçlarını (PowerShell, WMI, cmd.exe) kullanıyor. Taranacak dosya yok.

İmza tabanlı AV'nin mevcut saldırılara karşı yakalama oranı zayıftır; yeni tehditler için genellikle %20'nin altındadır. Ticari amaçlı kötü amaçlı yazılımlara karşı bir temel olarak hala kullanışlıdır, ancak yalnızca ona güvenen herkes on yıldır geride kalmıştır.

EDR'nin eklediği şeyler

EDR, uç noktadaki her işlemin ne yaptığını kaydeder (işlem oluşturma, dosya değişiklikleri, ağ bağlantıları, kayıt defteri düzenlemeleri, komut satırı argümanları) ve akışı şüpheli kalıplara karşı analiz eder. Algılama imzaya dayalı değil, davranışsaldır:

Office işlemi PowerShell'i kodlanmış argümanlarla oluşturuyor
cmd.exe giden ağ bağlantıları yapıyor
Olağandışı bir hızda toplu dosya değişikliği (fidye yazılımı şifrelemesi)
LKullanıcının hiç kullanmadığı bir ülkeden sabah saat 3'te bir hizmet hesabına giriş yapın ziyaret edildi
LWMI, PsExec, SMB

aracılığıyla yanal hareket girişimleri EDR bir şey algıladığında süreci karantinaya alabilir, ana bilgisayarı ağdan izole edebilir ve uyarıyı bir güvenlik ekibine iletebilir. Kaydedilen telemetri, yanıt verenlerin saldırıyı geri çekmesine olanak tanır: hangi süreç hangi işlemi başlattı, hangi dosyalara dokunuldu, hangi URL'lere ulaşıldı. Tam araştırma, bellek dökümü almadan veya cihaza el konulmadan mümkündür.

Başlıca EDR ürünleri

CrowdStrike Falcon — işletmelerde bulut tabanlı, yoğun pazar varlığı
Microsoft Defender for Endpoint — Windows'ta yerleşik, E5 ile ücretsiz lisanslama
SentinelOne — öncü otonom yanıt ("Yapay Zeka odaklı" iyileştirme)
Palo Alto Cortex XDR
Sophos Intercept X
VMware Karbon Siyahı

XDR'nin baskın strateji haline gelmesiyle pazar 2022–2025 boyunca hızla konsolidasyona uğradı.

XDR'nin, EDR

XDR'nin ötesinde eklediği şeyler, uç nokta sinyallerini ilişkilendirir şununla:

Ağ algılama (NDR) — güvenlik duvarı, proxy ve paketin yakaladıklarını görün
Kimlik sinyalleri (ITDR) — Active Directory, SSO günlükleri, şüpheli oturum açma işlemleri
Bulut iş yükü telemetri — AWS, Azure, GCP denetim günlükleri ve çalışma zamanı olayları
E-posta tehdit verileri — kimlik avı kampanyaları, ek davranışı

Değer alanlar arası korelasyondadır: sabah 3'te tek bir oturum açma gürültü; sabah 3'te oturum açma ve ardından posta kutusu kuralı oluşturma ve ardından S3 paketinin sızması bir saldırıdır. XDR, bireysel araçların gözden kaçırdığı noktaları birleştiriyor.

Tüketiciler için uç nokta güvenliği

İyi haber: Tüketici uç nokta güvenliği, onlarca yıldır olduğundan daha iyi durumda. Yerleşik korumalar yetkindir:

Windows Defender, Windows 10/11 ile birlikte gelir ve ticari AV'lerle güvenilir bir şekilde rekabet eder. Çoğu ev kullanıcısı için bu yeterlidir.
macOS XProtect, Gatekeeper, Noterleştirme — Apple'ın imzasız ve bilinen kötü amaçlı yazılımlara karşı katmanlı savunması.
iOS/iPadOS — korumalı alan oluşturma ve App Store incelemesi, hisse senedi için fiilen geleneksel bir kötü amaçlı yazılım pazarının olmadığı anlamına gelir iPhones.
Chromebooks — salt okunur işletim sistemi, doğrulanmış önyükleme, varsayılan olarak korumalı alan. Kötü amaçlı yazılım hikayesi aslında ChromeOS için çözüldü.

Temel tüketici uç nokta riskleri artık kötü amaçlı yazılım değil; bunlar kimlik avı, hesap ele geçirme ve uç nokta güvenliğinin kendi başına işaretleyebildiği ancak engelleyemediği sosyal mühendisliktir.

Uç nokta güvenliğinin hâlâ yapamadığı şey nedir

endpoint. Bir saldırganın makinesinden uzaktan kullanılan kimlik avı parolası hiçbir zaman cihazınıza ulaşmaz.
Kötü yapılandırmaları düzeltin. Açığa çıkan bir yönetici arayüzü veya yanlış yapılandırılmış bir bulut grubu, EDR'nin göremediği bir güvenlik açığıdır.
Ulus devlet düzeyinde sıfır günleri durdurun. APT sınıfı rakipler özellikle ticari EDR'den kaçınmak için araçlar yazıyor. Bazen aylarca başarılı olurlar.
Yamayı değiştirin. EDR, istismarı tespit edebilir ancak yamalar daha önemlidir.

Endpoint güvenliği, yığının tamamı değil, önemli bir katmandır. Derinlemesine savunma, bunu ağ kontrolleri, kimlik koruması ve yapılandırma hijyeniyle birleştirir.

Sık sorulan sorular

Windows veya macOS'ta üçüncü taraf antivirüse ihtiyacım var mı?: Çoğu ev kullanıcısı için hayır; Windows Defender ve macOS yerleşik korumaları yeterlidir. Daha fazlasını isteyebileceğiniz yerler: yüksek değerli hedeflere sahip küçük işletmeler, çok sayıda uç noktayı yöneten herkes, EDR'yi belirten düzenleyici gereksinimleri olan kullanıcılar. Ücretsiz üçüncü taraf AV'ler, sistem performansı ve (bazen) telemetri pahasına marjinal iyileştirmeler sunar.
AV, EDR ve XDR arasındaki fark nedir?: AV, bilinen kötü amaçlı yazılımları imzalar aracılığıyla yakalar. EDR, uç nokta davranışını kaydeder ve kötü amaçlı kalıpları tespit eder. XDR, EDR'yi ağ, kimlik, bulut ve e-posta verileriyle ilişkilendirir. Her nesil yetenek katar; modern güvenlik yığınları genellikle tek bir üründe birleştirilen üç katmanın tümünü içerir.
EDR bilgisayarımı yavaşlatır mı?: Marjinal ek yük — modern donanımda yüzde birkaç CPU. Bazı eski AV ürünlerinin tarihsel olarak büyük etkileri oldu; modern EDR hafif olacak şekilde tasarlanmıştır. Önemli bir yavaşlama fark ederseniz ürünün ayarlarını kontrol edin veya farklı bir satıcıyı düşünün.
Uç nokta güvenliği dosyalarımı okuyabilir mi?: Evet - tasarım gereği. EDR'nin kötü amaçlı kalıpları algılaması için dosya içeriğini ve işlem etkinliğini görmesi gerekir. Kurumsal ürünlerin veri işleme politikaları vardır; Telemetriyi buluta gönderen tüketici ürünleri meta verileri paylaşabilir. Bu sizin için önemliyse gizlilik politikasını okuyun. VPN, cihazınızda neyin çalıştığını değiştirmez.
Mac'ler gerçekten Windows'tan daha mı güvenli?: Daha az saldırıya uğrar, tasarım gereği kısmen daha güvenlidir. Pazar payının daha küçük olması ve Apple'ın korumalı alan/imzalama modelinin çıtayı yükseltmesi nedeniyle macOS'ta daha az ticari amaçlı kötü amaçlı yazılım bulaşması yaşanıyor. Üst düzey tehditler (hedefli, ulus devlet) Mac'lerde sorunsuz çalışır. "Daha güvenli", günlük kullanıcılar için doğrudur; "bağışıklık" hiçbir platform için hiçbir zaman doğru olmamıştır.