For the complete documentation index, see /llms.txt. Markdown version of this page: /insights/endpoint/edr-og-antivirus.md.
EN / NB Kontakt oss →
EN / NB

Rådgivning

MDR / SOC

Sårbarhetshåndtering

Identitet

Compliance

AI-sikkerhet

CrowdStrike

Aikido

Tenable

Idira (CyberArk)

Innsikt

Serier

Hendelser og ressurser

Om oss

Selskapsinfo

Kontakt

Partnere

Endepunktssikkerhet ↗

EDR og antivirus, hva forskjellen er, og hva virksomheten din trenger

Antivirus melder fra om en kjent ond fil. EDR viser hva angriperen gjorde videre. Mot moderne angrep trenger du det andre svaret.

5 min lesetid Av Kenny Le
CrowdStrike-logo og EDR vs Antivirus, FM CyberSecurity forsidegrafikk

Antivirus melder fra om at en kjent ond fil dukket opp. EDR forteller deg hva en angriper gjorde videre. Mot moderne angrep trenger du det andre svaret.

I hendelser jeg har jobbet meg gjennom i Falcon-konsollen, var antivirus-varselet sjelden hele historien. En flagget fil var starten på sporet, ikke slutten. Spørsmålene som betydde noe, kom etterpå: hvordan kom den inn, hva kjørte fra den, hvilken konto rørte den ved, og flyttet noe seg over til en annen maskin. Vanlig antivirus kunne ikke svare på noen av dem. EDR kunne.

Kjører du antivirus i dag og er usikker på om du trenger mer, så her er den ærlige lesningen. Antivirus er ett lag, og det gjør fortsatt en jobb. Men det dekker ikke lenger hele forsvaret.

CrowdStrike-logo og EDR vs Antivirus, FM CyberSecurity

Hva antivirus gjør, og hva det bommer på

Antivirus sammenligner filer mot en liste over kjente onde signaturer. En signatur er et fingeravtrykk av skadevare noen allerede har sett og katalogisert. Når en fil på maskinen din matcher fingeravtrykket, blokkerer eller isolerer antivirus den. Det fungerer godt mot kjent, filbasert skadevare, og det går fort.

Hullet ligger i ordet “kjent”. Signaturmatching er reaktiv av natur: noen må se trusselen, lage et fingeravtrykk og sende ut oppdateringen før antivirus kan fange den. Moderne angrep er laget for å smette gjennom akkurat det vinduet. De bruker filløse teknikker som kjører inne i legitime verktøy som PowerShell, så det finnes ingen fil å fingeravtrykke. De utnytter det som allerede ligger på maskinen, altså angriperen bruker programvare som er der fra før i stedet for å slippe inn skadevare. Og de bruker stjålne brukernavn og passord til å logge inn som en helt vanlig bruker, noe ingen signatur beskriver.

Jeg har sett dette mønsteret mer enn én gang. Antivirus-dashbordet var grønt. Angriperen var allerede inne og jobbet seg gjennom verktøy antivirus ikke hadde noen grunn til å flagge. Filskanningen kom aldri til å se det, for det fantes ingen ond fil å se.

”Vi har antivirus, vi er dekket” er antakelsen som koster deg

Posisjonen er vanlig i en norsk SMB, og den virker rimelig på overflaten: antivirus er installert, det oppdaterer seg, dashbordet er grønt, altså er endepunktene håndtert. Jeg hører den i de fleste første samtaler.

Problemet er hva det grønne dashbordet ikke registrerer. Antivirus rapporterer hva det blokkerte. Det fører ingen løpende historikk over hva hver prosess gjorde, hvilken konto som logget inn fra hvor, eller hva som koblet seg til internett. Så når noe slipper forbi filskanningen, og moderne angrep er laget for nettopp det, har du ikke noe spor å følge. Du oppdager det fra symptomet: filer kryptert, en merkelig innlogging, en leverandør som ringer om trafikk fra nettverket ditt. Da har angriperen allerede hatt timer eller dager, uregistrert.

Det er den reelle kostnaden ved antivirus alene. Ikke at det fanger ingenting, men at det ikke kan fortelle deg hva det bommet på.

Hva EDR legger til, og hva vi kjører på toppen

EDR (endpoint detection and response, altså deteksjon og respons på endepunkt) registrerer aktiviteten på endepunktet kontinuerlig, så du kan oppdage, undersøke og respondere på det signaturer bommer på. Tenk på det som en ferdsskriver på hver maskin. CrowdStrike beskriver Falcon Insight som noe som sporer hundrevis av sikkerhetsrelevante hendelser: prosessoppstart, registerendringer, nettverkstilkoblinger, innlogginger og rettighetsendringer (CrowdStrike, Falcon Insight EDR).

Den registreringen endrer hva du kan svare på. I stedet for “en fil ble blokkert” får du hele kjeden: dette dokumentet startet PowerShell, PowerShell tok kontakt med denne adressen, denne kontoen logget seg deretter inn på en annen maskin. EDR oppdager på atferd, ikke bare signaturer, så det flagger mønsteret selv når ingen fil matcher et kjent fingeravtrykk. Og du kan respondere fra konsollen: isolere maskinen fra nettverket mens registreringen fortsetter, eller stoppe prosessen direkte. I et sammensatt tilfelle fra onboardinger i år utløste atferdsdeteksjonen på steget med lateral bevegelse, den delen antivirus ikke hadde noe innsyn i i det hele tatt, og der ble hendelsen stoppet.

Neste generasjons antivirus (NGAV) sitter mellom de to. CrowdStrike definerer NGAV som en kombinasjon av “kunstig intelligens, atferdsdeteksjon, maskinlæringsalgoritmer og utnyttelsesdemping, så kjente og ukjente trusler kan forutses og umiddelbart forhindres” (CrowdStrike, What is NGAV). NGAV løfter forebyggingslaget forbi signaturer. EDR legger til laget for registrering, undersøkelse og respons. Du vil ha begge, og på Falcon-plattformen kjører de gjennom én lettvekts agent.

Verktøy alene er likevel ikke svaret. EDR produserer signal, og signal trenger noen til å lese det i øyeblikket det utløses. Der kommer managed detection and response inn. FM CyberSecurity leverer MDR gjennom CrowdStrike Falcon Complete Next-Gen MDR. Deteksjon, undersøkelse og utbedring døgnet rundt kjøres av CrowdStrike-teamet: ifølge CrowdStrike “handler Falcon Complete på dine vegne, isolerer systemer, fjerner persistens og gjenoppretter deg til en kjent god tilstand” (CrowdStrike, Falcon Complete MDR). FM CyberSecurity gjør onboardingen, tuningen så varslene passer oppsettet ditt, og den lokale eskaleringen på norsk når noe trenger en beslutning fra deg. Vi sitter ikke på broen selv; det gjør CrowdStrike.

Hva dette betyr for deg

Er antivirus din eneste endepunktskontroll, ligger den reelle sårbarheten din ikke i at du fanger ingenting. Den ligger i at du ikke har noe register over hva du bommet på, og ingen som følger signalet i timene som avgjør en hendelse.

For en norsk SMB er det praktiske grepet å legge til laget for registrering og respons, og deretter sette et team på signalet. Det betyr EDR pluss managed respons, på én agent, med tungløftet håndtert og en lokal kontakt som kjenner oppsettet ditt. Antivirus beholder plassen sin som det raske filblokkerende laget under. Du kaster det ikke ut. Du stoler bare ikke lenger på det alene.

Start med én ting dette kvartalet: spør om noen ville sett det andre steget i et angrep på maskinene dine i dag, delen etter filen. Er svaret nei, er det det gapet du skal tette.

Hvis dette treffer

Mer om Endepunktssikkerhet

15. mai 2026 · Endepunktssikkerhet
Hva er et SOC, og når virksomheten din trenger et eget

En klar gjennomgang av hva et sikkerhetsoperasjonssenter gjør, hva det koster å drifte, og hvorfor de fleste norske SMB-er bør leie i stedet for å bygge.

14. mai 2026 · Endepunktssikkerhet
Hva er SIEM, og når SMB-en din trenger en

De fleste norske SMB-er trenger ikke et eget SIEM. Her er når dere trenger ett, når EDR-en allerede dekker det, og hva dere gjør videre.

13. mai 2026 · Endepunktssikkerhet
EDR og antivirus, hva forskjellen er, og hva virksomheten din trenger

Antivirus melder fra om en kjent ond fil. EDR viser hva angriperen gjorde videre. Mot moderne angrep trenger du det andre svaret.

← Tilbake til all innsikt
Spørsmål eller forespørsel? [email protected] Kontakt oss →