Začneme od začiatku — Antivírus

Od malička sa všetci stretávame s pojmom antivírus asi tak často ako s Paracetamolom keď sme chorí. Každý vie čo to je, každý to má (alebo by mal mať), ale málokto vie presne ako to funguje.

Antivírusový program pravidelne skenuje celý PC. Ak nájde napríklad trójskeho koňa, pošle ho do karantény a potom ho prípadne vymaže. Problém? Na spáchané škody sa zabudne, alebo ten vírus vôbec nezachytí, pretože je to nová variácia, ktorá ešte nie je v databáze — tzv. zero-day.

Next-Gen AV — AV s mozgom

Ďalší krok vo vývoji bol logický: pridať do AV umelú inteligenciu. Next-Gen AV sa nespolieha iba na databázu signatúr, ale analyzuje správanie programov — čo robia, ako komunikujú so systémom, čo zapisujú na disk. Dokáže zastaviť aj zero-day útoky, pretože nemusí poznať konkrétny vírus, stačí mu rozpoznať podozrivé správanie.

Je to výrazný krok vpred. Ale stále je to len ochrana — reaguje, keď hrozba príde. Nevidí čo sa stalo pred tým, nedrží kontext.

EDR — keď nestačí len blokovať

Tu sa dostávame k pojmu, s ktorým sa dnes stretávate najčastejšie. EDR (Endpoint Detection and Response) je iná kategória. Nie je to len lepší antivírus — je to iný prístup k bezpečnosti.

EDR skenuje stále a nepretržite. Zaznamenáva každý proces, každú zmenu v registroch, každé sieťové spojenie. Učí sa, čo je normálne správanie v danom prostredí, a keď sa niečo vymyká — upozorní alebo konzervatívne zareaguje samo.

Dôležité upozornenie: nie každý produkt s názvom EDR je skutočný EDR. Trh je zaplavený riešeniami, ktoré sa tak nazývajú, no v skutočnosti sú to len marketingovo premenovaní Next-Gen AV. Pri výbere sa pozerajte na konkrétne funkcie — automatická izolácia, threat hunting, timeline správania.

XDR — keď EDR nestačí na celú sieť

XDR (Extended Detection and Response) je logické rozšírenie EDR. Kým EDR vidí len jednotlivý endpoint (PC, server, laptop), XDR zbiera dáta aj z ďalších zdrojov — sieťových zariadení, cloudových prostredí, emailových systémov, identity providerov.

Jednoducho povedané: XDR nám dá oveľa viac kontextu. Namiesto izolovaného incidentu na jednom PC vidíme celý reťazec udalostí — odkiaľ útok prišiel, kde sa šíril, čoho sa dotkol.

XDR je mocný nástroj. Ale má jeden háčik — niekto musí tie dáta spracovávať. XDR vygeneruje obrovské množstvo alertov a koreláciu. Bez kvalifikovaného tímu je to len drahý generátor notifikácií, ktoré nikto nestíha čítať.

MDR — keď potrebujete ľudí, nie len nástroj

A tu sme pri poslednej, ale v praxi najdôležitejšej kategórii. MDR (Managed Detection and Response) nie je produkt — je to služba. Dostanete technológiu (zvyčajne EDR alebo XDR), ale hlavne dostanete SOC tím, ktorý to monitoruje za vás.

24 hodín denne, 7 dní v týždni, niekto živý sleduje vaše prostredie. AI robí prvotné triedenie, ale za každým vážnym alertom stojí human analyst, ktorý rozhodne — je to falošný poplach, alebo treba konať? A ak treba konať, urobí to.

Pre väčšinu firiem, ktoré nemajú interný SOC tím, je MDR dnes de facto štandard. Nie luxus — nutnosť. Útočníci nepracujú od 9 do 17.

Vývojový rebrík — kde sa nachádzate?

Porovnanie jedným pohľadom

Slovenský kataster ako memento

Mnohí z nás vedia ako dopadol Slovenský kataster pred rokom. A doteraz mám pocit, že im niektoré veci stále nefungujú naplno. A to všetko preto, že šetrili tam, kde sa šetriť nemá.

Bezpečnosť nie je nákladová položka, ktorú možno odložiť. Je to infraštruktúra. Tak ako firma nešetrí na elektrine do serverovne, nemala by šetriť na ochrane toho čo v tej serverovni beží.

NIS2 — legislatíva, ktorá tlačí vpred

Tí, čo sa rozhodujú pomaly, majú teraz ďalší dôvod konať: smernica NIS2. Pre mnohé firmy (a ich dodávateľský reťazec) priamo vyžaduje implementáciu bezpečnostných opatrení vrátane detekcie a reakcie na incidenty. EDR a MDR sú pre splnenie NIS2 požiadaviek prirodzená voľba.

Nie každá firma pod NIS2 padá priamo. Ale aj tí, na ktorých sa nevzťahuje, by si mali položiť otázku: chceme byť medzi poslednými? Pretože tí, čo sa rozhodnú ísť medzi poslednými, budú pravdepodobne aj medzi tými, ktorí budú čeliť rôznym pokusom o napadnutie siete. A potom im treba len držať palce — a dúfať, že majú aspoň kvalitný backup.

Beginnen wir am Anfang — Antivirus

Seit Kindheit begegnen wir dem Begriff Antivirus fast so häufig wie Paracetamol bei Krankheit. Das klassische Antivirenprogramm scannt regelmäßig den gesamten PC. Findet es zum Beispiel einen Trojaner, verschiebt es ihn in die Quarantäne und löscht ihn gegebenenfalls. Das Problem: Der Virus war vielleicht eine neue Variante — eine Zero-Day-Bedrohung — die noch nicht in der Datenbank bekannt ist.

Next-Gen AV — AV mit Verstand

Next-Gen AV verlässt sich nicht nur auf Signaturdatenbanken, sondern analysiert das Verhalten von Programmen — was sie tun, wie sie mit dem System kommunizieren. Er kann auch Zero-Day-Angriffe stoppen, weil er verdächtiges Verhalten erkennt, ohne den konkreten Virus zu kennen.

EDR — wenn Blockieren nicht ausreicht

EDR (Endpoint Detection and Response) ist eine andere Kategorie. Es scannt kontinuierlich, zeichnet jeden Prozess, jede Registrierungsänderung, jede Netzwerkverbindung auf. Es lernt, was normales Verhalten in einer Umgebung ist, und reagiert, wenn etwas abweicht.

Wichtiger Hinweis: Nicht jedes Produkt, das sich EDR nennt, ist wirklich EDR. Der Markt ist überschwemmt mit Lösungen, die nur umbenanntes Next-Gen AV sind.

XDR — wenn EDR für das gesamte Netzwerk nicht ausreicht

XDR (Extended Detection and Response) ist die logische Erweiterung von EDR. Während EDR nur einzelne Endpunkte sieht, sammelt XDR Daten aus weiteren Quellen — Netzwerkgeräten, Cloud-Umgebungen, E-Mail-Systemen. Wir erhalten viel mehr Kontext über einen Angriff.

MDR — wenn Sie Menschen brauchen, nicht nur Tools

MDR (Managed Detection and Response) ist kein Produkt — es ist ein Service. Sie erhalten Technologie plus ein SOC-Team, das rund um die Uhr überwacht. KI erledigt die erste Triage, aber hinter jedem schwerwiegenden Alert steht ein menschlicher Analyst, der entscheidet: Fehlalarm oder Aktion nötig?

Für Unternehmen ohne internes SOC-Team ist MDR heute de facto Standard. Kein Luxus — eine Notwendigkeit. Angreifer arbeiten nicht von 9 bis 17 Uhr.

Entwicklungsstufen — wo stehen Sie?

Vergleich auf einen Blick

Das slowakische Kataster als Mahnung

Viele von uns wissen, was mit dem slowakischen Kataster vor einem Jahr passiert ist. Und ich habe das Gefühl, dass manche Dinge dort immer noch nicht vollständig funktionieren. Und das alles, weil dort gespart wurde, wo man nicht sparen sollte.

Sicherheit ist keine Kostenposition, die man verschieben kann. Es ist Infrastruktur. So wie ein Unternehmen nicht am Strom für den Serverraum spart, sollte es nicht an dem sparen, was in diesem Serverraum läuft.

NIS2 — Regulierung, die Druck erzeugt

Wer langsam entscheidet, hat jetzt einen weiteren Grund zu handeln: die NIS2-Richtlinie. Für viele Unternehmen (und ihre Lieferketten) verlangt sie direkt die Implementierung von Sicherheitsmaßnahmen, einschließlich Erkennung und Reaktion auf Vorfälle. EDR und MDR sind die natürliche Wahl zur Erfüllung der NIS2-Anforderungen.

Nicht jedes Unternehmen fällt direkt unter NIS2. Aber auch wer nicht direkt betroffen ist, sollte sich fragen: Wollen wir zu den Letzten gehören? Denn wer zuletzt handelt, wird wahrscheinlich auch zu denen gehören, die Angriffen ausgesetzt sind — und dann bleibt nur, die Daumen zu drücken und auf ein gutes Backup zu hoffen.

Let's start at the beginning — Antivirus

We've all been familiar with the term antivirus since childhood — about as common as Paracetamol when we're sick. The classic antivirus regularly scans the entire PC, and if it finds a trojan, quarantines and eventually deletes it. The problem? It may have missed the virus entirely because it's a new variant not yet in the database — a zero-day threat.

Next-Gen AV — AV with a brain

Next-Gen AV doesn't rely only on signature databases — it analyzes program behavior: what processes do, how they communicate with the system. It can stop zero-day attacks because it doesn't need to know the specific virus, just recognize suspicious behavior patterns.

EDR — when blocking isn't enough

EDR (Endpoint Detection and Response) is a different category entirely. It monitors continuously and always. It records every process, every registry change, every network connection. It learns what normal behavior looks like and reacts when something deviates.

Important note: not everything called EDR is actually EDR. The market is flooded with solutions that are really just rebranded Next-Gen AV. Look for specific capabilities: automatic isolation, threat hunting, behavioral timeline.

XDR — when EDR isn't enough for the whole network

XDR (Extended Detection and Response) is the logical extension of EDR. While EDR sees only individual endpoints, XDR collects data from additional sources — network devices, cloud environments, email systems. It gives us dramatically more context about what's happening across the entire environment.

MDR — when you need people, not just tools

MDR (Managed Detection and Response) is not a product — it's a service. You get the technology plus a SOC team monitoring around the clock. AI handles initial triage, but behind every serious alert is a human analyst who decides: false positive, or time to act? And if action is needed, they take it.

For most companies without an internal SOC team, MDR is today's de facto standard. Not a luxury — a necessity. Attackers don't work 9 to 5.

The evolution ladder — where do you stand?

Quick comparison

The Slovak cadastre as a cautionary tale

Many of us know what happened to the Slovak cadastre last year. And I still have the feeling that some things there still aren't fully working. All because they saved money where they shouldn't have.

Security is not a cost item you can postpone. It's infrastructure. Just as a company doesn't cut corners on power for the server room, it shouldn't cut corners on protecting what runs inside it.

NIS2 — regulation pushing companies forward

Those who decide slowly now have another reason to act: the NIS2 directive. For many companies (and their supply chains) it directly requires implementing security measures including incident detection and response. EDR and MDR are the natural choice for meeting NIS2 requirements.

Not every company falls directly under NIS2. But even those who don't should ask themselves: do we want to be among the last? Because those who act last will likely also be among those facing various intrusion attempts — and then all you can do is keep your fingers crossed and hope you at least have a solid backup.