Antivirüs, EDR ve MDR Farkı: KOBİ Hangi Korumayı Seçmeli?

CrowdStrike’ın 2025 Global Threat Report’una göre 2024’te tespit edilen saldırıların yüzde 79’u “kötü amaçlı yazılımsız” (malware-free) yöntemlerle gerçekleşti. Yani ortada antivirüsün tarayıp imzasını tanıyacağı bir dosya bile yoktu. Saldırgan çalınmış bir parola, meşru bir yönetim aracı ya da hâlihazırda sistemde bulunan bir bileşeni kullanarak içeri girdi. Bu tek rakam, “iyi bir antivirüsüm var, ben güvendeyim” cümlesinin neden artık yeterli olmadığını özetliyor.

Soru şu: antivirüs, EDR ve MDR aynı şeyin pahalı versiyonları mı, yoksa farklı işler mi yapıyorlar? Kısa cevap: farklı işler. Hangisine ihtiyacınız olduğu da şirketinizin büyüklüğüne ve içeride güvenliği kimin takip ettiğine bağlı.

Klasik antivirüs ne yapar, nerede tıkanır?

Geleneksel antivirüs (bugünkü adıyla çoğu üründe NGAV, yeni nesil antivirüs) bilinen tehditleri yakalar. Mantığı imza tabanlıdır: elinde milyonlarca bilinen zararlının parmak izi vardır, dosya diske inerken bu listeyle karşılaştırır, eşleşirse engeller. Bilinen bir virüs, bilinen bir truva atı için hâlâ etkili ve hızlı bir ilk savunma hattı.

Tıkandığı yer, saldırının dosya bırakmadığı senaryolar. Fileless (dosyasız) saldırılar, parola hırsızlığı, sistemin kendi araçlarını kötüye kullanma (living-off-the-land) gibi tekniklerde taranacak bir imza yoktur. Antivirüs bir olayın olduğunu fark ettiğinde saldırgan çoktan yatay olarak ağda ilerlemiş olabiliyor. Antivirüs “bu dosya kötü mü?” diye sorar; modern saldırılar ise “bu davranış normal mi?” sorusuyla yakalanır.

EDR nedir, antivirüsten farkı ne?

EDR (Endpoint Detection and Response — uç nokta tespit ve müdahale), her cihazda olup biteni sürekli kaydeder ve davranış analizi yapar. Hangi süreç hangi süreci başlattı, kim ağ üzerinde nereye bağlandı, bir kullanıcı hesabı gece yarısı neden onlarca dosyayı arka arkaya şifreliyor — bunları izler. Şüpheli zinciri gördüğünde alarm üretir, cihazı ağdan otomatik izole edebilir, bazı durumlarda fidye yazılımının yaptığı değişiklikleri geri alabilir.

İşin özü: antivirüs kapıdaki bekçidir, EDR ise binanın içindeki kamera sistemidir. Bekçi tanıdığı suçluyu içeri almaz; kamera ise içeride anormal bir hareket olduğunda kaydı tutar ve sizi uyarır. EDR bilinmeyen tehditleri, sıfırıncı gün açıklarını ve içeriden gelen riskleri görmek için tasarlandı.

Burada kritik bir nokta var. EDR bir araçtır. O alarmları birinin okuması, yorumlaması ve müdahale etmesi gerekir. Alarm gece 03:00’te düşerse ve onu sabah 09:00’da gören biri varsa, aradaki altı saatte saldırgan işini bitirmiş olur.

MDR nedir, EDR’dan ne zaman öteye geçmeli?

MDR (Managed Detection and Response — yönetilen tespit ve müdahale) tam olarak bu boşluğu kapatır. MDR’da EDR teknolojisinin üstüne 7/24 çalışan bir insan ekibi (SOC, güvenlik operasyon merkezi) eklenir. Alarmları sizin yerinize uzmanlar izler, gerçek tehdidi yanlış alarmdan ayırır, ciddi bir olayda gecenin ortasında devreye girip cihazı izole eder ve sizi arar.

Farkı şöyle düşünün: EDR size kamera sistemini kurar. MDR ise o kameraları izleyen, alarm çaldığında harekete geçen bir güvenlik şirketidir. Çoğu KOBİ’nin içinde gece gündüz güvenlik alarmı izleyecek bir ekibi yok; olması da gerçekçi değil. MDR, kurumsal seviye savunmayı bir kişi istihdam etmeden kiralamanın yolu.

Antivirüs, EDR ve MDR yan yana

Özellik	Antivirüs (NGAV)	EDR	MDR
Tespit yöntemi	İmza, bilinen tehdit	Davranış analizi, sürekli izleme	EDR + insan analizi
Bilinmeyen / dosyasız tehdit	Zayıf	Güçlü	Güçlü
Otomatik müdahale	Sınırlı	Var (izolasyon, geri alma)	Var
Alarmı kim izler?	—	Sizin ekibiniz	7/24 uzman SOC
Gece/hafta sonu kapsama	Pasif	Ekibiniz varsa	Var
En uygun	Temel koruma, ek katman	İçinde BT/güvenlik ekibi olan kurum	İç ekibi olmayan KOBİ

EDR ve MDR fiyatları cihaz başına aylık modelde ilerler; uluslararası kaynaklarda uç nokta başına aylık birkaç on dolardan başlayan aralıklar konuşulur. Türkiye’de rakam ürüne, kullanıcı sayısına ve hizmet kapsamına göre değişir — net fiyat için kullanıcı sayınızla birlikte bir teklif almak en doğrusu. Önemli olan şu karşılaştırma: bir fidye saldırısının ortalama maliyeti, aylık izleme hizmetinin yanında çok daha büyük bir rakam.

KOBİ olarak hangisini seçmeliyim?

Üç durumu ayırmak işi kolaylaştırır:

1. Çok küçük, düşük riskli yapı: Birkaç bilgisayar, hassas veri az. Güçlü bir NGAV + düzenli yedekleme + yama yönetimi başlangıç için makul. Yine de bilin ki bu, tehdit görünürlüğünüzün sınırlı olduğu anlamına gelir.
2. İçinde BT ekibi olan kurum: Alarmları izleyip yorumlayacak insanınız varsa EDR sizin için doğru katman. Teknolojiyi alır, operasyonu kendiniz yürütürsünüz.
3. İç güvenlik ekibi olmayan, veri ve kesintiye duyarlı KOBİ: Mali müşavir, hukuk bürosu, e-ticaret, üretim, sağlık. Burada MDR en mantıklısı. 7/24 izlemeyi tek bir uzman istihdamının çok altında bir maliyetle dışarıdan alırsınız.

Türkiye’de fidye yazılımı vakaları son yıllarda hızla arttı ve saldırganlar artık “hizmet olarak fidye yazılımı” (RaaS) modeliyle, teknik bilgisi sınırlı kişilere bile saldırı kiralayan profesyonel yapılar haline geldi. Hedefte yalnızca büyük şirketler yok; orta ve küçük ölçekli işletmeler tam da savunması zayıf olduğu için tercih ediliyor.

Sık sorulan sorular

EDR alırsam antivirüse hâlâ ihtiyacım var mı? Modern EDR ürünlerinin çoğu NGAV katmanını içinde barındırır, yani ayrı bir antivirüs kurmanız gerekmez. Tek üründe imza tabanlı engelleme + davranışsal tespit birlikte gelir.

MDR ile EDR arasındaki fark sadece insan mı? Büyük ölçüde evet, ama bu küçük bir fark değil. MDR’daki 7/24 SOC ekibi, tehdit avcılığı, alarm önceliklendirme ve olay anında müdahale demek. Teknolojiyi insan operasyonu olmadan almak, kamerayı kurup kimsenin izlememesine benzer.

Microsoft Defender bunların neresinde? Defender ailesi NGAV’dan EDR’a uzanan katmanları kapsar; uygun lisansla güçlü bir temel sunar. Yine de alarmları izleyip müdahale edecek bir ekip ya da MDR hizmeti olmadan, tek başına ürün satın almak korumanın yarısıdır.

Hangi katmanın işletmenize uygun olduğunu konuşmak, mevcut antivirüs ve yedekleme yapınızı gözden geçirmek isterseniz bizimle iletişime geçin — kullanıcı sayınıza ve sektörünüze göre net bir öneri çıkaralım.

Kaynaklar

• CrowdStrike — 2025 Global Threat Report (malware-free tespit oranı)
• Palo Alto Networks — What is EDR vs. Antivirus?
• Acronis — Antivirus vs. EDR: endpoint protection