Voor solide endpointprotectie is meer nodig dan antivirussoftware

Brian de Vries

Nu grote groepen mensen steeds meer thuiswerken, hebben cybercriminelen een nieuwe doelgroep waar ze zich op kunnen richten. Thuiswerken kan risicovoller zijn dan werken op het kantoornetwerk. Medewerkers gebruiken immers deels eigen voorzieningen en kunnen ook minder alert zijn op verdachte mails of links op websites. De devices die ze gebruiken zijn in de regel voorzien van antivirus- en antimalware-software die een bepaalde basisbescherming bieden. Maar ze leveren lang niet altijd afdoende bescherming tegen zaken als het stelen van credentials die zijn opgeslagen in het geheugen of in browsers. Nu onderzoek laat zien dat thuiswerken voor veel bedrijven en hun medewerkers de nieuwe norm zou kunnen worden, is het aanbrengen van een extra beschermingslaag voor endpoints geen luxe meer. Dat kan in de vorm van een endpoint protection management-oplossing (EPM).

Wat doen aanvallers precies om systemen aan te vallen? Zij zoeken vaak als eerste naar lokale admin-rechten die hen toegang biedt tot plekken in het netwerk met interessante bedrijfsgegevens. Op het eerste gezicht is dan de conclusie om gebruikers lokale admin-rechten te ontzeggen. Maar veel organisaties zien daarvan af omdat het als te gebruiksonvriendelijk wordt ervaren of dat oudere (specifiek voor de organisatie gemaakte) applicaties admin-rechten nodig hebben om correct/optimaal te functioneren.

Kwetsbaarheid van endpoints

Een aanvaller die erin is geslaagd om via een endpoint binnen te dringen, is uiteraard sterk geïnteresseerd in credentials van de gebruiker. Het is bijvoorbeeld niet al te moeilijk om allerlei accountgegevens die in browsers worden opgeslagen, te achterhalen. Duidelijk is dat endpoints kwetsbaar zijn en dat de traditionele, reactieve aanpak van beveiliging niet langer afdoende is. Zeker nu duidelijk is dat er volgens schattingen dagelijks 400.000 nieuwe dreigingen ontstaan. IDC deed onderzoek naar deze trend en concludeerde dat veel bedrijven hun eindpoints beveiligen met moderne oplossingen ter vervanging van antivirussoftware.  

Meer dan detectie

Moderne oplossingen zoals EPM gaan verder dan alleen detectie en het tegenhouden van dreigingen als deze zich voordoen. Zij voorzien om te beginnen in het beperken van lokale admin-rechten, zonder dat de gebruiker daar veel hinder van heeft. Zo kan een gebruiker bijvoorbeeld zelf vertrouwde applicaties downloaden en installeren. De EPM-oplossing bepaalt in dit verband op basis van white- and blacklisting welke applicaties of download-locaties wel en niet betrouwbaar zijn. Ook is het mogelijk om applicaties in beperkte modus te draaien. Dat kan spelen bij software die noch als betrouwbaar noch als onbetrouwbaar bekend staat. Beperkte modus wil zeggen dat een applicatie bijvoorbeeld geen connectie mag maken met een netwerk of bepaalde processen mag uitvoeren. Dit wordt ook wel greylisting genoemd. In beperkte modus voorkom je onder andere dat malware zich op een systeem nestelt en na verloop van tijd contact zoekt met de command & controlserver van de hacker om credentials of andere gestolen data te downloaden of te versleutelen.

Rol van policy’s

Dit alles gebeurt met behulp van policy’s die je kunt afstemmen op de individuele eisen of wensen van een gebruiker. Het beperken van lokale admin-rechten biedt op deze manier enorme voordelen als het om beveiliging gaat. Immers, de meestal erg brede lokale admin-rechten worden vervangen door veel beperktere gebruikersrechten. Daarnaast voorziet EPM in de regel ook in monitoring en gedragsanalyse, waarmee ook diefstal van credentials kan worden voorkomen.

Ransomware

Naast de eerder genoemde beschermingen kan EPM ook bescherming bieden tegen ransomware. Afhankelijk van de gekozen fabrikant kan EPM tot 100% van de ransomware-applicaties detecteren en ze in een bepaald stadium blokkeren, wat voorkomt dat de organisatie veel geld moet betalen om weer gebruik te kunnen maken van hun belangrijke data.

EPM en PAM

EPM sluit nauw aan bij Privileged Account Management (PAM), dat bij veel organisaties op de agenda is komen te staan. Meer over PAM en wat er bij de implementatie komt kijken, is te lezen in mijn blogpost ‘Privileged Account Management is meer dan een tool in gebruik nemen’. Daarnaast biedt de blogpost ‘Hoe krijg je grip op computer-gebaseerde privileged accounts’ meer achtergrond over verschillende typen privileged accounts.

 

Brian de Vries is consultant bij Traxion

Lees ook
TP-Link toont nieuwe netwerkproducten voor consumenten en zakelijk gebruik

TP-Link toont nieuwe netwerkproducten voor consumenten en zakelijk gebruik

TP-Link® heeft vrijdag nieuwe netwerkproducten aangekondigd tijdens de all-digital CES. Twee daarvan worden hier voorgesteld. Smart home beveiliging met TP-Link HomeShield en Deco WiFi voor ISP.

Cryptshare en Spryng kondigen samenwerking aan

Cryptshare en Spryng kondigen samenwerking aan

SMS gateway provider Spryng en Cryptshare, maker van versleutelde communicatie oplossingen, zijn verheugd om hun nieuwe technologische samenwerking aan te kondigen. Door de SMS-gateway te verbinden met Cryptshare zijn wachtwoorden voor versleutelde e-mails en bestanden op een gebruiksvriendelijke manier via SMS te verzenden

Copaco en Eagle Eye Networks slaan handen ineen voor Cloud Videomanagement

Copaco en Eagle Eye Networks slaan handen ineen voor Cloud Videomanagement

Copaco, distributeur in de Benelux van Informatie en Communicatie Technologie (ICT) en Eagle Eye Networks, marktleider in Cloud Video Beveiliging, kondigen een samenwerking aan voor de distributie van het Cloud Video Management systeem (VMS) van Eagle Eye Networks.