Voor solide endpointprotectie is meer nodig dan antivirussoftware
Nu grote groepen mensen steeds meer thuiswerken, hebben cybercriminelen een nieuwe doelgroep waar ze zich op kunnen richten. Thuiswerken kan risicovoller zijn dan werken op het kantoornetwerk. Medewerkers gebruiken immers deels eigen voorzieningen en kunnen ook minder alert zijn op verdachte mails of links op websites. De devices die ze gebruiken zijn in de regel voorzien van antivirus- en antimalware-software die een bepaalde basisbescherming bieden. Maar ze leveren lang niet altijd afdoende bescherming tegen zaken als het stelen van credentials die zijn opgeslagen in het geheugen of in browsers. Nu onderzoek laat zien dat thuiswerken voor veel bedrijven en hun medewerkers de nieuwe norm zou kunnen worden, is het aanbrengen van een extra beschermingslaag voor endpoints geen luxe meer. Dat kan in de vorm van een endpoint protection management-oplossing (EPM).
Wat doen aanvallers precies om systemen aan te vallen? Zij zoeken vaak als eerste naar lokale admin-rechten die hen toegang biedt tot plekken in het netwerk met interessante bedrijfsgegevens. Op het eerste gezicht is dan de conclusie om gebruikers lokale admin-rechten te ontzeggen. Maar veel organisaties zien daarvan af omdat het als te gebruiksonvriendelijk wordt ervaren of dat oudere (specifiek voor de organisatie gemaakte) applicaties admin-rechten nodig hebben om correct/optimaal te functioneren.
Kwetsbaarheid van endpoints
Een aanvaller die erin is geslaagd om via een endpoint binnen te dringen, is uiteraard sterk geïnteresseerd in credentials van de gebruiker. Het is bijvoorbeeld niet al te moeilijk om allerlei accountgegevens die in browsers worden opgeslagen, te achterhalen. Duidelijk is dat endpoints kwetsbaar zijn en dat de traditionele, reactieve aanpak van beveiliging niet langer afdoende is. Zeker nu duidelijk is dat er volgens schattingen dagelijks 400.000 nieuwe dreigingen ontstaan. IDC deed onderzoek naar deze trend en concludeerde dat veel bedrijven hun eindpoints beveiligen met moderne oplossingen ter vervanging van antivirussoftware.
Meer dan detectie
Moderne oplossingen zoals EPM gaan verder dan alleen detectie en het tegenhouden van dreigingen als deze zich voordoen. Zij voorzien om te beginnen in het beperken van lokale admin-rechten, zonder dat de gebruiker daar veel hinder van heeft. Zo kan een gebruiker bijvoorbeeld zelf vertrouwde applicaties downloaden en installeren. De EPM-oplossing bepaalt in dit verband op basis van white- and blacklisting welke applicaties of download-locaties wel en niet betrouwbaar zijn. Ook is het mogelijk om applicaties in beperkte modus te draaien. Dat kan spelen bij software die noch als betrouwbaar noch als onbetrouwbaar bekend staat. Beperkte modus wil zeggen dat een applicatie bijvoorbeeld geen connectie mag maken met een netwerk of bepaalde processen mag uitvoeren. Dit wordt ook wel greylisting genoemd. In beperkte modus voorkom je onder andere dat malware zich op een systeem nestelt en na verloop van tijd contact zoekt met de command & controlserver van de hacker om credentials of andere gestolen data te downloaden of te versleutelen.
Rol van policy’s
Dit alles gebeurt met behulp van policy’s die je kunt afstemmen op de individuele eisen of wensen van een gebruiker. Het beperken van lokale admin-rechten biedt op deze manier enorme voordelen als het om beveiliging gaat. Immers, de meestal erg brede lokale admin-rechten worden vervangen door veel beperktere gebruikersrechten. Daarnaast voorziet EPM in de regel ook in monitoring en gedragsanalyse, waarmee ook diefstal van credentials kan worden voorkomen.
Ransomware
Naast de eerder genoemde beschermingen kan EPM ook bescherming bieden tegen ransomware. Afhankelijk van de gekozen fabrikant kan EPM tot 100% van de ransomware-applicaties detecteren en ze in een bepaald stadium blokkeren, wat voorkomt dat de organisatie veel geld moet betalen om weer gebruik te kunnen maken van hun belangrijke data.
EPM en PAM
EPM sluit nauw aan bij Privileged Account Management (PAM), dat bij veel organisaties op de agenda is komen te staan. Meer over PAM en wat er bij de implementatie komt kijken, is te lezen in mijn blogpost ‘Privileged Account Management is meer dan een tool in gebruik nemen’. Daarnaast biedt de blogpost ‘Hoe krijg je grip op computer-gebaseerde privileged accounts’ meer achtergrond over verschillende typen privileged accounts.
Brian de Vries is consultant bij Traxion
Meer over
Lees ook
Cloudflare-rapport maakt inzichtelijk dat organisaties moeilijkheden ondervinden bij het identificeren en beheren van cyberrisico's van API's
Cloudflare heeft het API Security & Management Report gepubliceerd. Dit rapport onthult dat API's meer dan ooit worden ingezet, waardoor bedrijven de deur wijd openzetten voor meer online bedreigingen dan we eerder hebben meegemaakt. Het rapport maakt inzichtelijk dat er een kloof bestaat tussen het gebruik van API’s door bedrijven en hun vermogen1
Mirco Kloss van TXOne Networks Europe: ‘Binnen OT is continuïteit echt alles’
De scheidslijn tussen informatietechnologie (IT) en operationele technologie (OT) is aan het vervagen. Om goed te functioneren zijn OT-apparaten steeds afhankelijker van data en IoT-functies. Dat zorgt echter ook voor een verhoogd risico en nieuwe securityuitdagingen. Securityleverancier TXOne specialiseert zich op het snijvlak waar IT en OT overl1
Marc Punte van Ster over MOVEit Automation: ‘Data moet immutable zijn’
De Stichting Etherreclame, beter bekend als Ster Reclame, zorgt voor de verkoop van reclameruimte op radio, tv en online van de Nederlandse publieke omroep. Data speelt bij alle processen een cruciale rol en moet dus altijd beschikbaar zijn, en niet te onderscheppen of manipuleren zijn. Systeem- en netwerkarchitect Marc Punte van de Ster, legt uit1