Voor solide endpointprotectie is meer nodig dan antivirussoftware
Nu grote groepen mensen steeds meer thuiswerken, hebben cybercriminelen een nieuwe doelgroep waar ze zich op kunnen richten. Thuiswerken kan risicovoller zijn dan werken op het kantoornetwerk. Medewerkers gebruiken immers deels eigen voorzieningen en kunnen ook minder alert zijn op verdachte mails of links op websites. De devices die ze gebruiken zijn in de regel voorzien van antivirus- en antimalware-software die een bepaalde basisbescherming bieden. Maar ze leveren lang niet altijd afdoende bescherming tegen zaken als het stelen van credentials die zijn opgeslagen in het geheugen of in browsers. Nu onderzoek laat zien dat thuiswerken voor veel bedrijven en hun medewerkers de nieuwe norm zou kunnen worden, is het aanbrengen van een extra beschermingslaag voor endpoints geen luxe meer. Dat kan in de vorm van een endpoint protection management-oplossing (EPM).
Wat doen aanvallers precies om systemen aan te vallen? Zij zoeken vaak als eerste naar lokale admin-rechten die hen toegang biedt tot plekken in het netwerk met interessante bedrijfsgegevens. Op het eerste gezicht is dan de conclusie om gebruikers lokale admin-rechten te ontzeggen. Maar veel organisaties zien daarvan af omdat het als te gebruiksonvriendelijk wordt ervaren of dat oudere (specifiek voor de organisatie gemaakte) applicaties admin-rechten nodig hebben om correct/optimaal te functioneren.
Kwetsbaarheid van endpoints
Een aanvaller die erin is geslaagd om via een endpoint binnen te dringen, is uiteraard sterk geïnteresseerd in credentials van de gebruiker. Het is bijvoorbeeld niet al te moeilijk om allerlei accountgegevens die in browsers worden opgeslagen, te achterhalen. Duidelijk is dat endpoints kwetsbaar zijn en dat de traditionele, reactieve aanpak van beveiliging niet langer afdoende is. Zeker nu duidelijk is dat er volgens schattingen dagelijks 400.000 nieuwe dreigingen ontstaan. IDC deed onderzoek naar deze trend en concludeerde dat veel bedrijven hun eindpoints beveiligen met moderne oplossingen ter vervanging van antivirussoftware.
Meer dan detectie
Moderne oplossingen zoals EPM gaan verder dan alleen detectie en het tegenhouden van dreigingen als deze zich voordoen. Zij voorzien om te beginnen in het beperken van lokale admin-rechten, zonder dat de gebruiker daar veel hinder van heeft. Zo kan een gebruiker bijvoorbeeld zelf vertrouwde applicaties downloaden en installeren. De EPM-oplossing bepaalt in dit verband op basis van white- and blacklisting welke applicaties of download-locaties wel en niet betrouwbaar zijn. Ook is het mogelijk om applicaties in beperkte modus te draaien. Dat kan spelen bij software die noch als betrouwbaar noch als onbetrouwbaar bekend staat. Beperkte modus wil zeggen dat een applicatie bijvoorbeeld geen connectie mag maken met een netwerk of bepaalde processen mag uitvoeren. Dit wordt ook wel greylisting genoemd. In beperkte modus voorkom je onder andere dat malware zich op een systeem nestelt en na verloop van tijd contact zoekt met de command & controlserver van de hacker om credentials of andere gestolen data te downloaden of te versleutelen.
Rol van policy’s
Dit alles gebeurt met behulp van policy’s die je kunt afstemmen op de individuele eisen of wensen van een gebruiker. Het beperken van lokale admin-rechten biedt op deze manier enorme voordelen als het om beveiliging gaat. Immers, de meestal erg brede lokale admin-rechten worden vervangen door veel beperktere gebruikersrechten. Daarnaast voorziet EPM in de regel ook in monitoring en gedragsanalyse, waarmee ook diefstal van credentials kan worden voorkomen.
Ransomware
Naast de eerder genoemde beschermingen kan EPM ook bescherming bieden tegen ransomware. Afhankelijk van de gekozen fabrikant kan EPM tot 100% van de ransomware-applicaties detecteren en ze in een bepaald stadium blokkeren, wat voorkomt dat de organisatie veel geld moet betalen om weer gebruik te kunnen maken van hun belangrijke data.
EPM en PAM
EPM sluit nauw aan bij Privileged Account Management (PAM), dat bij veel organisaties op de agenda is komen te staan. Meer over PAM en wat er bij de implementatie komt kijken, is te lezen in mijn blogpost ‘Privileged Account Management is meer dan een tool in gebruik nemen’. Daarnaast biedt de blogpost ‘Hoe krijg je grip op computer-gebaseerde privileged accounts’ meer achtergrond over verschillende typen privileged accounts.
Brian de Vries is consultant bij Traxion
Meer over
Lees ook
Rotterdamse haven vraagt ethische hackers kwetsbaarheden te melden
Het Havenbedrijf Rotterdam lanceert een responsible disclosure-programma. Ethische hackers die zwakheden in havensystemen ontdekken kunnen de kwetsbaarheden via het programma melden aan het havenbedrijf. "Bij Havenbedrijf Rotterdam N.V. vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze syste1
'Behoefte aan security professionals is hard gestegen'
Bedrijven hebben afgelopen jaar aanzienlijk meer behoefte gehad aan security professionals dan vorig jaar. De hoeveelheid vacatures voor security experts nam met maar liefst ruim 40 procent toe. Dit blijkt uit cijfers van detacheringsbureau Yacht. Het aantal beschikbare vacatures voor beveiligingsprofessionals kwam in het jaar 2012 uit op 698. Di1
Jailbreak voor iPhone, iPad en iPod touch bevat een backdoor
Door een iPhone, iPad of iPod touch te jailbreaken kunnen gebruikers hun rechten op het apparaat vergroten. Dit stelt hen in staat via de jailbreak-appwinkel Cydia allerlei software op hun apparaten te installeren die niet zijn goedgekeurd voor Apple's App Store. Dit is echter niet zonder gevaar. Versie 1.0.3 van de jailbreak Evasi0n blijkt nameli1