Voor solide endpointprotectie is meer nodig dan antivirussoftware

Brian de Vries

Nu grote groepen mensen steeds meer thuiswerken, hebben cybercriminelen een nieuwe doelgroep waar ze zich op kunnen richten. Thuiswerken kan risicovoller zijn dan werken op het kantoornetwerk. Medewerkers gebruiken immers deels eigen voorzieningen en kunnen ook minder alert zijn op verdachte mails of links op websites. De devices die ze gebruiken zijn in de regel voorzien van antivirus- en antimalware-software die een bepaalde basisbescherming bieden. Maar ze leveren lang niet altijd afdoende bescherming tegen zaken als het stelen van credentials die zijn opgeslagen in het geheugen of in browsers. Nu onderzoek laat zien dat thuiswerken voor veel bedrijven en hun medewerkers de nieuwe norm zou kunnen worden, is het aanbrengen van een extra beschermingslaag voor endpoints geen luxe meer. Dat kan in de vorm van een endpoint protection management-oplossing (EPM).

Wat doen aanvallers precies om systemen aan te vallen? Zij zoeken vaak als eerste naar lokale admin-rechten die hen toegang biedt tot plekken in het netwerk met interessante bedrijfsgegevens. Op het eerste gezicht is dan de conclusie om gebruikers lokale admin-rechten te ontzeggen. Maar veel organisaties zien daarvan af omdat het als te gebruiksonvriendelijk wordt ervaren of dat oudere (specifiek voor de organisatie gemaakte) applicaties admin-rechten nodig hebben om correct/optimaal te functioneren.

Kwetsbaarheid van endpoints

Een aanvaller die erin is geslaagd om via een endpoint binnen te dringen, is uiteraard sterk geïnteresseerd in credentials van de gebruiker. Het is bijvoorbeeld niet al te moeilijk om allerlei accountgegevens die in browsers worden opgeslagen, te achterhalen. Duidelijk is dat endpoints kwetsbaar zijn en dat de traditionele, reactieve aanpak van beveiliging niet langer afdoende is. Zeker nu duidelijk is dat er volgens schattingen dagelijks 400.000 nieuwe dreigingen ontstaan. IDC deed onderzoek naar deze trend en concludeerde dat veel bedrijven hun eindpoints beveiligen met moderne oplossingen ter vervanging van antivirussoftware.  

Meer dan detectie

Moderne oplossingen zoals EPM gaan verder dan alleen detectie en het tegenhouden van dreigingen als deze zich voordoen. Zij voorzien om te beginnen in het beperken van lokale admin-rechten, zonder dat de gebruiker daar veel hinder van heeft. Zo kan een gebruiker bijvoorbeeld zelf vertrouwde applicaties downloaden en installeren. De EPM-oplossing bepaalt in dit verband op basis van white- and blacklisting welke applicaties of download-locaties wel en niet betrouwbaar zijn. Ook is het mogelijk om applicaties in beperkte modus te draaien. Dat kan spelen bij software die noch als betrouwbaar noch als onbetrouwbaar bekend staat. Beperkte modus wil zeggen dat een applicatie bijvoorbeeld geen connectie mag maken met een netwerk of bepaalde processen mag uitvoeren. Dit wordt ook wel greylisting genoemd. In beperkte modus voorkom je onder andere dat malware zich op een systeem nestelt en na verloop van tijd contact zoekt met de command & controlserver van de hacker om credentials of andere gestolen data te downloaden of te versleutelen.

Rol van policy’s

Dit alles gebeurt met behulp van policy’s die je kunt afstemmen op de individuele eisen of wensen van een gebruiker. Het beperken van lokale admin-rechten biedt op deze manier enorme voordelen als het om beveiliging gaat. Immers, de meestal erg brede lokale admin-rechten worden vervangen door veel beperktere gebruikersrechten. Daarnaast voorziet EPM in de regel ook in monitoring en gedragsanalyse, waarmee ook diefstal van credentials kan worden voorkomen.

Ransomware

Naast de eerder genoemde beschermingen kan EPM ook bescherming bieden tegen ransomware. Afhankelijk van de gekozen fabrikant kan EPM tot 100% van de ransomware-applicaties detecteren en ze in een bepaald stadium blokkeren, wat voorkomt dat de organisatie veel geld moet betalen om weer gebruik te kunnen maken van hun belangrijke data.

EPM en PAM

EPM sluit nauw aan bij Privileged Account Management (PAM), dat bij veel organisaties op de agenda is komen te staan. Meer over PAM en wat er bij de implementatie komt kijken, is te lezen in mijn blogpost ‘Privileged Account Management is meer dan een tool in gebruik nemen’. Daarnaast biedt de blogpost ‘Hoe krijg je grip op computer-gebaseerde privileged accounts’ meer achtergrond over verschillende typen privileged accounts.

 

Brian de Vries is consultant bij Traxion

Lees ook
Onderzoek door Juniper: problemen met de netwerkbeveiliging escaleren door de massale overstap op thuiswerken

Onderzoek door Juniper: problemen met de netwerkbeveiliging escaleren door de massale overstap op thuiswerken

Juniper Networks, leverancier van veilige, door AI aangestuurde netwerken, onthult vandaag de voorlopige bevindingen van een internationaal marktonderzoek. Hieruit blijkt dat traditionele benaderingen van de netwerkbeveiliging de huidige problemen verergeren

Cryptshare gecertificeerd voor NTA 7516

Cryptshare gecertificeerd voor NTA 7516

Sinds eind 2018 is Cryptshare actief betrokken geweest bij het uitwerken van de NTA 7516. Daar waar de AVG niet specifiek aangaf waaraan de beveiliging van een e-mail bericht moest voldoen,doet de NTA 7516 dit wel. Daarnaast maakt deNTA 7516 ook duidelijk waaraan een organisatie moet voldoen om medische gegevens veilig met een e-mail te mogen versturen

Kappa Data tekent distributiecontract met BlackBerry

Kappa Data tekent distributiecontract met BlackBerry

Kappa Data, Benelux distributeur van netwerk-, security en IoT producten, breidt zijn portfolio uit met de producten van BlackBerry Er was al een eerste link tussen beide bedrijven door het distributiecontract dat Kappa Data had met Cylance, leverancier van AI-based anti malware solutions.