Voor solide endpointprotectie is meer nodig dan antivirussoftware
Nu grote groepen mensen steeds meer thuiswerken, hebben cybercriminelen een nieuwe doelgroep waar ze zich op kunnen richten. Thuiswerken kan risicovoller zijn dan werken op het kantoornetwerk. Medewerkers gebruiken immers deels eigen voorzieningen en kunnen ook minder alert zijn op verdachte mails of links op websites. De devices die ze gebruiken zijn in de regel voorzien van antivirus- en antimalware-software die een bepaalde basisbescherming bieden. Maar ze leveren lang niet altijd afdoende bescherming tegen zaken als het stelen van credentials die zijn opgeslagen in het geheugen of in browsers. Nu onderzoek laat zien dat thuiswerken voor veel bedrijven en hun medewerkers de nieuwe norm zou kunnen worden, is het aanbrengen van een extra beschermingslaag voor endpoints geen luxe meer. Dat kan in de vorm van een endpoint protection management-oplossing (EPM).
Wat doen aanvallers precies om systemen aan te vallen? Zij zoeken vaak als eerste naar lokale admin-rechten die hen toegang biedt tot plekken in het netwerk met interessante bedrijfsgegevens. Op het eerste gezicht is dan de conclusie om gebruikers lokale admin-rechten te ontzeggen. Maar veel organisaties zien daarvan af omdat het als te gebruiksonvriendelijk wordt ervaren of dat oudere (specifiek voor de organisatie gemaakte) applicaties admin-rechten nodig hebben om correct/optimaal te functioneren.
Kwetsbaarheid van endpoints
Een aanvaller die erin is geslaagd om via een endpoint binnen te dringen, is uiteraard sterk geïnteresseerd in credentials van de gebruiker. Het is bijvoorbeeld niet al te moeilijk om allerlei accountgegevens die in browsers worden opgeslagen, te achterhalen. Duidelijk is dat endpoints kwetsbaar zijn en dat de traditionele, reactieve aanpak van beveiliging niet langer afdoende is. Zeker nu duidelijk is dat er volgens schattingen dagelijks 400.000 nieuwe dreigingen ontstaan. IDC deed onderzoek naar deze trend en concludeerde dat veel bedrijven hun eindpoints beveiligen met moderne oplossingen ter vervanging van antivirussoftware.
Meer dan detectie
Moderne oplossingen zoals EPM gaan verder dan alleen detectie en het tegenhouden van dreigingen als deze zich voordoen. Zij voorzien om te beginnen in het beperken van lokale admin-rechten, zonder dat de gebruiker daar veel hinder van heeft. Zo kan een gebruiker bijvoorbeeld zelf vertrouwde applicaties downloaden en installeren. De EPM-oplossing bepaalt in dit verband op basis van white- and blacklisting welke applicaties of download-locaties wel en niet betrouwbaar zijn. Ook is het mogelijk om applicaties in beperkte modus te draaien. Dat kan spelen bij software die noch als betrouwbaar noch als onbetrouwbaar bekend staat. Beperkte modus wil zeggen dat een applicatie bijvoorbeeld geen connectie mag maken met een netwerk of bepaalde processen mag uitvoeren. Dit wordt ook wel greylisting genoemd. In beperkte modus voorkom je onder andere dat malware zich op een systeem nestelt en na verloop van tijd contact zoekt met de command & controlserver van de hacker om credentials of andere gestolen data te downloaden of te versleutelen.
Rol van policy’s
Dit alles gebeurt met behulp van policy’s die je kunt afstemmen op de individuele eisen of wensen van een gebruiker. Het beperken van lokale admin-rechten biedt op deze manier enorme voordelen als het om beveiliging gaat. Immers, de meestal erg brede lokale admin-rechten worden vervangen door veel beperktere gebruikersrechten. Daarnaast voorziet EPM in de regel ook in monitoring en gedragsanalyse, waarmee ook diefstal van credentials kan worden voorkomen.
Ransomware
Naast de eerder genoemde beschermingen kan EPM ook bescherming bieden tegen ransomware. Afhankelijk van de gekozen fabrikant kan EPM tot 100% van de ransomware-applicaties detecteren en ze in een bepaald stadium blokkeren, wat voorkomt dat de organisatie veel geld moet betalen om weer gebruik te kunnen maken van hun belangrijke data.
EPM en PAM
EPM sluit nauw aan bij Privileged Account Management (PAM), dat bij veel organisaties op de agenda is komen te staan. Meer over PAM en wat er bij de implementatie komt kijken, is te lezen in mijn blogpost ‘Privileged Account Management is meer dan een tool in gebruik nemen’. Daarnaast biedt de blogpost ‘Hoe krijg je grip op computer-gebaseerde privileged accounts’ meer achtergrond over verschillende typen privileged accounts.
Brian de Vries is consultant bij Traxion
Meer over
Lees ook
Patroonherkenning op basis van AI ontdekt aanvallers die misbruik willen maken van accounts
AI kan op basis van patroonherkenning aanvalspogingen detecteren waarbij wordt gemaakt van gestolen accountgegevens of van andere methoden. De drie meest waargenomen dreigingen met een hoog risico in de eerste helft van 2023 waren: verdachte inlogpogingen (binnen zeer korte tijd inloggen vanuit verschillende regio’s), verdacht gebruikersgedrag en1
Vijf tips voor veilig databeheer
Waar cybercriminelen het voorheen vooral gemunt hadden op grote organisaties, zijn mkb-bedrijven tegenwoordig minstens net zo vaak het slachtoffer, zo blijkt onder andere uit onderzoek van ABN-AMRO. Dit heeft te maken met de verschillen in risicoperceptie. Grote organisaties zijn zich zeer bewust van cyberdreigingen, terwijl dit bewustzijn binnen1
Drie maatregelen die organisaties nu al kunnen nemen in voorbereiding op NIS2
De nieuwe Europese cyberveiligheidswet – NIS2 - die op de tekentafel ligt, vereist actie van veel organisaties. De wet creëert een algemene cyberbeveiligingstandaard op Europees niveau voor bedrijven die (in)direct actief zijn in kritieke sectoren en ketens. Dat betekent dat een flink aantal bedrijven onder deze wetgeving zal vallen, terwijl veel1