Waarom endpoint security pas compleet is met Endpoint Detection & Response-tools

Liviu Arsene

Liviu Arsene is Senior Cybersecurity Analyst bij Bitdefender

Endpoint securityoplossingen kunnen 99 procent van de malware eenvoudig detecteren, maar de resterende 1 procent is meestal verantwoordelijk voor de datalekken en cyberspionage waarover we in het nieuws lezen. Endpoint detection & response (EDR)-tools zijn speciaal toegerust om verdachte activiteiten gerelateerd aan geavanceerde dreigingen te detecteren en onderzoeken en zijn dus met name voor die resterende 1 procent een uitkomst.

EDR-tools monitoren, detecteren en analyseren verdachte activiteiten op het netwerk en endpoints en zijn daarmee onmisbaar bij forensisch onderzoek naar datalekken. Omdat ze de verdachte waarnemingen ook delen met de IT- en beveiligingsteams spelen ze daarnaast een cruciale rol bij een tijdige signalering van mogelijke datalekken.

Wat endpoint securityoplossingen doen

Traditionele oplossingen voor endpoint-beveiliging zijn speciaal ontwikkeld om gelaagde bescherming te bieden tegen huis-, tuin- en keukenvormen van malware, cyberaanvallen en frauduleuze websites die gevaren opleveren voor de data en privacy van gebruikers. Stel bijvoorbeeld dat malware probeert om kwaadaardige code te injecteren in legitieme processen zoals explorer.exe om misbruik te maken van de toegangsrechten van dat proces. Een oplossing voor endpoint-beveiliging zal deze kwaadaardige activiteit direct blokkeren en mogelijk ook alle bewerkingen die door de malware zijn uitgevoerd ongedaan maken.

Wat endpoint securityoplossingen niet doen

Cybercriminelen ontwikkelen geavanceerde langdurige malware doorgaans om detectie door traditionele beveiligingsoplossingen te vermijden. Ze bespieden hun doelwitten vaak geruime tijd om zoveel mogelijk informatie te achterhalen over hun netwerkconfiguratie, policies, toegangsbeveiliging en zelfs de beveiligingsoplossingen die ze intern gebruiken. De meeste geavanceerde aanvallen maken gebruik van bestandsloze malware. Zo maken cybercriminelen bijvoorbeeld misbruik van PowerShell-tools om taken uit te kunnen voeren. Traditionele endpoint securityoplossingen hebben moeite om dit soort aanvallen te detecteren. Ook het gebruik van zero day-kwetsbaarheden in populaire software en applicaties stelt cybercriminelen in staat om onder de radar van traditionele oplossingen voor endpointsecurity te opereren en de controle van een besmet apparaat over te nemen. Hierdoor kunnen ze meer malware verspreiden en zichzelf langzaam maar zeker door het hele netwerk begeven.

Zicht houden op wat er gebeurt is essentieel

Endpoint securityoplossingen zijn ook niet ontwikkeld om te detecteren of cybercriminelen misbruik maken van toegangsrechten. Kwaadwillenden kunnen argeloze werknemers met phishing-trucs overhalen om hun inloggegevens prijs te geven en zo het netwerk binnendringen zonder gebruik te maken van geavanceerde malware. Vanaf dat moment kunnen ze toegang krijgen tot interne documenten en data. Ze kunnen zelfs additionele programma’s installeren waarmee ze het besmette endpoint volledig onder controle houden. Voor EDR-tools is dit het moment om alarm te slaan, aangezien misbruik van toegangsrechten en het naar buiten smokkelen van data worden gezien als afwijkende gedragspatronen die wijzen op kwaadwillenden en een mogelijk datalek. EDR-oplossingen bieden bedrijven ook volop mogelijkheden om datalekken achteraf te onderzoeken. Daarmee kunnen ze tegemoetkomen aan de vereiste van de AVG/ GDPR-regelgeving om binnen de vastgestelde termijn te rapporteren hoe het datalek ontstond.

Tot slot: de ene EDR-oplossing is de andere niet

EDR werkt zo goed omdat het overal zicht op houdt. Die kracht kan echter ook omslaan in een nadeel als elke melding als een potentieel beveiligingsincident wordt gezien. Traditionele EDR-tools willen bij IT- en beveiligingsteams nogal eens resulteren in meldingsmoeheid, aangezien zij elke melding moeten natrekken zonder indicatie welke meldingen reële risico’s voor de beveiliging vormen.

Daarnaast bieden traditionele EDR-tools vaak geen integratie met oplossingen voor endpoint-beveiliging. Hoe meer verschillende agents er op een endpoint worden ingezet, des te ingrijpender de gevolgen voor de prestaties van het apparaat, en des te groter de beheerinspanning die IT- en beveiligingsteams moeten leveren. Idealiter is het daarom wenselijk om gebruik te maken van agents die zowel endpointsecurity als EDR-functionaliteit bieden.

Moderne EDR-oplossingen onderscheiden zich van eerdere generaties EDR-tools door het vermogen om beveiligingsgebeurtenissen in te delen naar de ernst van de dreiging. Via machine learning wordt de EDR-oplossing getraind om IT- en beveiligingsteams alleen op de hoogte te stellen van serieuze bedreigingen. Daarbij bespaart een geïntegreerd platform dat informatie over (potentiële) beveiligingsincidenten verzamelt en analyseert en in een oogopslag de beveiligingsstatus van de bedrijfsinfrastructuur laat zien de reeds overbelaste IT- en beveiligingsteams de nodige tijd en werk.