In de vorige blogpost vertelde ik meer over de komst van de bekendere Endpoint beveiliging oplossingen. In dit deel borduren we verder op deze oplossing met een aanvullende beveilingslaag, waar je vandaag de dag eigenlijk niet eens meer zonder kan. Naast een goed slot op je deur, wil je het denk ik toch ook wel graag weten, wanneer iemand toch binnen is gekomen via een achterdeurtje!
Een slim camera systeem, Endpoint Detection and Response
Endpoint Detection and Response, afgekort EDR, is software,die wordt gebruikt om verdachte activiteiten en gedrag op endpoints te detecteren, te onderzoeken en vervolgens ook op te kunnen reageren. Met een EDR-oplossing, kunnen beveiligingsanalisten proactief handelen, wanneer de software bijvoorbeeld een programma of script detecteert, dat zich abnormaal gedraagt. Kwaadaardige activiteiten kunnen vervolgens automatisch worden geblokkeerd om gegevensuitwisseling, versleuteling en pogingen om verder het netwerk in te komen te voorkomen. Het kan ransomware in realtime stoppen en terugdraaien zonder dat het apparaat van het netwerk hoeft te worden verwijderd of daarmee de bedrijfscontinuïteit wordt verstoord.
Maar, waar begon het?
EDR begon als een digitaal forensisch onderzoeksinstrument en voorzag beveiligingsanalisten van telemetrie voor mogelijke bedreigingen. Met de komst van EDR werd het voor beveiligingsanalisten eenvoudiger, om een mogelijke aanval te analyseren en te identificeren. Hierbij wordt gebruikt gemaakt van indicatoren, dat aangeven dat een systeem in het netwerk is gecompromitteerd ook wel de Indicators of Compromise genoemd (IOC). Analisten waren vervolgens hierdoor ook in staat malware op te sporen, waarvan sommige maanden of zelfs jaren onopgemerkt in het netwerk konden verblijven.
Er werden ook Remediation Tools toegevoegd, waarmee analisten meer informatie van endpoints konden opvragen, processen konden verbieden, endpoints konden isoleren en ook de specifieke IP-adressen konden blokkeren. EDR groeide uit tot een echte detectie- en responsoplossing, maar het was niet zonder problemen. De eerste generatie EDR oplossingen maakte meestal gebruik van handmatige ingevoerde methoden, die te tijdrovend waren om in te voeren of bij geavanceerde aanvallen niet snel genoeg alarmeerde. Het belemmerde daarbij ook een gebrek aan integratie met andere beveiligingssoftware oplossingen of het vermogen om op een effectieve en tijdige manier te reageren.
Het configureren en gebruiken van EDR vereiste ook expertise op hoog niveau. Analisten, waaraan vandaag de dag nog steeds een nijpend tekort is, kregen met de analyses uit de EDR-oplossingen een veelheid aan waarschuwingen, ook wel alerts genoemd. Je kunt je wel voorstellen, dat het door de hoeveelheid alerts, waarvan ook nog vele vals-positieven waren, het enorm tijdrovend was om ze allemaal te bekijken en erop te reageren. Beveiligingsanalisten kregen last van de zogeheten ‘alert- moeheid’. Leveranciers konden deze problemen gedeeltelijk ondervangen, door de introductie van een Managed Detection and Response of MDR-platform. Dit platform voerde de beoordeling van basiswaarschuwingen uit en bracht analisten, via bijvoorbeeld e-mail, op de hoogte.
Geautomatiseerd reageren, wanneer het toch mis gaat!
EDR bleef desondanks toch te traag en te ingewikkeld om een standaardinstrument te worden in het arsenaal van beveiligingssoftware voor endpoints. De tweede generatie EDR, dus de EDR zoals we die vandaag de dag kennen, pakte de problemen adequaat aan en is ontworpen om beleidsgestuurd en geautomatiseerd te zijn. Middels aanpasbare playbooks, konden analisten EDR nu aansturen om problemen, zowel onmiddellijk als automatisch, te detecteren en vervolgens te laten verhelpen.
Beveiligingsprofessionals zagen al snel de voordelen in van het samenvoegen van EDR- en EPP-technologieën en de meeste EPP-definities omvatten nu beide kenmerken. Eén geïntegreerde agent kan het merendeel van,op bestanden gebaseerde, malware voorkomen, vóórdat het de preventie laag al heeft omzeild. Vervolgens kan er een automatische actie worden uitgevoerd op zo’n alert en of gebeurtenis, middels zelf gedefinieerde workarounds en of playbooks, die gaan afspelen.
Daarnaast zijn Machine Learning (ML)en Artificiële Intelligentie (AI), gaandeweg ook steeds meer geadopteerd en als onderdeel toegevoegd aan de Endpoint Security beveiligingssuite. Hiermee worden Endpoint oplossing zelf ook steeds sneller en slimmer in het verhelpen en vroegtijdiger detecteren van malware in de pre-executiefase.
Gartner voorspelt dat, tegen het einde van 2023, meer dan 50% van de ondernemingen oudere antivirusproducten zal hebben vervangen, door gecombineerde endpoint protection platforms en EDR oplossingen, Uitgebreide detectie- en responsmogelijkheden (XDR) zijn nu ook in opkomst, om de nauwkeurigheid van de detectie en de productiviteit van de beveiliging ook op andere devices, van IoT apparaten tot containers en cloud-native applicaties, te verbeteren, waar ik in de volgende blogposten meer over ga vertellen!
Samenvattend kunnen we concluderen dat je met enkel een goed slot op je deur, de Endpoint Protection niet voldoende is en dat je daarnaast ook een aanvullende oplossing nodig hebt, die kan detecteren en reageren op abnormaal en afwijkend gedrag.
